返回
企业信息系统审计的组织与实施_(可排版)

企业信息系统审计的组织与实施_(可排版)

ID:46680923

大小:209.00 KB

页数:42页

时间:2019-11-26

企业信息系统审计的组织与实施_(可排版)_第1页
企业信息系统审计的组织与实施_(可排版)_第2页
企业信息系统审计的组织与实施_(可排版)_第3页
企业信息系统审计的组织与实施_(可排版)_第4页
企业信息系统审计的组织与实施_(可排版)_第5页
资源描述:

《企业信息系统审计的组织与实施_(可排版)》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、企业信息系统审计的组织与实施刘济平中国光大(集I才I)总公司审计部副主任注册信息系统审计师(CISA)、注册内部审计师(CIA)、高级审计师经济学硕士(南开大学西方会计与审计专业)、理学硕士(英国Strathclyde大学商务信息技术系统专业)内容安排内部审计及其分类信息系统审计一从风险管理和风险基础审计的角度理解信息系统审计标准信息系统审计方法IT核心流程和审计方法问题讨论案例分析内部审计及其分类内部审计内部审计分类业务审计(OperationsAudit)信息系统审计(InformationSystemsAudit)或IT审计内部审计及其分类业

2、务审计与IT审计的关系自动应用控制应用控制帐号管理/逻辑控制一般应用控制屯子数据表和局部数据库程序员安全在业务用户层面上的变更管理业务持续计划(BCP)基础架构一般应用控制变更和配置管理网络安全管理计算机操作系统开发生命周期(SDLC)共享数据库机房业务审计IT审计信息系统审计—从风险管理和风险基础审计的角度理解一个口标两种风险三项评价四类测试信息系统审计—从风险管理和风险基础审计的角度理解一个目标将IT相关的风险控制在可接受的水平风险是事件的不确定性,这个事件对目标的实现具冇影响。风险是不希望发生事情的可能性。对待风险的四种策略:拒绝、接受、转移

3、、缓释(控制)风险机会信息系统审计—从风险管理和风险基础审计的角度理解两种风险战略风险失去竞争优势信息系统项目失败灾难导致长期不能捉供服务操作风险变更管理文档不完整密码政策不恰当未激活Oracle审计轨迹设置信息系统审计—从风险管理和风险基础审计的角度理解三项评价评价信息系统项目评价业务流程中的IT控制评价信息安全信息系统审计—从风险管理和风险基础审计的角度理解四类测试IT控制环境测试物理控制测试逻辑控制测试IS操作控制测试信息系统审计—从风险管理和风险基础审计的角度理解将IT相关风险控制在可接受水平战略风险操作风险评价IT项目评价业务流程屮的IT

4、控制评价信息安全测试IT控制环境测试物理控制测试逻辑控制测试IS操作控制一个目标两种风险三项评价四类测试信息系统审计标准ITIL(ITInfrastructureLibrary)BS7799COBIT(ControlObjectivesforInformationandRelatedTechnology)信息系统审计标准一ITILIT服务管理IT服务管理(ITSM):一种以流程为导向,以客户为中心的方法,它通过整合IT服务与组织业务,提高组织IT服务捉供和服务支持的能力和水平。ITIL(ITInfrastructureLibrary,IT基础架构库

5、),最初由英国商务部(OGC)80年代组织开发,是ITSM领域在欧洲的事实标准。2001年成为英国标准BS15000信息系统审计标准一ITILITIL整体框架服务提供包括5个核心流程:服务级别管理、能力管理、可用性管理、持续性管理、财务管理。服务支持包括5个核心流程:配置管理、发布管理、变更管理、事故管理、问题管理、服务台职能。技术业务应用管理IT服务管理实施规划业务视角服务管理ICT基础架构管理安全管理服务支持服务提供资料来源:OGC,2002信息系统审计标准一BS7799信息安全管理:指一个组织的政策、实务、程序、组织结构和软件功能,用以保护信

6、息,确保信息免受非授权访问、修改或意外变更,并且在经授权用户需要时可用。保密性(Confidentiality)资料來源:Pfleeger,1997完整性(Integrity)可用性(Availability)信息系统审计标准一BS7799信息安全管理体系(ISMS)BS7799:最早由英国贸易和工业部于1993年组织开发,1995年成为英国国家标准,由两部分组成,目前最新版木为:BS7799-1:1999《信息安全管理实施规则》BS7799-2:2002《信息安全管理体系规范》BS7799-1于2000年被批准为国际标准ISO/IEC17799:

7、2000《信息技术:信息安全管理实施规则》。信息系统审计标准一BS7799信息安全管理体系(ISMS)BS7799-1将信息安全管理分为10类控制,成为组织实施信息安全管理的实用指南。通讯和运行管理访问控制系统开发和维护业务持续管理合规信息安全政策安全组织资产分类和控制人员控制物理和环境安全信息系统审计标准—BS7799BS7799-2提供的信息安全管理框架制定政策确定ISMS的范围实施风险评价管理风险选择控制口标和控制制定应用说明政策文件ISMS范围风险评价选择的控制选项应用说明结果和结论选择的控制目标和控制威胁、弱点、影响风险管理方法需要的保证

8、程度ISMS需要的控制冃标和控制BS7799以外的控制第一步笫二步第三步第四步第五步第六步资料来源:BSI,1999信息系

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。