《信息系统审计信息系统审计基础.ppt》由会员分享,可在线阅读,更多相关《信息系统审计信息系统审计基础.ppt(24页珍藏版)》请在三一文库上搜索。
1、1,信息系统审计 (信息系统审计基础),杨 烺 (CISA) 国际注册信息系统审计师,2,信息系统审计基础,信息系统审计的起源与发展 信息系统审计的内容 内部控制与审计 IT审计的标准和依据 IT审计的过程 IT审计的技术,3,1. 信息系统审计的起源与发展,1.1 国外: 八十年代、九十年代信息技术的进一步发展与普及,使得企业越来越依赖信息及产生信息的信息系统。人们开始更多的关注信息系统的安全性、保密性、完整性及其实现企业目标的效率、效果,真正意义的信息系统风险评估与审计才出现。,4,1. 信息系统审计的起源与发展,1.1 国外: 信息系统审计与控制协会ISACA (INFORMATION
2、SYSTEM AUDIT AND CONTROL ASSOCIATION),总部设在美国芝加哥。目前该组织在世界上100多个国家设有160多个分会,现有会员两万多人,它是从事信息系统审计的专业人员唯一的国际性组织。,5,1. 信息系统审计的起源与发展,1.1 国外: CISA (Certified Information System Auditor)是信息系统审计领域的唯一职业资格 ISACA每年举办CISA资格考试,通过考试的人员可以申请CISA资格,符合ISACA规定的工作经验及其他相关要求的申请人会被授予CISA资格。CISA资格在世界各国都被广泛的认可。国内获得此资格的有三百多人。,
3、6,1. 信息系统审计的起源与发展,1.1 国外: CISA考试介绍: 内容:信息系统审计流程、信息系统的管理、计划与组织、信息技术基础设施与操作实务、信息资产的保护、灾难恢复与业务持续计划、应用系统的开发、获得、实施与维护、业务处理流程评价与风险管理。 时间:每年一次 题型与考试语言:全部是客观题;英文、中文;75分合格,7,1. 信息系统审计的起源与发展,1.2 国内: 1994 年2 月,我国颁布了中华人民共和国计算机信息系统安全保护条例,提出了计算机信息系统实行安全等级保护的要求。安全等级保护的总体目标是确保信息安全和计算机信息系统安全正常运行,并保障以下安全特性:信息的完整性、可用性
4、、保密性、抗抵赖性、可控性等(其中完整性、可用性、保密性为基本安全特性要求)。,8,1. 信息系统审计的起源与发展,1.2 国内: 1994 年2 月,我国颁布了中华人民共和国计算机信息系统安全保护条例,提出信息的完整性、可用性、保密性、抗抵赖性、可控性等要求。 1999年2月9日,我国正式成立了中国国家信息安全测评认证中心。 2002年4月15日 全国信息安全标准化技术委员会(简称信息安全标委会,TC260)。 2005年12月16日 国家网络与信息安全协调小组正式通过了信息安全风险评估指南。,9,管理计划与IS的组织,信息资产的保护,灾难备份与业务持续计划,技术基础与操作实务,业务应用系统
5、的开发取得实施与维护,业务过程评价与风险管理,2. 信息系统审计的内容,10,3. 信息系统审计与内部控制,11,4. 信息系统审计的标准与依据,可信的计算机系统安全评估标准(TCSEC,从橘皮书到彩虹系列) 由美国国防部于1985年公布的,是计算机系统信息安全评估的第一个正式标准。它把计算机系统的安全分为4类、7个级别,对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。,12,4. 信息系统审计的标准与依据,信息技术安全评价的通用标准(CC) 由六个国家(美、加、英、法、德、荷)于1996年联合提出的,并逐
6、渐形成国际标准ISO15408。该标准定义了评价信息技术产品和系统安全性的基本准则,提出了目前国际上公认的表述信息技术安全性的结构,即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效地实施这些功能的保证要求。CC标准是第一个信息技术安全评价国际标准,它的发布对信息安全具有重要意义,是信息技术安全评价标准以及信息安全技术发展的一个重要里程碑。,13,4. 信息系统审计的标准与依据,ISO13335标准 首次给出了关于IT安全的保密性、完整性、可用性、审计性、认证性、可靠性6个方面含义,并提出了以风险为核心的安全模型:企业的资产面临很多威胁(包括来自内部的威胁和来自外部的威胁);
7、利用信息系统存在的各种漏洞(如:物理环境、网络服务、主机系统、应用系统、相关人员、安全策略等),对信息系统进行渗透和攻击。,14,4. 信息系统审计的标准与依据,BS7799 是英国的工业、政府和商业共同需求而发展的一个标准,它分两部分:第一部分为“信息安全管理事务准则”;第二部分为“信息安全管理系统的规范”。目前此标准已经被很多国家采用,并已成为国际标准ISO17799。 BS7799包含10个控制大项、36个控制目标和127个控制措施。BS7799/ISO17799主要提供了有效地实施信息系统风险管理的建议,并介绍了风险管理的方法和过程。企业可以参照该标准制定出自己的安全策略和风险评估实施
8、步骤。,15,4. 信息系统审计的标准与依据,“信息系统和技术控制目标”(COBIT) 是IT治理的一个开放性标准,目前已成为国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。该标准为IT的治理、安全与控制提供了一个一般适用的公认的标准,以辅助管理层进行IT治理。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。,16,4. 信息系统审计的标准与依据,17,4. 信息系统审计的标准与依据,18,4. 信息系统审计的标准与依据,19,4. 信息系统审计的标准与依据,20,5. 信息系统审计的过程,审计计划: 检查被审计单位的IT政策、实务及组织结构; 检查一般控制和应用控制的情况; 计划控制测试和实质性测试的程序;,21,5. 信息系统审计的过程,控制测试: 实施控制测试; 评价测试结果; 确定对控制的依赖程度;,22,5. 信息系统审计的过程,实质测试: 实施实质性测试; 评价测试结果并签发审计报告; 审计报告,23,6. 信息系统审计的技术,24,谢谢!,