- 1、本文档共7页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
信息系统审计内容
一、信息系统审计内容概述
信息系统审计对象,包括操作系统、主机、网络、数据库、应用软件、数据、管理制
度等。信息系统审计内容主要包括对组织层面信息技术控制、信息技术一般性控制及业务
流程层面相关应用控制的检查和评价。
二、对组织层面信息技术控制的审计
组织层面信息技术控制审计的内容包括:
(一)控制环境
内部审计人员应当关注组织的信息技术战略规划与业务布局的契合度、信息技术治理
制度体系建设、信息技术部门的组织架构、信息技术治理的相关职权与责任分配、信息技
术的人力资源管理、对用户的教育和培训等方面。
(二)风险评估
内部审计人员应当关注组织在风险评估总体架构中关于信息技术风险管理流程,信息
资产的分类及信息资产所有者的职责,以及对信息系统的风险识别方、风险评价标准、
风险应对措施。
(三)控制活动
内部审计人员应当关注信息系统管理的方和程序,主要包括职责分工控制、授权控
制、审核批准控制、系统保护控制、应急处置控制、绩效考评控制等。
(四)信息与沟通
内部审计人员应当关注组织决策层的信息沟通模式,信息系统对财务、业务流程的支
持度,信息技术政策、信息安全制度传达与沟通等方面。
(五)内部监督
内部审计人员应当关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及对信
息技术内部控制自我评估机制等方面。
三、对信息系统一般性控制的审计
信息系统一般性控制是确保组织信息系统正常运行的制度和工作程序,目标是保护数
据与应用程序的安全,并确保异常中断情况下计算机信息系统能持续运行。信息系统一般
性控制包括硬件控制、软件控制、访问控制、职责分离等关键控制。审计人员应当采用适
当的方、合理的技术手段对信息系统建设的合规合、信息系统的安全管理、访问控
制、基础架构、数据保护以及灾难恢复等方面开展审计。信息系统一般性控制审计应当重
点考虑下列控制活动:
(一)系统开发和采购审计
内部审计人员应当关注组织的应用系统及相关系统基础架构的开发和采购的授权审
批,系统开发所制定的系统目标以及预期能是否合理,是否能够满足组织目标;系统开
发的方,开发环境、测试环境、生产环境的分离情况,系统的测试、审核、验收、移植
到生产环境等环节的具体活动。
对应用系统的开发与实施过程所采用的方和流程进行评价,以确保其满足组织目
标。评估拟定的系统开发或采购方案,确保其符合组织战略目标;评估项目管理过程,确
保组织在满足成本效益原则的基础上实现风险管理框架下的组织业务目标,确保项目按计
划开展,并有相应文档充分支持;评估相关信息系统的控制机制,确保其符合组织的相关
制度规定;评估系统的开发、采购和测试、维护,对系统实施定期检查,确保其持续满足
组织目标。
(二)系统运行审计
内部审计人员应当关注组织的信息技术资产管理、系统容量管理、系统物理环境控
制、网络环境资源配置、系统和数据备份及恢复管理、问题管理和系统的日常运行管理等
内容。一般控制措施包括但不限于保证数据安全、保护计算机应用程序正常运行、防止系
统被非侵入、保证在错误操作或意外中断情况下的持续运行等。
评估组织在信息系统运行日常操作以及信息系统基础设施管理的有效性及效率性,确
保其支持组织的目标;评估信息系统服务相关实务,确保内部和外部服务提供商的服务等
级是明确并可控的;评估运行管理,保证信息系统支持能有效满足业务需求;评估数据管
理,确保数据库的完整性和最优化;评估性能的发挥及监控工具与技术应用;评估问题和事
件管理,确保所有事件、问题和错误被及时记录。
(三)系统变更审计
内部审计人员应当关注组织的应用系统及相关系统基础架构的变更、参数设置变更的
授权与审批,变更测试及移植到生产环境系统中的流程控制等。评估变更、配置和发布管
理,确保变更被详细记录。
(四)信息安全审计
内部审计人员应当关注组织的信息安全管理制度,物理访问及针对网络、操作系统、
数据库、应用系统的身份认证和逻辑访问管理机制,系统设置的职责分离控制等。
内部审计人员对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能支持组
织保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或
丢失。评估逻辑访问控制的设计、实施和监控,确
文档评论(0)