1、1IT審計(jì)的組織與實(shí)施n注冊信息系統(tǒng)審計(jì)師（CISA）、注冊內(nèi)部審計(jì)師（CIA）、高級審計(jì)師nStrathclydenE-mail: 2內(nèi)容安排n內(nèi)部審計(jì)及其分類n信息系統(tǒng)審計(jì)從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的角度理解n信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)n信息系統(tǒng)審計(jì)方法nIT核心流程和審計(jì)方法n問題討論n案例分析3內(nèi)部審計(jì)及其分類n內(nèi)部審計(jì)n內(nèi)部審計(jì)分類n業(yè)務(wù)審計(jì)（Operations Audit）n信息系統(tǒng)審計(jì)(Information Systems Audit)或IT審計(jì)4內(nèi)部審計(jì)及其分類n業(yè)務(wù)審計(jì)與IT審計(jì)的關(guān)系自動應(yīng)用控制應(yīng)用控制帳號管理/邏輯控制一般應(yīng)用控制電子數(shù)據(jù)表和局部數(shù)據(jù)庫程序員安全在業(yè)務(wù)用戶層面上的

2、變更管理業(yè)務(wù)持續(xù)計(jì)劃（BCP）基礎(chǔ)架構(gòu)一般應(yīng)用控制變更和配置管理網(wǎng)絡(luò)安全管理計(jì)算機(jī)操作系統(tǒng)開發(fā)生命周期（SDLC）共享數(shù)據(jù)庫機(jī)房業(yè)務(wù)審計(jì)IT審計(jì)5信息系統(tǒng)審計(jì)從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的角度理解n一個目標(biāo)n兩種風(fēng)險(xiǎn)n三項(xiàng)評價(jià)n四類測試6信息系統(tǒng)審計(jì)從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的角度理解n一個目標(biāo)n將IT相關(guān)的風(fēng)險(xiǎn)控制在可接受的水平n風(fēng)險(xiǎn)是事件的不確定性，這個事件對目標(biāo)的實(shí)現(xiàn)具有影響。n風(fēng)險(xiǎn)是不希望發(fā)生事情的可能性。n對待風(fēng)險(xiǎn)的四種策略：拒絕、接受、轉(zhuǎn)移、緩釋（控制）風(fēng)險(xiǎn) 機(jī)會7信息系統(tǒng)審計(jì)從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的角度理解n兩種風(fēng)險(xiǎn)n戰(zhàn)略風(fēng)險(xiǎn)n失去競爭優(yōu)勢n信息系統(tǒng)項(xiàng)目失敗n災(zāi)難導(dǎo)致長期不能提供服務(wù)

3、nn操作風(fēng)險(xiǎn)n變更管理文檔不完整n密碼政策不恰當(dāng)n未激活Oracle審計(jì)軌跡設(shè)置n8信息系統(tǒng)審計(jì)從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的角度理解n三項(xiàng)評價(jià)n評價(jià)信息系統(tǒng)項(xiàng)目n評價(jià)業(yè)務(wù)流程中的IT控制n評價(jià)信息安全9信息系統(tǒng)審計(jì)從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的角度理解n四類測試nIT控制環(huán)境測試n物理控制測試n邏輯控制測試nIS操作控制測試10信息系統(tǒng)審計(jì)從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的角度理解將IT相關(guān)風(fēng)險(xiǎn)控制在可接受水平戰(zhàn)略風(fēng)險(xiǎn)操作風(fēng)險(xiǎn)評價(jià)IT項(xiàng)目評價(jià)業(yè)務(wù)流程中的IT控制評價(jià)信息安全測試IT控制環(huán)境測試物理控制測試邏輯控制測試IS操作控制一個目標(biāo)兩種風(fēng)險(xiǎn)三項(xiàng)評價(jià)四類測試11信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)nITIL(IT Infra

4、structure Library)nBS7799nCOBIT(Control Objectives for Information and Related Technology)12信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)ITILnIT服務(wù)管理nIT服務(wù)管理（ITSM）：一種以流程為導(dǎo)向，以客戶為中心的方法，它通過整合IT服務(wù)與組織業(yè)務(wù)，提高組織IT服務(wù)提供和服務(wù)支持的能力和水平。nITIL（IT Infrastructure Library, IT基礎(chǔ)架構(gòu)庫），最初由英國商務(wù)部（OGC）80年代組織開發(fā)，是ITSM領(lǐng)域在歐洲的事實(shí)標(biāo)準(zhǔn)。2001年成為英國標(biāo)準(zhǔn)BS 1500013信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)ITILnITIL整

5、體框架服務(wù)提供包括5個核心流程： 服務(wù)級別管理、能力管理、可用性管理、持續(xù)性管理、財(cái)務(wù)管理。服務(wù)支持包括5個核心流程：配置管理、發(fā)布管理、變更管理、事故管理、問題管理、服務(wù)臺職能。技術(shù)業(yè)務(wù)應(yīng)用管理IT服務(wù)管理實(shí)施規(guī)劃業(yè)務(wù)視角服務(wù)管理服務(wù)管理ICT基礎(chǔ)架構(gòu)管理安全管理服務(wù)支持服務(wù)提供資料來源：OGC, 200214信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)BS7799n信息安全管理：指一個組織的政策、實(shí)務(wù)、程序、組織結(jié)構(gòu)和軟件功能，用以保護(hù)信息，確保信息免受非授權(quán)訪問、修改或意外變更，并且在經(jīng)授權(quán)用戶需要時(shí)可用。保密性(Confidentiality)資料來源：Pfleeger, 1997完整性(Integrity)可用

6、性(Availability)15信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)BS7799n信息安全管理體系（ISMS）nBS 7799： 最早由英國貿(mào)易和工業(yè)部于1993年組織開發(fā)，1995年成為英國國家標(biāo)準(zhǔn)，由兩部分組成，目前最新版本為：nBS 7799-1：1999信息安全管理實(shí)施規(guī)則nBS 7799-2：2002信息安全管理體系規(guī)范 BS 7799-1于2000年被批準(zhǔn)為國際標(biāo)準(zhǔn)ISO/IEC 17799：2000信息技術(shù)：信息安全管理實(shí)施規(guī)則。16信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)BS7799n信息安全管理體系（ISMS）nBS 7799-1將信息安全管理分為10類控制，成為組織實(shí)施信息安全管理的實(shí)用指南。n通訊和運(yùn)行管理n訪問

7、控制n系統(tǒng)開發(fā)和維護(hù)n業(yè)務(wù)持續(xù)管理n合規(guī)n信息安全政策n安全組織n資產(chǎn)分類和控制n人員控制n物理和環(huán)境安全17信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)BS7799nBS 7799-2提供的信息安全管理框架制定政策確定ISMS的范圍實(shí)施風(fēng)險(xiǎn)評價(jià)管理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制制定應(yīng)用說明政策文件ISMS范圍風(fēng)險(xiǎn)評價(jià)選擇的控制選項(xiàng)應(yīng)用說明結(jié)果和結(jié)論選擇的控制目標(biāo)和控制威脅、弱點(diǎn)、影響風(fēng)險(xiǎn)管理方法需要的保證程度ISMS需要的控制目標(biāo)和控制BS 7799 以外的控制第一步第二步第三步第四步第五步第六步資料來源：BSI，199918信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)-COBITnIT治理n信息安全和控制實(shí)務(wù)普遍接受的標(biāo)準(zhǔn)n主要目的是為企業(yè)治理提供清晰

8、的政策和最佳實(shí)務(wù)n以信息系統(tǒng)審計(jì)與控制基金會 (ISACF) 的控制目標(biāo)為基礎(chǔ)，由ISACA及其下屬的“IT治理研究院”開發(fā)。1996年第一版，2000年第三版，2006年第四版。19信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)-COBITn由34個IT控制目標(biāo)組成，分為四個方面:n規(guī)劃和組織n獲得與實(shí)施n交付與支持n監(jiān)控20信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)-COBIT COBIT 的34個控制目標(biāo)交付和支持交付和支持IT 資源信息信息監(jiān)控監(jiān)控獲得與實(shí)施獲得與實(shí)施規(guī)劃和組織規(guī)劃和組織-效果性 -效率性-保密性 -完整性-可用性 -合規(guī)性-可靠性-人 -應(yīng)用系統(tǒng)-技術(shù) -設(shè)備-數(shù)據(jù)確定自動化方案獲取并維護(hù)應(yīng)用程序軟件獲取并維護(hù)技術(shù)基礎(chǔ)設(shè)施

9、程序開發(fā)與維護(hù)系統(tǒng)安裝與鑒定變更管理定義IT戰(zhàn)略規(guī)劃定義信息體系結(jié)構(gòu)確定技術(shù)方向定義IT組織和關(guān)系管理IT投資傳達(dá)管理目標(biāo)和方向人力資源管理確保遵循外部要求風(fēng)險(xiǎn)評估項(xiàng)目管理質(zhì)量管理定義并管理服務(wù)水平管理第三方的服務(wù)管理性能與容量確保服務(wù)的連續(xù)性確保系統(tǒng)安全確定并分配成本教育并培訓(xùn)用戶協(xié)助和咨詢客戶配置管理處理問題和突發(fā)事件數(shù)據(jù)管理設(shè)施管理運(yùn)行管理過程監(jiān)控評價(jià)內(nèi)部控制的適當(dāng)性獲取獨(dú)立鑒證提供獨(dú)立的審計(jì)COBIT企業(yè)目標(biāo)企業(yè)目標(biāo)IT治理治理資料來源：IT Governance Institute, 200021信息系統(tǒng)審計(jì)方法年度風(fēng)險(xiǎn)評估和計(jì)劃問題追蹤和后續(xù)審計(jì)審計(jì)評價(jià)審計(jì)報(bào)告審計(jì)計(jì)劃控制評價(jià)風(fēng)險(xiǎn)

10、評估審計(jì)方案和測試年度風(fēng)險(xiǎn)評估和計(jì)劃問題追蹤和后續(xù)審計(jì)審計(jì)評價(jià)審計(jì)報(bào)告審計(jì)計(jì)劃控制評價(jià)風(fēng)險(xiǎn)評估審計(jì)方案和測試22內(nèi)部審計(jì)方法年度風(fēng)險(xiǎn)評估和計(jì)劃n實(shí)施年度風(fēng)險(xiǎn)評估n識別下一年度的審計(jì)領(lǐng)域.n制定年度審計(jì)計(jì)劃23年度風(fēng)險(xiǎn)評估:風(fēng)險(xiǎn)評估n按照可審計(jì)業(yè)務(wù)單元進(jìn)行n每年實(shí)施一次n考慮因素n業(yè)務(wù)/財(cái)務(wù)影響n外部環(huán)境：如規(guī)章制度、市場、技術(shù)n容易出現(xiàn)欺詐舞弊n計(jì)算機(jī)環(huán)境n上一次審計(jì)結(jié)果及時(shí)間n與管理層討論（分公司、子公司和總公司）24年度風(fēng)險(xiǎn)評估:風(fēng)險(xiǎn)分級和審計(jì)頻率n非常高 (一年或少于一年審計(jì)一次)n高 (每一至兩年審計(jì)一次)n中 (每三到四年審計(jì)一次)n低 (每五年審計(jì)一次或不審計(jì))25年度風(fēng)險(xiǎn)評估:舉

11、例可審計(jì)單元可審計(jì)單元 業(yè)務(wù)因素業(yè)務(wù)因素 (50)風(fēng)險(xiǎn)因素風(fēng)險(xiǎn)因素 (25)控制環(huán)境控制環(huán)境 (25)總分排序風(fēng)險(xiǎn)水平風(fēng)險(xiǎn)影響 (20)財(cái)務(wù)影響 (15)合規(guī)影響 (10)未來成功影響 (5)容易舞弊(6)滿足目標(biāo)的壓力(3)計(jì)算機(jī)環(huán)境(6)復(fù)雜程度 (6)變更 (4)內(nèi)部控制 (12)管理層(8)前次審計(jì)(5)物理和邏輯安全1512654.5264.53612674高操作和第三方服務(wù)提供商的管理1012454.5336331256.516中災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計(jì)劃1012251.524.54.5331553.520中應(yīng)用設(shè)計(jì)和配置109251.5336331551.523中26年度審計(jì)計(jì)劃:舉

12、例某公司某公司2005 年內(nèi)部審計(jì)計(jì)劃年內(nèi)部審計(jì)計(jì)劃 一、制定計(jì)劃的方法一、制定計(jì)劃的方法本計(jì)劃是根據(jù)公司規(guī)定的年度風(fēng)險(xiǎn)評估方法加以制定的。在制定過程中，我們考慮了公司管理層的要求，以及公司其他股東的年度審計(jì)計(jì)劃。 二、影響計(jì)劃制定的主要因素二、影響計(jì)劃制定的主要因素1、中國區(qū)業(yè)務(wù)的快速發(fā)展2、與其他股東在內(nèi)部審計(jì)方面的良好合作3、三、審計(jì)范圍三、審計(jì)范圍 風(fēng)險(xiǎn)領(lǐng)域?qū)徲?jì)項(xiàng)目信息技術(shù) 技術(shù)基礎(chǔ)架構(gòu)項(xiàng)目管理業(yè)務(wù)持續(xù)計(jì)劃（BCP） 四、審計(jì)項(xiàng)目描述四、審計(jì)項(xiàng)目描述五、審計(jì)時(shí)間預(yù)算五、審計(jì)時(shí)間預(yù)算27信息系統(tǒng)審計(jì)方法計(jì)劃n審計(jì)任務(wù)備忘錄(審計(jì)通知書)n審計(jì)目的和范圍n審計(jì)方法n審計(jì)人員n被審計(jì)單位人員

13、n審計(jì)時(shí)間安排n問題溝通和行動計(jì)劃n審計(jì)標(biāo)準(zhǔn)n審計(jì)效果評價(jià)28計(jì)劃：舉例某公司一般IT控制審計(jì)備忘錄 審計(jì)范圍和目的：審計(jì)范圍和目的：本次審計(jì)的目的是，通過審計(jì)，評價(jià)下列領(lǐng)域控制的效果。 IT規(guī)劃和組織系統(tǒng)開發(fā)和獲得變更管理數(shù)據(jù)管理信息安全網(wǎng)絡(luò)管理計(jì)算機(jī)操作物理安全和設(shè)備管理業(yè)務(wù)持續(xù)計(jì)劃 審計(jì)方法審計(jì)方法：本次審計(jì)是按照風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的方法進(jìn)行的，我們將對上述領(lǐng)域的風(fēng)險(xiǎn)進(jìn)行評估，然后對中高風(fēng)險(xiǎn)領(lǐng)域進(jìn)行控制測試。在審計(jì)中，我們主要采取如下方法：檢查有關(guān)規(guī)章制度、程序和標(biāo)準(zhǔn)；檢查有關(guān)規(guī)劃和操作文件和報(bào)告（如IT規(guī)劃、項(xiàng)目文檔、總是日志、BCP等）；IT實(shí)地觀察；與管理層和有關(guān)員工面談。 審計(jì)組成員：

14、審計(jì)組成員： 審計(jì)時(shí)間：審計(jì)時(shí)間： 審計(jì)標(biāo)準(zhǔn)審計(jì)標(biāo)準(zhǔn)：我們將按照國際內(nèi)部審計(jì)師協(xié)會（IIA）和國際信息系統(tǒng)審計(jì)與控制協(xié)會（ISACA）制定的有關(guān)標(biāo)準(zhǔn)進(jìn)行審計(jì)。由于我們是通過抽樣進(jìn)行測試，因此我們的審計(jì)并不能絕對保證發(fā)現(xiàn)所有的錯誤和違規(guī)問題。 審計(jì)績效評價(jià)：審計(jì)績效評價(jià)：審計(jì)結(jié)束時(shí)，我們將向員工發(fā)送問券調(diào)查，以評價(jià)審計(jì)工作是否有效和達(dá)到目的。 29信息系統(tǒng)審計(jì)方法風(fēng)險(xiǎn)評估n識別業(yè)務(wù)流程的具體風(fēng)險(xiǎn)n風(fēng)險(xiǎn)矩陣n具體風(fēng)險(xiǎn)n業(yè)務(wù)影響n可能性評價(jià) (高/中/低)n影響評價(jià) (低/中/顯著/非常顯著)n風(fēng)險(xiǎn) (高/中/低)30風(fēng)險(xiǎn)評估:舉例n流程:IT規(guī)劃與組織31信息系統(tǒng)審計(jì)方法控制評價(jià)n記錄需要控制風(fēng)險(xiǎn)

15、的主要內(nèi)部控制.n控制評價(jià)矩陣n具體風(fēng)險(xiǎn)n需要的控制n控制類型 (預(yù)防/發(fā)現(xiàn)/改正)32控制評價(jià):舉例n流程:IT規(guī)劃與組織33信息系統(tǒng)審計(jì)方法審計(jì)方案和測試n制定審計(jì)方案n需要測試的控制n審計(jì)程序n測試主要控制的有效性n記錄測試結(jié)果34審計(jì)方案和測試:舉例n流程:IT規(guī)劃與組織35信息系統(tǒng)審計(jì)方法溝通和報(bào)告n發(fā)出審計(jì)發(fā)現(xiàn)清單n與被審計(jì)單位管理層交換意見n起草審計(jì)報(bào)告n舉行結(jié)束會議n發(fā)布最終審計(jì)報(bào)告n摘要n詳細(xì)審計(jì)發(fā)現(xiàn)和審計(jì)建議36信息系統(tǒng)審計(jì)方法績效評價(jià)n被審計(jì)單位調(diào)查問卷n審計(jì)結(jié)束時(shí)發(fā)出n調(diào)查問題:n審計(jì)目的是否表述清楚?n審計(jì)人員對被審計(jì)單位人員是否謙和禮貌?n審計(jì)發(fā)現(xiàn)是否準(zhǔn)確? 對你是

16、否有用?37信息系統(tǒng)審計(jì)方法 問題追蹤和后續(xù)審計(jì)n對重要審計(jì)建議進(jìn)行季度監(jiān)控.n內(nèi)部審計(jì)季度檢查報(bào)告n控制報(bào)告38IT 核心流程和審計(jì)方法n規(guī)劃和組織n系統(tǒng)開發(fā)n變更/問題管理n數(shù)據(jù)管理n計(jì)算機(jī)操作運(yùn)行n物理安全/設(shè)備管理n業(yè)務(wù)持續(xù)計(jì)劃 (BCP)n信息安全n網(wǎng)絡(luò)管理n應(yīng)用處理39IT 流程:規(guī)劃和組織n公司如何管理 IT.n相關(guān)風(fēng)險(xiǎn)n IT規(guī)劃與業(yè)務(wù)規(guī)劃不一致n不現(xiàn)實(shí)的戰(zhàn)略規(guī)劃 nIT成本超支n存在不相容的職能n組織不好的IT職能40審計(jì)方法:規(guī)劃和組織n審計(jì)范圍n組織結(jié)構(gòu)n規(guī)劃過程(戰(zhàn)略, 戰(zhàn)術(shù))n預(yù)算和成本控制n服務(wù)級別協(xié)議 (SLAs)n培訓(xùn)和資源保障n溝通過程41審計(jì)方法:規(guī)劃和組織

17、n訪談對象n首席執(zhí)行官（CEO）/首席營運(yùn)官（COO）n首席財(cái)務(wù)官（CFO）n首席信息官（CIO）nIT 指導(dǎo)委員會成員nIT 高級管理層n用戶管理層42審計(jì)方法:規(guī)劃和組織n檢查內(nèi)容:nIT組織機(jī)構(gòu)圖nIT 部門章程/權(quán)限nIT 規(guī)劃 (戰(zhàn)略, 戰(zhàn)術(shù))n業(yè)務(wù)規(guī)劃nIT 指導(dǎo)委員會會議紀(jì)要n政策、程序和標(biāo)準(zhǔn)n服務(wù)級別協(xié)議 (SLAs)n培訓(xùn)計(jì)劃n職位描述43IT 流程:系統(tǒng)開發(fā)n信息系統(tǒng)是如何開發(fā)的，以支持企業(yè)運(yùn)營.n相關(guān)風(fēng)險(xiǎn)n未滿足業(yè)務(wù)需求n有瑕疵的業(yè)務(wù)案例n延期實(shí)施n范圍不確定（軟件基線）44審計(jì)方法:系統(tǒng)開發(fā)n審計(jì)范圍n項(xiàng)目所有者n需求的提出和控制n項(xiàng)目管理n開發(fā)和測試n數(shù)據(jù)轉(zhuǎn)換控制n后

18、實(shí)施45審計(jì)方法:系統(tǒng)開發(fā)n訪談對象:nCIOnIT 指導(dǎo)委員會成員n項(xiàng)目指導(dǎo)委員會成員n項(xiàng)目所有者n項(xiàng)目經(jīng)理46審計(jì)方法:系統(tǒng)開發(fā)n檢查內(nèi)容:nIT 規(guī)劃n系統(tǒng)開發(fā)方法n與硬件/軟件采購相關(guān)的政策和程序n項(xiàng)目文檔 (如：需求定義，可行性分析)n與軟件采購、開發(fā)和維護(hù)相關(guān)的合同47IT 流程:變更管理nIT變更是如何管理的，以確保完整性n相關(guān)風(fēng)險(xiǎn)n非授權(quán)的變更請求n未測試的變更n非授權(quán)的變更實(shí)施48審計(jì)方法:變更管理n審計(jì)范圍n所有者n需求的提出和控制n變更控制n文檔和過程n軟件發(fā)布政策49年度審計(jì)計(jì)劃:考慮的因素和批準(zhǔn)n考慮的因素n風(fēng)險(xiǎn)高的可審計(jì)單元n管理層的要求n公司風(fēng)險(xiǎn)管理委員會和審計(jì)委

19、員會的指導(dǎo)n外部審計(jì)n年度審計(jì)計(jì)劃批準(zhǔn)n第一層次: 副總裁&總審計(jì)師（管理層）n第二層次: 審計(jì)委員會（董事會）50審計(jì)方法:變更管理n訪談對象nCIOnIT 高級管理層n應(yīng)用開發(fā)經(jīng)理n質(zhì)量鑒定經(jīng)理nIT 運(yùn)行經(jīng)理51審計(jì)方法:變更管理n檢查內(nèi)容:n系統(tǒng)開發(fā)方法n變更控制政策和程序n變更需求表52IT 流程:數(shù)據(jù)管理n數(shù)據(jù)是如何管理的，以確保完整和可用.n相關(guān)風(fēng)險(xiǎn)n數(shù)據(jù)不準(zhǔn)確、過時(shí)或被破壞n數(shù)據(jù)不可恢復(fù)n數(shù)據(jù)的不適當(dāng)訪問53審計(jì)方法:數(shù)據(jù)管理n審計(jì)范圍n數(shù)據(jù)所有者n組織結(jié)構(gòu)n計(jì)劃和開發(fā)n系統(tǒng)管理n安全n備份/恢復(fù)54審計(jì)方法:數(shù)據(jù)管理n訪談對象:nIT 高級管理層n信息安全官員n系統(tǒng)開

20、發(fā)經(jīng)理n數(shù)據(jù)庫存管理員n數(shù)據(jù)所有者55審計(jì)方法:數(shù)據(jù)管理n檢查內(nèi)容:n數(shù)據(jù)所有關(guān)系結(jié)構(gòu)n數(shù)據(jù)模型n與以下內(nèi)容相關(guān)的政策和程序:n數(shù)據(jù)輸入授權(quán)n數(shù)據(jù)處理n輸出的分發(fā)n數(shù)據(jù)庫維護(hù)和安全n庫管理56IT 流程:計(jì)算機(jī)操作運(yùn)行n如何管理計(jì)算設(shè)備，以提供持續(xù)服務(wù).n相關(guān)風(fēng)險(xiǎn)n處理延遲n重新運(yùn)行頻繁n問題無法解決57審計(jì)方法:計(jì)算機(jī)操作運(yùn)行n審計(jì)范圍n組織結(jié)構(gòu)n時(shí)間安排n媒介控制n備份/重新啟動/恢復(fù)n容量規(guī)劃58審計(jì)方法:計(jì)算機(jī)操作運(yùn)行n訪談對象:nIT 高級管理層nIT 運(yùn)行經(jīng)理n數(shù)據(jù)中心主管59審計(jì)方法:計(jì)算機(jī)操作運(yùn)行n檢查的文件：n組織結(jié)構(gòu)圖n部門計(jì)劃n職位描述n服務(wù)級別協(xié)議 (SLAs)n與計(jì)算

21、機(jī)處理相關(guān)的政策和程序n工作安排人員n備份/恢復(fù)n問題管理n磁帶管理60IT流程:物理安全/設(shè)備管理n相關(guān)風(fēng)險(xiǎn)n非授權(quán)訪問、使用公司資產(chǎn)或信息n偷竊、損壞或毀損數(shù)據(jù)或設(shè)備n不安全的工作環(huán)境61審計(jì)方法:物理安全/設(shè)備管理n審計(jì)范圍n訪問控制n環(huán)境災(zāi)難n火災(zāi)控制n電力供應(yīng)n員工安全n應(yīng)急程序n維護(hù)62審計(jì)方法:物理安全/設(shè)備管理n訪談對象:nIT 高級管理層nIT 設(shè)備經(jīng)理n信息安全官n運(yùn)行 /數(shù)據(jù)中心經(jīng)理63審計(jì)方法:物理安全/設(shè)備管理n檢查內(nèi)容:n數(shù)據(jù)中心樓層計(jì)劃/ 分布n IT用房的視查n可接觸IT設(shè)備人員清單n與物理安全、人員健康和安全、環(huán)境危害防護(hù)相關(guān)的政策和程序64IT流程:業(yè)務(wù)持續(xù)

22、計(jì)劃（BCP）n如何確保持續(xù)的IT服務(wù)、當(dāng)需要時(shí)可得到，以及在出現(xiàn)重大中斷時(shí)對業(yè)務(wù)影響最小.n相關(guān)風(fēng)險(xiǎn)n無法按照計(jì)劃恢復(fù)關(guān)鍵業(yè)務(wù)功能n沒有足夠的資源完成或?qū)嵤┯?jì)劃n過時(shí)和未測試的業(yè)務(wù)持續(xù)計(jì)劃n第三方供貨商的支持不充分65審計(jì)方法:業(yè)務(wù)持續(xù)計(jì)劃（BCP）n審計(jì)范圍n所有者n業(yè)務(wù)影響評估n恢復(fù)策略n與業(yè)務(wù)的聯(lián)系n維護(hù)n測試66審計(jì)方法:業(yè)務(wù)持續(xù)計(jì)劃（BCP）n訪談對象:nCIOnIT 高級管理層nIT 運(yùn)行經(jīng)理n信息安全官n用戶管理層n業(yè)務(wù)持續(xù)計(jì)劃（BCP）/災(zāi)難恢復(fù)計(jì)劃（DRP）小組n災(zāi)難恢復(fù)地經(jīng)理67審計(jì)方法:業(yè)務(wù)持續(xù)計(jì)劃（BCP）n檢查內(nèi)容:nBCP 手冊nBCP/DRP 測試結(jié)果n供貨商

23、/維護(hù)合同n業(yè)務(wù)中斷保單n與持續(xù)計(jì)劃過程相關(guān)的政策和程序68IT流程:信息安全n信息是如何保護(hù)的，以確保其完整、保密和可用.n相關(guān)風(fēng)險(xiǎn)n非授權(quán)訪問信息（內(nèi)部和外部）n有意泄露信息69審計(jì)方法:信息安全n審計(jì)范圍n政策和程序n數(shù)據(jù)分級n用戶添加、維護(hù)和刪除n監(jiān)控n密碼方案n訪問級別n安全環(huán)境70審計(jì)方法:信息安全n訪談對象:nIT 高級管理層n信息安全官員n應(yīng)用開發(fā)經(jīng)理n數(shù)據(jù)管理員71審計(jì)方法:信息安全n檢查內(nèi)容n信息安全政策和程序n了解訪問控制軟件n違反安全的報(bào)告nIT資源訪問點(diǎn) (物理的/邏輯的)的設(shè)計(jì)安排n具有訪問系統(tǒng)資源權(quán)限的雇員、供貨商、服務(wù)提供商的人員名單72IT流程:網(wǎng)絡(luò)管理n如何

24、管理網(wǎng)絡(luò)，以確保其安全、高效運(yùn)行和可用.n相關(guān)風(fēng)險(xiǎn)n網(wǎng)絡(luò)低效率n網(wǎng)絡(luò)無法恢復(fù)n網(wǎng)絡(luò)問題無法解決73審計(jì)方法:網(wǎng)絡(luò)管理n審計(jì)范圍n所有者n組織結(jié)構(gòu)n規(guī)劃和開發(fā)n政策和程序n網(wǎng)絡(luò)安全和管理n恢復(fù)/重新啟動74審計(jì)方法:網(wǎng)絡(luò)管理n訪談對象:nIT 運(yùn)行經(jīng)理n網(wǎng)絡(luò)管理員n信息安全官75審計(jì)方法:網(wǎng)絡(luò)管理n檢查內(nèi)容n組織結(jié)構(gòu)圖n部門計(jì)劃n職位描述n服務(wù)級別協(xié)議 (SLAs)n網(wǎng)絡(luò)體系結(jié)構(gòu)/配置n與網(wǎng)絡(luò)管理相關(guān)的政策和程序76IT流程:應(yīng)用處理n系統(tǒng)如何實(shí)施，以確保經(jīng)授權(quán)的業(yè)務(wù)信息處理完全、準(zhǔn)確n相關(guān)風(fēng)險(xiǎn)：包括計(jì)算機(jī)操作運(yùn)行、變更管理和信息安全風(fēng)險(xiǎn)77審計(jì)方法:應(yīng)用處理n訪談對象:n用戶管理n應(yīng)用開發(fā)經(jīng)理nIT 運(yùn)行經(jīng)理n信息安全官n數(shù)據(jù)庫管理員n選擇的用戶78審計(jì)方法:應(yīng)用處理n檢查內(nèi)容n了解業(yè)務(wù)流程n業(yè)務(wù)營運(yùn)