一般控制.docVIP

第三章 信息系统一般控制及审计 一个组织要建立信息系统，就需要有效地建立、控制和管理好其信息技术基础架构。本章主要介绍学习如何正确评价组织的信息技术基础设施和运行管理（日常运行事务、系统执行与监控）的效果和效率。 基本要求：了解信息系统一般控制与审计概念、内容、方法 重点：信息系统一般控制与审计内容、方法 难点：信息系统一般控制与审计方法 信息系统一般控制及审计（ 4 学时） 主要内容： 一、信息系统一般控制综述 二、管理控制及其审计 1、管理控制的基本内容 2、管理控制审计 3、管理控制测试 三、系统基础设施控制及其审计 1、信息系统环境控制 2、信息系统硬件控制与审计 3、系统软件控制 四、系统访问控制及其审计 1、逻辑访问控制 2、物理访问控制 3、对访问控制的审计 五、系统网络架构控制及其审计 1、局域网控制与审计 2、客户机/服务器架构风险与控制 3、互联网风险与控制 4、网络安全技术 5、网络架构控制的审计 六、灾难恢复控制及其审计 1、灾难与业务中断 2、灾难恢复与业务持续计划 3、灾难恢复与业务持续计划的审计 一、信息系统内部控制 信息系统内部控制是一个单位在信息系统环境下，为了保证业务活动的有效进行，保护资产的安全与完整，防止、发现、纠正错误与舞弊，合理确保信息系统提供信息的真实、合法、完整，而制定和实施的一系列政策与程序措施。 内部控制是规范秩序、防范风险、遏制腐败、合理确保信息系统功效的有效途径，从而更好地确保组织目标的实现。 内部控制分类：依据所要达到的直接目标分：会计控制、管理控制； 依据控制的预定意图分：预防性控制、检查性控制、纠正性控制； 依据信息处理系统的不同可以分： 人工系统控制、 信息系统控制； 依据控制所采用的工具不同可以分： 手工控制、 依据控制对象的范围和环境不同可以分： 一般控制、应用控制； 二、一般控制与应用控制 一般控制指对信息系统构成要素的控制。 信息系统一般控制是应用于一个单位信息系统全部或较大范围的内部控制，其基本目标为保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的继续运行 一般控制包括以下几方面的控制:组织控制;操作控制;硬件及系统软件的控制;系统安全控制. 应用控制指对信息系统中具体的数据处理活动所进行的控制。应用控制一般可以分为：输入控制、处理控制、输出控制。 一般控制与应用控制的关系？ 符合性测试：符合性测试是对信息系统内部控制的存在性、有效性及控制的程序的编写方法的合规性进行核实，并得出相应审计结论的一种审计方法。 实质性测试：符合性测试是指经被审计信息系统处理过的各种包括财务会计信息在内的经济信息合法性、正确性、真实性所进行的直接检查和分析性复核，以便对企业经济信息的质量发表审计意见。 信息安全管理是指导组织的安全实践活动，它从管理、技术、人员、过程的角度来定义、建立、实施信息安全管理体系，通过维护信息的机密性、完整性和可用性，来管理和保护组织所有的信息资产。 信息安全管理一般包括制定合理的信息安全方针与策略、风险评估、控制目标与方式选择、制定规范的操作流程、对员工进行安全意识培训等一系列工作，通过在安全方针策略、组织安全、资产分类与控制、人员安全、物理与环境安全、通信与运营安全、访问控制、系统开发与维护、业务持续性管理、符合法律法规要求等领域内建立管理控制措施，来保证组织信息资产的安全与业务的连续性。 信息系统的安全管理控制的主要目标是实现职责分离和人员的管理。 三、系统基础设施控制与审计 系统基础设施是指保障信息系统工作所必需的设施与条件。系统基础设施控制重点是信息系统环境、信息系统硬件、系统软件的采购、配置、运行与管理。 1、信息系统环境控制 信息系统有哪些环境风险？ 如何控制信息系统的环境风险？ 2、信息系统硬件控制 信息系统硬件设施的控制，主要考虑硬件设施的采购、运行、维护、监控和能力管理等方面。 3、信息系统软件控制 信息系统中有哪些软件？ 信息系统软件有哪些风险点？ 如何控制信息系统软件的风险？ 四、系统访问控制及其审计 1、系统访问就是利用计算机资源达到一定目的能力，对计算机化的信息资源的访问。 可以基于逻辑方式，也可以基于物理方式。 逻辑访问控制是通过一定的技术方法去控制用户可以利用什么样的信息，可以运行什么样的程序与事务，可以修改什么样的信息与数据。 逻辑访问的风险？ 如何控制逻辑访问的风险？ 四、系统访问控制及其审计 物理访问控制可以限制人员进出敏感区域。 系统用户或者相关人员出入系统的关键区域，需要采用适当的物理访问控制