- 1、本文档共83页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
IT审计的组织与实施(培训课件).ppt
IT审计的组织与实施 内容安排 内部审计及其分类 内部审计及其分类 信息系统审计—从风险管理和风险基础审计的角度理解 信息系统审计—从风险管理和风险基础审计的角度理解 信息系统审计—从风险管理和风险基础审计的角度理解 信息系统审计—从风险管理和风险基础审计的角度理解 信息系统审计—从风险管理和风险基础审计的角度理解 信息系统审计—从风险管理和风险基础审计的角度理解 信息系统审计标准 信息系统审计标准—ITIL IT服务管理 IT服务管理(ITSM):一种以流程为导向,以客户为中心的方法,它通过整合IT服务与组织业务,提高组织IT服务提供和服务支持的能力和水平。 ITIL(IT Infrastructure Library, IT基础架构库),最初由英国商务部(OGC)80年代组织开发,是ITSM领域在欧洲的事实标准。2001年成为英国标准BS 15000 信息系统审计标准—ITIL ITIL整体框架 服务提供包括5个核心流程: 服务级别管理、能力管理、可用性管理、持续性管理、财务管理。服务支持包括5个核心流程:配置管理、发布管理、变更管理、事故管理、问题管理、服务台职能。 信息系统审计标准—BS7799 信息安全管理:指一个组织的政策、实务、程序、组织结构和软件功能,用以保护信息,确保信息免受非授权访问、修改或意外变更,并且在经授权用户需要时可用。 信息系统审计标准—BS7799 信息安全管理体系(ISMS) BS 7799: 最早由英国贸易和工业部于1993年组织开发,1995年成为英国国家标准,由两部分组成,目前最新版本为: BS 7799-1:1999《信息安全管理实施规则》 BS 7799-2:2002《信息安全管理体系规范》 BS 7799-1于2000年被批准为国际标准ISO/IEC 17799:2000《信息技术:信息安全管理实施规则》。 信息系统审计标准—BS7799 信息安全管理体系(ISMS) BS 7799-1将信息安全管理分为10类控制,成为组织实施信息安全管理的实用指南。 信息系统审计标准—BS7799 BS 7799-2提供的信息安全管理框架 信息系统审计标准-COBIT IT治理 信息安全和控制实务普遍接受的标准 主要目的是为企业治理提供清晰的政策和最佳实务 以信息系统审计与控制基金会 (ISACF) 的控制目标为基础,由ISACA及其下属的“IT治理研究院”开发。1996年第一版,2000年第三版,2006年第四版。 信息系统审计标准-COBIT 由34个IT控制目标组成,分为四个方面: 规划和组织 获得与实施 交付与支持 监控 信息系统审计标准-COBIT COBIT 的34个控制目标 信息系统审计方法 内部审计方法年度风险评估和计划 年度风险评估:风险评估 年度风险评估:风险分级和审计频率 年度风险评估:举例 年度审计计划:举例 信息系统审计方法计划 计划:举例 信息系统审计方法风险评估 风险评估:举例 信息系统审计方法控制评价 控制评价:举例 信息系统审计方法审计方案和测试 审计方案和测试:举例 信息系统审计方法沟通和报告 信息系统审计方法绩效评价 信息系统审计方法 问题追踪和后续审计 IT 核心流程和审计方法 IT 流程:规划和组织 审计方法:规划和组织 审计方法:规划和组织 审计方法:规划和组织 IT 流程:系统开发 审计方法:系统开发 审计方法:系统开发 审计方法:系统开发 IT 流程:变更管理 审计方法:变更管理 年度审计计划:考虑的因素和批准 审计方法:变更管理 审计方法:变更管理 IT 流程:数据管理 审计方法:数据管理 审计方法:数据管理 审计方法:数据管理 IT 流程:计算机操作运行 审计方法:计算机操作运行 审计方法:计算机操作运行 审计方法:计算机操作运行 IT流程:物理安全/设备管理 审计方法:物理安全/设备管理 审计方法:物理安全/设备管理 审计方法:物理安全/设备管理 IT流程:业务持续计划(BCP) 审计方法:业务持续计划(BCP) 审计方法:业务持续计划(BCP) 审计方法:业务持续计划(BCP) IT流程:信息安全 审计方法:信息安全 审计方法:信息安全 审计方法:信息安全 IT流程:网络管理 审计方法:网络管理 审计方法:网络管理 审计方法:网络管理 IT流程:应用处理 审计方法:应用处理 审计方法:应用处理 问题讨论 案例分析 职责分离控制矩阵 问题 检查内容: 数据中心楼层计划/ 分布 IT用房的视查 可接触IT设备人员清单 与物理安全、人员健康和安全、环境
文档评论(0)