信息系统审计重点

逻辑的正确性达到实质性测试目的）数据文件审计（审计目的一是对数据文件进行实质性测试，二是通过数据文件的审计，测试一般控制或应用控制的符合性，但主要是为了实质性测试）（这是道简答题，在P8各个小概括下）

信息系统审计的基本方法：绕过信息系统审计、通过信息系统审计

信息系统审计的步骤（大题P11）：

准备阶段：明确审计任务，组成信息系统审计小组，了解被审计系统的基本情况，指定信息系统审计方案，发出审计通知书

实施阶段：对被审计系统的内部控制制度进行健全性调查和符合性测试，对账表单证或数据文件的实质性审查

终结阶段：整理归纳审计资料，撰写审计报告，发出审计结论和决定，审计资料的归档和管理国际信息系统审计准则：由信息系统审计与控制协会（ISACA）颁布和实施的。ISACA是国际上唯一的信息系统审计专业组织，通过制定和颁布信息系统审计标准、指南和程序来规范审计师的工作，它由三个层次构成：

审计标准（审计标准是整个信息系统准则体系的

总纲，是制定审计指南和作业程序的基础和依据）

审计指南（审计指南为审计标准的应用提供了指引，信息系统审计师在审计过程中应考虑如何应用指南以实现审计标准的要求，在应用过程中灵活运用专业判断并纠正任何偏离准则的行为）作业程序（作业程序提供了信息系统审计师在审计过程中可能遇到的审计程序的示例）

信息系统审计师应具备的素质（大题P18-19）应具备的理论知识:传统审计理论、信息系统管理理论、计算机科学、行为科学理论

应具有的实践技能：参加过不同类别的工作培训、参与专业的机构或厂商组织的研讨会，动态掌握信息技术的新发展对审计实践的影响、具有理解信息处理活动的各种技术、理解并熟悉操作环境，评估内部控制的有效性、理解现有与未来系统的技术复杂性，以及它们对各级操作与决策的影响、能使用技术的方法去识别系统的完整性、要参与评估与使用信息技术相关的有效性、效率、风险等、能够提供审计集成服务并为审计员工提供指导，与财务审计师一起对公司财务状况做出说明、具备系统开发方法论、安全控制设

计、实施后评估等、掌握网络相关的安全实践、信息安全服务、灾难恢复与业务持续计划、异步传输模式等通信技术。

IT治理定义：德勒定义：IT治理是一个含义广泛的概念，包括信息系统、技术、通信、商业、所有利益相关者、合法性和其他问题。其主要任务是保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，IT相关风险的适当管理。

IT治理必须与企业战略目标一致，IT对于企业非常关键，也是战略规划的组成，影响战略竞争；IT治理和其他治理主体一样，是管理执行人员和利益相关者的责任（以董事会为代表）；IT治理保护利益相关者的权益，使风险透明化，指导和控制IT投资、机遇、利益、风险；IT治理包括管理层、组织结构、过程，以确保IT维护和拓展组织战略目标；应该合理利用企业的信息资源，有效的集成与协调；确保IT及时按照目标交付，有合适的功能和期望的收益，是一个一致性和价值传递的基本构建模块，有明确的期望值和衡量手段；引导IT战略平衡系统的投资，支持企业，变革企业，或者创建一个信息基础架构，

保证业务增长，并在一个新的领域竞争。

IT治理和IT管理的关系：IT管理是在既定的IT治理模式下，管理层为实现公司的目标二采取的行动，IT治理规定了整个企业IT运作的基本框架，IT管理则是在这个既定的框架下驾驭企业奔向目标。缺乏良好IT治理模式的公司，即使有很好的IT管理体系，就想一座地基不牢固的大厦；同时，没有公司IT管理体系的流畅，单纯的治理模式也只能是一个美好的蓝图，而缺乏实际的内容。

公司治理和IT治理：公司治理，驱动和调整IT 治理。同时，IT能够提供关键的输入，形成战略计划的一个重要组成部分，即IT影响企业的战略竞争机遇。

IT治理标准：ITIL、COBIT BS7799 PRINCE2 IT治理成熟度模型：不存在、初始级、可重复级、已定义级、已管理级、已优化级（主要内容及其作用在P47-48）

信息系统内部控制：是一个单位在信息系统环境下，为了保证业务活动的有效进行，保护资产的安全与完整，防止、发现、纠正错误与舞弊、确保信息系统提供信息的真实、合法、完整，而制

定和实施的一系列政策与程序措施。凡是与信息系统的建立、运作维护、管理和业务处理有关的部门、人员和活动，都属于信息系统内部控制的对象，可分为一般控制和应用控制。

信息系统一般控制是应用于一个单位信息系统全部或较大范围的内部控制，其基本目标为保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的继续运行等。信息系统应用控制是用于对具体应用系统的控制，一个应用系统一般由多个相关计算机程序组成，有些应用系统可能是复杂的综合系统，牵涉到多个计算机程序和组织单元，与此相对应，应用控制包括包含在计算机编码中的日常控制及与用户活动相关的政策和流程。

良好的一般控制是应用控制的基础，可以为应用控制的有效性提供有力的保障，某些应用控制的有效性取决于计算机整体环境控制的有效性。当计算机整体环境控制薄弱时，应用控制就无法真正提供合理保障。如果一般控制审计结果很差，应用控制审计结果很差，应用控制审计就没有进行的必要。

审计逻辑访问安全策略：知所必需原则

审查离职员工的访问控制：请辞、聘用合同期满和非自愿离职

数据库加密：一般采用公开密钥加密方法

系统访问控制及其审计：系统访问就是利用计算机资源达到一定目的的能力，对计算机化的信息资源的访问可以基于逻辑方式，也可以基于物理方式。物理访问控制可以限制人员进出敏感区域。对计算机信息的物理访问与逻辑访问应当建立在“知所必需”的基础上，按照最小授权原则和职责分离原则来分配系统访问权限，并把这些访问规则与访问授权通过正式书面文件记录下来，作为信息安全的重要文件加以妥善管理。

身份识别与验证（简答题P65-66）：逻辑访问控制中的身份识别与验证是一种提供用户身份证明的过程，在这个过程中，用户向系统提交有效的身份证明，系统验证这个身份证明后向用户授予访问系统的能力。可分为三类：“只有你知道的事情”“只有你拥有的东西”“只有你具有的特征” 例子：账号与口令、令牌设备、生物测定技术与行为测定技术。

逻辑访问授权：一般情况下逻辑访问控制基于最小授权原则，支队因工作需要访问信息系统的人