信息系统审计简介.pptVIP

COBIT-架构基础 COBIT-示例 COBIT-成熟度模型 COSO-标准由来 COSO-框架 COSO-三个目标 尽管COSO框架包含了关于符合性和操作的内部控制，但是SOX404只是要求管理者去评估与财务报告有关的内部控制。因此，管理者不需要评估与财务报告无关的内部控制。 COSO-五个组成部分 1. 控制环境是“高层设定的基调” ，它影响一个组织的控制意识。控制环境是其他内部控制组成部分的基础，为其他组成部分提供纪律和组织结构。 2.风险评估是评估影响组织绩效的内外部因素。风险分析是鉴别和分析影响公司达到目标的风险。管理者必须建立一个管理风险的原则。由于经济、工业政策和操作环境都是在不断变化的，所以管理者需要建立一种机制能使管理者鉴别和确定由于变化导致的风险。管理者应该执行控制，去预防或检测错误/欺诈。鉴别和分析风险流程是一个不断重复一直运行的流程。 3.控制活动是一些策略和程序，这些策略和程序有助于确保及时地执行那些用来识别管理风险的活动。这些活动发生在整个组织内，包括批准流程、授权流程、验证流程、调和流程、操作执行的回顾流程及资产的安全和职责分离。COSO讨论了许多不同类型的控制活动，包括：预防控制、检测控制、手动控制、计算机控制及管理控制。控制活动是保证实现指定信息流程的目标，例如确保数据流程的完整性和准确性。 4.信息与沟通是确保相关信息被识别并及时沟通的过程。这个部分不仅包括一般的内部数据，还包括与信息相关的外部事件、行为等。该部分是对内部和外部信息的鉴别，捕获，处理及报告。沟通是指实现组织之间的有效沟通。最高管理者必须很清楚地向每个员工传达他们各自的控制职责。每个员工必须知道在内部控制系统中他的职责及什么行为才是与工作相关的行为。员工与上层管理者之间必须有很好的沟通机制去交互重要的信息。同样，与外部组织（例如，客户、供应商、领导单位及股东）也要有有效的沟通机制。管理者应该了解对财务数据的汇集起到重要作用的系统和流程，其中包括对维护安全信息的控制系统，授权交易的流程及维护记录的系统。 5.监控是用来确定内部控制是否被充分设计、执行、有效和适应的过程。对流程的整个过程进行监控，包括规章制度管理上的监控、重要活动的监控及在执行职责时的对个人行为的监控。管理者评估的范围和频率主要依靠对（1）风险和（2）监控流程有效性的评估上。 1995 1998 1999.04 2000.12 2002 2005.6 2005.10 BS7799-2:1998信息安全管理体系规范 BS7799:1999 BS7799的两个部分进行合并 ISO/IEC 17799:2000 信息技术——信息安全管理实施规则 BS7799-2:2002 安全管理体系规范 与使用指南 ISO/IEC 17799:2005 信息安全管理体系实施规则 ISO/IEC 27001:2005 信息技术－安全技术－信息安全管理体系要求 BS7799-1:1995信息安全管理实施规则 * ISMS-标准发展沿革 ISMS-概述 * 一、信息安全方针（Security Policy)(1,2) 四、人员安全 （Human Resource Security) (3,9) 五、物理及环境安全（Physical and Environmental Security)(2,13) 二、组织安全（Organizing Information security)(2,11) 三、资产分类与控制（Asset Management)(2,5) 六、通信与操作管理 （Communications and Operations Management)(10,33) 八、系统开发与维护 （Information Systems Acquisition, Development and Maintenance) (5,15) 七、访问控制（Access Control)(7,25) 十、业务持续性管理（Business Continuity Management)(1,5) 十一、符合性（Compliance)(3,10) 九、信息安全事件管理（Information security incident Management)(2,5) ISMS-11个安全管理域 ISMS-PDCA过程方法 银监会313文件简介 313审计要点信息科技治理和组织结构 313审计要点信息安全管理 313审计要点信息科技项目开发和变更管理 313审计要点信息系统运行和操作管理 313审计要点业务连续性规划 其它相关文件 2006年底生效的巴赛尔新资本协定(Basel II)，要求全球银行必须针对其市场、信用及营运等三种金融作业风险提供相应水准的资金准备，迫使各银行必须做好风险控管(