信息系統績效審計(清華大學出版社)

本書圍繞現代信息系統審計的鄂三大基本職能（審計、控制、管理）進行編寫，在審計職能方面，突出審計的目的與本質，按照真實性審計、安全性審計和績效審計等三個基本審計類型展開；在控制職能中，以IT安全為核心介紹了IT內部控制的方方面面；在管理職能中，以IT風險為導向，圍繞IT風險管理展開。本書結構新穎獨特，既具有教好的系統性和理論性，又具有很強的實戰性和可操作性。

全書每一篇均包含一個案例，可以圍繞案例組織教學，適用於高校信息管理類、會計、審計、財務管理、企業管理、計算機套用等專業本科生和研究生作為教材或參考書；書中還提供了大量實用表格等，為信息系統審計師、內部審計師、註冊會計師、管理諮詢師、企業管理人員等專業人士提供工作指導，是一本實用的工具書。

第一篇 總論

第1章 信息系統審計概述

1.1 信息系統審計的歷史

1.1.1 早期的信息系統審計

1.1.2 現代信息系統審計的形成

1.2 信息系統審計的概念

1.2.1 信息系統審計定義

1.2.2 信息系統審計辨析

1.2.3 信息系統審計分類

1.2.4 信息系統審計目標

1.2.5 信息系統審計職能

1.2.6 信息系統審計過程

1.2.7 信息系統審計方法

1.2.8 信息系統審計依據

1.3 信息系統審計的規範

1.3.1 與信息系統審計相關的組織

1.3.2 ISACA的準則體系

1.3.3 審計師的職業準則

1.3.4 與IT服務管理相關的規範

1.3.5 與信息安全技術相關的標準

1.3.6 與計算機犯罪相關的法律

第2章 信息系統審計實施

2.1 管控審計風險

2.1.1 什麼是審計風險

2.1.2 審計風險的特徵

2.1.3 審計風險的模型

2.1.4 評估固有風險和控制風險

2.1.5 確定重要性水平

2.1.6 控制檢查風險

2.2 制定審計計畫

2.2.1 審計計畫的作用

2.2.2 審計計畫的規範

2.2.3 審計計畫的內容

2.2.4 審計計畫中風險評估的運用

2.3 收集審計證據

2.3.1 審計證據的屬性

2.3.2 審計證據的種類

2.3.3 數字證據的特點

2.3.4 數字證據的形式

2.3.5 收集證據的充分性

2.3.6 收集證據的適當性

2.3.7 收集證據的可信性

2.4 編制工作底稿

2.4.1 工作底稿的作用

2.4.2 工作底稿的分類

2.4.3 編制工作底稿的注意事項

2.4.4 工作底稿的覆核

2.4.5 工作底稿的管理

2.5 編寫審計報告

2.5.1 審計報告的作用

2.5.2 審計報告的規範

2.5.3 審計報告的格式

2.5.4 編寫審計報告的注意事項

第3章 信息系統審計方法

3.1 證據收集方法

3.1.1 證據收集方法概述

3.1.2 收集證據的方法

3.2 數字取證方法

3.2.1 數字取證的概念

3.2.2 數字取證的作用

3.2.3 數字取證的方法

3.2.4 數字取證的工具

3.2.5 數字取證的規範

3.3 資料庫查詢方法

3.3.1 資料庫查詢工具

3.3.2 對單個表的查詢

3.3.3 對單個表的統計

3.3.4 生成審計中間表

3.3.5 對多個表的查詢

3.3.6 套用實例

3.4 軟體測試方法

3.4.1 概述

3.4.2 黑盒測試

3.4.3 白盒測試

3.4.4 基於故障的測試

3.4.5 基於模型的測試

案例1 安然公司破產——信息系統審計的轉折點

第二篇 真實性審計

第4章 真實性審計概述

4.1 真實性審計概念

4.1.1 真實性審計的含義

4.1.2 真實性審計的內容

4.1.3 真實性審計的分類

4.1.4 業務流程審核

4.1.5 財務處理審核

4.1.6 交易活動審核

4.1.7 真實性審計的方法

4.2 管理信息系統

4.2.1 管理信息系統的定義

4.2.2 管理信息系統的特徵

4.2.3 管理信息系統的發展

4.2.4 管理信息系統的概念結構

4.2.5 管理信息系統的層次結構

4.2.6 管理信息系統的系統結構

4.2.7 管理信息系統的硬體結構

4.3 系統流程審核

4.3.1 系統流程的審計目標

4.3.2 數據流圖的概念

4.3.3 分析業務流程

4.3.4 畫出數據流圖

4.3.5 分析數據的邏輯關係

4.3.6 發現審計線索

第5章 財務數據的真實性

5.1 財務信息系統

5.1.1 財務信息系統的發展過程

5.1.2 財務信息系統的功能

5.1.3 銷售與應收子系統

5.1.4 採購與應付子系統

5.1.5 工資管理子系統

5.1.6 固定資產子系統

5.1.7 財務信息系統對審計的影響

5.1.8 財務信息系統審計內容

5.2 財務處理的真實性

5.2.1 總賬子系統的真實性問題

5.2.2 總賬子系統的主要功能

5.2.3 總賬子系統的處理流程

5.2.4 總賬子系統的數據來源

5.2.5 系統的初始化

5.2.6 科目與賬簿設定

5.2.7 自動轉賬憑證的設定

5.2.8 總賬子系統的審計

5.3 財務報表的真實性

5.3.1 報表子系統的真實性問題

5.3.2 報表子系統的主要功能

5.3.3 報表子系統的處理流程

5.3.4 財務報表自動生成原理

5.3.5 報表子系統的審計

第6章 交易活動的真實性

6.1 電子商務

6.1.1 電子商務的概念

6.1.2 電子商務的功能

6.1.3 電子商務體系結構

6.1.4 電子商務工作流程

6.1.5 電子商務對審計的影響

6.1.6 電子商務審計

6.2 電子交易方的真實性

6.2.1 身份冒充問題

6.2.2 身份認證概述

6.2.3 單向認證

6.2.4 雙向認證

6.2.5 可信中繼認證

6.2.6 Kerberos系統

6.3 電子交易行為的真實性

6.3.1 交易欺詐問題

6.3.2 不可抵賴證據的構造

6.3.3 不可否認協定概述

6.3.4 不可否認協定安全性質

6.3.5 Zhou-Gollmann協定

6.3.6 安全電子支付協定

案例2 超市上演“無間道”——舞弊導致電子數據不真實

第三篇 安全性審計

第7章 安全性審計概述

7.1 安全性審計概念

7.1.1 安全性審計的含義

7.1.2 安全性審計的內容

7.1.3 調查了解系統情況

7.1.4 檢查驗證安全狀況

7.1.5 安全性審計的方法

7.2 系統安全標準

7.2.1 可信計算機系統評價準則

7.2.2 信息技術安全評價通用準則

7.2.3 信息系統安全等級劃分標準

7.3 物理安全標準

7.3.1 數據中心安全標準

7.3.2 存儲設備安全標準

第8章 數據安全

8.1 數據的安全問題

8.1.1 數據的安全性

8.1.2 數據的保密性

8.1.3 數據的完整性

8.1.4 數據的可用性

8.1.5 數據安全審計

8.2 數據的加密技術

8.2.1 數據加密與安全的關係

8.2.2 對稱加密算法

8.2.3 非對稱加密算法

8.2.4 散列加密算法

8.3 數據的訪問控制

8.3.1 訪問控制與安全的關係

8.3.2 自主訪問控制

8.3.3 強制訪問控制

8.3.4 基於角色的訪問控制

8.4 數據的完整性約束

8.4.1 完整性與安全的關係

8.4.2 數據完整性

8.4.3 完整性約束條件

8.4.4 完整性約束機制

8.4.5 完整性約束的語句

8.4.6 完整性約束的實現

第9章 作業系統安全

9.1 作業系統的安全問題

9.1.1 作業系統的概念

9.1.2 作業系統的種類

9.1.3 作業系統的結構

9.1.4 作業系統面臨的威脅

9.1.5 作業系統的安全策略

9.1.6 作業系統安全等級的劃分

9.1.7 作業系統的安全機制

9.1.8 作業系統安全性的測評

9.2 windows安全機制

9.2.1 windows安全機制概述

9.2.2 身份認證

9.2.3 訪問控制

9.2.4 加密檔案系統

9.2.5 入侵檢測

9.2.6 事件審核

9.2.7 Windows日誌管理

9.3 UNIX安全機制

9.3.1 UNIX安全機制概述

9.3.2 賬戶的安全控制

9.3.3 檔案系統的安全控制

9.3.4 日誌檔案管理

9.3.5 密碼強度審查

9.3.6 入侵檢測

9.3.7 系統日誌分析

第10章 資料庫系統安全

10.1 資料庫系統的安全問題

10.1.1 資料庫系統的概念

10.1.2 資料庫系統的組成

10.1.3 資料庫系統的結構

10.1.4 資料庫管理系統

10.1.5 資料庫系統面臨的威脅

10.1.6 資料庫系統的安全需求

10.1.7 資料庫系統安全等級劃分

10.2 資料庫系統安全機制

10.2.1 數據備份策略

10.2.2 資料庫備份技術

10.2.3 資料庫恢復技術

10.2.4 資料庫審計功能

10.2.5 資料庫訪問安全

10.3 Oracle審計機制

10.3.1 Oracle審計功能

10.3.2 標準審計

10.3.3 細粒度的審計

10.3.4 審計相關的數據字典視圖

10.4 SQL Server審計機制

10.4.1 SQL Server審計功能

10.4.2 伺服器審計

10.4.3 資料庫級的審計

10.4.4 審計級的審計

10.4.5 審計相關的數據字典視圖

第11章 網路安全

11.1 網路的安全問題

11.1.1 計算機網路

11.1.2 網路的體系結構

11.1.3 網路協定的組成

11.1.4 網路面臨的威脅

11.1.5 網路的安全問題

11.2 網路入侵的防範

11.2.1 網路入侵問題

11.2.2 網路入侵技術

11.2.3 網路入侵防範

11.3 網路攻擊的防禦

11.3.1 服務失效攻擊與防禦

11.3.2 欺騙攻擊與防禦

11.3.3 緩衝區溢出攻擊與防禦

11.3.4 SQL注入攻擊與防禦

11.3.5 組合型攻擊與防禦

案例3 聯通盜竊案——信息資產安全的重要性

第四篇 績效審計

第12章 IT績效審計概述

12.1 績效審計概念

12.1.1 績效審計的出現

12.1.2 績效審計的定義

12.1.3 績效審計的目標

12.1.4 績效審計的對象

12.1.5 績效審計的分類

12.1.6 績效審計的方法

12.1.7 績效審計的評價標準

12.1.8 績效審計的特點

12.2 IT績效審計概念

12.2.1 IT績效審計的必要性

12.2.2 IT績效審計的含義

12.2.3 IT績效審計的特點

12.2.4 IT績效審計的評價標準

12.2.5 IT績效審計的視角

12.2.6 IT績效審計的階段

12.2.7 IT績效審計的方法

12.3 信息化評價指標

12.3.1 評價指標的提出

12.3.2 評價指標的內容

12.3.3 評價指標適用性

12.3.4 評價指標的層次

第13章 IT項目經濟評價

13.1 資產等值計算

13.1.1 資金的時間價值

13.1.2 若干基本概念

13.1.3 資金等值計算

13.2 軟體成本估算

13.2.1 軟體估算方法

13.2.2 軟體規模估算

13.2.3 軟體工作量估算

13.2.4 軟體成本估算

13.3 項目績效評價

13.3.1 效益評價方法

13.3.2 項目現金流分析

13.3.3 財務靜態分析法

13.3.4 財務動態分析法

第14章 IT項目套用評價

14.1 IT套用評價的複雜性

14.1.1 企業信息化的作用

14.1.2 ERP投資陷阱

14.1.3 IT生產率悖論

14.1.4 IT套用評價的作用

14.2 IT評價理論的形成

14.2.1 IT評價的內涵

14.2.2 IT評價的發展歷程

14.2.3 IT評價的種類

14.3 平衡計分卡技術

14.3.1 平衡計分卡的提出

14.3.2 平衡計分卡的作用

14.3.3 平衡計分卡的內容

14.3.4 平衡計分卡的使用

14.4 IT平衡計分卡構建

14.4.1 IT平衡計分卡

14.4.2 財務評價

14.4.3 用戶體驗評價

14.4.4 內部流程評價

14.4.5 創新能力評價

14.4.6 指標權重評價

案例4 許繼公司ERP實施失敗——績效審計的作用

第五篇 內部控制

第15章 IT內部控制概述

15.1 IT內部控制的概念

15.1.1 內部控制觀念

15.1.2 財務醜聞

15.1.3 IT內控重要性

15.1.4 IT內控的定義

15.1.5 IT內控的準則

15.2 IT內部控制的構成

15.2.1 IT內控的目標

15.2.2 IT內控的要素

15.2.3 IT內控的特徵

15.2.4 IT內控的分類

15.3 IT內部控制的設計

15.3.1 控制設計原則

15.3.2 IT內控的作用

15.3.3 控制措施設計

15.3.4 控制涉及對象

15.3.5 控制的實施

第16章 IT內部控制套用

16.1 一般控制

16.1.1 概述

16.1.2 組織控制

16.1.3 人員控制

16.1.4 日常控制

16.2 套用控制

16.2.1 概述

16.2.2 輸入控制

16.2.3 處理控制

16.2.4 輸出控制

第17章 軟體資產管理

17.1 概述

17.1.1 信息資產的含義

17.1.2 軟體生命周期與過程控制

17.1.3 軟體開發方法

17.1.4 軟體開發方式與控制評價

17.2 軟體全過程控制

17.2.1 總體規劃階段

17.2.2 需求分析階段

17.2.3 系統設計階段

17.2.4 系統實施階段

17.2.5 系統運行與維護階段

17.2.6 軟體資產控制措施

17.2.7 軟體資產變更控制措施

17.3 軟體質量標準

17.3.1 軟體質量標準

17.3.2 軟體質量控制方法

17.3.3 軟體質量控制措施

案例5 法國興業銀行事件——傳統內控的終結

第六篇 風險管理

第18章 IT風險管理概述

18.1 IT風險

18.1.1 IT風險管理

18.1.2 IT風險評估

18.1.3 IT風險識別

18.1.4 IT風險計算

18.1.5 IT風險處理

18.1.6 IT風險控制

18.2 IT治理

18.2.1 IT治理的定義

18.2.2 IT治理的內容

18.2.3 IT戰略制定

18.2.4 IT治理的目標

18.2.5 IT治理委員會

18.2.6 首席信息官

18.2.7 內部IT審計

18.3 IT管理

18.3.1 IT管理的定義

18.3.2 IT管理的目標

18.3.3 IT管理的資源

18.3.4 IT管理的內容

第19章 安全應急管理

19.1 概述

19.1.1 應急回響目標

19.1.2 組織及其標準

19.1.3 應急回響體系

19.2 應急準備

19.2.1 任務概述

19.2.2 應急回響計畫準備

19.2.3 應急回響計畫編制

19.2.4 應急回響計畫測試

19.2.5 其他準備事項

19.3 啟動回響

19.3.1 任務概述

19.3.2 信息安全事件分類

19.3.3 信息安全事件確定

19.3.4 信息安全事件分級

19.4 應急處理

19.4.1 任務概述

19.4.2 遏制、根除與恢複流程

19.4.3 處理示例

19.5 跟蹤改進

19.5.1 任務概述

19.5.2 證據獲取

19.5.3 證據分析

19.5.4 行為追蹤

第20章 業務連續性管理

20.1 業務連續性計畫

20.1.1 業務連續性的重要性

20.1.2 影響業務連續性的因素

20.1.3 業務連續性計畫的制定

20.1.4 業務影響分析

20.1.5 業務連續性計畫的更新

20.2 安全防範體系建設

20.2.1 網路安全防範原則

20.2.2 網路安全體系結構

20.2.3 IPSec安全體系建設

20.2.4 防火牆系統建設

20.3 災難恢復體系建設

20.3.1 災難恢復計畫

20.3.2 災難恢復能力分析

20.3.3 容災能力評價

20.3.4 災備中心的模型

20.3.5 災備中心的解決方案

20.3.6 災備中心的選址原則

20.3.7 制定災備方案的要素

20.3.8 建立有效的災備體系

案例6 911事件——IT風險對企業的影響

參考文獻