安达信IT审计培训的三个PPT.pptVIP

大鹏证券有限责任公司培训中心 稽核部培训教材 ? 2001 Arthur Andersen All rights reserved. 第一部分电脑技术在内部审计的应用介绍  第二部分信息系统管理第三部分信息系统开发和维护 目的 对信息系统审计评估作一般性了解 介绍在信息系统管理评估、可升级性评估、信息安全评估和可用性评估中使用的技术和流程 信息系统审计的框架 标准 确定信息系统审计和报告的法定要求 指引 为信息系统审计准则的运用提供指引 程序 举例说明信息系统审计师在审计项目中可遵循的程序 可在以下网址查阅信息系统审计和控制协会(“ISACA”) 准则和指引 （/stand1.htm） 风险和控制 国际标准化组织(“ISO”) 定义 风险 为 “利用一项资产或一组资产的薄弱环节，某些特定威胁可以导致资产损失或损害的可能性.” 审计师必须能够识别风险及用于防御这些风险的控制 访问（保密性） 目标：保护个人信息或有价值信息免遭有意或无意的、未经授权的泄露。 信息的读取可能会被不恰当地允许或拒绝的风险。未授权的人员可能读取保密信息。 发生于各个层面 网络层访问 处理环境访问 应用系统访问 功能层访问 一致性 (准确真实) 目的: 保护重要数据免遭有预谋的或无意的、未经授权的篡改或删除 在交易输入公司所使用的各种应用系统，并在系统内进行处理、汇总和报告的过程中，与信息的授权、完整性和准确性相关的风险 典型问题：用户界面、处理、错误处理、变更管理、数据等 可用性 目标 : 防止对真正的用户拒绝提供信息技术服务或未经授权地保留服务 需要时不能得到所需信息的风险 相关性 信息与其收集、维护或发布的目的不符的风险 基础设施 企业没有有效的信息技术基础设施（例如硬件、网络、软件、人员和流程），不能够高效率、低成本、有组织地满足企业的目前和未来的需要 重点注意以下核心信息技术流程 组织架构 应用系统的定义、推行和变更管理 物理设备安全 计算机和网络操作 数据和数据库的管理 业务/数据中心复原 风险评估 确认产生/存储、使用或操纵资产的信息资产和潜在的系统 资产面对的潜在威胁及可能带来的后果 确认并评估提出的控制和安全策划，以： 防止或降低风险发生的可能性； 警惕风险的发生并将风险的影响降到最低 风险控制的评估步骤 识别风险控制 评估风险控制设计的有效性 确定控制措施的正常运作 测试控制措施运作的效果 控制的定义： “能够提供合理保证的政策、措施和组织结构” “提供适当的信息技术保护并支持关键流程的技术” 数据中心安全评估 评估信息技术部门的职责分工 评估物理安全措施，防范对关键电脑和网络设备的非授权物理访问 评估日常电脑运作和物理管理控制 评估系统开发和维护控制程序 评估测试和变更管理控制 评估备份和复原程序，以及灾难复原计划 应用系统安全评估 评估数据输入控制，例如数据验证和交易确认 评估数据处理控制，例如交易处理、更新和界面控制 评估主文件一致性控制 评估数据输出控制，例如报告的一致性和总数核对 评估应用程序功能访问控制 电脑辅助审计技术 (CAAT) 开发 CAAT 程序来测试系统逻辑 利用电脑审计软件进行数据处理和验证 问题 ？ Summarize the five categories of of risk and recap some of the key controls mentioned in the previous slides. * ? 2001 安达信公司. 所有内容版权属於公司所有. * 第一部分电脑技术在内部审计的应用介绍－概述  安达信的业务风险模型 信息技术风险 访问 - 信息的访问被不适当地允许或拒绝的风险 一致性 - 在交易输入、交易处理、汇总和报告过程中，与授权、完整性和准确性相关的风险 相关性 - 信息与其收集、维护或发布的目的无关 可用性 - 需要时得不到所需的信息 基础设施 - 企业没有有效的信息技术基础设施（例如硬件、网络、软件、人员和流程），以高效率、低成本、有组织地满足企业的目前和未来需要 风险模型 技术架构 监察事项 风险 控制 访问 一致性 可用性 相关性 基础设施 规条和指引 政策、标准、 开展管理 风险管理框架 访问风险 一致性风险 可用性和相关性 基础设施 可扩展性 IT 战略规划 负载测试 访问 操作系统安全 防火墙和路由器 应用程序 基础设施 系统监控 行政管理 职责分工 可用性 应急计划 备份/复原 系统设计 高可用性计划 相关性 系统开发控制 潜在控制 信息技术风险管理 信息技术风险评估 制定信息技术安全框架 制定信息技术安全政策和措施 开展信息技术安全培训 建立信息技术风