信息系统审计培训大纲
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
北京时代新威信息技术有限公司
王连强
审计报告
源代码安全审计的交付物为审计报告,其内容包括: 所使用的开发技术和编程语言中常见的错误; 对黑客有兴趣的资产、代码实现上的错误; 每一个已识别漏洞的报告,包括漏洞的概述、影响和 严重性以及再现该漏洞的步骤和可用于修复该漏洞缺陷 的补救措施建议; 详细说明被审计代码的总体情况、审计发现的问题、 进行追加审计的建议,以及针对已确定漏洞进行补救的 建议。
• 3.实施和管理物理访问限制, 以确保仅有经适当的授权人员 可以访问和使用信息资源
2.1 IT的定义
• 为了信息系统的安全、可靠与有效,由独 立于审计对象的IT审计师,以第三方的客 观立场对以计算机为核心的信息系统进行 综合的检查与评价,向IT审计对象的最高 领导,提出问题与建议的一连串的活动。
北京时代新威信息技术有限公司
王连强
2.2 IT的要点
• IT审计的要点: – 独立性 – 综合性 – IT审计师资格 – IT审计报告 – 促进信息系统安全、可靠与有效
北京时代新威信息技术有限公司 王连强
目标用户
源代码安全审计适用于以C、C++、C#、Java、VB、 、ABAP等语言开发的应用程序,以及以Ruby、 PHP、AJAX和Perl等在内的各种Web技术编写的应用 程序。源代码安全审计的对象可以是一个应用程序 的全部代码,也可以是其中的一部分代码。
包括: • 信息系统运作 • 信息安全 • 应用系统的实施及维护 • 数据库的实施及维护 • 网络支持 • 系统软件支持 • 信息资源战略及规划 • 与外包供应商的关系 • 业务连续性计划 • 硬件支持
北京时代新威信息技术有限公司 王连强
1.2信息系统运作
1.所有进行处理和在线作业及产生报表之 生产程序均能及时运行并正常完成 2.要执行有效的生产程序 3.计算机处理环境的服务水平达到或超过管 理当局的期望
北京时代新威信息技术有限公司 王连强
信息系统审计培训第二节
• • • • • • • • • 2.1信息安全 2.2应用系统的实施及维护 2.3应用系统的实施及维护 2.4数据库的实施及支持 2.5网络支持 2.6系统软件支持 2.7信息资源战略及规划 2.8与外包供应商的关系 2.9硬件支持
北京时代新威信息技术有限公司 王连强
北京时代新威信息技术有限公司
王连强
2.3了解企业内部控制的程序
• 了解监管负责人员如何应对风险 • 懂得评估控制的设计与执行 • 思考对实现有效内部控制和可靠财务信息 处理的帮助 • 判断它是否提高或降低内部控制
北京时代新威信息技术有限公司
王连强
2.4控制的分类
• 预防性控制
– – – – 在事情发生前监测问题 监控运营和输入 在问题发生前预测潜在问题 避免错误、疏忽或蓄意行为的发生
1.内部会计控制——主要针对会计操作,即资产安全、财务资 料准确可靠 2.运营控制——针对日常运营、职能和活动,用于确保运营达 到企业目标 3.管理控制——关注职能部门的运作效率及运营控制符合管理 政策的程度,是以提高经营效率和保证管理方针、政策的实施 为目标的控制 4.技术环境控制——保护信息资产,符合组织的方针策略及法 律法规的要求,信息输入输出,交易处理的准确性及完整性, 数据处理的可靠性,备份与恢复,业务经营的效率与效果
• 信息系统审计是一个通过收集和评价审计 证据,对信息系统是否能够保护资产的安 全、维护数据的完整、使被审计单位的目 标得以有效地实现、使组织的资源得到高 效地使用等方面作出判断的过程。
北京时代新威信息技术有限公司
王连强
1.2信息系统审计的过程
• 信息系统审计过程分为准备阶段、实施阶 段和报告阶段。其中,准备阶段和报告阶 段所采取运用的技术方法与财务审计所运 用的技术方法差别不大,而实施阶段采用 的技术方法则具有信息技术的特点。 • 在实施阶段,针对被审计的信息系统,审 计人员所开展的工作可以分为三个层次: 了解、描述和测试。
北京时代新威信息技术有限公司
王连强
信息系统审计培训
第一章 信息系统审计基础
信息系统审计培训第一节
• • • • • 1.1 1.2 1.3 1.4 1.5 信息系统审计的定义 信息系统审计的过程 信息系统审计的一般方法 信息系统审计的根本目标 信息系统审计任务
北京时代新威信息技术有限公司
王连强
1.1 信息系统审计的定义
北京时代新威信息技术有限公司
王连强
案例分析:
【引用:信息系统审计培训-时代新威 PT-S-02】
☆ 先于黑客之前发现应用系统安全漏洞 ☆ 将这些漏洞解决在应用系统上线之前 ☆ 应用安全的必由之路
源代码安全审计以发现应用程序编码过程中造成的安 全漏洞为目的, 通过源代码静态分析工具,对已有的代码 进行扫描、分析,并对导致安全漏洞的错误代码进行定位和 验证,然后提供补救建议。实施源代码安全审计的三个步骤: 确定源代码安全审计目标; 执行工具扫描并分析扫描结果; 分析应用程序架构所特有的代码安全问题。
北京时代新威信息技术有限公司
王连强
1.实施及配置逻辑安全管理工具和技术来限制对程 序,数据及其他信息资源的访问
(信息系统审计培训示意图3) 北京时代新威信息技术有限公司 王连强
• 2.逻辑安全管理工具和技术得到适当 管理,以限制对程序、数据和其他信 息资源的访问
北京时代新威信息技术有限公司
王连强
北京时代新威信息技术有限公司 王连强
2.7实施信息系统审计
• 信息系统审计是检查评估自动化信息处理系统、 与其有关的非自动化程序和两者之间的接口等。 实施信息系统审计需要如下几个步骤:
1.充分的审计计划(短期、长期) 2.为有效地利用审计资源,审计机构必须评估所有 风险(一般控制与应用控制领域) 3.制定审计计划,包括审计目标与审计程序 4.搜集证据、对现有控制进行评估与测试 5.编写审计报告,并与管理层沟通审计发现
北京时代新威信息技术有限公司
王连强
2.6信息系统控制目标
• 常见的信息系统控制目标如:
1.保护信息系统以防止不当存取,并确保及时更新 2.保护计算机操作系统及网络操作系统的完整性 3.保护敏感的、重要的应用系统(如财务及管理应 用系统)的机密性和完整性 4.保证信息系统的运营效率与效果 5.符合用户的需求、组织的方针、策略与程序,并 遵守法律法规的要求 6.制定业务持续计划及灾难恢复计划 7.制定应急响应及处理程序
目的是:来确保应用系统的功能依照其预定的目 标运行
要知道:管理当局监督问题的统计及趋势,以识 别及消除该问题重复出现的根本原因 信息系统架构应包括帮助中心(helpdesk)的功能 以便用户进行有关系统的查询。所提出的问题应 记录在中央问题日志之中。 帮助中心(helpdesk)工作人员应监督日志以确保 及时解决所有用户的查询
北京时代新威信息技术有限公司 王连强
2.8测试和评估信息系统控制的方法
• 信息系统审计师必须理解和掌握测试评估 信息系统控制的方法:
1.使用通用审计软件调查数据文件的内容 2.使用专用软件来评估操作系统参数文件 3.用流程图的方式来图示业务流程及应用系统 4.使用操作系统中内置的审计报告 5.进行文档检查
北京时代新威信息技术有限公司 王连强
1.3信息系统审计的一般方法
• 信息系统审计的一般方法有:面谈法、系 统文档审阅法、观察法、计算机系统文字 描述法、表格描述法、图形描述法等。
北京时代新威信息技术有限公司
王连强
1.4信息系统审计的根本目标
信息系统审计的根本目标:
是促进信息系统安全、稳定、有效、持续运 行。通过对信息系统的安全性、稳定性和有 效性进行审计、咨询,降低公司面临的信息 系统风险,促使公司信息技术发展目标与其 总体经营目标、战略相一致。
北京时代新威信息技术有限公司
王连强
信息系统审计培训
第二章通用计算机与审计关系
信息系统审计培训第一节
• 1.1 通用计算机审计涵盖的领域 • 1.2 信息系统的运作 • 1.3 用户得到有关应用系统使用的 适当培训 • 1.4 用户获得适当的支持
北京时代新威信息技术有限公司
王连强
1.1通用计算机审计涵盖的领域
北京时代新威信息技术有限公司
王连强
1.5信息系统审计任务
• 信息系统审计任务:
• 是完成对信息系统的鉴证、促进和咨询。 针对企业的资产,采取信息系统审计维护 更安全可靠,特别是时代新威利用信息系 统审计制定的方案更让我们觉得放心安全。
北京时代新威信息技术有限公司
王连强
(信息系统审计培训示意图1)
信息系统审计培训大纲
王连强
北京时代新威信息技术有限公司
信息系统审计培训目录
•第一章 •第二章 •第三章 •第四章 信息系统审计基础 通用计算机与审计关系 计算机辅助审计技术介绍 信息系统审计培训总结
北京时代新威信息技术有限公司
王连强
注:本文以北京时代新威信息技术有限 公司(以下简称时代新威)的服务内容 举例,给大家展示信息系统审计培训内 容。
2.1信息安全
• • • • • • 1.实施及配置逻辑安全管理工具和技术 2.逻辑安全管理工具和技术得到适当管理 3.实施和管理物理访问限制 4.所有信息资源均配备必要的实体和逻辑安全措施 5.实体的程序、数据及其他信息资源均受到保护 6.实体计算机系统中软件的安装和/或使用遵循授 权协议的规定及经管理当局授权 • 7.保护信息资源免受环境灾害及相关损害的影响
北京时代新威信息技术有限公司 王连强
1.3用户得到有关应用系统使用的适当培训
1.系统实施的程序应包括对用户提供有关新系统 或经大幅度修改的系统的使用培训。 2.管理当局应监督该程序的执行情况。为新聘用 的员工及实体内调职的员工提供相关应用系统的 正式培训
北京时代新威信息技术有限公司
王连强
1.4用户获得适当的支持
北京时代新威信息技术有限公司
王连强
信息系统审计培训第二节
• • • • • • • • 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 IT的定义 IT的要点 了解企业内部控制的程序 控制的分类 内部控制目标 信息系统控制目标 实施信息系统审计 测试和评估信息系统控制的方法
北京时代新威信息技术有限公司 王连强
• 检测性控制
– 使用控制检查和报告发生的错误、疏漏或蓄意行为的发生
• 纠正性控制
– 减少危害影响 – 修复检查性控制发现的问题 – 找出问题原因,纠正问题衍生出的错误,修改处理系统以减 少未来问题发生的可能性
北京内部控制目标
• 内部控制就是要通过实施一系列特定的控制活动,达到 所预期的结果或目的。 • 通常包括:
北京时代新威信息技术有限公司
王连强
(信息系统审计培训示意图2)
北京时代新威信息技术有限公司 王连强
案例解析:
【引用:信息系统审计培训-时代新威 PT-S-01 】
为什么审?
企业自身内控的需要 行业监管部门的要求 用户等相关方的期望
北京时代新威信息技术有限公司
王连强
审什么?
审计署对信息系统审计内容的要求是:“信息系 统的安全性、有效性和经济性”,它给出了信息系统 审计的目标和方向。但针对一个具体的信息系统审计 项目,其审计内容应以所确定的审计依据为准,通常 包含一般控制审计和应用控制审计;也可以根据审计 目的和内容的不同,分为不同的专项审计,如: 信息安全审计 业务和数据审计 信息系统投产和变更审计 业务连续性审计 信息技术外包管理审计
北京时代新威信息技术有限公司 王连强
怎么审?
实施信息系统审计,首先要明确审计目的并 确定审计范围;然后选择和明确审计依据, 组建审计小组;其次规划审计方案,实施现 场审计;最后报告审计发现,形成审计报告; 其后,作为后续审计活动,实施跟踪审计。
北京时代新威信息技术有限公司
王连强
在哪里审?
通常认为,信息系统审计的主要对象是一个组织的信 息科技部门。其实,除信息科技部门外,信息系统的所 有用户部门及相关方都应考虑在内,因为许多信息系统 的控制措施要在这些部门完成。确定被审计对象,可考 虑: 一个组织的全部,即所有业务和所有部门 一个组织的局部,即部分业务或部分部门 组织的相关方,如组织的供方,顾客等 根据审计方式的不同,信息系统审计还分为现场审 计和非现场审计。非现场审计以非现场审计系统为主要 审计工具。