信息系统一般控制审计.pptVIP

信息系统审计 20 一级章节 第六章 信息系统一般控制审计  第一节 信息系统硬件 一、硬件获取 (一) 招标书 信息系统审计 21 1.组织环境 2.处理需求 3.硬件需求 4.系统软件 5.支持需求 6.适应需求 7.实施需求 8.约束条件 (二) 获取步骤 信息系统审计 22 (1)好转时间——发生故障时,帮助台或厂商从登录系统到解决问题所需的时间。 (2)响应时间——系统响应一个特定的用户查询所需的时间。 (3)吞吐量——单位时间内系统的有效工作量,吞吐量的衡量指标可以是每秒执行的指令。 (4)数或其他性能单位。 (5)负载——执行必要工作的能力,或系统在给定时间区间内能完成的工作量。 (6)兼容性——供应商提供的新系统对现有应用的运行支持能力。 (7)容量——新系统处理并发网络应用请求的数目,以及系统能够为每个用户处理的数据量。 (8)利用率——新系统可用时间与故障时间之比。 (三) 硬件获取过程的控制与审计 信息系统审计 23 二、硬件维护 三、硬件监控 (一)硬件错误报告 (二)可用性报告 (三)利用率报告 四、硬件的容量管理  信息系统审计 24  第二节 信息系统软件 一、信息系统软件组成 (一) 操作系统 (二) 数据库管理系统 1.程序开发的难易程度 2.数据库管理系统的性能分析 3.对分布式应用的支持 信息系统审计 25 4.并行处理能力 5.可移植性和可扩展性 二、软件获取与实施  第三节 访问控制 一、制定访问控制的制度、程序和计划 信息系统审计 26 (一) 访问控制要求 (二) 形成访问控制策略文件 二、实施有效的识别和认证机制 三、实施有效的授权控制 (一) 管理用户账号 (二) 控制进程和服务 四、执行有效的审计和监督 1.制订并核准有效的事件应对计划 信息系统审计 27 2.有效记录并确认事件 3.正确分析事件并采取适当行动 五、物理访问控制  第四节 职责分离 一、制定职责分离的管理制度 信息系统审计 28 二、员工明确其岗位职责 三、对关键岗位进行监控  第五节 一般控制审计程序 一、系统环境控制审计 (一)物理环境的检查 信息系统审计 29 (二)逻辑环境的检查 (三)硬件基础设施的检查 (四)软件设施的检查 二、系统访问控制审计 (一)逻辑访问控制审计 (1)验证逻辑访问路径。 (2)检查逻辑访问控制软件。 (3)检查身份识别与验证。 (4)检查逻辑访问授权。 信息系统审计 30 (5)检查远程访问控制。 (6)利用审计日志检测系统访问。 (二)物理访问控制审计 三、系统网络架构控制审计 (一)局域网风险与控制审计 (二)客户机/服务器架构安全审计 (三)互联网安全控制审计 (四)网络安全技术应用的审计 信息系统审计 31 (五)网络基础架构审计 (1)审核网络拓扑图,确定网络结构及设施。 (2)审核对局域网的控制,保证体系结构的设计和选择遵循了适当的标准,以及获取和运行成本不超过其效益,包括物理控制审核、环境控制审核、逻辑控制审核。 (3)远程访问审核。 (4)网络穿透测试。 (5)网络变更控制审核。 四、数据与数据库安全控制审计 (1)审核信息系统在数据处理、传输过程中的数据加密、数字签名、数字信封、数字证书认证等安全策略控制是否完整有效,评价系统数据的机密性、完整性和可靠性。 信息系统审计 32 (2)审核数据库的存取管理、安全管理和数据库加密技术,评价数据库的安全性。 (3)审核数据库用户的角色、权限管理、身份验证和访问控制等安全控制,评价数据库的安全性。 (4)审核数据库的备份和恢复策略,检查备份数据存放、安全、维护管理,确保数据库的可用性。 五、灾难恢复与业务持续性审计 (1)评价被审计单位的业务持续性策略及其与业务目标的符合性、充分性和有效性。 (2)审核信息系统和终端用户以前所作测试的结果,验证业务持续性计划的有效性。 (3)审核异地应急措施及其内容、安全和环境控制,评估异地存储站点的适当性。 (4)审核应急措施、员工培训、测试结果,评估信息系统和终端用户在紧急情况下的有效反应能力。 信息系统审计 33 (5)审核被审计单位对业务持续性计划的维护措施。 第七章 信息系统应用控制审计  第一节 数据输入控制 一、数据规划和设计 二、输入授权 信息系统审计 34 (1)在一批表格或源文件上签字,提供恰当的授权证据。 (2)在线访问控制,保证只有经授权的人可以访问数据或执行敏感的操作。 (3)唯一性口令,系统为每个用户分发相互区别的唯一口令,用户输入自己的口令来对系统实施授权的操作并对数据变动承担责任。 (4)终端或客户工作站的识别,用于限制系统只接受由特定的终端、工作站和个人输入的信息。 三、校验审查