信息系统审计培训提纲.pdfVIP

信息系统审计培训 信息系统审计培训提纲 北京时代新威信息技术有限公司 王新杰 信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资 产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资 源得到高效地使用等方面作出判断的过程。近年来，越来越多的企业需要信息系 统审计服务，相关技术人员急需信息系统审计培训相关素材，本文以北京时代新 威信息技术有限公司 （以下简称时代新威）的服务内容为蓝本，给大家提供一份 信息系统审计培训的内容提纲。 1、信息系统审计服务 【引用：信息系统审计培训-时代新威 PT-S-01 】 为什么审？  企业自身内控的需要  行业监管部门的要求  用户等相关方的期望 由电脑、网络和用户所构成的信息系统，已经成为当今社会最重要的生产工 具。其安全性和有效性已经成为生产安全的重要组成部分，并成为信息系统所有 者及其用户最为关心的问题。同时，也是行业监管部门主要的监管内容。 信息系统审计是信息系统治理工作中的重要一环。它以合规性评价为出发点， 以评审、检查和测试为主要手段，以发现信息系统治理过程中存在的风险为目标， 帮助和促进用户全面预防和及时处置信息系统风险，从而有效提高信息系统的安 全性和有效性。 审什么？ 审计署对信息系统审计内容的要求是：“信息系统的安全性、有效性和经济 性”，它给出了信息系统审计的目标和方向。但针对一个具体的信息系统审计项 目，其审计内容应以所确定的审计依据为准，通常包含一般控制审计和应用控制 审计；也可以根据审计目的和内容的不同，分为不同的专项审计，如：  信息安全审计  业务和数据审计  信息系统投产和变更审计  业务连续性审计  信息技术外包管理审计 北京时代新威信息技术有限公司 王新杰 信息系统审计培训  信息系统安全等级保护审计 怎么审？ 实施信息系统审计，首先要明确审计目的并确定审计范围；然后选择和明确 审计依据，组建审计小组；其次规划审计方案，实施现场审计；最后报告审计发 现，形成审计报告；其后，作为后续审计活动，实施跟踪审计。其审计工作流程 大致如下： （信息系统审计培训示意图1） 审什么？ 信息系统审计时间的确定应考虑组织年度审计计划，尽量避开被审计对象业 务活动高峰时期，以免影响其业务。确定信息系统审计时间，可考虑：  定期审计  随机审计  遇有重大事件时审计  信息资产发生重大变化时审计 在哪里审？ 通常认为，信息系统审计的主要对象是一个组织的信息科技部门。其实，除 信息科技部门外，信息系统的所有用户部门及相关方都应考虑在内，因为许多信 息系统的控制措施要在这些部门完成。确定被审计对象，可考虑：  一个组织的全部，即所有业务和所有部门  一个组织的局部，即部分业务或部分部门  组织的相关方，如组织的供方，顾客等 根据审计方式的不同，信息系统审计还分为现场审计和非现场审计。非现场 审计以非现场审计系统为主要审计工具。 谁来审？ 北京时代新威信息技术有限公司 王新杰 信息系统审计培训 审计组是实施信息系统审计的主体，应根据审计目标和内容，选择合适的审 计人员组成审计组。一个审计组应包括：  组长  审计师  业务或技术专家 审计组成员应经过专业培训并取得相应资格，如：CISP-Auditor、CISA 等。 业务或技术专家应具备丰富的行业知识和经验。 北京时代新威信息技术有限公司 王新杰 信