信息系统审计ppt课件

合集下载

信息系统审计ppt课件

《信息系统审计》
本课程主要内容:
信息系统审计概论 IT治理审计信息系统架构控制与审计信息系统开发及审计信息系统运营与维护审计信息安全控制与审计信息系统审计技术方法
NANJING AUDIT UNIVERSITY
NANJING AUDIT UNIVERSITY
信息系统审计概论 ISA的定义、目标、内容、信息系统审计风险、信息
及提出改进建议。
第一章信息系统审计概论
NANJING AUDIT UNIVERቤተ መጻሕፍቲ ባይዱITY
信息系统审计师相关知识和能力要求：
知识要求: 审计学相关知识: 审计学的基本理论、实务信息系统计划、开发和运营等相关知识：
.信息系统构成相关知识； ·信息化战略规划、构想、提案、立项等相关知识； ·系统设计、程序设计、软件测试等相关知识； ·系统操作和管理、数据管理等相关知识；信息系统审计实施相关知识：
是最有权威的信息系统审计行业组织，总部设在美国。主要从事ISA相关理论与实务研究，制定相关ISA标准、规范、执业指南等；也是唯一有权授予国际信息系统审计师资格的跨国界、跨行业的专业机构。
第一章信息系统审计概论
NANJING AUDIT UNIVERSITY
CISA：（Certified Information System Auditor，注册信息系统审计师）：
信息系统安全控制与审计信息技术环境下信息系统的脆弱性和威胁，使信息系
统及其产生的信息存在信息安全风险。本章主要介绍如何对信息系统进行安全审计与控制，从而使信息系统的风险降到最低。
NANJING AUDIT UNIVERSITY
信息系统审计技术与方法面对错综复杂的信息系统和审计环境，向审计人员提

《信息系统审计内容》课件

《信息系统审计内容》 PPT课件
本课件将介绍信息系统审计的内容，包括定义、意义、分类和流程，以及不同类型的审计与实践案例。鼓励学习者深入了解和研究信息系统审计。
第一部分：介绍信息系统审计
• 信息系统审计的定义及概念 • 信息系统审计的意义和目的 • 信息系统审计的分类和类型 • 信息系统审计的流程与方法
第二部分：信息系统审计的内容
信息ቤተ መጻሕፍቲ ባይዱ统的组成与管理审计
审计信息系统的架构、组件、与管理流程，确保其有效运作和风险的管理。
信息系统运行和性能审计
分析和评估信息系统的运行状况、性能及效率，以确保系统满足用户需求和业务目标。
信息系统安全性审计
评估信息系统的安全策略、控制措施和风险管理，以保护数据和系统不受恶意活动的影响。
信息系统使用与合规性审计
审计信息系统的合规性，包括合规性策略和操作，并确保系统妥善使用和遵守相关法规。
信息系统风险管理审计
评估信息系统的风险管理框架和过程，以减少潜在风险和应对紧急情况。
其他相关内容的审计
审计其他与信息系统相关的内容，如数据质量、业务连续性和合同管理等。
第三部分：信息系统审计的实践案例
讨论信息系统审计报告的撰写和提交流程，以及如何向相关方面传达审计发现。
结束语
• 总结信息系统审计的重要性和必要性 • 展望未来信息系统审计的发展趋势 • 鼓励学习者进一步了解和研究信息系统审计
大型公司信息系统审计实践案例
探索大型公司如何进行信息系统审计，以确保业务运行的透明度和合规性。
政府机关信息系统审计实践案例
了解政府机关如何审计信息系统，以保护敏感数据和公共利益的安全。
国内外企业信息系统审计实践案例

审计信息化原理与方法CH07简明教程PPT课件

2.工作目标和主要任务 (1) 工作目标 ① 项目收尾验收。 ② 项目由实施转为后续维护。 (2) 主要任务 ① 项目总结。 ② 交付项目文档。 ③ 与客户进行项目确认验收。 3. 项目验收具体工作 (1) 项目总结 ①工作内容。 ②成员责任。 ③策略方法。 ④风险预期。

⑤交付文件。 (2) 项目验收 ①工作内容。 ②成员责任。 ③策略方法。 ④风险预期。 ⑤交付文件。 (3) 后续维护 ①工作内容。 ②成员责任。 ③策略方法。 ④交付文件。

2.项目筹备阶段的目标和任务 (1)工作目标 ①确定项目实施组织结构及成员。 ②准备并安排各方面资源。 ③确定实施目标、重点、实施范围和策略。 ④制定实施计划及工作标准。 ⑤ 明确项目实施预算。 ⑥ 明确项目实施风险。 ⑦ 项目顺利启动。 (2) 主要任务 ① 组建项目实施小组并明确职责。 ② 编制《项目实施计划》。 ③ 召开项目启动会议。 3.项目筹备具体工作

②成员责任。 ③策略方法。 ④风险预期。 ⑤交付文件。 (2) 《客户培训计划》制定 ①工作内容。 ②成员责任。 ③策略方法。 ④风险预期。 ⑤交付文件。 (3)客户环境部署 ①工作内容。 ②成员责任。 ③策略方法。

④风险预期。 ⑤交付文件。 7.2.6系统试运行 1. 系统试运行流程
(3)实施解决方案制定 ①工作内容。 ②成员责任。 ③策略方法。 ④风险预期。 ⑤交付文件。 7.2.5项目实施 1. 项目实施流程

2.工作目标和主要任务 (1) 工作目标 ① 客户需求实现。 ② 实现资料和系统客户化。 ③ 部署环境，客户能够正常使用。 ④ 客户服务器端初始化。 ⑤ 工作切换数据准确。 (2) 主要任务 ① 审计系统客户化定制。 ② 制定培训计划。 ③ 客户环境部署。 3. 项目实施具体工作 (1) 审计系统客户化定制 ①工作内容。

《信息技术审计概述》课件

ቤተ መጻሕፍቲ ባይዱ 实践案例分析
XX公司的信息技术审计
分析XX公司的信息技术系统和流程，提供改进建议和风险管理措施。
XX银行的信息技术审计
评估XX银行的网络安全和数据保护措施，确保客户信息的机密性和完整性。
XX医院的信息技术审计
审计XX医院的电子健康记录系统，确保患者数据的隐私和安全。
总结和展望
1 信息技术审计未来发展趋势
展望信息技术审计的未来发展趋势，包括大数据审计和人工智能的应用。
2 提高信息技术审计质量的建议
分享提高信息技术审计质量的实用建议，如持续学习和与业界专家合作。
3 信息技术审计的重要性再强调
总结课程内容，强调信息技术审计对组织的重要性和长期价值。
《信息技术审计概述》 PPT课件
欢迎来到《信息技术审计概述》课程，本课程将带您深入了解信息技术审计的重要性和方法，以及如何提高审计质量。
审计概念和原则
信息技术审计的定义
了解信息技术审计的概念和目标，明确它在企业中的作用和影响。
审计的目的和重要性
探讨审计的目的，并解释为什么信息技术审计对企业的健康发展至关重要。
审计的基本原则
介绍信息技术审计所遵循的基本原则，如独立性、完整性和保密性。
信息技术审计方法论
1
审计周期的划分
了解信息技术审计的周期，并学习如何合理划分审计活动的不同阶段。
2
审计流程和步骤
探索信息技术审计的典型流程和步骤，并了解如何有效管理审计项目。
3
信息技术审计的具体方法
介绍常用的信息技术审计方法，如抽样检查、数据分析和系统测试。
信息技术审计内容
数据中心审计
深入研究数据中心的安全措施和数据管理流程，确保数据的可靠性和可用性。

信息系统审计经验分享课件

19
ISO 27001:2005的PDCA 模型
计划
建立 ISMS
利益相关方
监控和改进
改进 ISMS
开发、维护和改进循环
实施和运行ＩＳＭＳ
实施利益相关方
管理状态下的信息安全
监控和评审 ISMS
检查
PDCA 过程模型
信息安全要求与期望
20
ISO 27001 控制措施
5. 安全方针 6. 组织信息安全 7. 资产管理 8. 人力资源安全 9. 实体和环境安全 10. 通讯和作业管理 11. 访问控制 12. 信息系统获取、开发和维护 13. 信息安全事故管理 14. 商业持续性管理 15. 符合性
▪ 技术规范/技术报告/其他管理框架：ISO 12207、ISO 15504、 ISO 15288、ISO 9126、风险管理的原则与框架、IT治理框架…
▪ 管理体系审核指南-ISO 19011 ▪ 管理体系审核认证机构的要求-ISO 17021
18
ISO 27000系列标准
ISO 27000系列标准广泛和正式地被全世界接受
Findings
DATE:
✓/
DNV TraininNY: LOCATION: AUDIT CRITERIA: SCOPE: AUDIT DATES: AUDIT TEAM Time
LOCATION:
2nd-5th December 2005
F Smith
规划和组织
IT 流程
获取和实施
提供和支持
监控和评价
16
COBIT 立方: IT 管理域
监控和评价
ME1 监控和评价IT绩效 ME2 监控和评价内部控制 ME3 确保外符合外部要求 ME4 提供IT 治理

信息系统审计介绍课件

收集审计资料：收集信息系统相关的文档、数据、流程等信息
确定审计重点：根据审计目标和资料，确定审计的重点领域和关键环节
审计实施阶段
确定审计范围和目标
01
收集和整理审计证据
02
分析和评估审计证据
03
编写审计报告和提出建议
04
跟进审计建议的实施情况
05
总结审计经验和教训
06
审计报告阶段
审计报告的编写：根据审计结果，编写详细的审计报告
01
审计报告的审核：由审计团队负责人对审计报告进行审核，确保报告的准确性和完整性
02
审计报告的提交：将审计报告提交给相关部门或人员，以便采取相应的措施
03
审计报告的跟踪：对审计报告的实施情况进行跟踪，确保审计建议得到有效执行
04
3
信息系统审计方法
审计技术
风险评估：评估信息系统面临的风险，确定审计重点
03
提高信息系统的合规性：通过审计，可以确保信息系统符合相关法规和标准，降低法律风险。
04
信息系统审计的目标
确保信息系统的安全性
评估信息系统的风险
提高信息系统的效率和效果
确保信息系统的合规性
01
03
02
04
2
信息系统审计流程
审计准备阶段
确定审计目标：明确信息系统审计的目的和范围
制定审计计划：确定审计方法、时间表和资源分配
07
监控审计：对信息系统的运行情况进行实时监控，发现异常行为
08
合规性审计：检查信息系统是否符合相关法规和标准
09
业务连续性审计：评估信息系统的业务连续性计划和措施的有效性
10
审计工具
审计软件：用于自动化审计流程的工具

信息系统功能的审计

审计分析
对收集到的审计证据进行分析和整理，评估信息系统的功能表现。
审计报告
撰写审计报告，总结审计结果，提出改进建议。
跟踪与监控
对改进建议的执行情况进行跟踪和监控，确保改进措施的有效实施。
审计标准
根据信息系统的重要性和风险程度，选择适用的国际、国内标准和行业规范，如ISO/IEC 20000、COBIT等，作为审计的依据和参考。
报表生成模块
总结词
报表生成模块是信息系统的重要应用之一，用于生成各种格式的报表和数据展示。
详细描述
报表生成模块可以根据用户的需求，快速生成各种类型的报表，如表格、图表和图形等，提供灵活的报表定制和展示功能。此外，报表生成模块还可以与其他模块进行集成，实现数据的动态展示和实时更新。
系统设置模块
问题复盘
对发现的问题进行复盘，总结经验教训，避免类ING
感谢您的观看
总结词
深入信息系统的运行环境，观察系统的实际运行情况，验证系统的功能和性能。
VS
详细描述
审计人员需要对信息系统的实际运行环境进行实地考察，包括系统硬件设备、网络架构、数据存储等方面，以了解系统的实际运行状况和性能表现。同时，通过实地考察可以发现潜在的安全风险和漏洞。
测试与验证
总结词
通过模拟实际操作场景，对信息系统的功能进行测试和验证，确保系统功能的正确性和可靠性。
目标
通过评估信息系统的功能完整性、准确性、安全性和性能，发现潜在问题，提出改进建议，提高信息系统的可靠性和有效性。
审计的重要性
确保信息系统功能与业务需求一致
01
通过对信息系统功能的审计，可以确保系统的功能与业务需求
相匹配，提高信息系统的使用价值。

信息化审计的技术基础知识(ppt 84页)

四.信息与信息技术的概念
信息范围广大，人们可以通过电视，电话，报刊，网络等各种媒体，获取，加工和传递信息。信息技术（IT）是指利用电子计算机和现代通信手段实现获取信息，传递信息，存储信息，处理信息，显示信息等的相关技术，
主要包括传感技术，通信技术，字化的特点
审计数字化的特点具有以下四个特点：数字化：审计信息数字化集成化：审计信息资源进行集成化的组织，管理
和存储，杜绝审计信息的无序状态。共享化：各类审计信息资源能够及时地更新，并且
可以使审计人员之间实现高度共享，快速传递和实时交流。知识化：处于不断“学习，记忆，适应，优化”的状态，形成一种“发现知识----利用知识----产生新知识----知识积累”的良性循环之中，成为知识型和学习型的审计组织和人员。
四.信息与信息技术的概念
什么是“信息”？从广义上讲，信息是一个事物的运动状态以及运动状态形式的变化。它是一种客观存在，例如日出，日落，股市的涨跌等等，都是信息。而狭义的“信息”是指信息接受主体所感觉到并被能理解的东西。例如，某公司财务报表上的各种数据，尽管它们是客观存在的，如果不能被人理解，就不是信息。
审计信息化的发展经历了三个阶段：
3.以系统论为指导的计算机审计方式的形成审计机关在大量实践的基础上总结出了一整套规范化的计算机审
计作业流程；
数据审计的普及和提高，并与信息系统审计紧密结合，把底层数据和信息系统作为审计取证的切入点；
单机审计模式，局域网络审计模式和网上设计模式等多种作业模式同时并存，适用于不同的计算机审计项目；
三.信息化对内部审计的影响
（一）审计风险的增加网络的开放性：会计信息资源共享，会计资
料被非法修改和窃取；传统控制方式的改变：数据集中，方式改变，

信息系统审计(信息系统审计基础)26页PPT

39、没有不老的誓言，没有不变的承诺，踏上旅途，义无反顾。 40、对时间的价值没有没有深切认识的人，决不会坚韧勤勉。
▪
26、要使整个人生都过得舒适、愉快，这是不可能的，因为人类必须具备一种能应付逆境的态度。——卢梭
▪
27、只有把抱怨环境的心情，化为上进的力量，才是成功的保证。——罗曼·罗兰
▪
28、知之者不如好之者，好之者不如乐之者。——孔子
▪
29、勇猛、大胆和坚定的决心能够抵得上武器的精良。——达·芬奇
▪
30、意志是一个强壮的盲人，倚靠在明眼的跛子肩上。——叔本华
பைடு நூலகம்谢谢！
26
信息系统审计（信息系统审计基础）
36、“不可能”这个字(法语是一个字 )，只在愚人的字典中找得到。--拿破仑。 37、不要生气要争气，不要看破要突破，不要嫉妒要欣赏，不要托延要积极，不要心动要行动。 38、勤奋，机会，乐观是成功的三要素。(注意：传统观念认为勤奋和机会是成功的要素，但是经过统计学和成功人士的分析得出，乐观是成功的第三要素。

信息系统安全审计

信息安全管理
第七章信息系统安全审计
LOGO
本讲内容
1 信息系统安全审计概述 2 安全审计系统的体系结构 3 安全审计的一般流程 4 安全审计的数据源
5
LOGO
信息系统安全审计概述
LOGO
❖概念：
信息系统安全审计是评判一个信息系统是否真正安全的重要手段之一。
我国的国家标准《GB/T 20945-2007，信息安全技术信息系统安全审计产品技术要求和测试评价方法》给出了安全审计的定义。
LOGO
数据采集点1
数据采集点2
……………… 数据采集点3 ……………… 数据采集点n
安全审计系统的体系结构
LOGO
集中式的审计体系结构越来越显示出其缺陷，主要表现在:
造成CPU、I/O以及网络通信的负担，而且中心计算机往往容易发生单点故障
有可能因为单个点的失败造成整个审计数据的不可用
集中式的体系结构，自适应能力差，不能根据环境变化自动更改配置
安全审计的一般流程
LOGO
❖事件响应：
事件响应阶段是根据事件分析的结果采用相应的响应行动，包含以下行为：
对事件分析阶段产生的报警信息、响应请求进行报警与响应
按照预定策略，生成审计记录，写入审计数据库，并将各类审计分析报告发送到指定的对象
按照预定策略对审计记录进行备份
安全审计的一般流程
基于网络的数据源其它数据源
✓ 来自其它安全产品的数据源 ✓ 来自网络设备的数据源 ✓ 带外数据源
LOGO
安全审计的分析方法
基于规则库的安全审计方法基于数理统计的安全审计方法基于日志数据挖掘的安全审计方法其它安全审计方法
✓ 神经网络 ✓ 遗传算法

(精)信息系统安全管理与审核培训课件

收集和分析外部威胁情报，及时了解最新的攻击手段和工具。
恶意代码防范
采取多种手段防范恶意代码，如定期更新病毒库、限制软件安装权限等。
攻击事件监测与处置
利用安全设备和日志分析工具，实时监测攻击事件，及时处置并恢复系统。
安全漏洞披露与应急响应
建立安全漏洞披露机制，及时响应和处理安全漏洞，降低安全风险。
信息安全是指保护信息系统免受未经授权的访问、使用、泄露、破坏、修改或者销毁，确保信息的机密性、完整性和可用性。
信息安全重要性
信息安全对于保障个人隐私、企业机密、国家安全等方面具有重要意义。随着信息化程度的不断提高，信息安全问题也日益突出，因此加强信息安全管理至关重要。
信息安全威胁与风险
信息安全威胁
据加密、防病毒等措施。
网络安全设备配置
合理配置防火墙、入侵检测系统、安全网关等网络安全设备
，确保网络安全。
系统漏洞修补
定期对企业内部系统进行漏洞扫描和修补，防止黑客利用漏
洞进行攻击。
员工安全意识培训
定期开展网络安全意识培训，提高员工对网络安全的认识和
防范能力。
外部攻击防范与应对实践
威胁情报收集与分析
持续改进与跟踪
建立持续改进机制，对发现的问题进行跟踪和改进，确保企业信息系统的持续合规。
THANKS.
讯联络、现场处置等方面措施。
应急演练实施
02
定期组织应急演练，提高人员应急处置能力，检验应急预案的
有效性。
演练效果评估
03
对演练效果进行评估，针对存在问题提出改进措施，不断完善
应急预案。
信息系统安全管理
06
与审核实践
企业内部网络安全管理实践

12计算机审计与信息系统审计课件

利用计算机审计
利用计算机审计又称为计算机辅助审计，是指利用计算机技术和审计软件对会计信息系统所进行的审计。
主要在1965-1970这一阶段，会计信息系统被广泛应用。利用计算机技术和审计软件，可以帮助审计人员减轻负担、加快审查速度、提高审计效率。
审计软件一般分为两种：
一种是通用审计软件，能够获取、计算、分析会计信息系统中的数据，适用于多种审计工作。
应用控制（AC）
与具体的应用系统有关，确保数据处理完整和正确。应用控制的设计结合具体业务进行。
一般控制与应用控制的关系
应用控制的有效性取决于一般控制的有效性一般控制是应用控制的基础，当一般控制薄弱时，应用控制
无法提供合理保障
一般控制审计的内容
一般控制审计的五大内容
IT治理开发或采购审计运行与维护审计
安全审计灾难恢复和业务连续性计划
1. 评估IT治理结构的效果，确保董事会对IT决策、 IT方向和IT性能的充分控制；
2. 评估IT组织结构和人力资源管理； 3. 评估IT战略及其起草、批准、实施和维护程序； 4. 评估IT政策、标准和程序的制定、批准、实施
联网审计的过程
预警指标原始数据
审计
审计作业系统
疑点信息和审计数据审计预警监控系统
预警方案
数据实时采集及转换
信息系统
输出数据
联网审计的优缺点
优点：
拓展了审计时空，加强了审计监督职能。可以实时连续地抽取审计数据，进行实时远程审计。变事后审计为事前、事中审计，变静态审计为动态审计，提高了审计效率，加强了审计的监督作用。
信息系统逻辑结构示意图
信息资产保护
组织结构管理政策
服务器、工作站、打印机人

《信息化审计案例》课件

结束语
1 总结
信息化审计案例通过不同行业的实际案例，深入探讨了信息化审计的重要性和价值。
2 展望
未来，随着信息化的不断发展，信息化审计将面临新的挑战和机遇。
3 参考文献
提供有关信息化审计案例和技术的相关参考文献。
案例4：政府机构信息化建设问题的审计
1 审计目的和背景
评估政府机构信息化建设的状况，提升信息化水平与服务质量。
2 审计方法与流程
进行系统评估、流程优化等工作，发现信息化建设中存在的问题。
3 审计发现的问题
4 案例分析与解决方案
信息孤岛、安全漏洞等问题，影响了政府机构的工作效率和服务体验。
建立统一的信息化标准、加强安全管理等解决方案，促进政府信息化建设的持续发展。
案例3：金融机构网络安全问题的审计
审计目的和背景
分析金融机构网络安全问题，保护客户的个人信息和资金安全。
审计方法与流程
使用入侵检测系统、漏洞扫描等技术，评估网络安全措施的有效性。
审计发现的问题
网络钓鱼、恶意代码等问题，对金融机构和客户的资金安全造成潜在威胁。
案例分析与解决建议
加强网络安全意识教育、更新安全设备等解决方案，提高金融机构的网络安全性。
《信息化审计案例》PPT 课件
致力于帮助您深入了解信息化审计案例的PPT课件。通过具体案例分析，探讨公司内部数据泄露、电商平台风险控制、金融机构网络安全和政府机构信息化建设等问题的审计方法与解决方案。
案例1：公司内部数据泄露问题的审计
审计目的和背景
分析公司内部数据泄露问题的原因和潜在风险，确保信息安全。
2
通过风险评估、系统日志分析等方法，
识别潜在的风险点和安全漏洞。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

现代信息系统审计 · 信息系统审计的外延扩大了 · 信息系统审计的内涵更加丰富了 · 信息系统审计已经成为不可或缺的管理职
责
2019/6/6
现代信息系统审计
7
§1.1 信息系统审计的发展演化
· 信息系统审计的外延扩大了：互联网成为企业经营风险的新来源
2019/6/6
现代信息系统审计
8
§1.1 信息系统审计的发展演化
现代信息系统审计
13
§1.2 信息系统审计的内涵
信息系统审计ISA
审计工程（理论角度）AE 计算机辅助审计（应用角度） CAA 审计信息化（学科角度）数据审计（行业）DA
计算机审计CA
2019/6/6
现代信息系统审计
14
§1.2 信息系统审计的内涵
研究对象
研究方法
实践者知识结构研究者知识结构
释？ 3、消费者如何举证？ 4、社会应该如何解决这样的问题？
2019/6/6
现代信息系统审计
3
§1 导论
信息系统审计的发展演化信息系统审计的内涵企业信息安全的管理信息管理的相关规定
2019/6/6
现代信息系统审计
4
§1.1 信息系统审计的发展演化
早期的信息系统审计
计 EDP
· 最早是针对财务数据的审
信息系统审计的定义：
1、日本通产省情报处理开发协会信息系统审计委员会的定义 2、信息系统审计领域的著名专家威伯（Ron Weber）教授的定义 3、国际信息系统审计和控制协会(ISACA)的定义
2019/6/6
现代信息系统审计
11
§1.2 信息系统审计的内涵
ISACA提出了信息系统审计的主要内容： 1. 信息系统审计程序。 2. IT治理(信息技术治理)。 3. 系统和基础建设生命周期管理。 4. IT 服务的交付与支持。 5. 信息资产的保护。 6. 灾难恢复和业务连续性计划。
ISA 组织的信息系统以管理理论为基础的定性方法
A 组织的经营管理以管理理论为基础的定性方法
AE 组织的经营管理以计算机理论为基础的定量技术
2019/6/6
现代信息系统审计
15
§1.2 信息系统审计的内涵
掌握信息系统审计的三种基本类型比定义更重要：
（1）信息系统的真实性审计是对传统审计的补充，防止假账真审。
2019/6/6
现代信息系统审计
21
§1.3 企业信息安全的管理
PDCA模型：
· 规划（建立ISMS）
· 实施（实施和运行 ISMS）
· 检查（监视和评审 ISMS）
· 处置（保持和改进 ISMS）
2019/6/6
现代信息系统审计
22
§1.3 企业信息安全的管理
PDCA模型
2019/6/6
现代信息系统审计
· 对整个信息系统进行审计 ISA
2019/6/6
现代信息系统审计
5
§1.1 信息系统审计的发展演化
导致现代信息系统审计出现的根本原因：互联网的出现，使得企业的信息系统不再是一个信息孤
岛，由互联网与内部的信息系统构成了企业一个完整的信息空间。
2019/6/6
现代信息系统审计
6
§1.1 信息系统审计的发展演化
· 信息系统审计的内涵更加丰富了：
真审
安然事件讨论：传统会计审计的盲点如何避免假账
2019/6/6
现代信息系统审计
9
§1.1 信息系统审计的发展演化
· 信息系统审计已经成为不可或缺的管理职责：法国兴业银行事件讨论：内部控制的盲点
加强IT内部控制的必要性
2019/6/6
现代信息系统审计
10
§1.2 信息系统审计的内涵
23Hale Waihona Puke §1.4 企业信息管理的规定
企业保存在信息系统中的大量数据是企业宝贵的资产，同时也是审计线索和证据的重要来源。自从安然丑闻出现后，为了转变这一信用危机局面，挽回公众对政府的信心，投资者对资本市场的信心。美国国会和政府加速通过了一系列法律法规，来规定企业的电子数据如何保留和储存的问题，从而准确地从上市公司的电子文档记录中掌握有关上市公司内部运营的信息。
2019/6/6
现代信息系统审计
19
§1.3 企业信息安全的管理
信息安全管理体系ISMS
目前，加强企业信息安全管理已成趋势。英国在这方面作得比较早，其国家标准BS7799已经成为世界上应用最广泛与典型的信息安全管理方面的标准。
2019/6/6
现代信息系统审计
20
§1.3 企业信息安全的管理
该标准提出了一个组织（包括商业企业、政府机构、非赢利组织等）应在其整体业务活动和所面临风险的环境下，建立信息安全管理体系（information security management system，ISMS）。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响，上述因素及其支持系统会不断发生变化。
2019/6/6
现代信息系统审计
12
§1.2 信息系统审计的内涵
搞清楚几个概念非常重要：
研究对象
研究方法
IT审计
（计算机审计）
信息系统审计（IS审计）
审计工程（审计知识工程
）
信息系统，信息资产
财务数据，经营数据
审计理论与方法，计算机技术
计算机技术，系统工程方法，数
学理论
2019/6/6
外审
绩效型审计
效率（工作上）效果（应用上）效益（经济社会）
外审、内审
现代信息系统审计
17
SUCCESS
THANK YOU
2019/6/6
§1.2 信息系统审计的内涵
信息系统审计的目标
· 真实性 · 完整性 · 合法性 · 安全性 · 可用性 · 可靠性 · 保密性 ·效果 ·效率 ·效益
现代信息系统审计
主讲：陈耿
2019/6/6
现代信息系统审计
1
课程地位：特色课课程性质：实践性强上课方式：案例+分组讨论+讲解成绩：平时成绩+期末考试
2019/6/6
现代信息系统审计
2
为什么要上这门课？ 2010年3月的计费门事件
分组讨论： 1、产生的原因？能避免吗？ 2、消费者为什么不相信电信的解
（2）信息系统的安全性审计是对企业的信息资产的安全性的审核，防止来自信息系统造成的经营风险。
（3）信息系统的绩效审计是对信息系统投入产出比的审核。
2019/6/6
现代信息系统审计
16
§1.2 信息系统审计的内涵
安全性可靠性保密性可用性内审
2019/6/6
安全型审计真实型审计
真实性（数据）合法性（过程）完整性（系统）可用性