审计信息系统.docVIP

审计信息系统 1 计算系统基础 1 信息系统的安全政策、标准和指南 3 审计信息系统 计算系统基础 （一）一个计算系统主要由三个基本部分构成：中央处理器、操作系统和应用程序，另外还有数据库管理系统。 中央处理器基本上是一块互联的电子线路板，运行速度用MHz来衡量。 存储空间常用某一时刻能够存储到存储设备中数据的总字节来衡量，经常出现的与计算机相关的存储器主要有两种：内存和存储磁盘。 内存通常用来指可以随机存取的存储器(RAM)，也称暂存器。 存储空间通常指能够同时存放到计算机硬驱动上数据的总的字节数，硬驱动指硬盘。 操作系统是使硬件能够正常工作的必须程序，通常在制造过程中就装入计算机。操作系统通常是工具程序的分类，以辅助各硬件设备的运转、维护、安全等。常用的操作系统包括：DOS,Window,OS/2,NetWare,OSX等。 应用程序是使中央处理器和操作系统开展事务工作所必须的。例如：Word,Excel等。 数据库管理系统，数据库管理系统通常有一整套用于定义、查询、保护以及管理大量数据的程序构成。 物理安全控制 物理安全控制包括各种各样的锁（如传统的钥匙，电子进出印章，生物锁，密码等）；涵盖硬件和重建数据所需费用的保险；每天备份系统软件、应用程序和数据的程序；非现场存储和将备份介质（如磁带机，磁盘，光盘）调换到安全地点；以及目前正在使用并经测试的恢复程序。 （三）逻辑安全控制 逻辑安全控制是指用于限制用户对系统的访问权限和防止未授权用户访问系统的措施。 逻辑安全控制的配置包括：用户帐号、要求最小长度且带有一定数字和字符的密码，连续数次登陆失败后对帐号权限的暂止中止，对目录和文件的登录限制，每天登录次数和每周登录天数限制，以及特定终端使用的限制等 物理和逻辑安全控制的位置 物理安全控制与系统的中央处理器和相关的硬件、外围设备有关；逻辑安全控制存在于操作系统、数据库管理系统和应用程序层面上。 确认计算系统 （一）在对计算系统进行任何评估之前，有必要先建立一个系统的清单，清单包括机构内部自行开发研制的系统以及从开发商处直接购买的系统，同时也应该把处理机构数据的外部开发商的计算系统列入该清单。 计算系统大致包括涵盖所有商务功能的计算机应用程序，基础数据库管理系统，与硬件交互的操作系统以及以上这些应用程序所驻留的访问设备（包括从第三方处购买的应用程序的）。 （二）建立计算系统的详细清单的有利之处： 有助于评估机构内部计算系统环境的规模和复杂程度并能确认被忽略掉的计算系统。 可以根据重要性对计算系统进行分类，进而进行风险分析。 可以确认一些存储或使用有相同或相似数据的工作部门，从而降低费用和提高效率。 有助于内部和外部审计人员来计划对计算系统的检查内容以及开展检查所需的人力资源及必要的资金方面的预算。 风险评估 除了计算系统清单外，还需要获得资金总额，交易量以及其他信息的相关数据，以便把计算系统按最大风险到最小风险进行排列。 信息系统审计方案 （一）审计方案主要是指审计师在其审计范围内所执行的不同测试的清单，以决定关键的控制是否像预期的那样能减少重大的风险。 审计方案的好处： 有助于资源规划的审计管理。 可以促进对所有程序常见控制所实施的测试的一致性。 （二）信息系统审计方案 环境控制的测试 1、评估机构的信息系统安全政策是否适当和有效。此外，评估机构信息系统的安全标准中列出的各项控制要求是否适当保护机构的信息资产。 对于服务机构的应用程序而言，要检查最近由外部审计师编制的有关政策和程序的运行报告，这些在开发商的数据运行站点中可以见到。 如果系统是从开发商那里购买并由它支持的，则需评估系统开发商的外部审计师出具的最近经审计的财务报表的财务稳定性。（最好在系统采购之前进行，否则可能造成资源的重大浪费） 检查开发商的软件许可证协议以及任何有关持久性维修与支持的协议，确保它们是目前正在实施的，针对服务需求，且不应包含或省略任何对公司产生危害的词汇。如果适用的话，还应该要求现行软件的源代码文件的副本保存在独立的第三方， 物理安全性控制测试 评估整个计算机系统硬件和存储媒介的物理安全性是否适当。 确定是否任命了经适当培训过的后备系统安全管理员。 评价书面的业务恢复计划的适当性和有效性，包括已经开展的无效的灾难测试的结果。 评估对硬件、操作系统、应用软件以及数据的保险范围是否适当，硬件应以重置成本计算。 逻辑安全控制测试 确定系统的初始密码是否发生改变以及是否存在1阐述的与计算机系统安全政策、标注、指南一致的定期更改密码的控制。 观察系统安全管理员的标志，打印目前的系统用户及其登录权限的清单。此外，如果你能够获得合适的系统登录权限，就可以独立的得到用户的名单。 记录并评估运行系统安全参数设置的合理性。这一设置应该与组织的计算机系统在1中的描述的