[管理学]CISA_IT审计实务培训2-审计实务.pptVIP

金融企业IT审计实务培训 —— 2. 实务、方法与工具 杨洋 （yycisa@263.net） 主讲人简介 杨洋 管理学博士（信息管理与信息安全方向，同济大学） 会计学学士、硕士（东北财经大学） 高级程序员（1998），CISA（2002）, SCJP，IBM电子商务咨询师，IBM WSAD Developer 目前为同济大学电信学院博士后，主要研究领域：基于移动计算的安全接入关键技术 一、 常用审计方法概述 1.文档复核 2. 面询与问卷设计 3. 比对技术 4. 业务观察与穿行测试 5. 渗透测试 6. 数据测试 7. 数据采集与分析 1.文档复核 理解目标背景 理解风险点与内控 理解系统目标与期望业务输出 理解系统架构 发现异常与违规 2.面询与问卷设计 面谈准备： 背景研究 确定对象 内容、时间和地点 面谈实施： 时间控制 气氛把握 记录方式 确认 后续分析 2.面询与问卷设计 问卷调查 问题设计 目的性 问卷对象：专业性与客观性 答案的明确性 如何避免答案失真 3.比对技术 源代码比对 目标代码比对 特征值比对 4.业务观察与穿行测试 实际岗位分工与制度是否一致 穿行测试（walk－through）：实际流程是否一致 安全意识 汇报路线：权责是否一致 5.渗透测试 模拟攻击行为，发现漏洞 关键： 实施风险分析 全面备份与恢复计划 委托专业机构 6. 数据测试 测试 选择重要模块 数据设计 覆盖各种情况：数据类型、编码违规、违反逻辑条件、数据文件不一致…… 来源：实际业务数据、用户测试数据、审计师测试数据、自动生成数据 一般方式： 黑盒 白盒 6. 数据测试 测试类型 ITF(生产环境中用测试用例） 输入标记 消除影响 平行模拟(SQL,EXCEL+VBA) 开发原型 新旧系统交接 7. 数据采集与分析 直接获取系统数据，特别是业务输入与业务输出 分析性复核 7. 数据采集与分析 GAAT： ACL、IDEA ACCESS 、SQL Server SPSS、EXCEL 工具的选择： 功能与易用性 使用习惯与方便获取 二、 一般控制审计实务 1. 对组织管理架构的审计 2. 对IT外包的审计 3. 对IT基础设施与环境的审计 4. 对备份和业务持续性的审计 5. 对开发和获取过程的审计 6. 对系统变更过程的审计 1. 对组织管理架构的审计 组织模式对系统风险的影响 分布式/集中式 IT治理 岗位分工 IT岗位分权 1. 对组织管理架构的审计 关键风险和控制 参考材料：“IT组织管理架构审计要点” 案例讨论： 案例1：大连某企业工资核算系统 案例2：某企业雇员退出管理漏洞与案件 2. 对IT外包的审计 外包审计的主要关注点 核心竞争力 信息安全 系统可靠性 业务长期可持续性 2. 对IT外包的审计 关键风险和控制 参考材料：“IT外包审计要点” 案例讨论： 案例1：某通信服务企业充值卡案件 案例2：澳大利亚政府部门IT外包综合审计 3. 对IT基础设施与环境的审计 审计范畴 硬件环境与防灾 主机硬件安全 底层支撑系统安全 通信线路安全 数据存储/IO安全 物理访问控制 …… 3. 对IT基础设施与环境的审计 审计依据 GB计算站相关标准 ISO17799/BS7799 GB建筑、防雷等相关标准 3. 对IT基础设施与环境的审计 关键风险与控制 参考材料：“IT基础设施审计要点” 案例讨论： 案例1：打印共享设备物理访问安全 案例2：某跨国企业信息系统渗透测试过程与结果 4. 对备份和业务持续性的审计 关键风险与控制 参考材料：“BCP审计要点” 案例讨论 某企业灾难恢复计划审计过程与结论 5. 对开发和获取过程的审计 基本概念回顾 软件工程方法论 关键风险与控制 参考材料：“开发与获取过程审计要点” 5. 对开发和获取过程的审计 开发过程中的质量和安全控制 进度与成本控制 案例讨论：某局信息系统开发采购计划 5. 对开发和获取过程的审计 技术先进性与系统获取 某区教育系统数据中心采购案例 全局性考虑 委托开发中的知识产权问题 6. 对系统变更过程的审计 系统变更对金融企业的作用 系统变更管理的一般流程 6. 对系统变更过程的审计 关键风险与控制 参考材料：“系统变更审计要点” 案例讨论： 中国银联系统宕机事件 三、 网络安全审计实务 1. 网络安全审计概述 2. 渗透测试技术与工具 3. 控制与审计要点 4. 当前热点：无线接入与数据库保护 1. 网络安全审计概述 审计目标与范围 审计方法 了解与分析 配置检查 日志复核 漏洞扫描 渗透测试 2. 渗透测试技术与工具 第一步：信息搜集与背景调查 工具： google 论坛 邮件 冒名电话