美國信息系統審計與控制協會

美國信息系統審計和控制協會(The Information System Audit and Control Asociation,ISACA)

美國信息系統審計與控制協會官方網站網址：

這個協會成立一項教育基金來開展大規模的研究工作，以拓展信息產業管理與控制領域的知識與價值。 ISACA目前在世界上100多個國家設有160多個分會，成員在100多個國家內生活和工作，並涵蓋眾多專業信息技術的相關職業，比如信息系統審計師、顧問、教導員、信息系統安全專家、管理者、首席信息官和內部審計師等。有些職業是本領域內新興的，其他為中級管理人員，另外還有許多人擔任最高級的職位。他們幾乎遍及所有行業，包括財政金融、公共會計、政府與公共部門、公用事業和製造業。這種多元性使眾多成員能夠相互學習，並在許多專業問題上廣泛交流彼此的觀點。該特點一直被認為是ISACA的強勢之一。

ISACA的另一個強勢就是它的分會網路。ISACA的分會遍布世界60 多個國家，可提供成員教育、資源共享、支持、專業網路，以及其他由當地分會提供的諸多利益。

創立的三十年來，ISACA已成為一個為信息管理、控制、安全和審計專業設定規範的全球性組織。ISACA的信息系統審計和信息系統控制標準為全球執業者所遵從。ISACA的研究工作針對那些挑戰其重要原則的疑難專業事項。ISACA的國際信息系統審計師（CISA）認證得到全球的公認，並有三萬多名專業人員得到認證。ISACA最新推出的國際信息安全經理（CISM）認證特別針對信息安全管理的審計事務。ISACA出版了領先於信息控制領域的技術性期刊，即《信息系統控制期刊》（Information Systems Control Journal）。ISACA舉辦一系列國際性會議，並且把焦點集中於信息系統保障、控制、安全和信息技術管理專業的技術與管理主題上。ISACA與其附屬的信息技術管理機構領導著信息技術控制界，並在不斷變化的國際環境下為其執業者提供信息技術專業所需的要素，保證他們得到良好的服務。

(1)組織制定相關領域專業標準，其設定的標準目前被作為世界範圍內IT審計、控制的指導方針；

(2)提供IS審計、控制、安全領域內國際上承認的認證項目，如信息系統審計師資格認證；

(3)研究關鍵的管理和技術主題的專業發展項目；

(4)提供包含最新的研究、案例學習、信息知識入門等在內的專業出版物；

(5)指導會員專業的活動和操行的職業道德準則。ISACA是目前唯一有權授予國際信息系統審計師資格的組織。

國際信息系統審計與控制協會（ISACA）頒布了五項新的信息系統審計指南，新的指南有：

移動計算；

對虛擬專用網路的審核；

企業流程再造項目（BRP）的審核；

計算機取證技術；

業務連續性計畫（BCP）的審核。

審計這些信息系統審計指南對有關信息系統審計期間強制性執行信息系統審計準則作出了規定。

審計移動計算審計的新指南已於2004年9月 1日起生效。信息系統審計與控制協會認為，“移動技術套用的增長和帶有網際網路瀏覽功能的新型攜帶型裝置的增加，擴大了組織有形邊界的範圍，這就要求信息系統審計師了解這種技術，以便於鑑別與其相關的各種風險。”

審計該指南旨在為審計師提供移動式計算安全性審計的指導。該指南對規劃和實施該項審計，包括信息採集、風險分析、審計目標、審計工作計畫、實施審計和報告審計結果進行了闡述。

審計根據新指南，對移動計算安全性的審計可包括以下的諸多領域：

通訊；

網路結構；

虛擬專用網路；

套用服務；

安全識別；

用戶管理；

話路管理；

物理安全性；

關鍵性公共基礎設施；

備份和恢復程式；

操作；

技術結構；

安全結構；

安全軟體；

安全管理；

補救技術研發；

業務應急計畫。

審計虛擬專用網路（VPNs）審核的新指南於2 004年7月1日開始生效。該指南根據信息技術管理協會公布的《虛擬專用網路—一網路安全的新問題》認為，“虛擬專用網路就是通過諸如網際網路或網路服務商提供的公共或共享網，進行搭載的專用通訊的虛擬網路線路。”新指南適用於對虛擬專用網路實施前、實施中和實施後進行審核。

審計該指南討論的問題有：

各種虛擬專用網路的類型或模型；

公司使用虛擬專用網路的方法；

虛擬專用網路的結構；

虛擬專用網路的配置或布局；

與虛擬專用網路相關的風險；

制定和實施虛擬專用網路審計可能涉及的問題。

根據該指南的規定，與虛擬專用網路相關的風險包括安全性風險，第三方風險，商業風險，實施風險和操作風險。新指南對每種類型的風險作了詳細的陳述，以便於信息系統審計師能在對虛擬專用網路進行審核之前，進行高水平的風險評估。

審計企業流程再造項目（BPR）審核的新指南於2004年7月1日開始生效。信息系統審計與控制協會指出，“企業流程再造帶來的變化是多方面的，不單單是業務處理，而且還涉及到管理和支持結構，人員和組織，技術與信息系統，政策和規章制度等。這意味著BPR項目對已實施企業流程再造的組織的控制系統具有強大的影響。顯而易見，風險增大了，那就是為加速業務處理，一些基本控制被變更了，甚至脫離了業務過程。因此，信息系統審計師應當認識到並支持管理部門的控制措施，儘管這看上去是減慢了商務交易的處理過程，但控制是必要的，可以避免可能的或事實上的不易控制和評估的風險。該指南的目的旨在向信息系統審計師提供有關企業流程再造主要問題的框架，同時評估與企業流程再造項目有關的，在信息系統方面要特別關注的重點任務和風險。”

審計該指南討論了有關企業流程再造項目各方面的問題，其中包括：

企業流程再造的重要結果；

企業流程再造的原則和活動；

企業流程再造的方法；

企業流程再造的工具；

信息系統在企業流程再造項目中的作用；

與企業流程再造項目有關的各種風險；

在規劃和執行企業流程再造項目審計中所涉及的問題。

審計新指南指出，“從根本上改進業務流程可以比以前更好地滿足客戶的需要，而且能從根本上提高組織的經營成果。”“不管怎樣，如果沒有風險和高故障率，就不會有明顯的改進。再造未必能在預期的時間內達到其效果。這就意味著在項目生命周期內，必須對BPR項目進行認真地監管。”審計該指南列示了許多與企業流程再造項目相關聯的風險，其中包括設計風險，實施風險，以及運作和 擴大運作範圍的風險。

審計計算機取證的新指南於2004年 9月 1日開始生效。在對新指南進行的必要解釋中，信息系統審計與控制協會指出，“通常要求信息系統審計師對利用計算機或電信系統從事欺詐舞弊或違法行為（計算機犯罪）等問題提出諮詢建議，並對組織是否遵守計算機相關法律或法規進行檢查。因此，信息系統審計師必須對計算機取證技術有基本的了解，這樣才能幫助組織檢查或防止這類違法行為。計算機取證技術的首要目標是，利用直接捕捉到的數據確定某種特殊情況背後的真實性，識別攻擊者和確定用於刑事訴訟的證據，以便於法律執行。該指南還可幫助組織保護其信息資產，防止未來的攻擊並且有助於組織鑑別有關的攻擊者及其攻擊。”

審計該指南簡要地闡述了如何運用計算機取證技術和必要的計算機調查。新指南對計算機取證技術的定義為“一個過程，即利用法庭認可的工具和技術，從計算機存儲介質中獲取信息和數據，同時證明計算機取證技術是確定所取得信息和數據作為證據的準確性和可靠性的最佳實務。”

審計該指南還對以下問題進行了討論：

電子交易的法律效力；

鑑別所涉及的交易方和交易內容；

確定履行契約的地點；

防止舞弊；

網際網路上信用卡的使用；

計算機取證技術所涉及的程式，包括數據保護程式、數據採集程式、成像程式、審問和報告程式等。

審計業務連續性計畫審核的新指南於2004年9月 1日開始生效。該指南對業務連續性計畫（BCP）的解釋為：“開發制定各種事前的預案和程式，以便組織能夠使其關鍵業務功能在預定的干擾或變化的情況下，作出反應，並能繼續業務處理的過程。”簡而言之，“業務連續性計畫是主動制定戰略方法的行為，其目的旨在阻止，如果可能的話，控制某種災難的後果，或者限制其後果對某項業務活動所產生影響的程度。”

審計新指南規定，業務連續性計畫應當解答以下各種問題：

為什麼制定業務連續性計畫？

應當如何制定業務連續性計畫？

誰需要業務連續性計畫？

制定業務連續性計畫需要什麼？

應當何時制定業務連續性計畫？

應當在何地制定業務連續性計畫？

利用什麼方式？

限定在什麼時間框架內？

使用什麼資源？

政策、法規和準則的依據是什麼？

誰能夠改變這項計畫和處於什麼情況下改變這項計畫？

在什麼情況下宣布災難“結束”了？

審計該指南既對業務連續性計畫的各個組成部分和內容進行了討論，又對制定和執行業務連續性計畫項目審計所涉及的問題進行了討論。這項審核可在公司的業務連續性計畫測試後或某個實際事件之後實施。