系統審計分類
系統審計畫分成信息系統真實性審計、信息系統安全性審計和信息系統績效審計等三種基本類型。
系統審計目標
(1)真實性 是指信息系統中的數據要如實地反映企業的實際生產經營活動。通過一系列技術手段可以確保數據的真實性,如數字簽名、時間戳、不可否認協定、不可修改存儲裝置等。這種真實性的破壞可能來自企業高層的舞弊行為,例如通過財務軟體故意作假賬,通過電子商務系統虛構交易等,到達虛增或虛減利潤的目的;也可能來自企業的中層和基層員工的舞弊行為,例如通過非法訪問或修改信息等手段,達到非法牟利目的等;也可能來自企業外部,如黑客入侵、病毒破壞等,造成商業秘密外泄,刪改企業信息等目的。
(2)完整性 是指信息系統中的數據不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。在信息系統中,數據與元數據是存放在不同地方的,數據的邏輯地址與物理地址也不一樣,因此設備故障、誤碼、人為攻擊、計算機病毒等都會破壞數據完整性。在信息系統中,數據完整性是數據真實性的基礎。
(3)合法性 是指信息系統在購買、使用、開發、維護過程中,以及信息系統里的數據在生產、加工、修改、轉移、刪除等處理中都必須符合相關法律、法規、準則、行規以及企業內部的規定等。
(4)安全性 是指信息系統在遭受各種人為因素破壞的情況下仍然能正常運行的機率。威脅信息系統安全性的因素可能來自信息系統和企業的外部,也可能來自企業和信息系統的內部。外部如黑客入侵、病毒攻擊、線路偵聽、木馬、非法用戶訪問等,內部包括授權用戶的越權訪問、修改、刪除等操作。
(5)可靠性是指信息系統在遭受非人為因素破壞或誤操作情況下仍然能正常運行的機率。威脅信息系統可靠性的因素包括自然災害對硬體和環境的破壞、誤操作對軟體和硬體的破壞、以及設備故障、軟體故障等。可靠性與安全性不同,可靠性所指的破壞因素是非人為的,安全性所指的破壞因素是人為的。
(6)保密性 是指防止信息系統中數據泄漏給非授權用戶的特性。常用的保密技術包括防偵收、信息加密、物理隔離等措施。保密性與安全性不同,保密性是指信息系統中信息的外泄,安全性是指對信息系統的入侵。
(7)可用性 也是信息系統安全性的一個重要指標,是指信息可被授權實體訪問並按需求使用的特性,即信息系統在提供服務時允許被使用的屬性,或者是信息系統在部分受損或需要降級使用時,仍能為用戶提供有效服務的屬性。信息系統最基本的功能是提供服務,而用戶的需求是信息系統的可用性。可用性還體現在身份識別與確認、遠程控制、數據跟蹤等方面。由於數據的訪問與數據存儲介質、顯示介質、軟體版本等有關,無法訪問的數據也無真實安全可言,因此可用性還體現在數據訪問方面。
(8)效果性 是指信息系統在企業生產管理套用中產生的效果,即信息系統的套用使企業在生產、管理、產品、服務、財務、人力管理等方面的改善和提升。如減少了產生時間,提高的資金周轉,降低庫存,增加了服務質量,擴大了產品種類等。
(9)效率性 是指信息系統的套用以後對提高企業的勞動生產率所作的貢獻,如人均生產率,人均成本等。
(10)經濟性 是指信息系統的投入產出比,通過同行業類別等方法,核算信息系統的投入與產出的比率,得到信息系統的效益值。
系統審計職能
系統審計具有審計,控制,管理等三大職能。
審計職能。所謂審計職能,就是以相關規定、標準等為評價依據,評價被審計對象的信息資產和信息系統是否安全、可信,反映的財務收支和經濟活動的電子軌跡是否合法、合規、合理和有效,從而督促被審計對象遵紀守法,提高經濟效益。
控制職能。內部信息系統審計人作為企業內部控制系統中一個重要組成部分,是企業內部控制的再控制,因其受企業主要負責人的直接領導,能夠站在企業發展的全局來分析和考慮問題,檢查信息系統運行是否得到有效控制,以及控制程度和效果,提出控制中存在的不足和問題,實現控制系統的最終目標。
管理職能。信息系統審計師有義務和責任對企業的信息資產安全與信息系統運行狀況提供決策諮詢,確保IT發展與企業的戰略一致,在工作中發現問題,對制度、管理和控制等方面有針對性地提供諮詢服務,預防出現大的信息技術風險和管理漏洞,企業各管理層提供服務,不斷改進經營管理水平。
系統審計方法
關於審計方法概念的表達,歸納起來大致有兩種不同的觀點:一是狹義的審計方法,即認為審計方法是審計人員為取得充分有效
審計證據而採取的一切技術手段;另一種是廣義的審計方法,即認為審計方法不應只是用來收集審計證據的技術,而應將整個
審計過程中所運用的各種方式、方法、手段、技術都包括在審計方法的範疇之內。本書採用第二種觀點, 即審計方法(audit method)是指
審計人員為了行使
審計職能、完成審計任務、達到
審計目標所採取的方式、手段和技術的總稱。審計方法貫穿於整個審計工作過程,而不只存於某一審計階段或某幾個環節。隨著信息系統審計實踐的豐富與信息系統審計理論的發展,信息系統審計除了運用傳統審計的方法外,還大量借鑑了計算機學科的一些方法為我所用,如軟體測試方法,電子取證方法等。
系統審計依據
與系統審計相關的法律法規龐雜,相互之間既有區別又有交叉,大致歸納起來主要有四大類,即與職業相關的準則,與技術相關的標準,與管理相關的規範,與行為相關的法律等。
與職業相關的準則,如信息系統審計與控制協會的準則,我國也陸續有一些相關的準則,如內部審計具體準則第28號(信息系統審計),獨立審計具體準則第20號(計算機信息系統環境下的審計),企業內部控制基本規範, 商業銀行內部控制指引,商業銀行信息科技風險管理指引,證券公司內部控制指引,中央企業全面風險管理指引, 企業內部控制評價指引,企業內部控制審計指引,上海證券交易所上市公司內部控制指引,深圳證券交易所上市公司內部控制指引等。
與技術相關的標準,主要包括信息系統安全保障評估框架,資料庫管理系統安全評估準則,作業系統安全評估準則,信息安全風險評估規範,信息系統災難恢復規範,信息安全事件分類分級指南,信息安全風險管理指南,信息安全應急回響計畫規範,信息系統物理安全技術要求等國家標準。
與管理相關的規範,主要有COSO框架,COBIT, CMMI,ITIL,ISPL,BISL,ISO20000,ISO27001, PMBOK,PRINCE2,Six Sigma等。
與行為相關的法律,《中華人民共和國計算機信息系統安全保護條例(國務院令第147號)》;1997年刑法中新增加了三條與計算機有關的犯罪行為。
圖書介紹
教材級別:普通高等教育“十一五”國家級規劃教材、中國高等學校信息管理與信息系統專業規劃教材 體系類別:根據教育部管理科學與工程類學科專業教學指導委員會主持鑑定的《中國高等院校信息系統學科課程體系》組織編寫;與美國ACM和IEEE/CS Computing Curricula 2005同步書名:信息系統審計、控制與管理 編著人:陳耿、韓志耕、盧孫中 出版社:清華大學出版社 出版時間:2014 開本:16 定價:44.50元 | |
內容簡介本書圍繞現代信息系統審計的三大基本職能(審計、控制、管理)進行編寫,在審計職能方面,突出審計的目的與本質,按照真實性審計、安全性審計和績效審計等三個基本審計類型展開;在控制職能中,以IT安全為核心介紹了IT內部控制的方方面面;在管理職能中,以IT風險為導向,圍繞IT風險管理展開。本書結構新穎獨特,既具有教好的系統性和理論性,又具有很強的實戰性和可操作性。 全書每一篇均包含一個案例,可以圍繞案例組織教學,適用於高校信息管理類、會計、審計、財務管理、企業管理、計算機套用等專業本科生和研究生作為教材或參考書;書中還提供了大量實用表格等,為信息系統審計師、內部審計師、註冊會計師、管理諮詢師、企業管理人員等專業人士提供工作指導,是一本實用的工具書。 圖書目錄 第一篇總論 第1章信息系統審計概述 1.1信息系統審計的歷史 1.1.1早期的信息系統審計 1.1.2現代信息系統審計的形成 1.2信息系統審計的概念 1.2.1信息系統審計定義 1.2.2信息系統審計辨析 1.2.3信息系統審計分類 1.2.4信息系統審計目標 1.2.5信息系統審計職能 1.2.6信息系統審計過程 1.2.7信息系統審計方法 1.2.8信息系統審計依據 1.3信息系統審計的規範 1.3.1與信息系統審計相關的組織 1.3.2ISACA的準則體系 1.3.3審計師的職業準則 1.3.4與IT服務管理相關的規範 1.3.5與信息安全技術相關的標準 1.3.6與計算機犯罪相關的法律 第2章信息系統審計實施 2.1管控審計風險 2.1.1什麼是審計風險 2.1.2審計風險的特徵 2.1.3審計風險的模型 2.1.4評估固有風險和控制風險 2.1.5確定重要性水平 2.1.6控制檢查風險 2.2制定審計計畫 2.2.1審計計畫的作用 2.2.2審計計畫的規範 2.2.3審計計畫的內容 2.2.4審計計畫中風險評估的運用 2.3收集審計證據 2.3.1審計證據的屬性 2.3.2審計證據的種類 2.3.3數字證據的特點 2.3.4數字證據的形式 2.3.5收集證據的充分性 2.3.6收集證據的適當性 2.3.7收集證據的可信性 2.4編制工作底稿 2.4.1工作底稿的作用 2.4.2工作底稿的分類 2.4.3編制工作底稿的注意事項 2.4.4工作底稿的覆核 2.4.5工作底稿的管理 2.5編寫審計報告 2.5.1審計報告的作用 2.5.2審計報告的規範 2.5.3審計報告的格式 2.5.4編寫審計報告的注意事項 第3章信息系統審計方法 3.1證據收集方法 3.1.1證據收集方法概述 3.1.2收集證據的方法 3.2數字取證方法 3.2.1數字取證的概念 3.2.2數字取證的作用 3.2.3數字取證的方法 3.2.4數字取證的工具 3.2.5數字取證的規範 3.3資料庫查詢方法 3.3.1資料庫查詢工具 3.3.2對單個表的查詢 3.3.3對單個表的統計 3.3.4生成審計中間表 3.3.5對多個表的查詢 3.3.6套用實例 3.4軟體測試方法 3.4.1概述 3.4.2黑盒測試 3.4.3白盒測試 3.4.4基於故障的測試 3.4.5基於模型的測試 案例1安然公司破產——信息系統審計的轉折點 第二篇真實性審計 第4章真實性審計概述 4.1真實性審計概念 4.1.1真實性審計的含義 4.1.2真實性審計的內容 4.1.3真實性審計的分類 4.1.4業務流程審核 4.1.5財務處理審核 4.1.6交易活動審核 4.1.7真實性審計的方法 4.2管理信息系統 4.2.1管理信息系統的定義 4.2.2管理信息系統的特徵 4.2.3管理信息系統的發展 4.2.4管理信息系統的概念結構 4.2.5管理信息系統的層次結構 4.2.6管理信息系統的系統結構 4.2.7管理信息系統的硬體結構 4.3系統流程審核 4.3.1系統流程的審計目標 4.3.2數據流圖的概念 4.3.3分析業務流程 4.3.4畫出數據流圖 4.3.5分析數據的邏輯關係 4.3.6發現審計線索 第5章財務數據的真實性 5.1財務信息系統 5.1.1財務信息系統的發展過程 5.1.2財務信息系統的功能 5.1.3銷售與應收子系統 5.1.4採購與應付子系統 5.1.5工資管理子系統 5.1.6固定資產子系統 5.1.7財務信息系統對審計的影響 5.1.8財務信息系統審計內容 5.2財務處理的真實性 5.2.1總賬子系統的真實性問題 5.2.2總賬子系統的主要功能 5.2.3總賬子系統的處理流程 5.2.4總賬子系統的數據來源 5.2.5系統的初始化 5.2.6科目與賬簿設定 5.2.7自動轉賬憑證的設定 5.2.8總賬子系統的審計 5.3財務報表的真實性 5.3.1報表子系統的真實性問題 5.3.2報表子系統的主要功能 5.3.3報表子系統的處理流程 5.3.4財務報表自動生成原理 5.3.5報表子系統的審計 第6章交易活動的真實性 6.1電子商務 6.1.1電子商務的概念 6.1.2電子商務的功能 6.1.3電子商務體系結構 6.1.4電子商務工作流程 6.1.5電子商務對審計的影響 6.1.6電子商務審計 6.2電子交易方的真實性 6.2.1身份冒充問題 6.2.2身份認證概述 6.2.3單向認證 6.2.4雙向認證 6.2.5可信中繼認證 6.2.6Kerberos系統 6.3電子交易行為的真實性 6.3.1交易欺詐問題 6.3.2不可抵賴證據的構造 6.3.3不可否認協定概述 6.3.4不可否認協定安全性質 6.3.5Zhou-Gollmann協定 6.3.6安全電子支付協定 案例2超市上演“無間道”——舞弊導致電子數據不真實 第三篇安全性審計 第7章安全性審計概述 7.1安全性審計概念 7.1.1安全性審計的含義 7.1.2安全性審計的內容 7.1.3調查了解系統情況 7.1.4檢查驗證安全狀況 7.1.5安全性審計的方法 7.2系統安全標準 7.2.1可信計算機系統評價準則 7.2.2信息技術安全評價通用準則 7.2.3信息系統安全等級劃分標準 7.3物理安全標準 7.3.1數據中心安全標準 7.3.2存儲設備安全標準 第8章數據安全 8.1數據的安全問題 8.1.1數據的安全性 8.1.2數據的保密性 8.1.3數據的完整性 8.1.4數據的可用性 8.1.5數據安全審計 8.2數據的加密技術 8.2.1數據加密與安全的關係 8.2.2對稱加密算法 8.2.3非對稱加密算法 8.2.4散列加密算法 8.3數據的訪問控制 8.3.1訪問控制與安全的關係 8.3.2自主訪問控制 8.3.3強制訪問控制 8.3.4基於角色的訪問控制 8.4數據的完整性約束 8.4.1完整性與安全的關係 8.4.2數據完整性 8.4.3完整性約束條件 8.4.4完整性約束機制 8.4.5完整性約束的語句 8.4.6完整性約束的實現 第9章作業系統安全 9.1作業系統的安全問題 9.1.1作業系統的概念 9.1.2作業系統的種類 9.1.3作業系統的結構 9.1.4作業系統面臨的威脅 9.1.5作業系統的安全策略 9.1.6作業系統安全等級的劃分 9.1.7作業系統的安全機制 9.1.8作業系統安全性的測評 9.2windows安全機制 9.2.1windows安全機制概述 9.2.2身份認證 9.2.3訪問控制 9.2.4加密檔案系統 9.2.5入侵檢測 9.2.6事件審核 9.2.7Windows日誌管理 9.3UNIX安全機制 9.3.1UNIX安全機制概述 9.3.2賬戶的安全控制 9.3.3檔案系統的安全控制 9.3.4日誌檔案管理 9.3.5密碼強度審查 9.3.6入侵檢測 9.3.7系統日誌分析 第10章資料庫系統安全 10.1資料庫系統的安全問題 10.1.1資料庫系統的概念 10.1.2資料庫系統的組成 10.1.3資料庫系統的結構 10.1.4資料庫管理系統 10.1.5資料庫系統面臨的威脅 10.1.6資料庫系統的安全需求 10.1.7資料庫系統安全等級劃分 10.2資料庫系統安全機制 10.2.1數據備份策略 10.2.2資料庫備份技術 10.2.3資料庫恢復技術 10.2.4資料庫審計功能 10.2.5資料庫訪問安全 10.3Oracle審計機制 10.3.1Oracle審計功能 10.3.2標準審計 10.3.3細粒度的審計 10.3.4審計相關的數據字典視圖 10.4SQLServer審計機制 10.4.1SQLServer審計功能 10.4.2伺服器審計 10.4.3資料庫級的審計 10.4.4審計級的審計 10.4.5審計相關的數據字典視圖 第11章網路安全 11.1網路的安全問題 11.1.1計算機網路 11.1.2網路的體系結構 11.1.3網路協定的組成 11.1.4網路面臨的威脅 11.1.5網路的安全問題 11.2網路入侵的防範 11.2.1網路入侵問題 11.2.2網路入侵技術 11.2.3網路入侵防範 11.3網路攻擊的防禦 11.3.1服務失效攻擊與防禦 11.3.2欺騙攻擊與防禦 11.3.3緩衝區溢出攻擊與防禦 11.3.4SQL注入攻擊與防禦 11.3.5組合型攻擊與防禦 案例3聯通盜竊案——信息資產安全的重要性 第四篇績效審計 第12章IT績效審計概述 12.1績效審計概念 12.1.1績效審計的出現 12.1.2績效審計的定義 12.1.3績效審計的目標 12.1.4績效審計的對象 12.1.5績效審計的分類 12.1.6績效審計的方法 12.1.7績效審計的評價標準 12.1.8績效審計的特點 12.2IT績效審計概念 12.2.1IT績效審計的必要性 12.2.2IT績效審計的含義 12.2.3IT績效審計的特點 12.2.4IT績效審計的評價標準 12.2.5IT績效審計的視角 12.2.6IT績效審計的階段 12.2.7IT績效審計的方法 12.3信息化評價指標 12.3.1評價指標的提出 12.3.2評價指標的內容 12.3.3評價指標適用性 12.3.4評價指標的層次 第13章IT項目經濟評價 13.1資產等值計算 13.1.1資金的時間價值 13.1.2若干基本概念 13.1.3資金等值計算 13.2軟體成本估算 13.2.1軟體估算方法 13.2.2軟體規模估算 13.2.3軟體工作量估算 13.2.4軟體成本估算 13.3項目績效評價 13.3.1效益評價方法 13.3.2項目現金流分析 13.3.3財務靜態分析法 13.3.4財務動態分析法 第14章IT項目套用評價 14.1IT套用評價的複雜性 14.1.1企業信息化的作用 14.1.2ERP投資陷阱 14.1.3IT生產率悖論 14.1.4IT套用評價的作用 14.2IT評價理論的形成 14.2.1IT評價的內涵 14.2.2IT評價的發展歷程 14.2.3IT評價的種類 14.3平衡計分卡技術 14.3.1平衡計分卡的提出 14.3.2平衡計分卡的作用 14.3.3平衡計分卡的內容 14.3.4平衡計分卡的使用 14.4IT平衡計分卡構建 14.4.1IT平衡計分卡 14.4.2財務評價 14.4.3用戶體驗評價 14.4.4內部流程評價 14.4.5創新能力評價 14.4.6指標權重評價 案例4許繼公司ERP實施失敗——績效審計的作用 第五篇內部控制 第15章IT內部控制概述 15.1IT內部控制的概念 15.1.1內部控制觀念 15.1.2財務醜聞 15.1.3IT內控重要性 15.1.4IT內控的定義 15.1.5IT內控的準則 15.2IT內部控制的構成 15.2.1IT內控的目標 15.2.2IT內控的要素 15.2.3IT內控的特徵 15.2.4IT內控的分類 15.3IT內部控制的設計 15.3.1控制設計原則 15.3.2IT內控的作用 15.3.3控制措施設計 15.3.4控制涉及對象 15.3.5控制的實施 第16章IT內部控制套用 16.1一般控制 16.1.1概述 16.1.2組織控制 16.1.3人員控制 16.1.4日常控制 16.2套用控制 16.2.1概述 16.2.2輸入控制 16.2.3處理控制 16.2.4輸出控制 第17章軟體資產管理 17.1概述 17.1.1信息資產的含義 17.1.2軟體生命周期與過程控制 17.1.3軟體開發方法 17.1.4軟體開發方式與控制評價 17.2軟體全過程控制 17.2.1總體規劃階段 17.2.2需求分析階段 17.2.3系統設計階段 17.2.4系統實施階段 17.2.5系統運行與維護階段 17.2.6軟體資產控制措施 17.2.7軟體資產變更控制措施 17.3軟體質量標準 17.3.1軟體質量標準 17.3.2軟體質量控制方法 17.3.3軟體質量控制措施 案例5法國興業銀行事件——傳統內控的終結 第六篇風險管理 第18章IT風險管理概述 18.1IT風險 18.1.1IT風險管理 18.1.2IT風險評估 18.1.3IT風險識別 18.1.4IT風險計算 18.1.5IT風險處理 18.1.6IT風險控制 18.2IT治理 18.2.1IT治理的定義 18.2.2IT治理的內容 18.2.3IT戰略制定 18.2.4IT治理的目標 18.2.5IT治理委員會 18.2.6首席信息官 18.2.7內部IT審計 18.3IT管理 18.3.1IT管理的定義 18.3.2IT管理的目標 18.3.3IT管理的資源 18.3.4IT管理的內容 第19章安全應急管理 19.1概述 19.1.1應急回響目標 19.1.2組織及其標準 19.1.3應急回響體系 19.2應急準備 19.2.1任務概述 19.2.2應急回響計畫準備 19.2.3應急回響計畫編制 19.2.4應急回響計畫測試 19.2.5其他準備事項 19.3啟動回響 19.3.1任務概述 19.3.2信息安全事件分類 19.3.3信息安全事件確定 19.3.4信息安全事件分級 19.4應急處理 19.4.1任務概述 19.4.2遏制、根除與恢複流程 19.4.3處理示例 19.5跟蹤改進 19.5.1任務概述 19.5.2證據獲取 19.5.3證據分析 19.5.4行為追蹤 第20章業務連續性管理 20.1業務連續性計畫 20.1.1業務連續性的重要性 20.1.2影響業務連續性的因素 20.1.3業務連續性計畫的制定 20.1.4業務影響分析 20.1.5業務連續性計畫的更新 20.2安全防範體系建設 20.2.1網路安全防範原則 20.2.2網路安全體系結構 20.2.3IPSec安全體系建設 20.2.4防火牆系統建設 20.3災難恢復體系建設 20.3.1災難恢復計畫 20.3.2災難恢復能力分析 20.3.3容災能力評價 20.3.4災備中心的模型 20.3.5災備中心的解決方案 20.3.6災備中心的選址原則 20.3.7制定災備方案的要素 20.3.8建立有效的災備體系 案例6911事件——IT風險對企業的影響 參考文獻