课件：I审计的组织与实施培训.ppt

* 职责分离控制矩阵 ? 控制小组 系统分析员 应用程序员 帮助和支持经理 最终用户 数据录入员 计算机操作员 数据库管理员 网络管理员 系统管理员 安全管理员 磁带库管理员 系统程序员 质检员 控制小组 ? × × × ? × × × × ? ? ? × ? 系统分析员 × ? ? × × ? × ? ? ? × × ? ? 应用程序员 × ? ? × × × × × × × × × × ? 帮助和支持经理 × × × ? × × ? × × × ? × × ? 最终用户 ? × × × ? ? × × × ? ? × × × 数据录入员 × ? × × ? ? × × × × × ? × ? 计算机操作员 × × × ? × × ? × × × × ? × ? 数据库管理员 × ? × × × × × ? × × ? ? × ? 网络管理员 × ? × × × × × × ? ? ? × ? ? 系统管理员 × ? × × ? × × × ? ? ? × ? ? 安全管理员 ? × × ? ? × × ? ? ? ? × × ? 磁带库管理员 ? × × × × ? ? ? × × × ? × ? 系统程序员 × ? × × × × × × ? ? × × ? × 质检员 ? ? ? ? × ? ? ? ? ? ? ? × ? * 问题 * THANK YOU SUCCESS * * 可编辑 * 年度审计计划:考虑的因素和批准 考虑的因素 风险高的可审计单元 管理层的要求 公司风险管理委员会和审计委员会的指导 外部审计 年度审计计划批准 第一层次: 副总裁总审计师（管理层） 第二层次: 审计委员会（董事会） * 审计方法:变更管理 访谈对象 CIO IT 高级管理层 应用开发经理 质量鉴定经理 IT 运行经理 * 审计方法:变更管理 检查内容: 系统开发方法 变更控制政策和程序 变更需求表 * IT 流程:数据管理 数据是如何管理的，以确保完整和可用. 相关风险 数据不准确、过时或被破坏 数据不可恢复 数据的不适当访问 * 审计方法:数据管理 审计范围 数据所有者 组织结构 计划和开发 系统管理 安全 备份/恢复 * 审计方法:数据管理 访谈对象: IT 高级管理层 信息安全官员 系统开发经理 数据库存管理员 数据所有者 * 审计方法:数据管理 检查内容: 数据所有关系结构 数据模型 与以下内容相关的政策和程序: 数据输入授权 数据处理 输出的分发 数据库维护和安全 库管理 * IT 流程:计算机操作运行 如何管理计算设备，以提供持续服务. 相关风险 处理延迟 重新运行频繁 问题无法解决 * 审计方法:计算机操作运行 审计范围 组织结构 时间安排 媒介控制 备份/重新启动/恢复 容量规划 * 审计方法:计算机操作运行 访谈对象: IT 高级管理层 IT 运行经理 数据中心主管 * 审计方法:计算机操作运行 检查的文件： 组织结构图 部门计划 职位描述 服务级别协议 (SLAs) 与计算机处理相关的政策和程序 工作安排人员 备份/恢复 问题管理 磁带管理 * IT流程:物理安全/设备管理 相关风险 非授权访问、使用公司资产或信息 偷窃、损坏或毁损数据或设备 不安全的工作环境 * 审计方法:物理安全/设备管理 审计范围 访问控制 环境灾难 火灾控制 电力供应 员工安全 应急程序 维护 * 审计方法:物理安全/设备管理 访谈对象: IT 高级管理层 IT 设备经理 信息安全官 运行 /数据中心经理 * 审计方法:物理安全/设备管理 检查内容: 数据中心楼层计划/ 分布 IT用房的视查 可接触IT设备人员清单 与物理安全、人员健康和安全、环境危害防护相关的政策和程序 * IT流程:业务持续计划（BCP） 如何确保持续的IT服务、当需要时可得到，以及在出现重大中断时对业务影响最小. 相关风险 无法按照计划恢复关键业务功能 没有足够的资源完成或实施计划 过时和未测试的业务持续计划 第三方供货商的支持不充分 * 审计方法:业务持续计划（BCP） 审计范围 所有者 业务影响评估 恢复策略 与业务的联系 维护 测试 * 审计方法:业务持续