IT審計(jì)的組織與實(shí)施(培訓(xùn)課件)

1、1,IT審計(jì)的組織與實(shí)施,劉濟(jì)平 中國(guó)光大（集團(tuán)）總公司審計(jì)部副主任 注冊(cè)信息系統(tǒng)審計(jì)師（CISA）、注冊(cè)內(nèi)部審計(jì)師（CIA）、高級(jí)審計(jì)師 經(jīng)濟(jì)學(xué)碩士（南開(kāi)大學(xué)西方會(huì)計(jì)與審計(jì)專(zhuān)業(yè)）、理學(xué)碩士（英國(guó)Strathclyde大學(xué)商務(wù)信息技術(shù)系統(tǒng)專(zhuān)業(yè)） E-mail: ,2,內(nèi)容安排,內(nèi)部審計(jì)及其分類(lèi) 信息系統(tǒng)審計(jì)從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的角度理解 信息系統(tǒng)審計(jì)標(biāo)準(zhǔn) 信息系統(tǒng)審計(jì)方法 IT核心流程和審計(jì)方法 問(wèn)題討論 案例分析,3,內(nèi)部審計(jì)及其分類(lèi),內(nèi)部審計(jì) 內(nèi)部審計(jì)分類(lèi) 業(yè)務(wù)審計(jì)（Operations Audit） 信息系統(tǒng)審計(jì)(Information Systems Audit)或IT審計(jì),4,內(nèi)

2、部審計(jì)及其分類(lèi),業(yè)務(wù)審計(jì)與IT審計(jì)的關(guān)系,自動(dòng)應(yīng)用控制 應(yīng)用控制 帳號(hào)管理/邏輯控制,一般應(yīng)用控制 電子數(shù)據(jù)表和局部數(shù)據(jù)庫(kù) 程序員安全 在業(yè)務(wù)用戶(hù)層面上的變更管理 業(yè)務(wù)持續(xù)計(jì)劃（BCP）,基礎(chǔ)架構(gòu)一般應(yīng)用控制 變更和配置管理 網(wǎng)絡(luò)安全管理 計(jì)算機(jī)操作 系統(tǒng)開(kāi)發(fā)生命周期（SDLC） 共享數(shù)據(jù)庫(kù) 機(jī)房,業(yè)務(wù)審計(jì),IT審計(jì),5,信息系統(tǒng)審計(jì)從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的角度理解,一個(gè)目標(biāo) 兩種風(fēng)險(xiǎn) 三項(xiàng)評(píng)價(jià) 四類(lèi)測(cè)試,6,信息系統(tǒng)審計(jì)從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的角度理解,一個(gè)目標(biāo) 將IT相關(guān)的風(fēng)險(xiǎn)控制在可接受的水平 風(fēng)險(xiǎn)是事件的不確定性，這個(gè)事件對(duì)目標(biāo)的實(shí)現(xiàn)具有影響。 風(fēng)險(xiǎn)是不希望發(fā)生事情的可能性。 對(duì)待

3、風(fēng)險(xiǎn)的四種策略：拒絕、接受、轉(zhuǎn)移、緩釋?zhuān)刂疲?7,信息系統(tǒng)審計(jì)從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的角度理解,兩種風(fēng)險(xiǎn) 戰(zhàn)略風(fēng)險(xiǎn) 失去競(jìng)爭(zhēng)優(yōu)勢(shì) 信息系統(tǒng)項(xiàng)目失敗 災(zāi)難導(dǎo)致長(zhǎng)期不能提供服務(wù) 操作風(fēng)險(xiǎn) 變更管理文檔不完整 密碼政策不恰當(dāng) 未激活Oracle審計(jì)軌跡設(shè)置 ,8,信息系統(tǒng)審計(jì)從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的角度理解,三項(xiàng)評(píng)價(jià) 評(píng)價(jià)信息系統(tǒng)項(xiàng)目 評(píng)價(jià)業(yè)務(wù)流程中的IT控制 評(píng)價(jià)信息安全,9,信息系統(tǒng)審計(jì)從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的角度理解,四類(lèi)測(cè)試 IT控制環(huán)境測(cè)試 物理控制測(cè)試 邏輯控制測(cè)試 IS操作控制測(cè)試,10,信息系統(tǒng)審計(jì)從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的角度理解,將IT相關(guān)風(fēng)險(xiǎn)控制在可接受水平,戰(zhàn)略風(fēng)險(xiǎn),

4、操作風(fēng)險(xiǎn),評(píng)價(jià)IT項(xiàng)目,評(píng)價(jià)業(yè)務(wù)流程中的IT控制,評(píng)價(jià)信息安全,測(cè)試IT控制環(huán)境,測(cè)試物理控制,測(cè)試邏輯控制,測(cè)試IS操作控制,一個(gè)目標(biāo),兩種風(fēng)險(xiǎn),三項(xiàng)評(píng)價(jià),四類(lèi)測(cè)試,11,信息系統(tǒng)審計(jì)標(biāo)準(zhǔn),ITIL(IT Infrastructure Library) BS7799 COBIT(Control Objectives for Information and Related Technology),12,信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)ITIL,IT服務(wù)管理 IT服務(wù)管理（ITSM）：一種以流程為導(dǎo)向，以客戶(hù)為中心的方法，它通過(guò)整合IT服務(wù)與組織業(yè)務(wù)，提高組織IT服務(wù)提供和服務(wù)支持的能力和水平。 ITIL（IT

5、 Infrastructure Library, IT基礎(chǔ)架構(gòu)庫(kù)），最初由英國(guó)商務(wù)部（OGC）80年代組織開(kāi)發(fā)，是ITSM領(lǐng)域在歐洲的事實(shí)標(biāo)準(zhǔn)。2001年成為英國(guó)標(biāo)準(zhǔn)BS 15000,13,信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)ITIL,ITIL整體框架 服務(wù)提供包括5個(gè)核心流程： 服務(wù)級(jí)別管理、能力管理、可用性管理、持續(xù)性管理、財(cái)務(wù)管理。服務(wù)支持包括5個(gè)核心流程：配置管理、發(fā)布管理、變更管理、事故管理、問(wèn)題管理、服務(wù)臺(tái)職能。,資料來(lái)源：OGC, 2002,14,信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)BS7799,信息安全管理：指一個(gè)組織的政策、實(shí)務(wù)、程序、組織結(jié)構(gòu)和軟件功能，用以保護(hù)信息，確保信息免受非授權(quán)訪問(wèn)、修改或意外變更，并且在

6、經(jīng)授權(quán)用戶(hù)需要時(shí)可用。,保密性 (Confidentiality),資料來(lái)源：Pfleeger, 1997,完整性 (Integrity),可用性 (Availability),15,信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)BS7799,信息安全管理體系（ISMS） BS 7799： 最早由英國(guó)貿(mào)易和工業(yè)部于1993年組織開(kāi)發(fā)，1995年成為英國(guó)國(guó)家標(biāo)準(zhǔn)，由兩部分組成，目前最新版本為： BS 7799-1：1999信息安全管理實(shí)施規(guī)則 BS 7799-2：2002信息安全管理體系規(guī)范 BS 7799-1于2000年被批準(zhǔn)為國(guó)際標(biāo)準(zhǔn)ISO/IEC 17799：2000信息技術(shù)：信息安全管理實(shí)施規(guī)則。,16,信息系統(tǒng)審計(jì)

7、標(biāo)準(zhǔn)BS7799,信息安全管理體系（ISMS） BS 7799-1將信息安全管理分為10類(lèi)控制，成為組織實(shí)施信息安全管理的實(shí)用指南。,通訊和運(yùn)行管理 訪問(wèn)控制 系統(tǒng)開(kāi)發(fā)和維護(hù) 業(yè)務(wù)持續(xù)管理 合規(guī),信息安全政策 安全組織 資產(chǎn)分類(lèi)和控制 人員控制 物理和環(huán)境安全,17,信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)BS7799,BS 7799-2提供的信息安全管理框架,制定政策,確定ISMS的范圍,實(shí)施風(fēng)險(xiǎn)評(píng)價(jià),管理風(fēng)險(xiǎn),選擇控制目標(biāo)和控制,制定應(yīng)用說(shuō)明,政策文件,ISMS范圍,風(fēng)險(xiǎn)評(píng)價(jià),選擇的控制選項(xiàng),應(yīng)用說(shuō)明,結(jié)果和結(jié)論,選擇的控制目標(biāo)和控制,威脅、弱點(diǎn)、影響,風(fēng)險(xiǎn)管理方法,需要的保證程度,ISMS需要的控制目標(biāo)和控制,

8、BS 7799 以外的控制,第一步,第二步,第三步,第四步,第五步,第六步,資料來(lái)源：BSI，1999,18,信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)-COBIT,IT治理 信息安全和控制實(shí)務(wù)普遍接受的標(biāo)準(zhǔn) 主要目的是為企業(yè)治理提供清晰的政策和最佳實(shí)務(wù) 以信息系統(tǒng)審計(jì)與控制基金會(huì) (ISACF) 的控制目標(biāo)為基礎(chǔ)，由ISACA及其下屬的“IT治理研究院”開(kāi)發(fā)。1996年第一版，2000年第三版，2006年第四版。,19,信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)-COBIT,由34個(gè)IT控制目標(biāo)組成，分為四個(gè)方面: 規(guī)劃和組織 獲得與實(shí)施 交付與支持 監(jiān)控,20,信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)-COBIT,COBIT 的34個(gè)控制目標(biāo),交付和支持,IT 資

9、源,信息,監(jiān)控,獲得與實(shí)施,規(guī)劃和組織,-效果性 -效率性 -保密性 -完整性 -可用性 -合規(guī)性 -可靠性,-人 -應(yīng)用系統(tǒng) -技術(shù) -設(shè)備 -數(shù)據(jù),確定自動(dòng)化方案 獲取并維護(hù)應(yīng)用程序軟件 獲取并維護(hù)技術(shù)基礎(chǔ)設(shè)施 程序開(kāi)發(fā)與維護(hù) 系統(tǒng)安裝與鑒定 變更管理,定義IT戰(zhàn)略規(guī)劃 定義信息體系結(jié)構(gòu) 確定技術(shù)方向 定義IT組織和關(guān)系 管理IT投資 傳達(dá)管理目標(biāo)和方向 人力資源管理 確保遵循外部要求 風(fēng)險(xiǎn)評(píng)估 項(xiàng)目管理 質(zhì)量管理,定義并管理服務(wù)水平 管理第三方的服務(wù) 管理性能與容量 確保服務(wù)的連續(xù)性 確保系統(tǒng)安全 確定并分配成本 教育并培訓(xùn)用戶(hù) 協(xié)助和咨詢(xún)客戶(hù) 配置管理 處理問(wèn)題和突發(fā)事件 數(shù)據(jù)管理 設(shè)

10、施管理 運(yùn)行管理,過(guò)程監(jiān)控 評(píng)價(jià)內(nèi)部控制的適當(dāng)性 獲取獨(dú)立鑒證 提供獨(dú)立的審計(jì),COBIT,企業(yè)目標(biāo),IT治理,資料來(lái)源：IT Governance Institute, 2000,21,信息系統(tǒng)審計(jì)方法,年度風(fēng)險(xiǎn)評(píng)估 和計(jì)劃,問(wèn)題追蹤和 后續(xù)審計(jì),審計(jì)評(píng)價(jià),審計(jì)報(bào)告,審計(jì)計(jì)劃,控制評(píng)價(jià),風(fēng)險(xiǎn)評(píng)估,審計(jì)方案 和測(cè)試,年度風(fēng)險(xiǎn)評(píng)估 和計(jì)劃,問(wèn)題追蹤和 后續(xù)審計(jì),審計(jì)評(píng)價(jià),審計(jì)報(bào)告,審計(jì)計(jì)劃,控制評(píng)價(jià),風(fēng)險(xiǎn)評(píng)估,審計(jì)方案 和測(cè)試,22,內(nèi)部審計(jì)方法年度風(fēng)險(xiǎn)評(píng)估和計(jì)劃,實(shí)施年度風(fēng)險(xiǎn)評(píng)估 識(shí)別下一年度的審計(jì)領(lǐng)域. 制定年度審計(jì)計(jì)劃,23,年度風(fēng)險(xiǎn)評(píng)估:風(fēng)險(xiǎn)評(píng)估,按照可審計(jì)業(yè)務(wù)單元進(jìn)行 每年實(shí)施一次 考

11、慮因素 業(yè)務(wù)/財(cái)務(wù)影響 外部環(huán)境：如規(guī)章制度、市場(chǎng)、技術(shù) 容易出現(xiàn)欺詐舞弊 計(jì)算機(jī)環(huán)境 上一次審計(jì)結(jié)果及時(shí)間 與管理層討論（分公司、子公司和總公司）,24,年度風(fēng)險(xiǎn)評(píng)估:風(fēng)險(xiǎn)分級(jí)和審計(jì)頻率,非常高 (一年或少于一年審計(jì)一次) 高 (每一至兩年審計(jì)一次) 中 (每三到四年審計(jì)一次) 低 (每五年審計(jì)一次或不審計(jì)),25,年度風(fēng)險(xiǎn)評(píng)估:舉例,26,年度審計(jì)計(jì)劃:舉例,某公司2005 年內(nèi)部審計(jì)計(jì)劃 一、制定計(jì)劃的方法 本計(jì)劃是根據(jù)公司規(guī)定的年度風(fēng)險(xiǎn)評(píng)估方法加以制定的。在制定過(guò)程中，我們考慮了公司管理層的要求，以及公司其他股東的年度審計(jì)計(jì)劃。 二、影響計(jì)劃制定的主要因素 1、中國(guó)區(qū)業(yè)務(wù)的快速發(fā)展 2

12、、與其他股東在內(nèi)部審計(jì)方面的良好合作 3、 三、審計(jì)范圍,四、審計(jì)項(xiàng)目描述 五、審計(jì)時(shí)間預(yù)算,27,信息系統(tǒng)審計(jì)方法計(jì)劃,審計(jì)任務(wù)備忘錄(審計(jì)通知書(shū)) 審計(jì)目的和范圍 審計(jì)方法 審計(jì)人員 被審計(jì)單位人員 審計(jì)時(shí)間安排 問(wèn)題溝通和行動(dòng)計(jì)劃 審計(jì)標(biāo)準(zhǔn) 審計(jì)效果評(píng)價(jià),28,計(jì)劃：舉例,某公司一般IT控制審計(jì)備忘錄 審計(jì)范圍和目的：本次審計(jì)的目的是，通過(guò)審計(jì)，評(píng)價(jià)下列領(lǐng)域控制的效果。 IT規(guī)劃和組織 系統(tǒng)開(kāi)發(fā)和獲得 變更管理 數(shù)據(jù)管理 信息安全 網(wǎng)絡(luò)管理 計(jì)算機(jī)操作 物理安全和設(shè)備管理 業(yè)務(wù)持續(xù)計(jì)劃 審計(jì)方法：本次審計(jì)是按照風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的方法進(jìn)行的，我們將對(duì)上述領(lǐng)域的風(fēng)險(xiǎn)進(jìn)行評(píng)估，然后對(duì)中高風(fēng)險(xiǎn)領(lǐng)域進(jìn)

13、行控制測(cè)試。在審計(jì)中，我們主要采取如下方法：檢查有關(guān)規(guī)章制度、程序和標(biāo)準(zhǔn)；檢查有關(guān)規(guī)劃和操作文件和報(bào)告（如IT規(guī)劃、項(xiàng)目文檔、總是日志、BCP等）；IT實(shí)地觀察；與管理層和有關(guān)員工面談。 審計(jì)組成員： 審計(jì)時(shí)間： 審計(jì)標(biāo)準(zhǔn)：我們將按照國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)（IIA）和國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）制定的有關(guān)標(biāo)準(zhǔn)進(jìn)行審計(jì)。由于我們是通過(guò)抽樣進(jìn)行測(cè)試，因此我們的審計(jì)并不能絕對(duì)保證發(fā)現(xiàn)所有的錯(cuò)誤和違規(guī)問(wèn)題。 審計(jì)績(jī)效評(píng)價(jià)：審計(jì)結(jié)束時(shí)，我們將向員工發(fā)送問(wèn)券調(diào)查，以評(píng)價(jià)審計(jì)工作是否有效和達(dá)到目的。,29,信息系統(tǒng)審計(jì)方法風(fēng)險(xiǎn)評(píng)估,識(shí)別業(yè)務(wù)流程的具體風(fēng)險(xiǎn) 風(fēng)險(xiǎn)矩陣 具體風(fēng)險(xiǎn) 業(yè)務(wù)影響 可能性評(píng)價(jià) (

14、高/中/低) 影響評(píng)價(jià) (低/中/顯著/非常顯著) 風(fēng)險(xiǎn) (高/中/低),30,風(fēng)險(xiǎn)評(píng)估:舉例,流程:IT規(guī)劃與組織,31,信息系統(tǒng)審計(jì)方法控制評(píng)價(jià),記錄需要控制風(fēng)險(xiǎn)的主要內(nèi)部控制. 控制評(píng)價(jià)矩陣 具體風(fēng)險(xiǎn) 需要的控制 控制類(lèi)型 (預(yù)防/發(fā)現(xiàn)/改正),32,控制評(píng)價(jià):舉例,流程:IT規(guī)劃與組織,33,信息系統(tǒng)審計(jì)方法審計(jì)方案和測(cè)試,制定審計(jì)方案 需要測(cè)試的控制 審計(jì)程序 測(cè)試主要控制的有效性 記錄測(cè)試結(jié)果,34,審計(jì)方案和測(cè)試:舉例,流程:IT規(guī)劃與組織,35,信息系統(tǒng)審計(jì)方法溝通和報(bào)告,發(fā)出審計(jì)發(fā)現(xiàn)清單 與被審計(jì)單位管理層交換意見(jiàn) 起草審計(jì)報(bào)告 舉行結(jié)束會(huì)議 發(fā)布最終審計(jì)報(bào)告 摘要 詳細(xì)審計(jì)

15、發(fā)現(xiàn)和審計(jì)建議,36,信息系統(tǒng)審計(jì)方法績(jī)效評(píng)價(jià),被審計(jì)單位調(diào)查問(wèn)卷 審計(jì)結(jié)束時(shí)發(fā)出 調(diào)查問(wèn)題: 審計(jì)目的是否表述清楚? 審計(jì)人員對(duì)被審計(jì)單位人員是否謙和禮貌? 審計(jì)發(fā)現(xiàn)是否準(zhǔn)確? 對(duì)你是否有用?,37,信息系統(tǒng)審計(jì)方法 問(wèn)題追蹤和后續(xù)審計(jì),對(duì)重要審計(jì)建議進(jìn)行季度監(jiān)控. 內(nèi)部審計(jì)季度檢查報(bào)告 控制報(bào)告,38,IT 核心流程和審計(jì)方法,規(guī)劃和組織 系統(tǒng)開(kāi)發(fā) 變更/問(wèn)題管理 數(shù)據(jù)管理 計(jì)算機(jī)操作運(yùn)行 物理安全/設(shè)備管理 業(yè)務(wù)持續(xù)計(jì)劃 (BCP) 信息安全 網(wǎng)絡(luò)管理 應(yīng)用處理,39,IT 流程:規(guī)劃和組織,公司如何管理 IT. 相關(guān)風(fēng)險(xiǎn) IT規(guī)劃與業(yè)務(wù)規(guī)劃不一致 不現(xiàn)實(shí)的戰(zhàn)略規(guī)劃 IT成本超支 存在不

16、相容的職能 組織不好的IT職能,40,審計(jì)方法:規(guī)劃和組織,審計(jì)范圍 組織結(jié)構(gòu) 規(guī)劃過(guò)程(戰(zhàn)略, 戰(zhàn)術(shù)) 預(yù)算和成本控制 服務(wù)級(jí)別協(xié)議 (SLAs) 培訓(xùn)和資源保障 溝通過(guò)程,41,審計(jì)方法:規(guī)劃和組織,訪談對(duì)象 首席執(zhí)行官（CEO）/首席營(yíng)運(yùn)官（COO） 首席財(cái)務(wù)官（CFO） 首席信息官（CIO） IT 指導(dǎo)委員會(huì)成員 IT 高級(jí)管理層 用戶(hù)管理層,42,審計(jì)方法:規(guī)劃和組織,檢查內(nèi)容: IT組織機(jī)構(gòu)圖 IT 部門(mén)章程/權(quán)限 IT 規(guī)劃 (戰(zhàn)略, 戰(zhàn)術(shù)) 業(yè)務(wù)規(guī)劃 IT 指導(dǎo)委員會(huì)會(huì)議紀(jì)要 政策、程序和標(biāo)準(zhǔn) 服務(wù)級(jí)別協(xié)議 (SLAs) 培訓(xùn)計(jì)劃 職位描述,43,IT 流程:系統(tǒng)開(kāi)發(fā),信息系統(tǒng)

17、是如何開(kāi)發(fā)的，以支持企業(yè)運(yùn)營(yíng). 相關(guān)風(fēng)險(xiǎn) 未滿(mǎn)足業(yè)務(wù)需求 有瑕疵的業(yè)務(wù)案例 延期實(shí)施 范圍不確定（軟件基線）,44,審計(jì)方法:系統(tǒng)開(kāi)發(fā),審計(jì)范圍 項(xiàng)目所有者 需求的提出和控制 項(xiàng)目管理 開(kāi)發(fā)和測(cè)試 數(shù)據(jù)轉(zhuǎn)換控制 后實(shí)施,45,審計(jì)方法:系統(tǒng)開(kāi)發(fā),訪談對(duì)象: CIO IT 指導(dǎo)委員會(huì)成員 項(xiàng)目指導(dǎo)委員會(huì)成員 項(xiàng)目所有者 項(xiàng)目經(jīng)理,46,審計(jì)方法:系統(tǒng)開(kāi)發(fā),檢查內(nèi)容: IT 規(guī)劃 系統(tǒng)開(kāi)發(fā)方法 與硬件/軟件采購(gòu)相關(guān)的政策和程序 項(xiàng)目文檔 (如：需求定義，可行性分析) 與軟件采購(gòu)、開(kāi)發(fā)和維護(hù)相關(guān)的合同,47,IT 流程:變更管理,IT變更是如何管理的，以確保完整性 相關(guān)風(fēng)險(xiǎn) 非授權(quán)的變更請(qǐng)求 未測(cè)試

18、的變更 非授權(quán)的變更實(shí)施,48,審計(jì)方法:變更管理,審計(jì)范圍 所有者 需求的提出和控制 變更控制 文檔和過(guò)程 軟件發(fā)布政策,49,年度審計(jì)計(jì)劃:考慮的因素和批準(zhǔn),考慮的因素 風(fēng)險(xiǎn)高的可審計(jì)單元 管理層的要求 公司風(fēng)險(xiǎn)管理委員會(huì)和審計(jì)委員會(huì)的指導(dǎo) 外部審計(jì) 年度審計(jì)計(jì)劃批準(zhǔn) 第一層次: 副總裁&總審計(jì)師（管理層） 第二層次: 審計(jì)委員會(huì)（董事會(huì)）,50,審計(jì)方法:變更管理,訪談對(duì)象 CIO IT 高級(jí)管理層 應(yīng)用開(kāi)發(fā)經(jīng)理 質(zhì)量鑒定經(jīng)理 IT 運(yùn)行經(jīng)理,51,審計(jì)方法:變更管理,檢查內(nèi)容: 系統(tǒng)開(kāi)發(fā)方法 變更控制政策和程序 變更需求表,52,IT 流程:數(shù)據(jù)管理,數(shù)據(jù)是如何管理的，以確保完整和可用

19、. 相關(guān)風(fēng)險(xiǎn) 數(shù)據(jù)不準(zhǔn)確、過(guò)時(shí)或被破壞 數(shù)據(jù)不可恢復(fù) 數(shù)據(jù)的不適當(dāng)訪問(wèn),53,審計(jì)方法:數(shù)據(jù)管理,審計(jì)范圍 數(shù)據(jù)所有者 組織結(jié)構(gòu) 計(jì)劃和開(kāi)發(fā) 系統(tǒng)管理 安全 備份/恢復(fù),54,審計(jì)方法:數(shù)據(jù)管理,訪談對(duì)象: IT 高級(jí)管理層 信息安全官員 系統(tǒng)開(kāi)發(fā)經(jīng)理 數(shù)據(jù)庫(kù)存管理員 數(shù)據(jù)所有者,55,審計(jì)方法:數(shù)據(jù)管理,檢查內(nèi)容: 數(shù)據(jù)所有關(guān)系結(jié)構(gòu) 數(shù)據(jù)模型 與以下內(nèi)容相關(guān)的政策和程序: 數(shù)據(jù)輸入授權(quán) 數(shù)據(jù)處理 輸出的分發(fā) 數(shù)據(jù)庫(kù)維護(hù)和安全 庫(kù)管理,56,IT 流程:計(jì)算機(jī)操作運(yùn)行,如何管理計(jì)算設(shè)備，以提供持續(xù)服務(wù). 相關(guān)風(fēng)險(xiǎn) 處理延遲 重新運(yùn)行頻繁 問(wèn)題無(wú)法解決,57,審計(jì)方法:計(jì)算機(jī)操作運(yùn)行,審計(jì)范圍

20、組織結(jié)構(gòu) 時(shí)間安排 媒介控制 備份/重新啟動(dòng)/恢復(fù) 容量規(guī)劃,58,審計(jì)方法:計(jì)算機(jī)操作運(yùn)行,訪談對(duì)象: IT 高級(jí)管理層 IT 運(yùn)行經(jīng)理 數(shù)據(jù)中心主管,59,審計(jì)方法:計(jì)算機(jī)操作運(yùn)行,檢查的文件： 組織結(jié)構(gòu)圖 部門(mén)計(jì)劃 職位描述 服務(wù)級(jí)別協(xié)議 (SLAs) 與計(jì)算機(jī)處理相關(guān)的政策和程序 工作安排人員 備份/恢復(fù) 問(wèn)題管理 磁帶管理,60,IT流程:物理安全/設(shè)備管理,相關(guān)風(fēng)險(xiǎn) 非授權(quán)訪問(wèn)、使用公司資產(chǎn)或信息 偷竊、損壞或毀損數(shù)據(jù)或設(shè)備 不安全的工作環(huán)境,61,審計(jì)方法:物理安全/設(shè)備管理,審計(jì)范圍 訪問(wèn)控制 環(huán)境災(zāi)難 火災(zāi)控制 電力供應(yīng) 員工安全 應(yīng)急程序 維護(hù),62,審計(jì)方法:物理安全/設(shè)

21、備管理,訪談對(duì)象: IT 高級(jí)管理層 IT 設(shè)備經(jīng)理 信息安全官 運(yùn)行 /數(shù)據(jù)中心經(jīng)理,63,審計(jì)方法:物理安全/設(shè)備管理,檢查內(nèi)容: 數(shù)據(jù)中心樓層計(jì)劃/ 分布 IT用房的視查 可接觸IT設(shè)備人員清單 與物理安全、人員健康和安全、環(huán)境危害防護(hù)相關(guān)的政策和程序,64,IT流程:業(yè)務(wù)持續(xù)計(jì)劃（BCP）,如何確保持續(xù)的IT服務(wù)、當(dāng)需要時(shí)可得到，以及在出現(xiàn)重大中斷時(shí)對(duì)業(yè)務(wù)影響最小. 相關(guān)風(fēng)險(xiǎn) 無(wú)法按照計(jì)劃恢復(fù)關(guān)鍵業(yè)務(wù)功能 沒(méi)有足夠的資源完成或?qū)嵤┯?jì)劃 過(guò)時(shí)和未測(cè)試的業(yè)務(wù)持續(xù)計(jì)劃 第三方供貨商的支持不充分,65,審計(jì)方法:業(yè)務(wù)持續(xù)計(jì)劃（BCP）,審計(jì)范圍 所有者 業(yè)務(wù)影響評(píng)估 恢復(fù)策略 與業(yè)務(wù)的聯(lián)系 維

22、護(hù) 測(cè)試,66,審計(jì)方法:業(yè)務(wù)持續(xù)計(jì)劃（BCP）,訪談對(duì)象: CIO IT 高級(jí)管理層 IT 運(yùn)行經(jīng)理 信息安全官 用戶(hù)管理層 業(yè)務(wù)持續(xù)計(jì)劃（BCP）/災(zāi)難恢復(fù)計(jì)劃（DRP）小組 災(zāi)難恢復(fù)地經(jīng)理,67,審計(jì)方法:業(yè)務(wù)持續(xù)計(jì)劃（BCP）,檢查內(nèi)容: BCP 手冊(cè) BCP/DRP 測(cè)試結(jié)果 供貨商 /維護(hù)合同 業(yè)務(wù)中斷保單 與持續(xù)計(jì)劃過(guò)程相關(guān)的政策和程序,68,IT流程:信息安全,信息是如何保護(hù)的，以確保其完整、保密和可用. 相關(guān)風(fēng)險(xiǎn) 非授權(quán)訪問(wèn)信息（內(nèi)部和外部） 有意泄露信息,69,審計(jì)方法:信息安全,審計(jì)范圍 政策和程序 數(shù)據(jù)分級(jí) 用戶(hù)添加、維護(hù)和刪除 監(jiān)控 密碼方案 訪問(wèn)級(jí)別 安全環(huán)境,70

23、,審計(jì)方法:信息安全,訪談對(duì)象: IT 高級(jí)管理層 信息安全官員 應(yīng)用開(kāi)發(fā)經(jīng)理 數(shù)據(jù)管理員,71,審計(jì)方法:信息安全,檢查內(nèi)容 信息安全政策和程序 了解訪問(wèn)控制軟件 違反安全的報(bào)告 IT資源訪問(wèn)點(diǎn) (物理的/邏輯的)的設(shè)計(jì)安排 具有訪問(wèn)系統(tǒng)資源權(quán)限的雇員、供貨商、服務(wù)提供商的人員名單,72,IT流程:網(wǎng)絡(luò)管理,如何管理網(wǎng)絡(luò)，以確保其安全、高效運(yùn)行和可用. 相關(guān)風(fēng)險(xiǎn) 網(wǎng)絡(luò)低效率 網(wǎng)絡(luò)無(wú)法恢復(fù) 網(wǎng)絡(luò)問(wèn)題無(wú)法解決,73,審計(jì)方法:網(wǎng)絡(luò)管理,審計(jì)范圍 所有者 組織結(jié)構(gòu) 規(guī)劃和開(kāi)發(fā) 政策和程序 網(wǎng)絡(luò)安全和管理 恢復(fù)/重新啟動(dòng),74,審計(jì)方法:網(wǎng)絡(luò)管理,訪談對(duì)象: IT 運(yùn)行經(jīng)理 網(wǎng)絡(luò)管理員 信息安全官,75,審計(jì)方法:網(wǎng)絡(luò)管理,檢查內(nèi)容 組織結(jié)構(gòu)圖 部門(mén)計(jì)劃 職位描述 服務(wù)級(jí)別協(xié)議 (SLAs) 網(wǎng)絡(luò)體系結(jié)構(gòu)/配置 與網(wǎng)絡(luò)管理相關(guān)的政策和程序,76,IT流程:應(yīng)用處理,系統(tǒng)如何實(shí)施，以確保經(jīng)授權(quán)的業(yè)務(wù)信息處理完全、準(zhǔn)確 相關(guān)風(fēng)險(xiǎn)：包括計(jì)算機(jī)操作