IT审计的组织与实施(培训课件).ppt

IT审计的组织与实施 内容安排 内部审计及其分类 内部审计及其分类 信息系统审计—从风险管理和风险基础审计的角度理解 信息系统审计—从风险管理和风险基础审计的角度理解 信息系统审计—从风险管理和风险基础审计的角度理解 信息系统审计—从风险管理和风险基础审计的角度理解 信息系统审计—从风险管理和风险基础审计的角度理解 信息系统审计—从风险管理和风险基础审计的角度理解 信息系统审计标准 信息系统审计标准—ITIL IT服务管理 IT服务管理（ITSM）：一种以流程为导向，以客户为中心的方法，它通过整合IT服务与组织业务，提高组织IT服务提供和服务支持的能力和水平。 ITIL（IT Infrastructure Library, IT基础架构库），最初由英国商务部（OGC）80年代组织开发，是ITSM领域在欧洲的事实标准。2001年成为英国标准BS 15000 信息系统审计标准—ITIL ITIL整体框架 服务提供包括5个核心流程： 服务级别管理、能力管理、可用性管理、持续性管理、财务管理。服务支持包括5个核心流程：配置管理、发布管理、变更管理、事故管理、问题管理、服务台职能。 信息系统审计标准—BS7799 信息安全管理：指一个组织的政策、实务、程序、组织结构和软件功能，用以保护信息，确保信息免受非授权访问、修改或意外变更，并且在经授权用户需要时可用。 信息系统审计标准—BS7799 信息安全管理体系（ISMS） BS 7799： 最早由英国贸易和工业部于1993年组织开发，1995年成为英国国家标准，由两部分组成，目前最新版本为： BS 7799-1：1999《信息安全管理实施规则》 BS 7799-2：2002《信息安全管理体系规范》 BS 7799-1于2000年被批准为国际标准ISO/IEC 17799：2000《信息技术：信息安全管理实施规则》。 信息系统审计标准—BS7799 信息安全管理体系（ISMS） BS 7799-1将信息安全管理分为10类控制，成为组织实施信息安全管理的实用指南。 信息系统审计标准—BS7799 BS 7799-2提供的信息安全管理框架 信息系统审计标准-COBIT IT治理 信息安全和控制实务普遍接受的标准 主要目的是为企业治理提供清晰的政策和最佳实务 以信息系统审计与控制基金会 (ISACF) 的控制目标为基础，由ISACA及其下属的“IT治理研究院”开发。1996年第一版，2000年第三版，2006年第四版。 信息系统审计标准-COBIT 由34个IT控制目标组成，分为四个方面: 规划和组织 获得与实施 交付与支持 监控 信息系统审计标准-COBIT COBIT 的34个控制目标 信息系统审计方法 内部审计方法年度风险评估和计划 年度风险评估:风险评估 年度风险评估:风险分级和审计频率 年度风险评估:举例 年度审计计划:举例 信息系统审计方法计划 计划：举例 信息系统审计方法风险评估 风险评估:举例 信息系统审计方法控制评价 控制评价:举例 信息系统审计方法审计方案和测试 审计方案和测试:举例 信息系统审计方法沟通和报告 信息系统审计方法绩效评价 信息系统审计方法 问题追踪和后续审计 IT 核心流程和审计方法 IT 流程:规划和组织 审计方法:规划和组织 审计方法:规划和组织 审计方法:规划和组织 IT 流程:系统开发 审计方法:系统开发 审计方法:系统开发 审计方法:系统开发 IT 流程:变更管理 审计方法:变更管理 年度审计计划:考虑的因素和批准 审计方法:变更管理 审计方法:变更管理 IT 流程:数据管理 审计方法:数据管理 审计方法:数据管理 审计方法:数据管理 IT 流程:计算机操作运行 审计方法:计算机操作运行 审计方法:计算机操作运行 审计方法:计算机操作运行 IT流程:物理安全/设备管理 审计方法:物理安全/设备管理 审计方法:物理安全/设备管理 审计方法:物理安全/设备管理 IT流程:业务持续计划（BCP） 审计方法:业务持续计划（BCP） 审计方法:业务持续计划（BCP） 审计方法:业务持续计划（BCP） IT流程:信息安全 审计方法:信息安全 审计方法:信息安全 审计方法:信息安全 IT流程:网络管理 审计方法:网络管理 审计方法:网络管理 审计方法:网络管理 IT流程:应用处理 审计方法:应用处理 审计方法:应用处理 问题讨论 案例分析 职责分离控制矩阵 问题 检查内容: 数据中心楼层计划/ 分布 IT用房的视查 可接触IT设备人员清单 与物理安全、人员健康和安全、环境