CISA简介讲解.ppt

审计步骤一：确定与记录 目标： 为了使审计师能够熟悉审计目标所涉及的任务，并且了解信息系统管理层人员是如何确认他们己实施了有效的控制，包括识别出与实施的任务和规定的控制程序相关的人员、过程和地点。 流程： 审计步骤二：评估 目标： 通过评估规定的控制程序，以决定此程序是否提供了有效的控制结构。评估时要利用己确定的准则、行业标准及必要的审计判断。 一个有效的控制结构应当考虑成本有效性，要对任务己被执行、控制目标己达到提供合理保证。 流程： 审计步骤三：符合性测试 目标： 对组织符合规定的控制程序的程度进行分析，把实际的控制程序及补偿性控制措施与规定的控制程序进行对比，并进行文档检查、会晤相关人员，以判断控制是否被正确地、持续地实施。只对被证明有效的控制程序进行符合性测试。 流程： 审计步骤四：实质性测试 目标： 进行必要的数据测试，就给定的业务目标是否己达到，为管理层提供最终的保证。 流程： 现场审计步骤 预审计计划 首次会议 资料收集 实地检查重要设备与流程 符合性测试、实质性测试 CSA工作组评审，得出结论 与被审计方进行沟通 拟定审计报告 现场时间安排（示例） 审计证据的收集 证据就是审计师按照审计标准及目标的要求，在对某一实体或数据进行审计时所采用的信息。 收集证据是审计过程的一个重要步骤，信息系统审计师必须了解审计证据的表现形式、收集及评价证据的程序与技术 证据的可靠性保证： 提供审计证据人员的独立性 提供审计信息或证据人员的资格 审计证据的客观性 审计证据的时效性 收集证据的方法 观察 在被审计方办公场所内外进行观察 从地下室到建筑物屋顶 观察员工形为 观察对来访者的接待 … 检查文档 对所有收到的文档进行标记(时间、日程、来源、格式) 生成并维护一个文档列表 对控制进行突出显示 列出所缺文档（或不清楚的内容） 一些样例文档的拷贝（供受审计方参考） … 人员访谈 各种人员交流、讨论，发现问题 测试安全意识与技能 音像资料获取 对一些需要记录的重要场所与人员行为，用录音、录像方式记录 信息系统审计证据的获取 辅助审计软件 网络扫描工具 穿透测试工具 口令测试工具 审计证据评价 收集审计证据之后，要评估所收集的信息，以便提出审计意见。 审计证据评价要考虑的因素有 ： 控制需求 相关及周边信息 考虑补偿性与重叠性控制 考虑控制的相关性 判断控制是否有效率和效果 分析证据的技术 判断审计结果的重要性水平 审计师应善用判断来决定哪些问题对相关层级主管是重要的，并向他们报告。 审计报告 审计准则070.03中规定“在信息系统审计完成后，信息系统审计师应提交一份按要求格式书写的信息系统审计报告。 信息系统审计报告应陈述信息系统审计工作的范围、目标、期间、性质等，并限定报告提交对象和发放条件。在报告中还应陈述信息系统审计结论、信息系统审计建议和保留意见。” 审计指南070.010 “审计报告”提供了一个审计报告内容与格式的一般指导 介绍 委托书（审计目标和范围） 审计过程（日程，活动） 审计总结 审计重要发现综述 审计结论 主要建议 管理层对审计结论的反应 总体安全评审 　　 　 CSA方法介绍 安全评审的结果 详细发现与建议 主机与网络安全 评审的结果 详细发现与建议　　 物理安全、环境安全　 评审的结果 详细发现与建议 业务应用系统安全 评审的结果 详细发现与建议　　 业务连续性计划 评审的结果 详细发现与建议 ………….. 附录 CSA分值列表 　　 信息安全审计报告示例 质量保证活动 审计小组 遵守审计程序与步骤 使用检查列表 使用与审计内容相关的检查列表 根据列表提出问题 审计发现与建议 审计质量控制标准 计算机辅助审计 每天审计小组讨论与检查 与委托方讨论审计发现 主任审计师对审计结论的复核 委托方 对以下活动要进行核实和签署意见 CSA评审意见 CSA评分的更改 审计报告　 阅读并校对 写委托方的总结 对审计建议进行核对 3.4　审计后事宜 审计跟踪 审计工作应当是一个持续进行的过程，某一阶段审计活动完成，审计报告递交后，还需要跟踪检查管理层是否就审计发现及结论采取了改进措施。 跟踪检查的时效性取决于审计发现的重要性及基于审计的职业判断，跟踪检查的结果要及时与管理层沟通。 审计文档（审计底稿） ISACA审计指南060.010“审计文档”条款对审计文档作了明确的要求. 应当包括：审计计划、信息系统环境的描述及图示、审计程序、会议记录、审计证据、审计发现、审计结论及建议、审计过程中发布的任何其他报告及监督检查结论等。 第二部分 IT 治理(信息技术治理) 2.1 IT 战略、政策、标准和程序对于组织的意义，及其基本要素 2.2 IT 治理框架(体系) 2.3 制定