【文章內(nèi)容簡介】 Pn 信息系統(tǒng) 安全 的管理與實踐n CISAn 信息系統(tǒng)的控制與 審計對應的職業(yè)不同n CISSPn Consultant, managementn CISAn Auditor, management考試難度比較n 技術(shù)深度n CISSP〉 CISAn CISSP 10 domainsn CISA 6 domainsn 答題壓力n CISA〉 CISSPn CISSP 6小時 250題n CISA 4小時 200題信息系統(tǒng)審計過程IT Auditingn 提高信息系統(tǒng)審計質(zhì)量、促進審計從業(yè)人員之間的經(jīng)驗交流，促進審計職業(yè)的良好發(fā)展信息系統(tǒng)審計準則信息系統(tǒng)審計指南信息系統(tǒng)審計程序職業(yè)道德規(guī)范強制性標準推薦性標準信息系統(tǒng)審計準則與指南n IT審計職業(yè)道德規(guī)范n 職業(yè)道德規(guī)范 (Code of Professional Ethics)n 職業(yè)審慎 (Due Professional Care)u 信息系統(tǒng)審計師應在審計工作中自覺嚴格遵循相關(guān)實施準則、程序及控制，并遵守相關(guān)法律法規(guī)的要求；u 在具體執(zhí)行審計中要按照職業(yè)標準及最佳實踐原則要求自己，做到敬業(yè)、公正及審慎。u 以誠實及符合法律要求的方式為利益相關(guān)者服務，保持高尚的行為及品德，不從事有損于信息系統(tǒng)審計職業(yè)的活動；u 對信息系統(tǒng)審計過程中所取得的信息，應予以保密，不得借以謀取私利和泄漏給他人。執(zhí)法機構(gòu)的司法調(diào)查除外；u 保持在審計和信息系統(tǒng)控制相關(guān)領(lǐng)域的專業(yè)勝任能力，有效而可靠地完成審計任務；u 應獲得充分及適當?shù)淖C據(jù)，作出審計結(jié)論及建議，審計結(jié)果應向適當?shù)慕M織、部門和個人報告；u 應當對組織中的利益相關(guān)者進行信息系統(tǒng)安全與控制的教育，以促進其對審計及信息系統(tǒng)的了解；u指工作勤勉程度和開展工作所必需的技能要求，體現(xiàn)在信息系統(tǒng)審計師的職業(yè)判斷過程中，是確?？蛻臬@得高質(zhì)量審計的基礎(chǔ) n 信息系統(tǒng)審計準則n 是整個審計準則體系的總綱，是信息系統(tǒng)審計師的資格條件、執(zhí)業(yè)行為的基本規(guī)范，是制定審計指南和審計程序的基礎(chǔ)依據(jù)。審計師執(zhí)行審計業(yè)務，出具審計報告，都必須遵守執(zhí)行，具有強制性 n ISACA標準委員會制定了 11大類信息系統(tǒng)審計準則。n 審計指南n 審計指南是依據(jù)審計準則制定的，是審計準則的具體化。指南詳細規(guī)定了信息系統(tǒng)審計師執(zhí)行各項審計業(yè)務、出具審計報告的具體指南，為審計師在執(zhí)行審計業(yè)務中如何遵守審計準則提供指導。n 審計師在運用這些指南時，離不開職業(yè)判斷，對任何偏離指南的行為一定要有充分的理由。 n ISACA標準委員會制定了 35條信息系統(tǒng)審計指南。n 審計程序 n 信息系統(tǒng)審計程序是依據(jù)審計準則和審計指南制定的；n 它為審計師提供了一般審計業(yè)務的程序和步驟，是遵守審計準則和審計指南的一些通常審計程序；n 審計程序為審計師提供了很好的工作范例，但審計師在執(zhí)行具體的審計業(yè)務時，還要根據(jù)特定的信息系統(tǒng)和特定的技術(shù)環(huán)境做出自己的職業(yè)判斷。 n 審計章程 (Audit Charter) n 組織通過審計章程來確定信息系統(tǒng)審計活動在組織中所扮演的角色。n 審計章程既要強調(diào)管理層本身的對信息系統(tǒng)審計的責任與目標，以及對信息系統(tǒng)審計的授權(quán)，也要明確信息系統(tǒng)審計師可以行使的權(quán)力、所負責任及審計范圍?！⌒畔⑾到y(tǒng)審計方法n 審計方法 (Audit Methodology)n 所謂的審計方法就是通過在組織中制定一系列規(guī)范的審計方法來達到預期的審計目標，也可稱為審計策略。n 主要內(nèi)容包括審計范圍、審計目標及工作程序。n 審計方法論應當由審計部門的管理人員來制定與批準，并在審計人員中推廣應用。一般性 審計 方法審計對 象 ? 確定 審計對 象審計 目 標 ? 確定 審計 目 標 ，如： 審計 目 標 是確定 對 程序源代 碼 的變 更是否有良好的定 義 和控制。審計 范 圍 ? 確定特定的系 統(tǒng) 、功能或 組織單 元 進 行 審 核。例如，在程序源代 碼變 更管理 審計 中，可以把范 圍 限制在某一個 應 用系 統(tǒng) 中，或在一個有限的 時間 范 圍 內(nèi)。審計資 源 ? 確定 審計 所需要的技 術(shù) 技能及 資 源? 為測試 或 檢查 確定信息來源，比如：流程 圖 、策略、標 準、程序及以前的 審計報 告。? 確定 進 行 審計 的地點及 設(shè) 施審計 方案 ? 確定和 選擇 收集 證 據(jù)的方法來 驗證 和 測試 控制? 確定 訪談對 象? 確定和收集 組織 的相關(guān)政策、 標 準和指南 進 行 檢查實 施 審計 ? 以走 訪 、面 談 、 測試 、分析、復核等方法收據(jù) 審計證據(jù)。評 價 測試檢查結(jié) 果（因 組織 不同而 變 化）與管理人員 溝通（因 組織 不同而 變 化）準 備審計報 告? 確定后 續(xù)檢查 方法? 確定 評 價與 測試審計對 象運 營 的效率與效果的方法? 確定 測試 控制的方法? 檢查 和 評 價文檔、政策及程序的完 備 性n 審計計劃 (Audit Plan)n 短期計劃－本年度內(nèi)需要實施的審計事項n 中長期計劃－ 2年以上的審計計劃n 制定審計計劃的要點：u 充分了解組織的業(yè)務目標、業(yè)務流程及信息技術(shù)u 進行風險評估、實施內(nèi)部控制檢查u 確定審計范圍及目標、制定審計方案及審計策略u 審計計劃應當?shù)玫焦芾韺雍蛯徲嬑瘑T會的批準，如果可能的話，盡量通報到各管理層負責人 u 綜合考慮審計項目要求、人力資源現(xiàn)狀及其他限制條件，合理匹配審計資源 n 審計資源管理n 審計師的信息系統(tǒng)相關(guān)知識與能力n 審計項目管理的能力n 審計人員的培訓計劃n 審計工具的使用（例如：網(wǎng)絡掃描工具、穿透測試工具、日志分析工具等）n 審計委托書n 審計師的責任n 審計師的權(quán)利n 審計師的義務n 與委托方的交流?明確審計任務、審計目標、審計范圍、獨立性、風險評價、被審計單位的其他要求等。?對于內(nèi)部審計師而言，還包括關(guān)鍵成功因素、主要績效衡量指標及其他工作措施。?審計師有權(quán)接觸的相關(guān)信息，詢問相關(guān)被審計人員，巡視被審計場所及信息系統(tǒng)相關(guān)的設(shè)備、軟件等；?審計人員有權(quán)了解組織結(jié)構(gòu)包括向董事會和高層經(jīng)理匯報的途徑?信息系統(tǒng)審計小組成員不同的權(quán)限?確定報告接受者；質(zhì)量評估；約定的完工期；預算；雙方達成的協(xié)議。?對內(nèi)部審計師還包括：工作成績和職責標準；向上級匯報的途徑；信息系統(tǒng)審計師的經(jīng)歷與經(jīng)驗；個人工作表現(xiàn)評價；獨立性評價；對標準遵守情況；計劃完成情況；經(jīng)費開支?委托方要準確描述信息系統(tǒng)審計目標、對象、領(lǐng)域和信息系統(tǒng)審計時限；?描述可能面臨的問題的解決方案?提供能進行有效、便捷的交流方式和工具n 審計方案 (Audit Program)n 信息系統(tǒng)審計師經(jīng)常需要從不同的角度評價 IT系統(tǒng)及其功能，此時建立審計工作方案 (也就是具體的審計策略與計劃 )是一件十分重要的工作；n 通過審計工作方案可以確定具體的審計范圍、審計目標、審計程序，以獲得充分的、合理的