信息系统审计讲解.ppt

本课程主要内容: 信息系统审计概论 IT治理审计 信息系统架构控制与审计 信息系统开发及审计 信息系统运营与维护审计 信息安全控制与审计 信息系统审计技术方法 ;信息系统审计概论 ISA的定义、目标、内容、信息系统审计风险、信息 系统控制与审计、审计程序，以及信息系统审计的准则、控制模型等。 本章主要介绍有关信息系统审计的基本概念和基本理论。;信息系统架构控制与审计 一个组织要建立信息系统，就需要有效地建立、控制和管理好其信息技术基础架构。本章主要介绍学习如何正确评价组织的信息技术基础设施和运行管理（日常运行事务、系统执行与监控）的效果和效率。 ;信息系统运营与维护审计 保证一个组织已经建立的信息系统能高效的为其服务，离不开对其良好的操作、运行管理（日常运行事务、系统执行与监控）和维护，使其保持最??的运行状态。因此，对信息系统运行和维护过程的审计非常重要，是对整个信息系统实现高效服务的保障。本章即介绍信息系统运营和维护过程的审计。 ;信息系统审计技术与方法 面对错综复杂的信息系统和审计环境，向审计人员提出了挑战，审计人员实施审计的难度很大，需要运用许多技术、方法和工具来辅助他们进行审计工具。本章即介绍一些有关信息系统审计的技术和方法。;第一章 信息系统审计概论;从以上定义可以看出,信息系统审计的两个方面职能: 从外部审计的角度, ISA实现-------监证目标（“保证”职能） 从内部审计的角度, ISA实现-------管理目标（“咨询”职能）;第一章 信息系统审计概论;CISA：（Certified Information System Auditor， 注册信息系统审计师）： 取得CISA资格的审计人员，既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全，又熟悉经济管理的核心要义，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。 ;第一章 信息系统审计概论;第一章 信息系统审计概论;二、ISA特点： ISA是一个过程，贯穿于整个信息系统生命周期； ISA的对象具有综合性和复杂性； ISA拓展了传统审计的目标； ISA是事前、事中、事后审计的综合体； ISA的内容更加广泛； ISA是一种基于风险基础审计的理论和方法。;三、ISA发展简介 ISA的发展经历了几个阶段： 早期阶段：手工审计阶段（绕过计算机阶段） 萌芽阶段：EDP（电子数据处理）审计阶段 发展阶段：信息系统审计阶段 ;第一章 信息系统审计概论;第一章 信息系统审计概论;第一章 信息系统审计概论;信息系统审计标准 S1-S8： ISACA的信息系统审计准则由ISA标准、指南和程序(Standards,Guidelines and Procedures)构成 标准为信息系统审计和报告定义了强制性的要求。 指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南，同时作出职业判断。 程序为信息系统审计师提供审计项目中可以遵循的步骤范例。;SAS70 SAS 70 是经国际确认，由美国注册会计师协会 (American Institute of Certified Public Accountants，AICPA) 所制定的标准。 SAS 70 审计被公认为是针对服务提供商环境（包括网络和相关程序的控制措施）最权威的安全性审计。 ;SAS94 美国注册会计师协会(AICPA)下属的审计准则委员会(ASB)一直关注IT对独立审计的影响。2001年4月，ASB发布了第94号准则：《IT对CPA评价内部控制的影响》，该准则是作为SAS(审计准则公告) no.55的“补丁公告”推出的，它对下列三方面问题做出了规范：IT对企业内部控制的影响；IT对CPA了解内部控制的影响；IT对CPA评价审计风险的影响。SAS no.94于2001年6月1日开始执行。;ISO17799： ISO17799包含以下部分：Security Policy（安全策略）、Asset classification and control（资产分类和控制）、Security Organisation（组织安全）、Personnel Security（人员安全）、Physical and Environmental Security（物理安全和环境安全）、Communication/Operation Management（通信和操作管理）、Access Control（存取控制）、System Development and Maitenance（系统