信息技术与计算机审计

三、系统开发及பைடு நூலகம்审计
（一）常用的系统开发方法
1.系统生命周期法：系统生命周期法就是 按系统生命周期的各个阶段划分任务， 按一定的规则和步骤，有效地进行系统 开发的方法。
docin/sundae_meng
（一）常用的开发方法
2.原型法： 原型法是先根据用户的最主 要要求，开发出能实现系统最基本功能 的一个原型，再根据用户对原型使用与 评价的意见，反复修改完善原型，直至 得到用户满意的最终系统为止。
控制，包括组织控制、硬件与系统软件 控制、系统安全控制、系统开发与维护 控制。 1. 组织控制 最基本的要求是程序员与系统维护人员 不能负责业务的处理，不能操作已正式 投入使用的系统。 docin/sundae_meng
2．硬件与系统软件控制
（1）硬件控制——指确保硬件运行正确 的控制，包括：奇偶校验、重复处理、 回波检验等。 （2）系统软件控制——指编写在系统软 件中，为提高系统安全而设立的控制， 包括：错误的处理、程序保护、数据文 件保护、系统接触控制等。
docin/sundae_meng
（二）系统生命周期法
１．系统准备阶段： 其主要任务是了解用户的要求，确 定新系统的目标，对要求开发的新 系统从技术上、经济上与实施上是 否可行进行可行性分析。这一阶段 的主要文档资料是可行性研究报告。
docin/sundae_meng
２．系统分析阶段：
其主要任务是在可行性分析的基础上， 对原有系统进行详细调查分析，收集原 系统所有的文件（凭证、帐薄、报表等） 样本，明确用户对系统的全部需求(包括 功能、性能、安全等），根据用户需求 提出新系统的逻辑模型。此阶段的主要 文档资料是系统分析报告。
(二)应用控制（Application control）
1.输入控制
(1)只有经授权的人才能进行输入操作， 要按规定输入真实的数据，输入操作要 作记录，输入数据要经核对才能处理。
(2)由计算机对输入的数据进行检查，以 防止和发现数据输入的错误。
(3)凡被计算机发现的错误，应由操作员
检查，由出错的人改正后重新向系统提
2.网络设备
主要的网络设备有：网卡、集线器、中 继器、网桥、路由器、网关和调制调解 器等。 3.网络的拓朴结构 指网络中计算机连接形式。常见的拓朴 结构有星型、总线型、环型和网型及其 组合。
docin/sundae_meng
4.网络协议
指网络中计算机间互相通讯的预定规则 Internet 所 用 的 网 络 协 议 是 TCP/IP （ 传 输控制协议/互联网协议）。 5. 数据通信 是指通过通信线路传输数据、声音及影 象。它要求四个不同的组件：发送方、 接受方、媒介及消息。 docin/sundae_meng
５．运行维护阶段：
其主要任务是正式使用系统，并且在需 要时进行系统维护。此阶段的主要文档 资料有系统运行日志和系统维护报告。
系统生命周期法适用于开发较大型、综 合、功能明确且复杂的信息系统
docin/sundae_meng
（三）计算机信息系统开发的 审计
（1）审查系统开发的可行性。 （2）审查系统功能的合规、合法性。 （3）审查系统程序控制的恰当性。 （4）审查系统的可审性（注意留下充分 的审计线索）。
docin/sundae_meng
(３)环境安全控制
①电源的控制 ②其他环境控制 (４)计算机病毒与黑客的防范控制
docin/sundae_meng
2.系统的开发与维护控制
(１)系统开发前应进行可行性研究。 (２)系统的设计应有用户的代表和内审人 员的参加。 (３)系统的检测应有用户代表和内审人员 的参加，经验测满意的新系统，要经过 与原系统并行试运行一定时期，并经过 审批才能正式投入使用。 (４)系统正式投入运行以前，应按规范要 求编制好系统的d文ocin/su档ndae_资meng料。
docin/sundae_meng
3. 系统的安全控制
(１)接触控制 ①硬件的接触控制 ②软件和数据文件的接触控制 ③系统文档资料的接触控制
docin/sundae_meng
(２)后备控制
①硬件备份 ②磁性文件备份 ③应急计划（又叫灾难补救计划）—— 指预先制定的，万一系统出现灾难性损 毁时的应急措施和利用后备的硬件、软 件、数据文件恢复系统的计划。
交。
docin/sundae_meng
常见的计算机检验技术
（1）业务数点计与控制总数核对。 （2）代码的有效性检验。 （3）顺序检验。 （4）平衡检验。 （5）合理性检验（又称极限检验）。 （6）完整性检验。 （7）数据类型、长度、符号等检验。
docin/sundae_meng
３．系统设计阶段：
其主要任务是根据系统的逻辑模型进行 系统的总体设计和详细设计，包括模块 设计、代码设计、输入输出设计、数据 文件设计、安全保密设计和处理流程设 计。此阶段的主要文档资料是系统设计 报告，包括系统概要设计说明书和详细 设计说明书。
docin/sundae_meng
docin/sundae_meng
（三）计算机信息系统开发的 审计
（5）审查系统测试的全面恰当性（参与 系统测试，审查测试数据、过程和结 果）。 （6）审查系统文档资料的完整性。 （7）审查系统的可维护性。
docin/sundae_meng
四、计算机信息系统的内部控 制
（一）一般控制（general control） 指对信息系统的构成要素和环境实施的
2020
信息技术与计算机审计
二、计算机网络基础
1. 计算机网络 计算机网络指为实现相互通讯和共享软、 硬件等目的，通过通讯线路、网络接口 部件连接起来计算机群。 根据数据信息传输距离，计算机网络通 常可分为局域网（LAN）、城域网（MAN） 和广域网（WAN）。
docin/sundae_meng
４．系统实施阶段：
其主要任务是根据系统详细设计说明书 用选定的程序语言或编程工具编写源程 序，进行程序的测试、模块的联调和系 统的总调，编写出系统操作手册或用户 手册，组织系统的试运行与评审。此阶 段的主要文档资料包括源程序表，系统 测试报告、操作手册和评审报告等。
docin/sundae_meng