返回
信息技术环境下内部审计

信息技术环境下内部审计

ID:37060677

大小:2.35 MB

页数:87页

时间:2019-05-11

信息技术环境下内部审计_第1页
信息技术环境下内部审计_第2页
信息技术环境下内部审计_第3页
信息技术环境下内部审计_第4页
信息技术环境下内部审计_第5页
资源描述:

《信息技术环境下内部审计》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息技术环境下内部审计内部审计与信息系统审计信息系统审计是与内部审计紧密结合的,最早的计算机审计来源于内部审计一、信息系统审计的起源与发展1.1国外:八十年代、九十年代信息技术的进一步发展与普及,使得企业越来越依赖信息及信息系统。人们开始更多的关注信息系统的安全性、保密性、完整性及其实现企业目标的效率、效果,真正意义的信息系统风险评估与审计出现。1.信息系统审计的起源与发展1.1国外:信息系统审计与控制协会ISACA总部设在美国芝加哥。目前该组织在世界上100多个国家设有160多个分会,现有会员两万多人,它是从事信息系统审计的专业人员唯一的国际性组织。1.信息系统审

2、计的起源与发展1.1国外:CISA是信息系统审计领域的唯一职业资格ISACA每年举办CISA资格考试,通过考试的人员可以申请CISA资格,符合ISACA规定的工作经验及其他相关要求的申请人会被授予CISA资格。CISA资格在世界各国都被广泛的认可。国内获得此资格的有三百多人。1.信息系统审计的起源与发展1.2国内:1994年2月,我国颁布了《中华人民共和国计算机信息系统安全保护条例》,提出了计算机信息系统实行安全等级保护的要求。安全等级保护的总体目标是确保信息安全和计算机信息系统安全正常运行,保障:信息的完整性、可用性、保密性、抗抵赖性、可控性等(其中完整性、可用性

3、、保密性为基本安全特性要求)。1.信息系统审计的起源与发展1.2国内:1994年2月,我国颁布了《中华人民共和国计算机信息系统安全保护条例》,提出信息的完整性、可用性、保密性、抗抵赖性、可控性等要求。1999年2月9日,我国正式成立了中国国家信息安全测评认证中心。2002年4月15日全国信息安全标准化技术委员会(简称信息安全标委会,TC260)。2005年12月16日国家网络与信息安全协调小组正式通过了《信息安全风险评估指南》。管理计划与IS的组织信息资产的保护灾难备份与业务持续计划技术基础与操作实务业务应用系统的开发取得实施与维护业务过程评价与风险管理2.信息系统

4、审计的内容一般控制静态IS的构成管理角度管理计划与IS的组织(C2)技术角度技术基础与操作实务(C3)IS的控制与安全正常情况信息资产的保护(C4)非常情况灾难恢复与业务持续计划(C5)动态业务应用系统的开发取得实施与维护(C6)应用控制业务过程评价与风险管理(C7)3.信息系统审计与内部控制4.信息系统审计的标准与依据计算机系统安全评估标准(TCSEC)由美国国防部于1985年公布的,是计算机系统信息安全评估的第一个正式标准。它把计算机系统的安全分为4类、7个级别,对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写

5、作、用户指南等内容提出了规范性要求。4.信息系统审计的标准与依据信息技术安全评价的通用标准(CC)由六个国家(美、加、英、法、德、荷)于1996年联合提出的,并逐渐形成国际标准ISO15408。该标准定义了评价信息技术产品和系统安全性的基本准则.CC标准是第一个信息技术安全评价国际标准,它的发布对信息安全具有重要意义,是信息技术安全评价标准以及信息安全技术发展的一个重要里程碑。4.信息系统审计的标准与依据ISO13335标准首次给出了关于IT安全的保密性、完整性、可用性、审计性、认证性、可靠性6个方面含义,并提出了以风险为核心的安全模型:企业的资产面临很多威胁(包括

6、来自内部的威胁和来自外部的威胁);利用信息系统存在的各种漏洞(如:物理环境、网络服务、主机系统、应用系统、相关人员、安全策略等),对信息系统进行渗透和攻击。4.信息系统审计的标准与依据“信息系统和技术控制目标”(COBIT)是IT治理的一个开放性标准,目前已成为国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。该标准为IT的治理、安全与控制提供了一个一般适用的公认的标准,以辅助管理层进行IT治理。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。4.信息系统审计的标准与依据4.信息系统审计的标准

7、与依据4.信息系统审计的标准与依据5.信息系统审计的过程审计计划和检查:检查被审计单位的IT政策、实务及组织结构;检查一般控制和应用控制的情况;计划控制测试和实质性测试的程序;5.信息系统审计的过程控制测试:实施控制测试;评价测试结果;确定对控制的依赖程度;5.信息系统审计的过程实质测试:实施实质性测试;评价测试结果并签发审计报告;审计报告6.信息系统审计的技术内部审计与IT治理内部审计方法战略分析企业风险评估制定内审计划内审项目执行报告问题的解决和跟踪规划执行IT治理IT治理是信息系统审计和控制领域中一个相当新的概念IT治理其定义汇集了以下3中观点:Rober

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。