信息系统审计指南(COBIT 中文版)(完整资料).doc
【最新整理,下载后即可编辑】
COBIT信息技术审计指南(34个控制目标)
计划和组织(选择3/6/11)
1 定义战略性的信息技术规划(PO1)PO域
控制的IT过程:
定义战略性的IT规划
满足的业务需求:
既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成
实现路线:
在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划
需要考虑的事项:
企业的业务发展战略
IT如何支持业务目标的明确定义
技术解决方案和当前基础设施的详细清单
追踪技术市场
适时的可行性研究和现实性检查
已有系统的评估
在风险、进入市场的时机、质量方面,企业所处的位置
需要高级管理层出钱、支持和必不可少的检查
信息规范IT资源
P 效果* 人员
S 效率* 应用
保密* 技术
完整* 设施
可用* 数据
遵从
可靠
1.1 作为机构长期和短期计划一部分的IT
高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。在这一方面,高级管理层应
确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中。IT的长期、短期
计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合。
1.2 IT 长期计划
IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。计划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制。相应地,管理层应执行一个长期计划的编制过程,采用一种结构化的方法,并建立一个标准的计划结构。
1.3 IT 长期计划编制——方法与结构
对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法。这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。IT计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。计划编制期间,需要考虑和充分投入的方面包括:机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。已做出选择的好处应被明确地确定下来。IT长期和短期计划应使绩效指标和目标合并在一起。计划本身还应参考其它的计划,比如机构的质量计划和信息风险管理计划。
1.4 IT 长期计划的变更
IT管理层和业务过程所有者应确保及时、准确地修改IT长期计划的过程的到位,以适应机构长期计划的变化和IT环境的变化。管理层应建立一个IT长期和短期计划开发和维护所需要的政策。
1.5 IT 功能的短期计划编制
IT管理层和业务过程的所有者应确保IT长期计划有规律地转换成IT短期计划。这样的短期计划应确保适当的IT功能资源以与IT 长期计划内容相一致的基础上来分配。短期计划应定期地进行再评估,并被作为适应正在变化的业务和IT环境所必须的事项而改进。可行性研究的及时执行应确保短期计划的实行是被充分地启动的。
1.6 IT 计划的交流
管理层应确保IT长期和短期计划同业务过程所有者以及跨越机构的其他相关部门人员的充分沟通。
1.7 IT 计划的监控和评估
管理层应建立一个流程,获取和报告来自业务过程所有者和用户有关长期和短期计划的质量及有效性的反馈。获取的反馈应予以评估,并在将来的IT计划编制中加以考虑。
1.8 现有系统的评估
在开发或变更战略规划或长期计划、IT计划之前,IT管理层应按照业务自动化的程度、功能性、稳定性、复杂性、成本、优势和劣势,评估现有信息系统,以确定现有系统支持机构业务需求的程度。
对高级和详细的控制目标进行审计:
获得了解:
访谈:
首席执行官(CEO)
首席运营官(COO)
首席财务官(CFO)
首席信息官(CIO)
IT计划/指导委员会成员
IT高级管理层和人力服务职员
获得:
与计划编制过程想关联的政策和程序
高级管理层的指导角色和责任
机构的目标和长短期的计划
IT的目标和长短期的计划
状况的报告和计划/指导委员会的会议纪要
评估控制:
考虑是否:
IT或者业务的企业政策和程序选择了一种结构化的计划编制方法
方法到位,以便明确地表达并能够修改计划,起码它们要包括:? 机构的使命和目的
? 支持机构使命和目的的IT初始
? IT初始的机遇
? IT初始的可行性的研究
? IT初始的风险评估
? 当前和未来IT的最佳投资
? 反映企业使命和目的变化的IT初始的再造
? 数据应用、技术和机构可选择战略的评估
机构的变化、技术的发展、规章的要求、业务过程的再造、员工
的安置、自己开发和外包,等等被考虑,并在计划编制过程中充分地从事
长短期的IT计划存在,是当前的,充分针对全部企业、它的使命和关键的业务职能部门
IT项目由IT计划编制方法中确定的适当文档所支持
确保IT目标和长短期计划持续地满足机构目标和长短期计划的检查点存在
由过程所有者和高级管理层评价和结束的IT计划发生
根据业务自动化程度、功能性、稳定性、复杂性、成本、优势和弱点,IT计划评估现有的信息系统
对信息系统及其支持的基础设施的长期计划编制的缺乏,导致系统不能支持企业的目标和业务的过程,或者不能提供适当的完整、安全和控制
评定遵从性:
测试:
来自反映计划编制过程的IT计划编制/指导委员会的会议纪要
计划编制方法的可交付使用物的存在,作为预先的规定
相关IT的初始被包括在IT长短期的计划当中(也就是硬件的变化、容量计划编制、信息体系结构、新系统开发或获取、灾难恢复计划编制、新处理平台的安装,等等)
IT初始支持长短期计划,并要考虑调查、培训、人员安置、设施、硬件和软件的需求
IT初始的技术含义已经被确定
最优化当前和将来IT投资的考虑已经给出
IT长短期计划与机构的长短期计划和组织的需求保持一致
计划已经发生改变,以反映正在变化的条件
IT长期计划定期转化成短期计划
存在实现计划的任务
证实没有满足业务目标的风险:
执行:
依照类似的机构或者适当的国际标准/公认的行业最好实践的战略IT计划的基准
确保IT初始反映机构的使命和目的的IT计划的详细评价
决定是否机构之内已经知道的虚弱区域正在被确认为计划当中IT解决方案的一部分而加以改进的IT计划的详细评价
确定:
满足机构使命和目的的IT失败
与长期计划相匹配的短期计划的IT失败
满足短期计划的IT项目的失败
满足成本和时间准则的IT失败
错过的业务机遇
错过的IT机遇
2 定义信息体系结构(PO2)
控制的IT过程:
定义信息体系结构
满足的业务需求:
优化信息系统的机构
实现路线:
创建并维护一个业务信息模型,确保定义适当的系统,以优化信息的使用
需要考虑的事项:
自动化的数据存贮和字典
数据语法规则
数据所有权和关键性/安全性程度分类
表述业务的信息模型
企业信息体系结构标准信息
信息规范IT资源
P 效果人员
S 效率* 应用
S 保密技术
S 完整设施
可用* 数据
遵从
可靠
2.1 信息体系结构模型
信息应与需求保持一致,并应以某种格式和期限进行识别、获取和交流,而这些格式和期限能使人们及时、有效地履行他们的职责。相应地,围绕企业的数据模型和相关的信息系统,IT的职能应是建立并有规律地更新信息体系结构模型。信息体系结构模型应与IT长期计划保持一致。
2.2 企业数据字典和数据语法规则
IT的职能应确保包含机构数据语法规则的企业数据字典的建立以及持续的更新。
2.3 数据分类方案
在按信息类别(如安全类)进行分类的数据放置以及所有权分配方面,应建立一个总体的分类框架,应适当定义各类别的访问规则。
2.4 安全等级
对于上述确定的每一个“不需要保护”级别以上的数据分类,管理层应定义、执行和维护这些安全等级。对于每一个分类来讲,
这些安全等级应描述适当的(最小的)一套安全和控制尺度,应定期进行再评估并做相应的修改。对于区域范围广阔的企业,应建立支持不同安全等级的标准,以适应正在发展的电子商务、移动计算和远程办公环境的需要。
对高级和详细的控制目标进行审计:
获得了解:
访谈:
首席信息官(CIO)
IT计划/指导委员会成员
IT高级管理层
安全官
获得:
与信息体系结构相关的政策和程序
信息体系结构模型
支持信息体系结构模型的文档,包括企业数据模型
企业数据字典
数据所有者政策
高级管理层指导的角色和责任
IT的目标和长短期计划
状况报告和计划编制/指导委员会会议纪要
评估控制:
考虑是否:
IT政策和程序选择了数据字典的开发和维护
用于修改信息体系结构模型的过程是以长短期计划为基础的,考虑了相关成本和风险,并且该模型变化之前,要确保高级管理层
同意
有一个过程用来保持数据字典和数据语法规则处于最新状态
有一个媒介用来分发数据字典,确保开发区域的可达性并立即反映变化
IT政策和过程要选择数据的分类,包括安全种类和数据所有者,数据分类的访问规则要被清晰和适当地定义
要为那些不包含数据分类标识符的数据资产定义缺省的分类标准
IT政策和程序要选择以下内容:
? 需要数据所有者(在数据所有者政策上定义)的授权过程要到位,以便批准该数据的所有访问以及数据的安全属性
? 每一个数据分类的安全等级要被定义
? 访问等级被定义,并且对于数据分类来说是适当的
? 访问敏感数据需要清楚的访问级别,数据的提供要以“需要知道”为基础
评定遵从性:
测试:
信息体系结构模型上的变化,确定这些变化反映了IT长短期计划及其所确定的成本和风险
评估数据字典的任何修改以及数据字典上变化的影响,确保它们被有效地沟通
各种运作的应用系统和开发项目,以确定数据字典被用作数据定义
足够的数据字典文档,以确定这些文档为每一个数据项定义了数据的属性和安全等级
数据分类、安全等级、访问等级和缺省的适当性
每一个数据分类都要清晰地定义:
? 谁可以访问
? 谁对决定适当的访问级别负责
? 所需访问的明确批准
? 访问的特定需求(也就是非披露或者保密性协议)
证实没有满足业务目标的风险:
执行:
依照类似机构或适者国际标准/公认的行业最好实践的信息体系结构模型的基准
针对关键元素的完整性,数据字典的详细评价
对定义为敏感数据的安全等级的详细评价,以校验访问的适当授权被获得,被许可的访问与定义在IT政策和程序中的一致
确定:
信息体系结构模型和企业数据模型、企业数据字典、相关信息系统以及IT长短期计划中的矛盾
过时的企业数据字典项和由于数据字典变化的不良的沟通丧失了时效性的数据语法规则???
所有者不清楚和/或没有适当定义的数据项
没有被适当定义的数据分类
与“需要才能知道”的原则不一致的数据安全等级
3 决定技术方向(PO3)
控制的IT过程:
决定技术方向
满足的业务需求:
利用目前可用的和正在出现的技术,推动业务战略的实施并使业务战略成为可能
实现路线:
建立并维护技术基础设施计划,该计划,依据产品、服务和交付机制,建立并管理技术能够提供的清晰和现实的预期
需要考虑的事项:
当前基础设施的容量
通过可靠的来源,监测技术发展
引导概念的检验
风险、约束和机遇
获取的计划
移植战略和路线
与供应商的关系
独立的技术再评估
硬件和软件的性能/价格比的变化
信息规范IT资源
P 效果人员
S 效率应用
保密* 技术
完整* 设施
可用数据
遵从
可靠
3.1 技术基础设施计划编制
IT的职能部门应建立并有规律地更新与IT长期和短期计划保持一致的技术基础设施计划。这样的计划应围绕诸如系统体系结构、技术方向和移植策略等方面。
3.2 监测未来的趋势和法规
IT的职能部门应能够确保对未来趋势和法规环境的持续监测,以便这些因素能够在技术基础设施计划的开发和维护期间被考虑在内。
3.3 技术基础设施的不确定事件
技术基础设施计划应在偶然事件方面(即基础设施的冗余、恢复、充足性和发展能力)进行系统地评估。
3.4 硬件和软件获取计划
IT管理层应确保制定硬件和软件的获取计划,并要反映在所确定的技术基础设施计划的需求中。
3.5 技术标准
以技术基础设施计划为基础,IT管理层应定义技术规范以培养标准化的意识。
对高级和详细的控制目标进行审计:
获得了解:
访谈:
首席执行官(CEO)
首席运营官(COO)
首席财务官(CFO)
首席信息官(CIO)
IT计划/指导委员会成员
IT高级管理层
获得:
与技术基础设施计划编制和监控相联系的政策和程序
高级管理层指导角色和责任
机构目标和长短期计划
IT目标和长短期计划
IT硬件和软件获取计划
技术基础设施计划
技术标准
状况报告和计划编制/指导委员会会议纪要
评估控制:
考虑是否:
为确认被提议的变化首先被检查以评估相关联的成本和风险,为确认高级管理层的批准先于计划的变化被获得,有一个创造并有规律地更新的技术基础设施计划的过程
技术基础设施计划与IT长短期计划相比较
有一个过程来评估机构的当前技术状态,确保环绕诸如系统体系结构、技术方向和移植战略等方面
IT政策和程序确保选择了评估和监控当前和将来的技术趋势和规章条件的要求,并且在技术基础设施
计划的开发和维护期间被考虑
技术获取的后勤和环境影响要被计划
IT政策和程序确保选择了系统地评估技术计划意外的需求(也就是基础设施的冗余、恢复力、足够性和发展能力)
IT管理层评估正在出现的技术,并将适当的技术合并到当前的IT 基础设施之中
对于硬件和软件的获取计划来讲,它是遵从技术基础设施计划中所确定的要求并被适当地批准的实践在技术基础设施计划中所描述的技术组成的技术标准是到位的
评定遵从性:
测试:
IT管理层理解并使用技术基础设施计划
技术基础设施计划上的变化,以确定相关的成本和风险,这些变化要反映在IT长短期计划的变化中
IT管理层要理解监控和评估正在出现技术的过程,并要将适当的技术合并到当前的IT基础设施之中
IT管理层要理解系统评估技术计划意外的过程(也就是说,基础设施的冗余、恢复力、充足性和发展能力)
为了充分地适应目前的已安装的硬件/软件以及在当前被批准的增加的新的硬件/软件,IT职能部门现有的物理环境
硬件和软件获取计划遵从IT长短期计划,并要反映技术基础设施计划中所确认的需求
技术基础设施计划选择利用当前和将来的技术
技术标准被遵循,并作为开发过程的一部分而被合成一体
被允许的访问与IT政策和程序中所定义的安全等级相一致,到位的访问要经过适当的授权
证实没有满足业务目标的风险:
执行:
依照类似的机构或者适当的国际标准/公认的行业最好实践的技术基础设施计划编制的基准
针对关键元素的完整性,数据字典的详细评价
为敏感数据而定义的安全等级的详细评价
确定:
信息系统和IT长短期计划相关的信息体系结构模型和企业数据模型、企业数据字典的矛盾
企业数据字典条款和数据语法规则的过时
没有在技术基础设施计划中选择的以外方面
没能反映技术基础设施计划需求的IT硬件和软件的获取计划
与技术标准不一致的技术基础设施计划或IT硬件和软件获取计划
数据字典中丢失的关键元素
没有按照同样标准分类或者没有安全等级的敏感数据
4 定义信息技术的机构及关系(PO4)
控制的IT过程:
定义IT的机构及关系
满足的业务需求:
提供正确的IT服务
实现路线:
定义一个数量上相配、具有角色和职责所要求技能的机构,与业务部门沟通、联合在一起,促进战略的实现,并规定有效的方向和适当的控制
需要考虑的事项:
董事会层面上的IT职责
管理层对于IT的指导和监督
IT与业务的结合
关键决策过程中IT的参与
机构的灵活性
清晰的角色和职责
平衡授权与监督
工作岗位的描述
人员级别和关键的人员
在安全、质量和内部控制功能方面的机构配置
职责的分离
信息规范IT资源
P 效果* 人员
S 效率应用
保密技术
完整设施
可用数据
遵从
可靠
4.1 IT 计划或指导委员会
机构的高级管理层应指定一个计划或者指导委员会,来检查IT的职能及其活动。委员会的会员应包括来自高级管理层、用户管理层和IT职能方面的代表。委员会应实行例会制度,并向高级管理层报告。
4.2 IT 职能的机构设置
在整个机构机构设置IT职能过程中,高级管理层应确保其权力、关键时刻以及与用户部门的独立性到必要的程度,以便在执行时能够保证有效的IT解决方案和充分的进展,并要建立与顶级管理层的伙伴关系,以便在确定和解决IT问题时,能够帮助他们增强意识、理解和技能。
4.3 机构绩效的评价
应设置一个框架来评价机构的机构,以不断地满足目标和变化的环境。
4.4 角色和责任
管理层应确保机构中所有人员都具有并理解他们在相关信息系统中的角色和责任。所有的人员应具有足够的权力来行使分派给他们的角色和责任。角色的设置应考虑适当的职责分离。没有那个人能够控制一个交易或事件的所有关键环节。每个人都应认识到他们在内部控制和安全方面具有一定的责任。因此,应机构并承担起有规律的一些活动,以增强这方面的意识和纪律。
4.5 质量保证的责任
管理层应为IT职能部门的成员分配质量保证职能履行的责任,并确保适当的质量保证、系统、控制和存在于IT职能质量保证小组中的专家们的交流。IT职能内机构的布置以及质量保证小组的职责和规模应满足机构的需求。
4.6 逻辑和物理安全的责任
管理层应为信息安全经理正式地分配确保机构信息资产物理和逻辑安全的责任,并负责向高级管理层报告。最起码,安全管理职责应建立在整个机构范围的层次上,以便能够处理一个机构内的全部安全问题。如果需要,系统细节层次上的附加安全管理责任也应被分配,以应对相关的安全问题。
4.7 所有者和管理者
管理层应正式建立一个指定数据所有者和管理者的结构。他们的角色和责任应清楚地定义。
4.8 数据和系统的所有者
管理层应确保所有信息资产(数据和系统)都已指定了所有者,他们对信息资产的分类和访问权限具有决策的权利。典型地,系统所有者可以将日常管理委派给系统的交付/操作小组,将安全职责委派给安全管理员。然而,所有者仍然要保留对适当安全尺度维护的责任。
4.9 监督
高级管理层应执行适当的IT职能的监督实践,以保证角色和责任被完全地行使,评估所有的个人是否有足够的权力和资源完成他们的角色和职责,并要全面地评价关键的绩效指标。
4.10 职责分离
高级管理层应实施角色和职责的分离,避免单独的个人扰乱某个关键的过程。管理层还应确定每个人仅执行其工作和职位规定的
各自的职责。尤其是下列职责之间责任分离的应维护。
信息系统使用
数据录入
计算机操作
网络管理
系统管理
系统开发和维护
变更管理
安全管理
安全审计
4.11 IT 人员配备
员工需求评估应有规律地执行,以保证履行IT职能所需足够数量能胜任的IT员工。员工需求应至少每年评估一次,或根据业务、运作及IT环境的主要变化而执行。评估结果应尽快执行,以确保现在和将来员工的充足。
4.12 IT 员工工作和职位的描述
管理层应确保建立IT员工的职位描述,并有规律地被更新。这些职位描述应清楚地描绘权力和责任两方面,包括相关职位要求的技能和经验的详细说明,并要适合在绩效评估中使用。
4.13 关键的IT 人员
IT管理层应详细说明和识别关键的IT人员。
4.14 与员工签约的政策和程序
为了IT职能部门控制咨询和其它签约个人的活动,确保机构的信息资产处于保护之中,管理层应详细说明和执行相关的政策和程序。
4.15 关系
IT管理层应采取必要的行动,在IT职能部门和其它各种有利害关系的内外部IT职能部门(即用户、供应商、安全官员、风险管理者)之间,建立并维持一个最佳的协调、交流、联络的结构。
对高级和详细的控制目标进行审计:
获得了解:
访谈:
首席执行官(CEO)
首席运营官(COO)
首席财务官(CFO)
首席信息官(CIO)
质量保证官
安全官
IT计划/指导委员会成员、人力资源和高级管理层
获得:
高级管理层计划/指导角色和责任
机构目标和长短期计划
IT目标和长短期计划
展示IT职能部门与及其它职能部门关系的机构机构图
与IT机构和关系相关联的政策和程序
与质量保证相关联的政策和程序
用来决定IT人员需求的政策和程序
IT职能部门的机构机构图
IT职能部门的角色和责任
IT关键位置(工作)的描述
状况报告和计划/指导委员会会议纪要
评估控制:
考虑是否:
来自高级管理层的政策声明和沟通确保IT职能部门的独立和权威
IT计划/指导委员会的成员和职能部门已经被定义,责任已经被确定
IT计划/指导委员会的章程使委员会的目的与机构的目标和长短期计划以及IT的目标和长短期计划联盟
增强确定和解决信息管理问题的意识、理解和技能的过程到位政策选择了满足正在变化着的目标和环境的机构机构的评估和修改的要求
决定IT职能部门效果和承诺的过程和绩效指标存在
高级管理层要确保角色和责任被执行
勾画机构内所有个人有关信息系统内部控制和安全的角色和责任的政策存在
增加内部控制和安全意识以及纪律的有规律的活动存在
质量保证的职能部门和政策存在
质量保证职能部门要充分地独立于系统开发人员,并要有执行其责任的适当人员和专门技术
确定时间资源并确保质量保证测试的完成以及系统或者系统变化被执行前的审批的质量保证之内的过程要到位
为了安全官的内部控制和安全(逻辑和物理两者)政策和程序的明确表达,管理层应正式地分配机构范围内的责任
安全官的职位的角色和责任的了解被充分地理解,并被证明与机构的信息安全政策一致机构的安全政策清晰地定义每一个信息资产的所有者(如,用户、管理层和安全管理员)被要求执行的信息安全的责任
含盖数据和系统所有者所有主要数据源和系统的政策和程序存在
有规律地评价并维护数据和系统所有者变化的程序存在
描述监督实践,确保角色和责任被适当地行使,并且所有的人员
涉密计算机信息系统的安全审计
涉密计算机信息系统的安全审计 来源:CIO时代网 一、引言 随着网络的发展,网络信息的安全越来越引起世界各国的重视,防病毒产品、防火墙、入侵检测、漏洞扫描等安全产品都得到了广泛的应用,但是这些信息安全产品都是为了防御外部的入侵和窃取。随着对网络安全的认识和技术的发展,发现由于内部人员造成的泄密或入侵事件占了很大的比例,所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到重视,要做到这点就需要在网络中实现对网络资源的使用进行审计。 在当今的网络中各种审计系统已经有了初步的应用,例如:数据库审计、应用程序审计以及网络信息审计等,但是,随着网络规模的不断扩大,功能相对单一的审计产品有一定的局限性,并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一,跨地区、跨网段、集中管理才是综合审计系统最终的发展目标。 本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后的发展方向做出了讨论。 二、什么是安全审计 国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖),简称“五性”。安全审计是这“五性”的重要保障之一,它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进行安全审计,记录所有发生的事件,提供给系统管理员作为系统维护以及安全防范的依据。安全审计如同银行的监控系统,不论是什么人进出银行,都进行如实登记,并且每个人在银行中的行动,乃至一个茶杯的挪动都被如实的记录,一旦有突发事件可以快速的查阅进出记录和行为记录,确定问题所在,以便采取相应的处理措施。 近几年,涉密系统规模不断扩大,系统中使用的设备也逐渐增多,每种设备都带有自己的审计模块,另外还有专门针对某一种网络应用设计的审计系统,如:操作系统的审计、数据库审计系统、网络安全审计系统、应用程序审计系统等,但是都无法做到对计算机信息系统全面的安全审计,另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况,就需要对每种设备的审计模块熟练操作,并且结合多种专用审计产品才能够做到。 为了能够方便地对整个计算机信息系统进行审计,就需要设计综合的安全审计系统。它的目标是通过数据挖掘和数据仓库等技术,实现在不同网络环境中对网络设备、终端、数据资源等进行监控和管理,在必要时通过多种途径向管理员发出警告或自动采取排错措施,并且能够对历史审计数据进行分析、处理和追踪。主要作用有以下几个方面: 1. 对潜在的攻击者起到震慑和警告的作用; 2. 对于已经发生的系统破坏行为提供有效的追究证据; 3. 为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞; 4. 为系统管理员提供系统的统计日志,使系统管理员能够发现系统性能上的不足或需要改进和加强的地方。 三、涉密信息系统安全审计包括的内容 《中华人民共和国计算机信息系统安全保护条例》中定义的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。涉密计算机信息系统(以下简称“涉密信息系统”)在《计算机信息系统保密管理暂行规定》中定义为:采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。所以针对涉密信息系统的安全审计的内容就应该
管理系统信息系统期末考试试题库
管理信息系统试题库 一、单项选择题 1.当计算机在管理中的应用主要在于日常业务与事务的处理、定期提供系统的 业务信息时,计算机的应用处于()。 A. 管理信息系统阶段 B. 决策支持系统阶段 C. 电子数据处理阶段 D. 数据综合处理阶段 2.下面关于DSS的描述中正确的是()。 A.DSS是解决结构化和半结构化问题的信息系统 B.DSS中要求有与MIS中相同的数据库及其管理系统 C.DSS不仅支持决策者而且能代替决策者进行决策 D.DSS与决策者的工作方式等社会因素关系密切 3.ES的特点不包括()。 A.掌握丰富的知识,有专家水平的专门知识与经验 B.有通过学习或在运行中增长和扩大知识的能力 C.自动识别例外情况 D.有判别和推理的功能 4.管理系统中计算机应用的基本条件包括科学的管理基础、领导的支持与参与 及()。 A. 报表文件统一 B. 数据代码化 C. 建立组织机构 D. 建立专业人员队伍和培训 5.在因特网中用E-mail发送邮件,实现的实体间联系是()。 A. 1:1 B. 1:n C. n:1 D. m:n 6.为了解决数据的物理独立性,应提供某两种结构之间的映像,这两种结构为 ()。 A. 物理结构与用户结构 B. 逻辑结构与物理结构 C. 逻辑结构与用户结构 D. 概念结构与逻辑结构 7.系统结构化分析和设计的要点是()。 A. 由顶向下 B. 由底向上 C. 集中 D. 分散平等 8.在各种系统开发方法中,系统可重用性、扩充性、维护性最好的开发方法是
()。 A. 原型法 B. 生命周期法 C. 面向对象的方法 D. 增长法 9.在诺兰模型中,开始对计算机的使用进行规划与控制是在()。 A. 集成阶段 B. 成熟阶段 C. 控制阶段 D. 数据管理阶段 10.企业系统规划法的基本概念是:()地进行系统规划和()地付诸实 施。 A. 自上而下,自下而上 B. 自下而上,自上而下 C. 自上而下,由总到分 D. 由总到分,自上而下 11.从管理系统中计算机应用的功能来看,计算机在管理系统中应用的发展依次 为()。 A. EDP、DSS、MIS、EIS B. DSS、EDP、MIS、EIS C. MIS、EDP、DSS、EIS D. EDP、MIS、DSS、EIS 12.DSS的工作方式主要是()。 A. 人机对话方式 B. 键盘操作方式 C. 交互会话方式 D. 非交互会话方式 13.专家系统有两个核心组成部分,即知识库和()。 A. 数据库 B. 推理机 C. 方法库 D. 决策模型 14.处理功能分析常用的方法有:决策树、决策表和()。 A. 结构化语言 B. 数据字典 C. 数据功能格栅图 D. E-R图 15.在医院,患者与医生的关系是属于()。 A. 1:1 B. 1:n C. n:1 D. m:n 16.系统开发中强调系统的整体性,它采用先确定()模型,再设计() 模型的思路。 A. 实体,用户 B. 用户,实体 C. 逻辑,物理 D. 物理,逻辑 17.生命周期法的主要缺点是难以准确定义用户需求,及()。 A.阶段不明确
国际信息系统审计标准(中文版)
信息系统审计标准 S1-审计章程 导言 01 ISACA 标准和其它相关指南包含强制性的基本原则和重要程序(以粗体标出)。 02 制定信息系统审计标准的目的是就审计章程在审计程序中的运用制定和提供指南。 标准 03 信息系统审计职能或信息系统审计任务的目的、责任、授权方和义务应在审计章程或委托书中予以正确的登载。 04 审计章程或委托书应在组织内的适当层次得到同意和通过。 注释 05 对于内部信息系统审计职能,应为所有进行中的业务活动制定一份审计章程。审计章程应通过年度审查。如果责任发生变动或变化,则应缩短审查周期。内部信息系统审计师可用委托书来进一步澄清或确认参与特定的审计或非审计任务。外部信息系统审计师参与每项审计或非审计任务通常应当准备委托书。 06 审计章程或委托书应足够详细以便能表达审计功能或审计任务的目的、责任和限制。 07 审计章程或委托书应定期审查,以确保(审计的)目的和责任已经记录在案。 08 如需有关准备审计章程或委托书进一步的信息,应参考下列指南: 信息系统审计指南G5,审计章程 COBIT 框架,监控目标M4 实施日期 09 此ISACA 标准适用于所有信息系统的审计,于2005 年1 月1 日起(之后)实施。 信息系统(IS)审计的专业性和进行这类审计所需的技术,要求制定出专门适用于信息系统审计的标准。推进全球适用的标准以 实现这个目标是信息系统审计与控制协会(ISACA?)的宗旨之一。信息系统审计标准的发展和传播是ISACA 为审计业界作出专 业贡献的基础。信息系统审计标准的框架提供了多层次的指引: 标准为信息系统审计和报告定义了强制性的要求。它们宣告: –根据ISACA 职业道德规范中关于职业责任的规定,信息系统审计师的执行绩效所应达到的最低标准。 –管理层和其他利益方对执业者在专业工作上的期待。 –认证信息系统审计师(CISA?)资格持有人的相关特定要求。CISA 资格持有人未能遵守上述标准的可能会导致ISACA 董事会或相应ISACA 委员会对其进行调查直至最终的纪律处分。 指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南,同时作出职业判断,对背离 标准的做法应随时提供解释。信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。 程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的 信息,但并非硬性规定。信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。COBIT?资源应被当作最佳操作实施指南的来源。COBIT 框架强调,“保护企业的所有资产是管理层的责任,为履行这一责任以及 实现企业的期望,管理层必须建立起一套完善的内部监控体系。” COBIT 为信息系统管理环境提供了详细的监控和监控方法。
信息系统安全审计管理制度
信息系统安全审计管理制度 第一章工作职责安排 第一条安全审计员的职责是: 1.制定信息安全审计的范围和日程; 2.管理具体的审计过程; 3.分析审计结果并提出对信息安全管理体系的改进意见; 4.召开审计启动会议和审计总结会议; 5.向主管领导汇报审计的结果及建议; 6.为相关人员提供审计培训。 第二条评审员由审计负责人指派,协助主评审员进行评审,其职责是: 1.准备审计清单; 2.实施审计过程; 3.完成审计报告; 4.提交纠正和预防措施建议; 5.审查纠正和预防措施的执行情况。 第三条受审员来自相关部门,其职责是: 1.配合评审员的审计工作; 2.落实纠正和预防措施; 3.提交纠正和预防措施的实施报告。 第二章审计计划的制订
第四条审计计划应包括以下内容: 1.审计的目的; 2.审计的范围; 3.审计的准则; 4.审计的时间; 5.主要参与人员及分工情况。 第五条制定审计计划应考虑以下因素: 1.每年应进行至少一次涵盖所有部门的审计; 2.当进行重大变更后(如架构、业务方向等),需要进行一次涵盖所有部门的审计。 第三章安全审计实施 第六条审计的准备: 1.评审员需事先了解审计范围相关的安全策略、标准和程序; 2.准备审计清单,其内容主要包括: 1)需要访问的人员和调查的问题; 2)需要查看的文档和记录(包括日志); 3)需要现场查看的安全控制措施。 第七条在进行实际审计前,召开启动会议,其内容主要包括:1.评审员与受审员一起确认审计计划和所采用的审计方式,如在审计的内容上有异议,受审员应提出声明(例如:限制可访问的人员、可调查的系统等);
2.向受审员说明审计通过抽查的方式来进行。 第八条审计方式包括面谈、现场检查、文档的审查、记录(包括日志)的审查。 第九条评审员应详细记录审计过程的所有相关信息。在审计记录中应包含下列信息: 1.审计的时间; 2.被审计的部门和人员; 3.审计的主题; 4.观察到的违规现象; 5.相关的文档和记录,比如操作手册、备份记录、操作员日志、软件许可证、培训记录等; 6.审计参考的文档,比如策略、标准和程序等; 7.参考所涉及的标准条款; 8.审计结果的初步总结。 第十条如怀疑与相关安全标准有不符合项的情况, 审计员应记录所观察到的详细信息(如在何处、何时,所涉及的人员、事项,和具体的情况等)并描述其为什么不符合。关于不符合的情况应与受审员达成共识。 第十一条在每项审计结束时应准备审计报告,审计报告应包括: 1.审计的范围; 2.审计所覆盖的安全领域;
简述信息系统审计的主要内容--(出自第七单元)
第1页(共3页) 管理学作业答题纸 管理信息系统作业02(第5-8单元)答题纸 学籍号:姓名:分数: 学习中心:专业:____________ 本次作业满分为100分。请将每道题的答案写在对应题目下方的横线上。 题目1 [50 分] 答:内部控制制度审计:为了保证信息系统能够安全可靠地运行,严格内部控制 制度十分必要,它可以保证数据功能所产生的信息具有正确性、完整性、及时性 和有效性。 应用程序审计:计算机应用程序审计是信息系统审计的重要内容,这是因为企业 处理经济业务的目的、原则和方法都体现在计算机程序之中,他们是否执行国家 的方针政策,是否执行财经纪律和制度也往往在应用程序中体现出来。 数据文件审计:数据文件审计包括由打印机打印出来的数据文件和存储在各种介 质之上的数据文件的审计,包括会计凭证、会计帐本和会计报表,需要通过信息 技术进行测试。主要包括三个方面: 测试信息系统数据文件安全控制的有效性; 测试信息系统数据文件安全控制的可靠性; 测试信息系统数据文件安全控制的真实性和准确性。 处理系统综合审计:对信息系统中的硬件功能、输入数据、程序和文件4个因素 进行综合的审计,以确定其可靠性和准确性。 系统开发审计: 指对信息系统开发过程进行审计。包括两个目的:一是要检查开发的方法和程序 是否科学合理,是否受到恰当的控制;
第2页(共3页)二是要检查开发过程中产生的系统资料和凭证是否符合规范。 题目2 [50 分] 答:(1) 模块 通常是指用一个名字就可以调用的一段程序语句为物理模块。 在模块结构图中,用长方形框表示一个模块,长方形中间标上能反映模块处理功 能的模块名字。 模块名通常由一个动词和一个作为宾语的名词组成。 (2) 调用 模块间用箭头线联接,箭尾表示调用模块,箭头表示被调用模块。箭尾菱形表示 有条件调用,弧形箭头表示循环调用。 调用关系有:直接调用、条件调用(判断调用)和循环调用(重复调用)。(3) 数据 模块之间数据的传递,使用与调用箭头平行的带空心圆的箭头表示,并在旁边标 上数据名。箭头方向表示数据传送方向。 (4) 控制信息 为了指导程序下一步的执行,模块间有时还必须传送某些控制信息,例如,数据 输入完成后给出的结束标志。 控制信息与数据的主要区别是前者只反映数据的某种状态,不必进行处理。在模 块结构图中,用带实心圆点的箭头表示控制信息。 其中专业理论知识内容包括:保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括:岗位操作指引、勤务技能、消防技能、军事技能。 二.培训的及要求培训目的 安全生产目标责任书
管理信息系统期末考试试题库
管理信息系统试题库 一、单项选择题(每小题2分,共计20分,把你认为正确答案的代码填入括号内) 1.当计算机在管理中的应用主要在于日常业务与事务的处理、定期提供系统的 业务信息时,计算机的应用处于()。 A. 管理信息系统阶段 B. 决策支持系统阶段 C. 电子数据处理阶段 D. 数据综合处理阶段 2.下面关于DSS的描述中正确的是()。 A.DSS是解决结构化和半结构化问题的信息系统 B.DSS中要求有与MIS中相同的数据库及其管理系统 C.DSS不仅支持决策者而且能代替决策者进行决策 D.DSS与决策者的工作方式等社会因素关系密切 3.ES的特点不包括()。 A.掌握丰富的知识,有专家水平的专门知识与经验 B.有通过学习或在运行中增长和扩大知识的能力 C.自动识别例外情况 D.有判别和推理的功能 4.管理系统中计算机应用的基本条件包括科学的管理基础、领导的支持与参与 及()。 A. 报表文件统一 B. 数据代码化 C. 建立组织机构 D. 建立专业人员队伍和培训 5.在因特网中用E-mail发送邮件,实现的实体间联系是()。 A. 1:1 B. 1:n C. n:1 D. m:n 6.为了解决数据的物理独立性,应提供某两种结构之间的映像,这两种结构为 ()。 A. 物理结构与用户结构 B. 逻辑结构与物理结构 C. 逻辑结构与用户结构 D. 概念结构与逻辑结构 7.系统结构化分析和设计的要点是()。
A. 由顶向下 B. 由底向上 C. 集中 D. 分散平等 8.在各种系统开发方法中,系统可重用性、扩充性、维护性最好的开发方法是 ()。 A. 原型法 B. 生命周期法 C. 面向对象的方法 D. 增长法 9.在诺兰模型中,开始对计算机的使用进行规划与控制是在()。 A. 集成阶段 B. 成熟阶段 C. 控制阶段 D. 数据管理阶段 10.企业系统规划法的基本概念是:()地进行系统规划和()地付诸实 施。 A. 自上而下,自下而上 B. 自下而上,自上而下 C. 自上而下,由总到分 D. 由总到分,自上而下 11.从管理系统中计算机应用的功能来看,计算机在管理系统中应用的发展依次 为()。 A. EDP、DSS、MIS、EIS B. DSS、EDP、MIS、EIS C. MIS、EDP、DSS、EIS D. EDP、MIS、DSS、EIS 12.DSS的工作方式主要是()。 A. 人机对话方式 B. 键盘操作方式 C. 交互会话方式 D. 非交互会话方式 13.专家系统有两个核心组成部分,即知识库和()。 A. 数据库 B. 推理机 C. 方法库 D. 决策模型 14.处理功能分析常用的方法有:决策树、决策表和()。 A. 结构化语言 B. 数据字典 C. 数据功能格栅图 D. E-R图 15.在医院,患者与医生的关系是属于()。 A. 1:1 B. 1:n C. n:1 D. m:n 16.系统开发中强调系统的整体性,它采用先确定()模型,再设计() 模型的思路。 A. 实体,用户 B. 用户,实体 C. 逻辑,物理 D. 物理,逻辑
信息系统审计中需要注意的环节-2019年文档
信息系统审计中需要注意的环节 信息系统审计,是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。审计的主要目标是通过检查和评价被审计单位信息系统的安全性、可靠性和经济性,揭示信息系统存在的问题,提出完善信息系统控制的审计意见和建议,促进被审计单位信息系统实现组织目标;同时,通过检查和评价信息系统产生数据的真实性、完整性和正确性,防范和控制审计风险。本人就近几年参与信息化系统审计的经历,对审计过程中需要注意的环节做一些探讨。 一、信息系统项目的选择 对信息系统项目的选择一般要考虑到几点:信息系统作为一个独立的项目来开展审计还是把信息系统作为一个子项目来审计;信息系统项目是被审计单位的核心业务,信息系统审计与常规审计的目标一致或相关,两者关联密切,能够相互补充,如医院的收费业务系统、企业的ERP系统等;项目已完工结算正常运行,这样便于对项目进行整体的审计评价;项目涉及资金量较大,涉及部门和人员较多,内部控制存在问题;信息系统项目为本地区公益民生项目,例如“金保”工程、天网工程等。 二、做好审前调查,确定审计重点 审前调查是审计的重要组成部分,直接关系到审计方案如何制定、如何安排审计人员以及审计风险是否可控。审前调查的内
容一般应包含:(1)调查了解被审计单位相关经济业务活动所依赖信息系统的业务内容、业务流程、业务规模、资金流和信息流等;(2)调查了解信息系统的总体框架、技术架构、业务实现流程、数据运行流程、系统功能结构、系统网络结构和应用部署模式等;(3)调查了解信息系统建设的项目管理、投资管理、绩效评估情况和文档资料;(4)调查了解被审计单位信息化项目建设规划和标准、基本管理制度和单位绩效目标。 在调查了解的基础上,深入分析被审计单位信息部门在该单位的职责地位以及部门人员的具体分工;项目中如何划定信息人员、管理人员和财务使用人员之间的职责分工;被审计单位业务流程与信息化的耦合度如何;信息系统业务流程涉及的主要部门,权限分配如何;检查被审计单位信息机房设备是否符合标准要求,数据库等软件的国产化程度和程序数据接口标准;单位系统和数据安全评估等级;被审计单位在财务上如何与业务数据进行对接,是否数据上保持一致;数据恢复和备份情况等。通过以上分析,关注信息系统中的一些关键环节、容易忽略的地方,把握整体,抓住主要问题,避免审计风险。例如审计医院的业务系统,应该关注医院各个部门的工作职责、整个的药品流程、医疗项目收费流程和处方流程等。 三、审计内容和方法 信息系统审计的内容一般有应用控制、一般控制和项目管理审计。审计当中要看具体情况,内容的侧重点由被审计单位信息
信息系统审计的指南(COBIT中文版)
COBIT信息技术审计指南(34个控制目标) 计划和组织(选择3/6/11) 1 定义战略性的信息技术规划(PO1)PO域 控制的IT过程: 定义战略性的IT规划 满足的业务需求: 既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成 实现路线: 在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划 需要考虑的事项: 企业的业务发展战略 IT如何支持业务目标的明确定义 技术解决方案和当前基础设施的详细清单 追踪技术市场 适时的可行性研究和现实性检查 已有系统的评估 在风险、进入市场的时机、质量方面,企业所处的位置 需要高级管理层出钱、支持和必不可少的检查 信息规 IT资源 P 效果 * 人员 S 效率 * 应用 * 技术 完整 * 设施 可用 * 数据 遵从 可靠 1.1 作为机构长期和短期计划一部分的IT 高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。在这一方面,高级管理层应 确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中。IT的长期、短期 计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合。 1.2 IT 长期计划 IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。计划编制的方法应包括寻求来自受IT战略计划影响的相关外部利害关系人引入的机制。相应地,管理层应执行一个长期计划的编制过程,采
用一种结构化的方法,并建立一个标准的计划结构。 1.3 IT 长期计划编制——方法与结构 对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法。这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。IT计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。计划编制期间,需要考虑和充分投入的方面包括:机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。已做出选择的好处应被明确地确定下来。IT 长期和短期计划应使绩效指标和目标合并在一起。计划本身还应参考其它的计划,比如机构的质量计划和信息风险管理计划。 1.4 IT 长期计划的变更 IT管理层和业务过程所有者应确保及时、准确地修改IT长期计划的过程的到位,以适应机构长期计划的变化和IT环境的变化。管理层应建立一个IT长期和短期计划开发和维护所需要的政策。 1.5 IT 功能的短期计划编制 IT管理层和业务过程的所有者应确保IT长期计划有规律地转换成IT短期计划。这样的短期计划应确保适当的IT功能资源以与IT长期计划容相一致的基础上来分配。短期计划应定期地进行再评估,并被作为适应正在变化的业务和IT环境所必须的事项而改进。可行性研究的及时执行应确保短期计划的实行是被充分地启动的。 1.6 IT 计划的交流 管理层应确保IT长期和短期计划同业务过程所有者以及跨越机构的其他相关部门人员的充分沟通。 1.7 IT 计划的监控和评估 管理层应建立一个流程,获取和报告来自业务过程所有者和用户有关长期和短期计划的质量及有效性的反馈。获取的反馈应予以评估,并在将来的IT计划编制中加以考虑。 1.8 现有系统的评估 在开发或变更战略规划或长期计划、IT计划之前,IT管理层应按照业务自动化的程度、功能性、稳定性、复杂性、成本、优势和劣势,评估现有信息系统,以确定现有系统支持机构业务需求的程度。 对高级和详细的控制目标进行审计: 获得了解: 访谈:
信息系统审计重点及应对措施
信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。随着计算机及网络技术的迅速发展,审计机关要想完成“全面审计,突出重点”的审计目标,担负起社会经济运行的“免疫系统”作用,就必须加快信息系统审计的步伐。为此,笔者认为,审计机关要开展好信息系统审计,就必须把握重点,加强组织,制定措施,积极推进。 一、开展信息系统审计应把握的重点 1、信息系统审计的目标和内容 信息系统审计目标:信息系统审计不仅要对系统信息的合法性、公允性进行审计,还要对信息系统的硬件和软件,以及整个信息系统的安全性、稳定性、内部控制的健全性与有效性等方面进行审计,指出被审计单位信息系统内部管理和控制上的薄弱环节,提高其信息系统的可靠性和真实性,有效地防止利用信息技术随意篡改系统信息或破坏磁介质上的数据等舞弊行为的发生。因此,信息系统审计目标不仅仅在于应用计算机进行审计(即传统EDI 审计或计算机辅助审计),更重要的是要对信息系统本身的安全性、稳定性及其实现组织目标的有效性进行实时的检查、评价和改造。 信息系统审计内容:主要包括信息系统开发过程审计、一般控制审计和应用控制审计三个方面。 2、信息系统审计的职能和方式 为了实现审计目标,保证和咨询应成为对信息系统进行审计的两大基本职能。“保证”即“系统可靠性保证”,就是通过对信息系统运行过程、商业连续性能力、维护状况进行评价,合理保证信息系统安全、稳定、有效,它是信息系统审计最基本的职能。“咨询”是指审计人员能够向信息系统的高层管理者以及使用者提供解决问题的方案,以达到改善经营和为组织增加价值的目的。 信息系统审计组织方式:一种是将信息系统审计作为常规项目审计的一部分,是为整个审计项目的总体目标服务的。检查信息系统本身及其内部控制的可靠性和有效性,为数据审计服务,最终通过审计数据得出审计结论,即数据审计、信息系统审计和系统内控审计“三位一体”的结合方式。另一种是独立立项的信息系统审计,直接针对信息系统进行审计,将信息系统本身的安全性、可靠性和有效性作为审计目标。现阶段开展的信息系统审计以第一种方式为主。 3、信息系统审计的依据和原则
会计信息系统期末考试案例题
业务流程和案例题 案例题 某集团 销售事业部冰箱事业部彩电事业部集团财务采购中心 北京公司上 海 公 司 广 州 公 司 海 滨 彩 电 泰 山 彩 电 西 北 彩 电 内 蒙 彩 电 1、集团财务 (1)集团财务主要负责对集团总部的日常报销 (2)集中采购,即各产品公司将采购信息发给集团,由集团统一进行采购,采购的物料直接到当地的公司的仓库 (3)负责整个集团的全面预算管理,集团统一制定预算体系,并对下属公司进行预算控制。 (4)各行业定期进行财务状况和经营成果的分析 2、销售事业部与其下属成员 (1)销售事业部是管理中心,对其在全国各地的销售公司进行管理。要求实时掌控各地销售公司的财务状况和经营成果,并进行横向对比分析 (2)各地的销售公司主要销售集团的各种产品,当地有仓库,进行统一存货核算。 3、彩电事业部与其下属成员 (1)彩电事业部是管理中心,对其在全国各地的生产彩电的公司进行管理。要求实时掌控各地生产型公司的财务状况和经营成果,并进行横向对比分析 (2)各地的生产型公司主要从事彩电生产,其采购申请提交给集团采购中心有材料仓库进行存货核算,其生产的产品销售给销售事业部,每月人产成品仓库。 要求: (1)集团财务会计信息系统应该具备哪些功能? (2)销售事业部和销售公司的会计信息系统应该具备那些功能? (3)彩电事业及其下属成员的会计信息系统应该具备哪些功能? 答:(1)这要根据企业集团类型和对分公司的管理要求来决定,这家企业集团是产业型企业集团,这种类型的企业集团对财务集中管理的要求比较高,往往对整个集团下属成员实行分散经营、集中管理,因此,会计信息系统从功能上讲,集团与成员单位的交集是最大的,集团总部应该涵盖所有功能模块或子系统,如总账、采购与付款管理、存货核算与管理、销与应收管理、生产、报告、继续评价等功能模型与子系统),做到集团与成员单位信息共享、单据在成员单位之间实时协同、预算体系和指标统一制定和共享、资金集中管理、集团能够利用信息评价整个集团成员的绩效等。 (2)销售事业部和销售公司会计信息系统应该具备功能。 销售事业部主要任务是完成销售核算与管理任务,销售公司是具体实现销售业务的经营单元,因此这两个层级的组织都应该选择与销售业务有关的功能模块或者子系统(如总账、销售与收款、存货、报表、绩效评价等模块)。 3. 彩电事业部与其下属成员会计信息系统应该具备功能。 彩电事业部主要任务是完成生产核算与管理任务,其下属成员是具体从事生产活动的单元,因此这两个层次的组织都应该选择与生产核算与管理有关的功能模型或者子系统(如总账、生产、存货、报表、绩效评价等模块)。
浅谈信息系统审计的内容和策略.
浅谈信息系统审计的内容和策略 摘要:伴随着科技进步和企业管理理念的发展,越来越多的组织更加依赖于信息技术。与此同时,对信息系统审计的研究和实践也正不断发生着变化。笔者认为,信息系统审计有其自身的特点,是审计的新领域,与传统审计相对独立,应从组织的整体风险控制、价值实现以及整个审计体系的角度来重新认识。 关键词:信息系统信息技术审计内容策略 伴随着科技进步和企业管理理念的发展,以计算机技术、通信技术以及网络技术为主要内容的信息技术在社会各行业的管理中正发挥着越来越重要的作用。无论是企事业单位,还是政府公共服务机构,都越来越依赖于信息系统。信息系统的可靠性、有效性和效率性影响着组织的正常运转。 与此同时,对信息系统审计的研究和实践也正不断发生着变化。从计算机辅助审计到面向系统数据的审计,再到对应用系统的审计,信息系统的审计范围和领域不断扩大。目前,对信息系统审计的认识受到较多传统审计的影响,不少研究人员认为信息系统条审计是传统审计的补充和延伸,是为传统审计提供支撑和服务的。但笔者认为,信息系统审计有其自身的特点,是审计的新领域,对信息系统审计的认识和研究要从企业整体风险控制、价值实现以及整个审计体系的角度来重新认识。 一、信息系统审计的内容 从信息系统在组织中所处地位以及信息系统的开发、运行和维护过程分析,信息系统审计应包括对IT治理结构审计等9个方面的主要内容。 1.对IT治理结构与实施的审计。信息技术过去被认为仅仅是企业组织战略的强化器,而现在被认为是组织战略的重要组成部分,越来越受到管理层的关注。通过有效使用安全、可靠的信息和适用的技术,IT治理有助于企业获得成功。因此,在对信息系统审计中,审计人员应首先关注组织的IT治理机构,判断组织是否做到了IT 与业务的融合,并保持目标一致。
网络安全审计系统(数据库审计)解决方案
数据库审计系统技术建议书
目次 1.综述 (1) 2.需求分析 (1) 2.1.内部人员面临的安全隐患 (2) 2.2.第三方维护人员的威胁 (2) 2.3.最高权限滥用风险 (2) 2.4.违规行为无法控制的风险 (2) 2.5.系统日志不能发现的安全隐患 (2) 2.6.系统崩溃带来审计结果的丢失 (3) 3.审计系统设计方案 (3) 3.1.设计思路和原则 (3) 3.2.系统设计原理 (4) 3.3.设计方案及系统配置 (14) 3.4.主要功能介绍 (5) 3.4.1.数据库审计....................... 错误!未定义书签。 3.4.2.网络运维审计 (9) 3.4.3.OA审计........................... 错误!未定义书签。 3.4.4.数据库响应时间及返回码的审计 (9) 3.4.5.业务系统三层关联 (9) 3.4.6.合规性规则和响应 (10) 3.4.7.审计报告输出 (12) 3.4.8.自身管理 (13) 3.4.9.系统安全性设计 (14) 3.5.负面影响评价 (16) 3.6.交换机性能影响评价 (17) 4.资质证书......................... 错误!未定义书签。
1.综述 随着计算机和网络技术发展,信息系统的应用越来越广泛。数据库做为信息技术的核心和基础,承载着越来越多的关键业务系统,渐渐成为商业和公共安全中最具有战略性的资产,数据库的安全稳定运行也直接决定着业务系统能否正常使用。 围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是IT治理人员和DBA们关注的焦点。做为资深信息安全厂商,结合多年的安全研究经验,提出如下解决思路: 管理层面:完善现有业务流程制度,明细人员职责和分工,规范内部员工的日常操作,严格监控第三方维护人员的操作。 技术层面:除了在业务网络部署相关的信息安全防护产品(如FW、IPS 等),还需要专门针对数据库部署独立安全审计产品,对关键的数据库操作行为进行审计,做到违规行为发生时及时告警,事故发生后精确溯源。 不过,审计关键应用程序和数据库不是一项简单工作。特别是数据库系统,服务于各有不同权限的大量用户,支持高并发的事务处理,还必须满足苛刻的服务水平要求。商业数据库软件内置的审计功能无法满足审计独立性的基本要求,还会降低数据库性能并增加管理费用。 2.需求分析 随着信息技术的发展,XXX已经建立了比较完善的信息系统,数据库中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存着诸如XXX等极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻则造成企业或者社会的经济损失,重则影响企业形象甚至社会安全。 通过对XXX的深入调研,XXX面临的安全隐患归纳如下:
基于CobiT的信息系统内部控制及审计
基于CobiT的信息系统内部控制及审计 随着计算机技术和网络技术的迅猛发展,企业高度依赖于信息系统来加强管理、提高效率,改进服务。会计电算化、电子商务(EC)、管理信息系统(MIS)、企业资源计划(ERP)的逐步实施与普及应用,使企业面临着前所未有的信息风险,信息系统的安全、可靠、效率也日益重要。 基于信息系统的重要性及IT挑战,产生了对信息系统进行控制和审计的需求,即信息系统内部控制和信息系统审计。面对信息系统审计具有的专业性、技术性和复杂性,信息系统审计与控制协会(ISACA)的IT治理学会(ITGI)制定出了专门适用于信息系统控制和审计的标准---CobiT,即信息及相关技术控制目标。这样以CobiT为基础进行信息系统控制和审计成为了可能。 一、信息系统内部控制、审计的理论框架 企业IT控制是企业内部控制的控制环境要素在受到IT广泛应用的影响之下而逐渐形成并发展的。IT控制所关注的对象是企业IT资产的整个运维状况,它与整个企业的内部控制应该是子集与全集的关系。COSO通常作为企业的整体内部控制框架,CobiT则是通用的IT控制框架。COSO框架已广为人知,在此主要介绍CobiT理论框架。 1、CobiT简介 CobiT---信息及相关技术控制目标,它是目前国际上公认的最先进、最权威的安全与信息技术管理和控制的标准,目前已经更新至第四版。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。CobiT将IT过程、IT资源及信息准则与企业的策略与目标联系起来,形成一个三维的体系结构(图1)。其中,信息准则维集中反映了企业使用IT的战略目标,包括信息技术应用的有效性、效率性、保密性、完整性、可用性、符合性、可靠性等7方面。IT资源维描述了IT治理过程的主要对象,有人员、基础设施、信息、应用系统等4类。IT过程维是对信息及相关资源进行规划与处理的过程,从信息系统生命周期的4个域确定了3 4个信息技术处理过程,每个处理过程包括详细的控制目标(215个)和与控制目标相联系的审计指南。CobiT框架从整体上把企业对IT标准的要求和对IT资源的需求紧密地融入到各个IT过程中。从CobiT的组成成分来看,不仅有管理指南,更有审计指南和具体的控制目标。管理指南提供了管理工具,对IT业务活动进行有效控制,以使IT与业务活动保持一致,并通过传送组织所需信息而使业务活动得以进行。管理指南给出了度量信息系统全生命周期各过程安全、可
关于信息系统审计的几点体会
关于信息系统审计的几点体会 CIO时代网 为保证审计质量,从本世纪初开始,信息系统审计作为一种全新的审计思维和审计方式越来越收到重视。所信息系统审计,是指通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。在审计中,信息系统审计关注的重点为系统是否存在不安全或不稳定的因素,防止公司的财务和业务数据出现失真。 在我国的审计实践中,信息系统审计成果似乎并明显,原因主要是目前存在以下三大困难:一是审计人员难以在短时间内透彻了解被审计单位的信息系统。一般来说,信息系统有通用和定制两种。通用的信息系统多用于小型的数据管理,由专业的软件公司开发后打包在市场销售,被审计单位人员仅仅是使用者,审计人员无法获得开发设计的细节;而定制的系统多用于大型的数据管理,由软件公司或内部的开发部门根据企业的应用量身定做,这类系统技术文档和技术支持比较完善,但是由于系统过于庞大,细节设计过于复杂,审计人员在有限的审计时间内难以对系统进行评估。二是难以发现系统内的瑕疵。从表面看,信息系统的各项令人眼花缭乱的模块好像都很正常,无论是从开发文档还是操作手册都不会直接列出系统的瑕疵,而且在现场审计中,审计人员一般不允许对正在运行的系统进行测试,较难识别系统的问题。三是难以评估系统瑕疵所导致的后果。在审计实践中,即使审计人员发现了信息系统的瑕疵,但是未发现该瑕疵导致的已经存在的后果,常常使得审计结论缺乏直接证据。 虽然信息系统审计面对以上诸多难题,但是笔者认为审计人员可以打破常规,从以下几个方面创造性地开展审计工作。 首先,审计人员可以通过整体评价被审计单位的信息系统重要性的基础上,确定审计重点。为了提高信息系统审计的效率,选取的系统最好满足下列条件:属于被审计单位的核心业务或财务系统,系统数据的真实性和完整性对被审计单位的安全生产和损益核算有着直接影响,同时要求该系统有着完整的技术文档,最好能够获得数据库管理员和系统开发公司维护人员的支持。当然,如果系统功能很简单,可不受上述条件限制。 其次,审计人员应用内控测试和数据审计两种方式对选定的系统进行分析,一般能迅速找出信息系统存在的瑕疵,尤其是人为舞弊的线索。 1.信息系统的内部控制测试。审计人员在了解系统业务处理流程的基础上对信息系统进行内控测试,然后作出风险评价。根据COSO发布的《内部控制-整体框架》,内控测试主要包含四个方面的内容:对控制环境的测试、对风险的评估、对信息与沟通的测试和对监督的测试。在进行信息系统审计时,可以对目标系统的上述四个方面对系统进行测试评价,测试目的: (1)控制环境管理层的技术和管理水平合格的系统管理层人员需要有技术和业务的双重背景,可以组织系统的运行升级和处理突发的意外情况。否则,容易出现系统不能良好地支持业务运行等情况。 (2)维护和操作人员的技术水平系统的维护和操作人员需要有可以完成工作职责的技术水平,否则容易出现系统无法推广和各种意外频出等情况。 (3)组织结构及职权与责任分配不恰当的职权分配容易给人为篡改数据及越权操作提供便利。 同时,分析系统的组织结构可以确定审计的重点位于集团公司的哪个层面。 (1)企业高层的重视程度企业高层重视系统才能获得足够的资源; (2)与系统有关人员的诚信和道德价值水平该指标评估人员是否有影响系统真实性和安全性的动机;
信息安全审计报告
涉密计算机安全保密审计报告 审计对象:xx计算机审计日期:xxxx年xx月xx日审计小组人员组成:姓名:xx 部门:xxx 姓名:xxx 部门:xxx 审计主要内容清单: 1. 安全策略检查 2. 外部环境检查 3. 管理人员检查 审计记录 篇二:审计报告格式 审计报告格式 一、引言 随着网络的发展,网络信息的安全越来越引起世界各国的重视,防病毒产品、防火墙、 入侵检测、漏洞扫描等安全产品都得到了广泛的应用,但是这些信息安全产品都是为了防御 外部的入侵和窃取。随着对网络安全的认识和技术的发展,发现由于内部人员造成的泄密或 入侵事件占了很大的比例,所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到 重视,要做到这点就需要在网络中实现对网络资源的使用进行审计。 在当今的网络中各种审计系统已经有了初步的应用,例如:数据库审计、应用程序审计 以及网络信息审计等,但是,随着网络规模的不断扩大,功能相对单一的审计产品有一定的 局限性,并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一,跨地 区、跨网段、集中管理才是综合审计系统最终的发展目标。 本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后 的发展方向做出了讨论。 二、什么是安全审计 国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、 可控性、可用性和不可否认性(抗抵赖),简称“五性”。安全审计是这“五性”的重要保障之 一,它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进 行安全审计,记录所有发生的事件,提供给系统管理员作为系统维护以及安全防范的依据。 安全审计如同银行的监控系统,不论是什么人进出银行,都进行如实登记,并且每个人在银 行中的行动,乃至一个茶杯的挪动都被如实的记录,一旦有突发事件可以快速的查阅进出记 录和行为记录,确定问题所在,以便采取相应的处理措施。 近几年,涉密系统规模不断扩大,系统中使用的设备也逐渐增多,每种设备都带有自己 的审计模块,另外还有专门针对某一种网络应用设计的审计系统,如:操作系统的审计、数 据库审计系统、网络安全审计系统、应用程序审计系统等,但是都无法做到对计算机信息系 统全面的安全审计,另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面 综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况, 就需要对每种设备的审计模块熟练操作,并且结合多种专用审计产品才能够做到。 为了能够方便地对整个计算机信息系统进行审计,就需要设计综合的安全审计系统。它 的目标是通过数据挖掘和数据仓库等技术,实现在不同网络环境中对网络设备、终端、数据 资源等进行监控和管理,在必要时通过多种途径向管理员发 出警告或自动采取排错措施,并且能够对历史审计数据进行分析、处理和追踪。主要作 用有以下几个方面: 1. 对潜在的攻击者起到震慑和警告的作用; 2. 对于已经发生的系统破坏行为提供有效的追究证据; 3. 为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行 为或潜在的系统漏洞; 4. 为系统管理员提供系统的统计日志,使系统管理员能够发现系统性能上的不足或需要 改进和加强的地方。