信息系统审计的方法论.ppt

信息系统审计方法论 agenda 基础概念 信息系统弱点评估简介 信息安全风险评估简介 集成COBT的信息系统审计简介 财务相关的信息系统审计 IT审计角色 向审计委员会和高阶管理层提出关于∏内部控 制问题的建议 执行风险评估 执行 体制风险领域的审计 般控制审计 应用控制审计 控制技术的技术性审计 在系统开发和分析活动的内部控制顾问。 什么是信息? 近代控制论的创始人维纳有一句名言:“信息就是信息,不是物质,也不是能量 与物质和能量具有不同的属性。信息、物质和 能量,是人类社会赖以生存和发 大要素 1so1333《信息技术安全管理指南》是一部重要的国际标准,其中对信息给出了明 确的定义:信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。信息是无 形的,借助于信息媒体以多种形式存在和传播;同时,信息也是一种重要资产,具有 价值,需要保护。 从广义上讲,信息是任何 狭义的信息,是指信息接受主体所感觉到并能被理 个事物的运动状态以及运动解的东西 幽王烽火戏诸 状态形式的变化,它是一种 红玉击鼓战金山”的典故,这里的“烽火”和 客观存在。例如,日出、月 击鼓”都代表了能为特定接收者所理解的军情 落,花谢、鸟啼以及气温的因而可称为“信 相反,至今仍未能破译的 高低变化、股市的涨跌等 些刻在石崖上的文字和符号,尽管它们是客观存在 都是信息。它是一种“纯客的,但由于人们(接受者)不能理解,因而从狭义 观”的概念,与人们主观上 上讲仍算不上是“信 同样道理,从这个意义 是否感觉到它的存在没有关 讲,鸟语是鸟类的信息,而对人类来说却算不上 系。而狭义的信息的含义却是“信息”。可见,狭义的信息是一个与接受主体 与此不同 有关的概念。 信息安全的定义 信息安全的保护对象 SO国际标准 化组织对于信 ?信息安全的保护对象是信息资产,典型的信息资产包括了计 息安全给出了 算机硬件、软件和数据 精确的定义 这个定义的描 信息安全的目标 述是:信息安 全是为数据处 ?信息安全的目标就是保证信息资产的三个基本安全属性。信 理系统建立和 息资产被泄露意味着保密性受到影响,被更改意味着完整性 受到影响,被破坏意味着可用性受到影响,而保密性、完整 采用的技术和 性和可用性三个基本属性是信息安全的最终目标 管理的安全保 护,保护计算 机硬件、软件 实现信息安全目标的途径 和数据不因偶 ?实现信息安全目标的途径要借助两方面的控制措施,即技术 然和恶意的原 措施和管理措施。从这里就能看出技术和管理并重的基本思 因遭到破坏、 想,重技术轻管理,或者重管理轻技术,都是不科学,并且 更改和泄露。 是有局限性的错误观点。