信息系統(tǒng)審計(jì)報(bào)告

1、計(jì)算機(jī)和信息系統(tǒng)安全保密審計(jì)報(bào)告根據(jù)市國家保密局要求，公司領(lǐng)導(dǎo)非常重視計(jì)算機(jī)信息系統(tǒng)安全保密工作，在公司內(nèi)部 系統(tǒng)內(nèi)開展自查，認(rèn)真對(duì)待，不走過場(chǎng)，確保檢查不漏一機(jī)一人。雖然在檢查中沒有發(fā)現(xiàn)違 反安全保密規(guī)定的情況，但是，仍然要求計(jì)算機(jī)使用管理人員不能放松警惕，要時(shí)刻注意自 己所使用和管理的計(jì)算機(jī)符合計(jì)算機(jī)信息系統(tǒng)安全保密工作的規(guī)定，做到專機(jī)專用，專人負(fù) 責(zé)，專人管理，確保涉密計(jì)算機(jī)不上網(wǎng)，網(wǎng)上信息發(fā)布嚴(yán)格審查，涉密資料專門存儲(chǔ)，不交 叉使用涉密存儲(chǔ)設(shè)備，嚴(yán)格落實(shí)計(jì)算機(jī)信息系統(tǒng)安全保密制度。通過檢查，進(jìn)一步提高了全 公司各部門員工對(duì)計(jì)算機(jī)信息系統(tǒng)安全保密工作的認(rèn)識(shí)，增強(qiáng)了責(zé)任感和使命感。現(xiàn)將自查

2、 情況匯報(bào)如下：一、加大保密宣傳教育，增強(qiáng)保密觀念。始終把安全保密宣傳教育作為一件大事來抓， 經(jīng)常性地組織全體職工認(rèn)真學(xué)習(xí)各級(jí)有關(guān)加強(qiáng)安全保密的規(guī)定和保密常識(shí)，如看計(jì)算機(jī)泄密 錄像等，通過學(xué)習(xí)全公司各部門員工安全憂患意識(shí)明顯增強(qiáng)，執(zhí)行安全保密規(guī)定的自覺性和 能力明顯提高。二、明確界定涉密計(jì)算機(jī)和非涉密計(jì)算機(jī)。涉密計(jì)算機(jī)應(yīng)有相應(yīng)標(biāo)識(shí)，設(shè)置開機(jī)、屏保 口令，定期更換口令，存放環(huán)境要安全可靠。涉密移動(dòng)硬盤、軟盤、光盤、u盤等移動(dòng)存儲(chǔ) 介質(zhì)加強(qiáng)管理，涉密移動(dòng)存儲(chǔ)介質(zhì)也應(yīng)有標(biāo)識(shí)，不得在非涉密計(jì)算機(jī)中使用，嚴(yán)防泄密。非 涉密計(jì)算機(jī)、非涉密存儲(chǔ)介質(zhì)不得以任何理由處理涉密信息，非涉密存儲(chǔ)介質(zhì)不得在涉密計(jì)算機(jī)

3、中使用涉密信息。涉密信息和數(shù)據(jù)必須按照保密規(guī)定進(jìn)行采集、存儲(chǔ)、處理、傳遞、使用和 銷毀。計(jì)算機(jī)信息系統(tǒng)存儲(chǔ)、處理、傳遞、輸出的涉密信息要有相應(yīng)的密級(jí)標(biāo)識(shí)，密級(jí)標(biāo)識(shí) 不能與正文分離。涉密信息不得在與國際網(wǎng)絡(luò)聯(lián)接的計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理、傳遞。三、加強(qiáng)筆記本電腦的使用管理。筆記本電腦主要在公司內(nèi)部用于學(xué)習(xí)計(jì)算機(jī)新軟件、 軟件調(diào)試，不處理涉密數(shù)據(jù)或文件。四、計(jì)算機(jī)的使用人員要定期對(duì)電腦進(jìn)行安全檢查，及時(shí)升級(jí)殺毒軟件，定時(shí)查殺病毒。 對(duì)外來計(jì)算機(jī)介質(zhì)必須堅(jiān)持先交計(jì)算機(jī)管理人員查殺病毒再上中轉(zhuǎn)機(jī)使用的原則。五、對(duì)需要維修的涉密計(jì)算機(jī)，各部門必須事先將計(jì)算機(jī)內(nèi)的涉密信息進(jìn)行清除；如需 調(diào)換計(jì)算機(jī)硬盤，

4、清除涉密信息后方可允許維修人員將硬盤帶走。對(duì)報(bào)廢的涉密計(jì)算機(jī)必須 徹底清除計(jì)算機(jī)內(nèi)的信息，方可處理。六、小結(jié)安全審計(jì)作為一門新的信息安全技術(shù)，能夠?qū)φ麄€(gè)計(jì)算機(jī)信息系統(tǒng)進(jìn)行監(jiān)控，如實(shí)記錄 系統(tǒng)內(nèi)發(fā)生的任何事件，一個(gè)完善的安全審計(jì)系統(tǒng)可以根據(jù)一定的安全策略記錄和分析歷史 操作事件及數(shù)據(jù)，有效的記錄攻擊事件的發(fā)生，提供有效改進(jìn)系統(tǒng)性能和的安全性能的依據(jù)。本文從安全審計(jì)的概念、 在涉密信息系統(tǒng)中需要審計(jì)的內(nèi)容、安全審計(jì)的關(guān)鍵技術(shù)及安全審計(jì)系統(tǒng)應(yīng)該注意的問題等 幾個(gè)方面討論了安全審計(jì)在涉密信息系統(tǒng)中的應(yīng)用。安全審計(jì)系統(tǒng)應(yīng)該全面地對(duì)整個(gè)涉密信 息系統(tǒng)中的網(wǎng)絡(luò)、主機(jī)、應(yīng)用程序、數(shù)據(jù)庫及安全設(shè)備等進(jìn)行審計(jì)，同

5、時(shí)支持分布式跨網(wǎng)段 審計(jì)，集中統(tǒng)一管理，可對(duì)審計(jì)數(shù)據(jù)進(jìn)行綜合的統(tǒng)計(jì)與分析，從而可以更有效的防御外部的 入侵和內(nèi)部的非法違規(guī)操作，最終起到保護(hù)機(jī)密信息和資源的作用。計(jì)算機(jī)技術(shù)管理部2011.8.17篇二：信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)電子數(shù)據(jù)處理系統(tǒng)發(fā)展分為三階段：數(shù)據(jù)的單項(xiàng)處理階段(1953-1965)、數(shù)據(jù)的綜合處理 階段(1965-1970)、數(shù)據(jù)的系統(tǒng)處理階段(1970年以后)，對(duì)傳統(tǒng)審計(jì)產(chǎn)生了巨大的影響， 主要表現(xiàn)在(1)對(duì)審計(jì)線索的影響：傳統(tǒng)的審計(jì)線索缺失；edp下：數(shù)據(jù)處理、存儲(chǔ)電子化，不可見，難辨真?zhèn)?。?）對(duì)審計(jì)方法和技術(shù)的影響：技術(shù)方法復(fù)雜化；edp下：利用計(jì)算機(jī) 審計(jì)技術(shù)變得復(fù)雜

6、化（3）對(duì)審計(jì)人員的影響：知識(shí)構(gòu)成要求發(fā)生變化；edp下：會(huì)計(jì)、 審計(jì)、計(jì)算機(jī)等知識(shí)和技能（4）對(duì)審計(jì)準(zhǔn)則的影響：信息化下審計(jì)準(zhǔn)則與標(biāo)準(zhǔn)的缺失；edp 下：在原有審計(jì)準(zhǔn)則的基礎(chǔ)上，建立一系列新的準(zhǔn)則5）對(duì)內(nèi)部控制的影響：內(nèi)部控制方式 發(fā)生改變：傳統(tǒng)方式下：強(qiáng)調(diào)對(duì)業(yè)務(wù)活動(dòng)及會(huì)計(jì)活動(dòng)使用授權(quán)批準(zhǔn)和職責(zé)分工等控制程序來 保證。edp下：數(shù)據(jù)處理根據(jù)既定的指令程序自動(dòng)進(jìn)行，信息的處理和存儲(chǔ)高度集中于計(jì)算 機(jī)，控制依賴于計(jì)算機(jī)信息系統(tǒng)，控制方式發(fā)生改變。2、信息系統(tǒng)審計(jì)的定義：指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范，對(duì)信息系統(tǒng)從計(jì)劃、研發(fā)、實(shí) 施到運(yùn)行維護(hù)各個(gè)環(huán)節(jié)進(jìn)行審查評(píng)價(jià)，對(duì)信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的完整、效能、效

7、率、安全 性進(jìn)行監(jiān)測(cè)、評(píng)估和控制的過程，以確認(rèn)預(yù)定的業(yè)務(wù)目標(biāo)得以實(shí)現(xiàn)，并提出一系列改進(jìn)建議 的管理活動(dòng)。3、信息系統(tǒng)審計(jì)的特點(diǎn)（1）審計(jì)范圍的廣泛性（2）審計(jì)線索的隱蔽性、易逝性（3） 審計(jì)取證的動(dòng)態(tài)性（4）審計(jì)技術(shù)的復(fù)雜性：首先，由于不同被審單位的信息系統(tǒng)所配備的 計(jì)算機(jī)設(shè)備各式各樣，各個(gè)機(jī)器的功能各異，所配備的系統(tǒng)軟件也各不相同。審計(jì)人員在審 計(jì)過程中，必然要和計(jì)算機(jī)的硬件和系統(tǒng)軟件打交道，各種機(jī)型功能不一，配備的系統(tǒng)軟件 各異，必然增加了審計(jì)技術(shù)的復(fù)雜性，其次，由于不同被審單位的業(yè)務(wù)規(guī)模和性質(zhì)不同，所 采用的數(shù)據(jù)處理及存儲(chǔ)方式也不同，不同的數(shù)據(jù)處理，存儲(chǔ)方式，審計(jì)所采用的方法、技術(shù) 也不

8、同。此外，不同被審單位其應(yīng)用軟甲你的開發(fā)方式、軟件開發(fā)的程序設(shè)計(jì)語言也不盡相 同，不同開發(fā)方式以及用不同的程序設(shè)計(jì)語言開發(fā)的應(yīng)用軟件，其審計(jì)方法與技術(shù)也不一樣。4、信息系統(tǒng)審計(jì)的目標(biāo)：（1）保護(hù)資產(chǎn)的完整性：信息系統(tǒng)的資產(chǎn)包括硬件、軟件、 設(shè)備、人員、數(shù)據(jù)文件、系統(tǒng)檔案等；（2）保證數(shù)據(jù)的準(zhǔn)確性：數(shù)據(jù)準(zhǔn)確性是指數(shù)據(jù)能滿足 規(guī)定的條件，防止粗無信息的輸入和輸出，一級(jí)非授權(quán)狀態(tài)下的修改信息所造成的無效操作 和錯(cuò)誤后果；（3）提高系統(tǒng)的有效性：系統(tǒng)的有效性表明系統(tǒng)能否獲得預(yù)期的目標(biāo)；（4）提 高系統(tǒng)的效率性：系統(tǒng)效率是指系統(tǒng)達(dá)到預(yù)定目標(biāo)所消耗的資源，一個(gè)效率高的信息系統(tǒng)能 夠以盡量少的資源達(dá)到需要的

9、目標(biāo)；（5）保證信息系統(tǒng)的合規(guī)性合法性：信息系統(tǒng)及其運(yùn)用 必須遵守有關(guān)法律、法規(guī)和規(guī)章制度。5、信息系統(tǒng)審計(jì)的主要內(nèi)容：內(nèi)部控制系統(tǒng)審計(jì)內(nèi)部控制系統(tǒng)包括一般控制系統(tǒng)（包 含組織控制、系統(tǒng)開發(fā)控制、系統(tǒng)安全控制、硬件和系統(tǒng)軟件控制等方面）應(yīng)用控制系統(tǒng)（輸 入、處理、輸出）；系統(tǒng)開發(fā)審計(jì)；應(yīng)用程序?qū)徲?jì)（決定了數(shù)據(jù)處理的合規(guī)性、正確性目的： 一是測(cè)試應(yīng)用控制系統(tǒng)的符合性；二是通過檢查程序運(yùn)行和邏輯的正確性達(dá)到實(shí)質(zhì)性測(cè)試目 的。測(cè)試應(yīng)用控制的符合性是指對(duì)嵌入應(yīng)用程序中的控制措施進(jìn)行測(cè)試，看它們是否按設(shè)計(jì) 要求在運(yùn)行和起作用）；數(shù)據(jù)文件審計(jì)（目的：一是數(shù)據(jù)文件進(jìn)行實(shí)質(zhì)性測(cè)試；而是通過數(shù)據(jù) 文件的審計(jì)，測(cè)

10、試一般控制或應(yīng)用控制的復(fù)合型，但數(shù)據(jù)文件審計(jì)主要是為了實(shí)質(zhì)性測(cè)試）6、基本方法：繞過信息系統(tǒng)審計(jì)：基于黑箱（black box）原理，審計(jì)人員不審查系統(tǒng) 內(nèi)的程序和文件，只審查i/o數(shù)據(jù)及其管理制度。優(yōu)點(diǎn)：審計(jì)技術(shù)簡(jiǎn)單、較少干擾被審系統(tǒng)。 缺點(diǎn)：審計(jì)結(jié)果不太可靠、要求i/o聯(lián)系緊密通過信息系統(tǒng)審計(jì)：基于黑箱（black box）原理，審計(jì)人員不審查系統(tǒng)內(nèi)的程序和文件， 只審查i/o數(shù)據(jù)及其管理制度。優(yōu)點(diǎn)：審計(jì)技術(shù)簡(jiǎn)單、較少干擾被審系統(tǒng)。缺點(diǎn)：審計(jì)結(jié)果 不太可靠、要求i/o聯(lián)系緊密。7、步驟：準(zhǔn)備階段（明確審計(jì)任務(wù)、組成信息系統(tǒng)小組、了解被審系統(tǒng)的基本情況、制 定信息系統(tǒng)審計(jì)方案、發(fā)出審計(jì)通知書

11、）；實(shí)施階段（對(duì)被審計(jì)系統(tǒng)的內(nèi)部控制制度進(jìn)行健 全性調(diào)查和符合性測(cè)試、對(duì)張單證或數(shù)據(jù)文件的實(shí)質(zhì)性審查）；終結(jié)階段（整理歸納審計(jì)資料、 撰寫審計(jì)報(bào)告（審計(jì)報(bào)告主要是對(duì)信息系統(tǒng)審計(jì)結(jié)果的綜合歸納，由審計(jì)小組撰寫）、發(fā)出審計(jì)結(jié)論和決定、審計(jì)資料的歸檔和檔案）8、國際信息系統(tǒng)審計(jì)原則：審計(jì)標(biāo)準(zhǔn)（是整個(gè)信息系統(tǒng)準(zhǔn)則體系的總綱，是制定審計(jì)指 南和作業(yè)程序的基礎(chǔ)和依據(jù)）；審計(jì)指南（為審計(jì)標(biāo)準(zhǔn)的應(yīng)用提供了指引，信息系統(tǒng)審計(jì)師在 審計(jì)過程中應(yīng)考慮如何應(yīng)用指南以實(shí)現(xiàn)審計(jì)標(biāo)準(zhǔn)的要求，在應(yīng)用過程中應(yīng)靈活運(yùn)用專業(yè)判斷 并糾正任何偏離準(zhǔn)則的行為）；作業(yè)程序（提供了信息系統(tǒng)審計(jì)師在審計(jì)過程中可能遇到的審 計(jì)程序的示例）9、

12、審計(jì)師應(yīng)具備的素質(zhì)：（1）應(yīng)具備的理論知識(shí)：傳統(tǒng)審計(jì)理論、信息系統(tǒng)管理理論、 計(jì)算機(jī)科學(xué)、行為科學(xué)理論（2）應(yīng)具有的實(shí)踐技能：參加過不同類別的工作培訓(xùn)，尤其是在 組織采用和實(shí)施新技術(shù)時(shí)，此外也參加過組織內(nèi)部計(jì)劃的制定等；參與專業(yè)的機(jī)構(gòu)或廠商組 織的研討會(huì)，動(dòng)態(tài)掌握信息技術(shù)的新發(fā)展對(duì)審計(jì)時(shí)間的影響；具有理解信息處理活動(dòng)的各種 技術(shù)，尤其是影響組織財(cái)務(wù)活動(dòng)的技術(shù)，能夠與來自各領(lǐng)域的管理者、用戶、技術(shù)專家進(jìn)行 交流；理解并熟悉操作環(huán)境，評(píng)估內(nèi)部控制的有效性；理解現(xiàn)有與未來系統(tǒng)的技術(shù)復(fù)雜性， 以及它們對(duì)各級(jí)操作與決策的影響；能使用技術(shù)的方法去識(shí)別技術(shù)的完整性；要參與評(píng)估與 使用信息技術(shù)相關(guān)的有效性、效

13、率、風(fēng)險(xiǎn)等；能夠提供審計(jì)集成服務(wù)并對(duì)審計(jì)員工提供指導(dǎo)， 與財(cái)務(wù)審計(jì)師一起對(duì)公司財(cái)務(wù)狀況作出聲明；具備系統(tǒng)開發(fā)方法論、安全控制設(shè)計(jì)、實(shí)施后 評(píng)估等；掌握網(wǎng)絡(luò)相關(guān)的安全事件、信息安全服務(wù)、災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃、異步傳輸模 式等通信技術(shù)。10、it治理德勤定義：it治理是是一個(gè)含義廣泛的概念，包括信息系統(tǒng)、技術(shù)、通信、 商業(yè)、所有利益相關(guān)者、合法性和其他問題。其主要任務(wù)是保持it與業(yè)務(wù)目標(biāo)一致推動(dòng)業(yè)務(wù) 發(fā)展，促使收益最大化，合理利用it資源，it相關(guān)風(fēng)險(xiǎn)的適當(dāng)管理。11、共同點(diǎn)：（1）it治理必須與企業(yè)戰(zhàn)略目標(biāo)一致，it對(duì)于企業(yè)非常關(guān)鍵，也是戰(zhàn)略規(guī)劃的組成， 影響戰(zhàn)略競(jìng)爭(zhēng)。（2）it治理保護(hù)利益相

14、關(guān)者的權(quán)益，使風(fēng)險(xiǎn)透明化，知道和控制it投資、機(jī)遇、利益、 風(fēng)險(xiǎn)。（3）it治理和其他治理主題一樣，是管理執(zhí)行人員和利益相關(guān)者的責(zé)任（以董事會(huì)為 代表）（4）it治理包括管理層、組織結(jié)構(gòu)、過程，以確保it維持和拓展組織戰(zhàn)略目標(biāo)（5）應(yīng)該合理利用企業(yè)的信息資源，有效地進(jìn)程與協(xié)調(diào)。（6）確保it戰(zhàn)略及時(shí)按照目標(biāo)交付，有合適的功能和期望的收益，是一個(gè)一致性和價(jià) 值傳遞的基本構(gòu)建模塊，有明確的期望值和衡量手段。（7）引導(dǎo)it戰(zhàn)略平衡系統(tǒng)的投資，支持企業(yè)，變革企業(yè)，或者創(chuàng)建一個(gè)信息基礎(chǔ)構(gòu)架， 保證業(yè)務(wù)增長(zhǎng)，并在一個(gè)新的領(lǐng)域競(jìng)爭(zhēng)。（8）對(duì)于核心it資源做出合理的決策，進(jìn)入新的市場(chǎng)，驅(qū)動(dòng)競(jìng)爭(zhēng)策略，創(chuàng)造總的收

15、入 增長(zhǎng)，改善客戶滿意度，維系客戶關(guān)系。12、it管理是公司的信息及信息系統(tǒng)的運(yùn)營，確定it目標(biāo)以及實(shí)現(xiàn)此目標(biāo)所采取的行 動(dòng)。it治理是指最高管理層（董事會(huì)）利用它來監(jiān)督管理層在it戰(zhàn)略上的過程、結(jié)構(gòu)和聯(lián) 系，以確保這種運(yùn)營處于正確的軌道之上。it治理規(guī)定了整個(gè)企業(yè)it運(yùn)行的基本框架，it 管理則是在這個(gè)既定的框架下駕馭企業(yè)奔向目標(biāo)。13、公司治理和it治理：公司治理關(guān)注利益相關(guān)者權(quán)益和管理，驅(qū)動(dòng)和調(diào)整it治理。 it能夠提供關(guān)鍵的輸入，形成戰(zhàn)略計(jì)劃的一個(gè)重要組成部分，是公司治理的重要功能。14、itil：信息技術(shù)基礎(chǔ)構(gòu)架庫；cobit:信息和相關(guān)技術(shù)的控制目標(biāo)；bs 7799：國際 安全管理

16、標(biāo)準(zhǔn)體系；prince2是一種對(duì)項(xiàng)目管理的某些特定方面提供支持的方法。15、it治理成熟度模型：不存在（0級(jí)）、初始級(jí)（1級(jí)）、可重復(fù)級(jí)（2級(jí)）、已定義級(jí)（3級(jí)）、已管理級(jí)（4級(jí)）、優(yōu)化級(jí)（5級(jí)）作用：it治理成熟度模型制定了一個(gè)基準(zhǔn)，組 織可能根據(jù)上面的指標(biāo)確定自己的等級(jí)，從而了解自身的境界。在此基礎(chǔ)上確定組織的關(guān)鍵 成功因素，通過關(guān)鍵績(jī)效指標(biāo)進(jìn)行監(jiān)控，并衡量組織是否能達(dá)到關(guān)鍵目標(biāo)指標(biāo)中所設(shè)定的目 標(biāo)。16、信息系統(tǒng)內(nèi)部控制：一個(gè)單位在信息系統(tǒng)環(huán)境下，為了保證業(yè)務(wù)活動(dòng)的有效進(jìn)行， 保護(hù)資產(chǎn)的安全與完整，防止、發(fā)現(xiàn)、糾正錯(cuò)誤與舞弊，確保信息系統(tǒng)提供信息的真實(shí)、合 法、完整，而制定和實(shí)施的一系列

17、政策與程序措施。17、一般控制系統(tǒng)：范圍：應(yīng)用于一個(gè)單位信息系統(tǒng)全部或較大范圍的內(nèi)部控制。對(duì)象： 應(yīng)為除信息系統(tǒng)應(yīng)用程序以外的其他部分。基本目標(biāo)：保證數(shù)據(jù)安全、保護(hù)計(jì)算機(jī)應(yīng)用程序、 防止系統(tǒng)被非法侵入、保證在意外情況下的持續(xù)運(yùn)行等。18、良好的一般控制是應(yīng)用控制的基礎(chǔ)。如果一般控制審計(jì)結(jié)果很差，應(yīng)用控制審計(jì)就 沒有進(jìn)行的必要。19、審計(jì)邏輯訪問安全策略：此策略應(yīng)當(dāng)為邏輯訪問建立“知所必需”的原則，并合理 評(píng)估在訪問過程中暴露的風(fēng)險(xiǎn)。20、審查離職員工的訪問控制：一般來說，員工離職的情況主要有請(qǐng)辭、聘用合同期滿 和非自愿離職三種。對(duì)于非自愿離職的員工，組織應(yīng)當(dāng)在接觸其職務(wù)之前，及時(shí)收回或嚴(yán)格 限

18、制其對(duì)組織信息資源的訪問權(quán)，使其不能繼續(xù)訪問組織的機(jī)密信息，或使其不能破壞組織 有價(jià)值的信息資產(chǎn)。如果對(duì)于這類員工還需要保留一部分訪問權(quán)，必須得到相關(guān)管理層批準(zhǔn)， 并對(duì)其進(jìn)行嚴(yán)格的監(jiān)督。對(duì)其他兩種離職的員工，由管理層批準(zhǔn)是否保留他們的訪問權(quán)，這 取決于每一種人所處的特定環(huán)境、員工所訪問it資產(chǎn)的敏感程度以及組織的信息安全策略、 標(biāo)準(zhǔn)和程序的要求。21、系統(tǒng)訪問：通過某種途徑允許或限制對(duì)網(wǎng)絡(luò)資源（軟件和硬件）和數(shù)據(jù)（存儲(chǔ)的和 通信的）的訪問能力及范圍。邏輯訪問控制：通過一定的技術(shù)方法控制用戶可以利用什么樣 的信息，可以運(yùn)行什么程序與事務(wù)，可以修改什么信息與數(shù)據(jù)。物理訪問控制：限制人員進(jìn) 出敏感區(qū)

19、域。對(duì)極端及信息的物理訪問與邏輯訪問應(yīng)當(dāng)建立在“知所必需”的基礎(chǔ)上，按照 最小授權(quán)原則和職責(zé)分離原則來分配系統(tǒng)訪問權(quán)限，并把這些訪問規(guī)則與訪問授權(quán)通過正式 書面文件記錄下來，作為信息安全的重要文件加以妥善管理。22、身份識(shí)別與驗(yàn)證：（賬號(hào)與口令，令牌設(shè)備，生物測(cè)定技術(shù)與行為測(cè)定技術(shù)）“只有 你知道的事情”一一賬號(hào)與口令，賬號(hào)的控制、口令的控制;“只有你擁有的東西”一一令牌 設(shè)備，發(fā)送許可權(quán)的特殊消息或一次性口令的設(shè)備；“只有你具有的特征”一一生物/行為測(cè) 定，指紋、虹膜等和簽名等。23、邏輯訪問授權(quán)：一般情況下，邏輯訪問控制基于最小授權(quán)原則，只對(duì)因工作需要訪 問信息系統(tǒng)的人員進(jìn)行必要的授權(quán)，當(dāng)

20、用戶在組織變換工作角色時(shí)，在賦予他們新訪問權(quán)限 時(shí)，一般沒有及時(shí)取消舊的訪問權(quán)限，這回產(chǎn)生訪問控制上的風(fēng)險(xiǎn)。所以當(dāng)員工職位有變動(dòng) 時(shí)，信息系統(tǒng)審計(jì)是要及時(shí)審核訪問控制列表是否做了有效變更。24、bcp 一般包括業(yè)務(wù)持續(xù)性計(jì)劃（bcp）、業(yè)務(wù)恢復(fù)計(jì)劃（brp）、連續(xù)作業(yè)計(jì)劃（coop）、 持續(xù)支持計(jì)劃/it應(yīng)急計(jì)劃、危機(jī)通信計(jì)劃、事件響應(yīng)計(jì)劃、災(zāi)難恢復(fù)計(jì)劃（drp）、場(chǎng)所應(yīng) 急計(jì)劃（oep）25、數(shù)據(jù)備份：完全備份、增量備份、差分備份等26、信息系統(tǒng)審計(jì)針對(duì)災(zāi)難恢復(fù)與業(yè)務(wù)連續(xù)性計(jì)劃，其主要任務(wù)是理解預(yù)評(píng)價(jià)組織的業(yè) 務(wù)連續(xù)性策略，及其與組織業(yè)務(wù)目標(biāo)的符合性；參考相應(yīng)的標(biāo)準(zhǔn)和法律法規(guī)，評(píng)估該計(jì)劃的

21、充分性和實(shí)效性；審核信息系統(tǒng)及終端用戶對(duì)計(jì)劃所做測(cè)試的結(jié)果，驗(yàn)證計(jì)劃的有效性；審 核異地存儲(chǔ)設(shè)施及其內(nèi)容、安全和環(huán)境控制，以評(píng)估異地存儲(chǔ)站點(diǎn)的適當(dāng)性；通過審核應(yīng)急 措施、員工培訓(xùn)、測(cè)試結(jié)果，評(píng)估信息系統(tǒng)及其終端用戶在緊急情況下的有效反應(yīng)能力；確 認(rèn)組織對(duì)業(yè)務(wù)持續(xù)性計(jì)劃的維護(hù)措施存在并有效。27、應(yīng)用控制市委適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整、準(zhǔn)確地完成 而建立的內(nèi)部控制?？蓪?yīng)用控制劃分為輸入控制、處理控制和輸出控制。應(yīng)用控制也是由 手工控制和程序化控制構(gòu)成，但以程序化控制為主。28、信息系統(tǒng)開發(fā)審計(jì)是對(duì)信息系統(tǒng)開發(fā)過程進(jìn)行的審計(jì)，審計(jì)的目的一是要檢查開發(fā) 的方法、程序是否科學(xué)，

22、是否含有恰當(dāng)?shù)目刂?；二是要檢查開發(fā)過程中產(chǎn)生的系統(tǒng)文檔資料 室否規(guī)范。29、系統(tǒng)開發(fā)過程審計(jì)：遵守標(biāo)準(zhǔn)與流程；有效的操作；使系統(tǒng)合乎法律要求；必要的 控制，預(yù)防可能的損失及嚴(yán)重錯(cuò)誤；為管理層、信息系統(tǒng)審計(jì)師、操作人員提供必要的審計(jì) 軌跡；系統(tǒng)文檔，便于系統(tǒng)維護(hù)與審計(jì)。30、軟件維護(hù)的種類：糾錯(cuò)性維護(hù)、適應(yīng)性維護(hù)、完善性維護(hù)、預(yù)防性維護(hù)31、itil:六個(gè)主要模塊：服務(wù)管理(service management)業(yè)務(wù)管理(business management)信息與通信技術(shù)基礎(chǔ)設(shè)施管理(ict infrastructure)、應(yīng)用管理(application management)、it服務(wù)管

23、理實(shí)施規(guī)劃、安全管理(security management)32、服務(wù)管理模塊：面向it基礎(chǔ)設(shè)施管理的服務(wù)支持和面向業(yè)務(wù)管理的服務(wù)提供。it 服務(wù)提供流程主要面對(duì)付費(fèi)的機(jī)構(gòu)和個(gè)人客戶，負(fù)責(zé)為客戶提供高質(zhì)量、低成本的it服務(wù)。 它的任務(wù)是根據(jù)組織的業(yè)務(wù)需求，對(duì)服務(wù)能力、持續(xù)性、可用性等服務(wù)級(jí)別目標(biāo)進(jìn)行規(guī)劃和 設(shè)計(jì)，同時(shí)，還必須考到這些服務(wù)目標(biāo)所需要好費(fèi)電成本。it服務(wù)主要包括服務(wù)水平管理、 it服務(wù)財(cái)務(wù)管理、能力管理、it服務(wù)持續(xù)性管理和可用性管理五個(gè)服務(wù)管理流程it服務(wù) 支持的服務(wù)支持流程主要面向終端用戶，責(zé)任確保it服務(wù)的穩(wěn)定性與靈活性，用于確保終端 用戶得到適當(dāng)?shù)姆?wù)，以支持組織的業(yè)務(wù)功

24、能。服務(wù)支持流程包括體現(xiàn)服務(wù)接觸和溝通的服 務(wù)臺(tái)職能和五個(gè)運(yùn)作層次的流程，即配置管理、事故管理、問題管理、變更管理和發(fā)布管理 等。33、應(yīng)用程序?qū)徲?jì)的內(nèi)容：審查程序控制是否健全有效：程序中輸入控制、處理控制、 輸出控制的審計(jì)；審查程序編碼的合法性：是否含有為了舞弊目的而設(shè)計(jì)的非法編碼；審查 程序編碼的正確性：是否編碼有錯(cuò)誤、目標(biāo)和任務(wù)不明確，系統(tǒng)設(shè)計(jì)、程序設(shè)計(jì)錯(cuò)誤；審查 程序的有效性：是否有無效編碼、是否有效率較差的編碼34、應(yīng)用程序?qū)徲?jì)方法：手工審計(jì)方法與計(jì)算機(jī)輔助審計(jì)方法相結(jié)合。35、程序編碼檢查法：逐條審查被審程序，驗(yàn)證程序的合法性、完整性和邏輯的正確性。36、檢測(cè)數(shù)據(jù)法：審計(jì)人員把一批

25、預(yù)先設(shè)計(jì)好的檢測(cè)數(shù)據(jù)，利用被審程序加以處理，并 把處理的結(jié)果與預(yù)期的結(jié)果做比較，以確定被審程序的控制與處理功能是否恰當(dāng)、有效的一 種方法。37、平行模擬法是指審計(jì)人員自己或請(qǐng)計(jì)算機(jī)專業(yè)人員編寫的具有和被審程序相同處理 和控制功能的模擬程序，用這種程序處理檔期的實(shí)際數(shù)據(jù)，并已處理的結(jié)果與被審計(jì)程序的 處理結(jié)果進(jìn)行比較，已評(píng)價(jià)被審程序的處理和控制功能是否可靠的一種方法。38、嵌入審計(jì)程序法是指被審信息系統(tǒng)的設(shè)計(jì)和開發(fā)階段，在被審的應(yīng)用程序中嵌入未 執(zhí)行特定的審計(jì)功能而設(shè)計(jì)的程序段，這些程序段可以用來收集審計(jì)人員感興趣的資料，并 且建立一個(gè)審計(jì)控制文件，用來存儲(chǔ)這些資料，審計(jì)人員通過這些資料的審核來

26、確定被審程 序的處理和控制功能的可靠性。39、程序追蹤法是一種對(duì)給定的業(yè)務(wù)，跟蹤被審程序處理步驟的審查技術(shù)。一般可由追 蹤軟件來完成，也可利用某些高級(jí)語言或數(shù)據(jù)庫管理系統(tǒng)中的跟蹤指令跟蹤被審程序的處理。 篇三：信息系統(tǒng)審計(jì)實(shí)驗(yàn)報(bào)告-模板信 息 系 統(tǒng) 審 計(jì) 實(shí) 驗(yàn) 報(bào) 告篇四：信息系統(tǒng)審計(jì)考試要點(diǎn)據(jù)，以判斷計(jì)算機(jī)系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的 資源并有效地實(shí)現(xiàn)組織目標(biāo)的過程。三種基本類型信息系統(tǒng)的真實(shí)性審計(jì)（是對(duì)傳統(tǒng)審計(jì)的 補(bǔ)充，防止假賬真審）、信息系統(tǒng)的安全性審計(jì)（對(duì)企業(yè)的信息資產(chǎn)的安全性的審核，防止來 自信息系統(tǒng)造成的經(jīng)營風(fēng)險(xiǎn)。這時(shí)信息系統(tǒng)審計(jì)的目標(biāo)是企業(yè)信

27、息系統(tǒng)的安全性、可靠性、 可用性、保密性）和信息系統(tǒng)的績(jī)效審計(jì)（是對(duì)信息系統(tǒng)投入產(chǎn)出比的審核。審計(jì)的目標(biāo)是 企業(yè)信息系統(tǒng)投資的效果、效率、效益。審計(jì)的作用是如何正確、合理地評(píng)價(jià)企業(yè)信息系統(tǒng) 投資的績(jī)效，給企業(yè)的投資者、債權(quán)人、經(jīng)營者、管理者提供決策參考）目標(biāo)真實(shí)性、安全 性、完整性、可用性、保密性、可靠性、合法性、效果、效益、效率等。實(shí)施程序包括接受 審計(jì)委托、評(píng)估審計(jì)風(fēng)險(xiǎn)、制定審計(jì)計(jì)劃、收集審計(jì)證據(jù)、出具審計(jì)報(bào)告、后續(xù)工作ou9電 子商務(wù)的安全性是電子商務(wù)真實(shí)性的基礎(chǔ)，而電子商務(wù)真實(shí)性又是信息系統(tǒng)真實(shí)性，特別是 財(cái)務(wù)數(shù)據(jù)真實(shí)性的基礎(chǔ)。分為交易信息保密，交易者身份確認(rèn)，交易不可否認(rèn)，交易記錄不

28、 可修改。電子商務(wù)的真實(shí)性在于基金流（包括1認(rèn)證中心（第三方）2電子支付）。真實(shí)的電 子商務(wù)資金流，信息流，物流三者吻合。電子商務(wù)對(duì)審計(jì)的影響突出標(biāo)志：增加貿(mào)易機(jī)會(huì)， 降低貿(mào)易成本，簡(jiǎn)化貿(mào)易流程，提高貿(mào)易效率。1電子商務(wù)交易行為的認(rèn)定更加困難2電子 商務(wù)的安全問題不僅涉及企業(yè)和消費(fèi)者的利益更重要的是國家的經(jīng)濟(jì)安全3電子商務(wù)的無紙 化徹底改變了審計(jì)證據(jù)的獲取技術(shù)和方法，電子文件必須借助相應(yīng)的軟件才能看見和提取， 屬于電子證據(jù)認(rèn)定。.總之，由于電子商務(wù)的虛擬化、數(shù)字化、匿名化、無國界和支付方式電 子化等特點(diǎn)，使其交易情況大多數(shù)被轉(zhuǎn)換為“數(shù)據(jù)流”在網(wǎng)絡(luò)中傳送，增加了操作隱蔽性和 復(fù)雜度，提高了企能力

29、。電子商務(wù)的體系架構(gòu)底層是基礎(chǔ)層（互聯(lián)網(wǎng)、企業(yè)網(wǎng)等）中間是技 術(shù)層，是信息傳送的載體和用戶接入的手段（認(rèn)證機(jī)構(gòu)，支付網(wǎng)關(guān)，客戶服務(wù)中心，其真正 核心是認(rèn)證中心），頂層是各種各樣的電子商務(wù)應(yīng)用系統(tǒng)（電子商廈，遠(yuǎn)程醫(yī)療，股票交易， 視頻點(diǎn)播，網(wǎng)上購物，網(wǎng)上訂票等）。電子商務(wù)真實(shí)性審計(jì)內(nèi)容1、電子商務(wù)的真實(shí)性，通過 被審計(jì)企業(yè)的電子商務(wù)系統(tǒng)的日志文件與從認(rèn)證中心獲取數(shù)字時(shí)間戳等信息進(jìn)行核對(duì)，同時(shí)， 提取數(shù)字簽名以驗(yàn)證交易信息的完整性和是否被修改，2、電子支付的真實(shí)性，通過銀行核實(shí) 電子支付的真實(shí)性，3、交易目的的合法性，在信息系統(tǒng)審計(jì)師簽證了這些交易的真實(shí)性的基 礎(chǔ)之上，財(cái)務(wù)審計(jì)師應(yīng)關(guān)注關(guān)聯(lián)企業(yè)之間

30、電子商務(wù)是否合法合規(guī)，是否會(huì)影響或扭曲企業(yè)的 收入、成本、利潤(rùn)等，審核這些交易的合法性。電子商務(wù)的特點(diǎn)1信息加密2電子付款3無 紙化操作4操作方便。u11 cobit的4個(gè)領(lǐng)域1計(jì)劃與組織2獲取與實(shí)施3轉(zhuǎn)移與支持4 監(jiān)督與評(píng)價(jià)。它直接反應(yīng)企業(yè)的計(jì)劃、實(shí)施、檢查、更正等基本管理職能。提供了管理的要 素、標(biāo)準(zhǔn)和控制目標(biāo)。模型目標(biāo)保障有效性，高效性，保密性，完整性，可用性，兼容性， 可靠性。cobit立方：組織內(nèi)部的it資源需要由一組自然分類的it過程來管理。立方的三 維是目標(biāo)（業(yè)務(wù)需求：x） it資源（y） it過程）目標(biāo)（業(yè)務(wù)需求）1質(zhì)量需求2信任需 求3安全需求。it資源包括：1應(yīng)用系統(tǒng)：指人

31、工和程序化的過程的總和，2信息：指信息 系統(tǒng)使用、處理、存儲(chǔ)、輸出的數(shù)字、文字、圖像、影像、聲音等，4基礎(chǔ)設(shè)施：指支持和 保護(hù)信息系統(tǒng)的所有相關(guān)基礎(chǔ)設(shè)施，5人員：指與信息系統(tǒng)設(shè)計(jì)、開發(fā)、使用、管理、維護(hù) 等相關(guān)的人員。it過程三個(gè)層次，最底層是活動(dòng)，中間層為過程，頂層是領(lǐng)域。u2信息系統(tǒng)審計(jì)的一個(gè)重要特征過程性。信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)模型審計(jì)風(fēng)險(xiǎn)=技術(shù)風(fēng)險(xiǎn)*控 制風(fēng)險(xiǎn)*檢查風(fēng)險(xiǎn)技術(shù)風(fēng)險(xiǎn)指由于技術(shù)缺陷或漏洞等導(dǎo)致信息系統(tǒng)出錯(cuò)或終端的可能性。是 一種無法控制的風(fēng)險(xiǎn)。特點(diǎn)技術(shù)風(fēng)險(xiǎn)的水平取決于信息技術(shù)的發(fā)展水平以及企業(yè)采用的技術(shù) 水平，它的產(chǎn)生與信息系統(tǒng)審計(jì)師無關(guān)，企業(yè)可以通過加強(qiáng)內(nèi)部控制和管理等非技術(shù)手段

32、以 降低技術(shù)風(fēng)險(xiǎn)的水平。技術(shù)風(fēng)險(xiǎn)獨(dú)立存在于審計(jì)過程中，又客觀存在于審計(jì)過程中，且是一 種相對(duì)獨(dú)立的風(fēng)險(xiǎn)。這種風(fēng)險(xiǎn)水平的大小需要信息系統(tǒng)審計(jì)師的認(rèn)定。控制風(fēng)險(xiǎn)是指被審計(jì) 企業(yè)未能通過管理與控制及時(shí)防止或發(fā)現(xiàn)其信息系統(tǒng)出現(xiàn)問題或缺陷的可能性，審計(jì)人員只能評(píng)估不能改變。特點(diǎn)控制風(fēng)險(xiǎn)水平與被審計(jì)企業(yè)的控制水平有關(guān)，與信息系統(tǒng)審計(jì)師地工 作無關(guān)，有效地內(nèi)部控制能降低控制風(fēng)險(xiǎn)，無效的則增加。有效地內(nèi)部控制將降低控制風(fēng)險(xiǎn)， 而無效的內(nèi)部控制有可能增加控制風(fēng)險(xiǎn)。檢查風(fēng)險(xiǎn)是指信息系統(tǒng)審計(jì)師通過預(yù)定的審計(jì)流程 未能發(fā)現(xiàn)被審計(jì)企業(yè)在信息系統(tǒng)的安全性、真實(shí)性、績(jī)效等發(fā)面存在的問題或缺陷的可能性， 它是可以通過信息系統(tǒng)

33、審計(jì)師進(jìn)行控制和管理的。特點(diǎn)1它能獨(dú)立于整個(gè)審計(jì)過程中，不受 技術(shù)風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)的影響2與信息系統(tǒng)審計(jì)師的工作直接相關(guān)，是審計(jì)流程有效性和運(yùn)用 審計(jì)程序的有效性函數(shù)。在實(shí)踐中信息系統(tǒng)審計(jì)師就是通過收集充分的證據(jù)來降低檢查風(fēng)險(xiǎn)， 檢查風(fēng)險(xiǎn)和重要性水平共同決定了需要收集證據(jù)的數(shù)量。審計(jì)重要性水平是針對(duì)特定被審計(jì) 單位、特定審計(jì)事項(xiàng)而言的，具有相對(duì)性和個(gè)性差異，需要從審計(jì)目標(biāo)、被審對(duì)象及審計(jì)報(bào) 告的使用者等三方比外部的更為嚴(yán)重；基于信息技術(shù)的舞弊行為比誤操作等更為嚴(yán)重；來自 企業(yè)高層的信息系統(tǒng)舞弊比中層、基層的舞弊更為嚴(yán)重；軟件設(shè)計(jì)上的舞弊比利用軟件漏洞 的舞弊更為嚴(yán)重。做好審計(jì)計(jì)劃工作，對(duì)于提高審

34、計(jì)管理效率和效益，促進(jìn)審計(jì)工作質(zhì)量和 水平的提高具有重大意義。審計(jì)計(jì)劃的劃分根據(jù)時(shí)間要素可分為長(zhǎng)期審計(jì)計(jì)劃、中期和短期。 根據(jù)內(nèi)容要素可分為審計(jì)工作計(jì)劃和審計(jì)項(xiàng)目計(jì)劃。根據(jù)范圍要素分為總體審計(jì)計(jì)劃和具體 審計(jì)計(jì)劃。信息系統(tǒng)審計(jì)報(bào)告階段是信息系統(tǒng)審計(jì)工作的最后階段，信息系統(tǒng)審計(jì)報(bào)告時(shí)信 息系統(tǒng)審計(jì)工作的最后產(chǎn)品，也是信息系統(tǒng)審計(jì)師向委托人報(bào)告問題、提出建議的工具。作 用鑒定作用（信息系統(tǒng)審計(jì)師簽發(fā)的信息系統(tǒng)審計(jì)報(bào)告，是以獨(dú)立的第三方身份對(duì)被審計(jì)單 位信息系統(tǒng)管理的安全性、產(chǎn)生數(shù)據(jù)的真實(shí)性、運(yùn)行的績(jī)效等方面發(fā)表意見，能得到各個(gè)部 門和社會(huì)各界的普遍認(rèn)可）保護(hù)作用（信息系統(tǒng)審計(jì)師通過審計(jì)可以被審計(jì)單

35、位出具不同類 型審計(jì)意見的審計(jì)報(bào)告，以提高或降低企業(yè)披露信息的可信度，能過在一定程度上對(duì)被審計(jì) 單位的財(cái)產(chǎn)、債權(quán)人和股東的權(quán)益及公司利害關(guān)系人的利益起到保護(hù)作用）證明作用（審計(jì) 報(bào)告是對(duì)信息系統(tǒng)審計(jì)師任務(wù)完成情況的總結(jié)，它可以表明審計(jì)工作的質(zhì)量并明確信息系統(tǒng) 審計(jì)師的責(zé)任。通過審計(jì)報(bào)告，可以證明信息系統(tǒng)審計(jì)師審計(jì)責(zé)任的履行情況）格式1題頭 段2正文段3結(jié)論段4結(jié)尾段。（正文段：1審計(jì)目的2審計(jì)步驟及時(shí)間3審計(jì)依據(jù)4采用的 技術(shù)與方法5審計(jì)發(fā)現(xiàn)）獨(dú)立性問題決定了信息系統(tǒng)審計(jì)的質(zhì)量。分為形式上的獨(dú)立性（審 計(jì)師與被審計(jì)企業(yè)無任何特殊的利益關(guān)系）和實(shí)質(zhì)上的獨(dú)立性（審計(jì)師的超然性，不依賴和 屈從于外界

36、壓力的影響）審計(jì)準(zhǔn)則對(duì)“獨(dú)立性”的闡述1職業(yè)獨(dú)立性（對(duì)于所有與審計(jì)相關(guān) 的事物，信息系統(tǒng)審計(jì)師應(yīng)當(dāng)在態(tài)度和形式上獨(dú)立于被審計(jì)單位）2組織獨(dú)立性（信息系統(tǒng)審計(jì)職能應(yīng)當(dāng)獨(dú)立 于受審查的范圍或活動(dòng)之外，以確保審計(jì)工作完成的客觀性）3審計(jì)章程或委托書中應(yīng)當(dāng)針 對(duì)審計(jì)職能的獨(dú)立性和義務(wù)做出相應(yīng)的規(guī)定4信息系統(tǒng)審計(jì)師應(yīng)該在審計(jì)過程中隨時(shí)保持態(tài) 度和形式上的獨(dú)立性5如出現(xiàn)獨(dú)立性受損的現(xiàn)象，無論是在實(shí)質(zhì)上還是形式上，應(yīng)向有關(guān)當(dāng) 事人披露獨(dú)立性收損的細(xì)節(jié)6信息系統(tǒng)審計(jì)師應(yīng)當(dāng)在組織上獨(dú)立于被審計(jì)的范圍7信息系統(tǒng) 審計(jì)師、管理層和審計(jì)委員會(huì)應(yīng)當(dāng)定期地對(duì)獨(dú)立性進(jìn)行評(píng)估。8除非被其他職業(yè)標(biāo)準(zhǔn)或管理 機(jī)構(gòu)所禁止，當(dāng)信息系

37、統(tǒng)審計(jì)師雖然參與信息系統(tǒng)項(xiàng)目，但所擔(dān)當(dāng)?shù)牟⒉皇菍徲?jì)角色時(shí)，并 不要求信息系統(tǒng)審計(jì)師保持獨(dú)立性。業(yè)務(wù)持續(xù)計(jì)劃是企業(yè)應(yīng)對(duì)種種不可控義素的一種防御和 反映機(jī)制。災(zāi)難恢復(fù)計(jì)劃是造成業(yè)務(wù)停頓后，如何以最短時(shí)間、最少損失恢復(fù)業(yè)務(wù)的方案。 影響業(yè)務(wù)持續(xù)能力的因素有：1應(yīng)用系統(tǒng)災(zāi)難2自然災(zāi)難3人為災(zāi)難4社會(huì)災(zāi)難。u4業(yè)務(wù)持續(xù)計(jì)劃是企業(yè)應(yīng)對(duì)種種不可控因素的一種預(yù)防和反應(yīng)機(jī)制，而災(zāi)難恢復(fù)計(jì)劃則 是造成業(yè)務(wù)已經(jīng)停頓后，如何以最短時(shí)間、最少損失恢復(fù)業(yè)務(wù)的處理預(yù)案。前者立足于預(yù)防， 后者立足于事后的補(bǔ)救。業(yè)務(wù)持續(xù)計(jì)劃目的為了防止企業(yè)正常業(yè)務(wù)行為的中斷而建立起來的 計(jì)劃作用：確保企業(yè)的主要業(yè)務(wù)流程和運(yùn)營服務(wù)，包括支撐業(yè)務(wù)

38、的信息系統(tǒng)以及設(shè)施，能夠 在事故發(fā)生后持續(xù)運(yùn)行保持一定程度的服務(wù)，并能盡快的恢復(fù)事故前的服務(wù)水平。它的制定 并不意味著企業(yè)不再受任何事故的影響。難恢復(fù)計(jì)劃與業(yè)務(wù)持續(xù)計(jì)劃的區(qū)別災(zāi)難恢復(fù)計(jì)劃是 基于假定災(zāi)難發(fā)生后造成業(yè)務(wù)已經(jīng)停頓企業(yè)將如何去恢復(fù)業(yè)務(wù)，立足于把損失減小到最低程 度；業(yè)務(wù)持續(xù)計(jì)劃基于這樣一個(gè)基本原則及無論發(fā)生任何意外事件組織的關(guān)鍵業(yè)務(wù)也不能中 斷，立足于建立預(yù)防機(jī)制，強(qiáng)調(diào)使企業(yè)業(yè)務(wù)能夠抵御意外事件的打擊，災(zāi)難恢復(fù)計(jì)劃是對(duì)業(yè) 務(wù)持續(xù)計(jì)劃的必要補(bǔ)充。業(yè)務(wù)持續(xù)計(jì)劃的實(shí)施包括的階段項(xiàng)目啟動(dòng)、風(fēng)險(xiǎn)評(píng)估、業(yè)務(wù)影響分 析、業(yè)務(wù)持續(xù)性策略規(guī)劃、業(yè)務(wù)持續(xù)性計(jì)劃編制、人員培訓(xùn)及訓(xùn)練、業(yè)務(wù)持續(xù)性計(jì)劃測(cè)試與

39、演練以及業(yè)務(wù)持續(xù)性計(jì)劃更新等主要階段。其中，風(fēng)險(xiǎn)評(píng)估、業(yè)務(wù)影響分析、計(jì)劃演練、計(jì) 劃更新是關(guān)鍵因素。業(yè)務(wù)影響分析的目的通過客觀的分析，掌握各關(guān)鍵業(yè)務(wù)可容許中斷的最 大時(shí)間長(zhǎng)度，從而制定各關(guān)鍵業(yè)務(wù)的恢復(fù)時(shí)間目標(biāo)、最低的恢復(fù)要求、恢復(fù)次序以及支持各 關(guān)鍵業(yè)務(wù)恢復(fù)所需的各項(xiàng)業(yè)務(wù)資源。業(yè)務(wù)影響分析是制定業(yè)務(wù)持續(xù)計(jì)劃傳統(tǒng)步驟中最耗時(shí)和 最關(guān)鍵的一步，用的是系統(tǒng)化的方法。影響業(yè)務(wù)持續(xù)能力的因素（信息系統(tǒng)災(zāi)難）人為因素 （分為社會(huì)災(zāi)難和人為災(zāi)難，如人為破壞、攻擊系統(tǒng)、管理疏忽）非人為因素（分為自然災(zāi) 害和應(yīng)用系統(tǒng)災(zāi)害）。防火墻比喻隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是一類防容災(zāi)能力評(píng)價(jià):rop即數(shù)據(jù)

40、丟失量，代表了當(dāng)災(zāi)難發(fā)生時(shí)信息系統(tǒng)所能容忍的數(shù)據(jù)丟失。 pto即系統(tǒng)恢復(fù)時(shí)間，代表了從遭難發(fā)生到業(yè)務(wù)恢復(fù)服務(wù)功能所需要的最長(zhǎng)時(shí)間。國際標(biāo)準(zhǔn) 定義的容災(zāi)系統(tǒng)7層次0級(jí)無異地備份（這種容災(zāi)系統(tǒng)成本較低，易于配置。該級(jí)別容災(zāi)系 統(tǒng)對(duì)數(shù)據(jù)丟失的容忍度在數(shù)天以上）1級(jí)備份介質(zhì)異地存放（成本低，易于配置容忍度在數(shù) 天以上）2級(jí)備份介質(zhì)異地存放及備用場(chǎng)地（雖然移動(dòng)數(shù)據(jù)到熱備份站點(diǎn)增加了成本，但縮 短額災(zāi)難恢恢復(fù)的時(shí)間，大約在1、2天）3級(jí)電子鏈接（熱備份站點(diǎn)和信息中心在地理上必 須遠(yuǎn)離，備份數(shù)據(jù)通過網(wǎng)絡(luò)傳輸）4級(jí)活動(dòng)狀態(tài)的被援站點(diǎn)（地理上分開的兩個(gè)站點(diǎn)同時(shí)處于 工作狀態(tài)，相互管理彼此的備份數(shù)據(jù)，幾個(gè)小時(shí)）5

41、級(jí)實(shí)時(shí)數(shù)據(jù)備份（兩個(gè)站點(diǎn)數(shù)據(jù)相互鏡 像，僅在傳輸中尚未完成提交的數(shù)據(jù)會(huì)丟失幾秒）6級(jí)零數(shù)據(jù)丟失（可以實(shí)現(xiàn)零數(shù)據(jù)的丟失， 但是貴，幾乎沒有中斷的恢復(fù)方式）。這個(gè)等級(jí)劃分的目的是讓企業(yè)清楚為什么要從業(yè)務(wù)層面 作遭難恢復(fù)，不同的業(yè)務(wù)應(yīng)采取什么樣的手段。災(zāi)備中心的模型1熱備份型災(zāi)備中心（指兩 個(gè)信息中心完全同步，任一發(fā)生事故對(duì)用戶不產(chǎn)生影響但是實(shí)現(xiàn)的技術(shù)難度大、成本高；同 步遠(yuǎn)程鏡像技術(shù)，同步遠(yuǎn)程鏡像在相對(duì)較近的距離上應(yīng)用，成本高管理用難度，開支大，對(duì) 距離有限制）2溫備份型災(zāi)備中心（兩個(gè)信息中心在數(shù)據(jù)層面同步，業(yè)務(wù)運(yùn)營層面不同步， 當(dāng)事故時(shí)，要一定時(shí)間才能恢復(fù)業(yè)務(wù)運(yùn)營，數(shù)據(jù)不丟失，實(shí)現(xiàn)技術(shù)要求相對(duì)低

42、，成本也較低； 異步遠(yuǎn)程鏡像技術(shù)對(duì)網(wǎng)絡(luò)寬帶要求小，傳輸距離長(zhǎng)，成本比熱備份遭難中心要低）3冷備份型 災(zāi)備中心（最普通的數(shù)據(jù)備份處理方式，用磁盤或磁帶備份數(shù)據(jù)送到一異地保存，或通過數(shù) 據(jù)線傳輸在異地備份。最大的不同點(diǎn)是只在數(shù)據(jù)層面?zhèn)浞輿]有業(yè)務(wù)層面的備份，且數(shù)據(jù)備份 的時(shí)間間隔長(zhǎng)，不能完全恢復(fù)，但成本低，管理簡(jiǎn)單）。一個(gè)實(shí)際的災(zāi)備解決方案首先考慮企 業(yè)各種業(yè)務(wù)對(duì)信息系統(tǒng)以來的程度，其次研究可用技術(shù)和成本。在同城中建立熱接管的互備 中心，雙機(jī)熱備份系統(tǒng)采用心跳（指的是主、從系統(tǒng)之間按照一定的時(shí)間間隔發(fā)送信號(hào)，表 明各自系統(tǒng)當(dāng)前的運(yùn)行狀態(tài)）方式保證主系統(tǒng)與備份系統(tǒng)的聯(lián)系。再夸城市、遠(yuǎn)距離之間的 中心建立異步的災(zāi)難備份中心，以防地域性災(zāi)難。在災(zāi)難備份方案設(shè)計(jì)及實(shí)施中，是否可以 做到極大化