IT审计的组织与实施(培训课件)资料.pptVIP

* 审计方法:物理安全/设备管理 访谈对象: IT 高级管理层 IT 设备经理 信息安全官 运行 /数据中心经理 * 审计方法:物理安全/设备管理 检查内容: 数据中心楼层计划/ 分布 IT用房的视查 可接触IT设备人员清单 与物理安全、人员健康和安全、环境危害防护相关的政策和程序 * IT流程:业务持续计划（BCP） 如何确保持续的IT服务、当需要时可得到，以及在出现重大中断时对业务影响最小. 相关风险 无法按照计划恢复关键业务功能 没有足够的资源完成或实施计划 过时和未测试的业务持续计划 第三方供货商的支持不充分 * 审计方法:业务持续计划（BCP） 审计范围 所有者 业务影响评估 恢复策略 与业务的联系 维护 测试 * 审计方法:业务持续计划（BCP） 访谈对象: CIO IT 高级管理层 IT 运行经理 信息安全官 用户管理层 业务持续计划（BCP）/灾难恢复计划（DRP）小组 灾难恢复地经理 * 审计方法:业务持续计划（BCP） 检查内容: BCP 手册 BCP/DRP 测试结果 供货商 /维护合同 业务中断保单 与持续计划过程相关的政策和程序 * IT流程:信息安全 信息是如何保护的，以确保其完整、保密和可用. 相关风险 非授权访问信息（内部和外部） 有意泄露信息 * 审计方法:信息安全 审计范围 政策和程序 数据分级 用户添加、维护和删除 监控 密码方案 访问级别 安全环境 * 审计方法:信息安全 访谈对象: IT 高级管理层 信息安全官员 应用开发经理 数据管理员 * 审计方法:信息安全 检查内容 信息安全政策和程序 了解访问控制软件 违反安全的报告 IT资源访问点 (物理的/逻辑的)的设计安排 具有访问系统资源权限的雇员、供货商、服务提供商的人员名单 * IT流程:网络管理 如何管理网络，以确保其安全、高效运行和可用. 相关风险 网络低效率 网络无法恢复 网络问题无法解决 * 审计方法:网络管理 审计范围 所有者 组织结构 规划和开发 政策和程序 网络安全和管理 恢复/重新启动 * 审计方法:网络管理 访谈对象: IT 运行经理 网络管理员 信息安全官 * 审计方法:网络管理 检查内容 组织结构图 部门计划 职位描述 服务级别协议 (SLAs) 网络体系结构/配置 与网络管理相关的政策和程序 * IT流程:应用处理 系统如何实施，以确保经授权的业务信息处理完全、准确 相关风险：包括计算机操作运行、变更管理和信息安全风险 * 审计方法:应用处理 访谈对象: 用户管理 应用开发经理 IT 运行经理 信息安全官 数据库管理员 选择的用户 * 审计方法:应用处理 检查内容 了解业务流程 业务营运手册 用户/系统手册 系统访问人员清单 系统产生的报告 * 问题讨论 下列问题涉及哪些IT流程和IT相关风险？ 张先生在A公司担任数据库管理员，并负责公司的编程工作。 B公司的主要处理设施在北京公司总部的二楼，该地区交通拥堵；数据备份设施则在离公司总部不远的写字楼。 公司前不久对工资处理系统进行了升级，一些员工反映其工资有差错。 最近IT部门负责人制定了公司IT三年规划，并得到CIO批准。 公司几名员工反映，他们办公用的PC机常常被病毒感染，与公司客户信息系统的连接也变得很慢。 * 案例分析 背景 G公司年销售额350万元，总部设在S市。该公司为150家客户提供在线法律软件服务，包括律师事务所的数据存储和管理活动。公司自三年前建成以来发展迅速，并为适应这一发展扩大了数据处理部门。 G公司最近将总部搬到市郊一间改造的仓库。仓库改造时，保留了原有构造，包括木结构外墙以及内部的木梁。分布处理式小型机置于最大的一间房子，且开有天窗，员工能方便进入。机房使用前，通过了消防部门的检查，包括灭火装置和安全出口等。 为进一步保护存有客户信息的数据库，公司设置了磁带备份程序，每周日晚自动进行数据库备份，避免日常操作和程序中断。然后将备份磁带标号，存于专设的架子上。使用手册明确规定了如何使用这些磁带恢复数据库。为了应对紧急情况的发生，公司备有数据处理部门员工的家庭电话。 上周日，G公司总部被大火完全烧毁，所有客户信息被破坏。 要求 指出G公司灾难恢复计划的缺陷。 G公司的灾难恢复计划应包括哪些部分？ * 职责分离控制矩阵 ? 控制小组 系统分析员 应用程序员 帮助和支持经理 最终用户 数据录入员 计算机操作员 数据库管理员 网络管理员 系统管理员 安全管理员 磁带库管理员 系统程序员 质检员 控制小组 ? × × × ? × × × × ? ? ? × ? 系统分析员 × ? ? × × ? × ? ? ? ×