【文章內(nèi)容簡(jiǎn)介】 ，在P8各個(gè)小概括下）信息系統(tǒng)審計(jì)的基本方法：繞過(guò)信息系統(tǒng)審計(jì)、通過(guò)信息系統(tǒng)審計(jì) 信息系統(tǒng)審計(jì)的步驟（大題P11）：準(zhǔn)備階段：明確審計(jì)任務(wù)，組成信息系統(tǒng)審計(jì)小組，了解被審計(jì)系統(tǒng)的基本情況，指定信息系統(tǒng)審計(jì)方案，發(fā)出審計(jì)通知書(shū) 實(shí)施階段：對(duì)被審計(jì)系統(tǒng)的內(nèi)部控制制度進(jìn)行健全性調(diào)查和符合性測(cè)試，對(duì)賬表單證或數(shù)據(jù)文件的實(shí)質(zhì)性審查終結(jié)階段：整理歸納審計(jì)資料，撰寫(xiě)審計(jì)報(bào)告，發(fā)出審計(jì)結(jié)論和決定，審計(jì)資料的歸檔和管理國(guó)際信息系統(tǒng)審計(jì)準(zhǔn)則：由信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）頒布和實(shí)施的。ISACA是國(guó)際上唯一的信息系統(tǒng)審計(jì)專業(yè)組織，通過(guò)制定和頒布信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)、指南和程序來(lái)規(guī)范審計(jì)師的工作，它由三個(gè)層次構(gòu)成： 審計(jì)標(biāo)準(zhǔn)（審計(jì)標(biāo)準(zhǔn)是整個(gè)信息系統(tǒng)準(zhǔn)則體系的總綱，是制定審計(jì)指南和作業(yè)程序的基礎(chǔ)和依據(jù)）審計(jì)指南（審計(jì)指南為審計(jì)標(biāo)準(zhǔn)的應(yīng)用提供了指引，信息系統(tǒng)審計(jì)師在審計(jì)過(guò)程中應(yīng)考慮如何應(yīng)用指南以實(shí)現(xiàn)審計(jì)標(biāo)準(zhǔn)的要求，在應(yīng)用過(guò)程中靈活運(yùn)用專業(yè)判斷并糾正任何偏離準(zhǔn)則的行為）作業(yè)程序（作業(yè)程序提供了信息系統(tǒng)審計(jì)師在審計(jì)過(guò)程中可能遇到的審計(jì)程序的示例）信息系統(tǒng)審計(jì)師應(yīng)具備的素質(zhì)（大題P1819）應(yīng)具備的理論知識(shí):傳統(tǒng)審計(jì)理論、信息系統(tǒng)管理理論、計(jì)算機(jī)科學(xué)、行為科學(xué)理論應(yīng)具有的實(shí)踐技能：參加過(guò)不同類別的工作培訓(xùn)、參與專業(yè)的機(jī)構(gòu)或廠商組織的研討會(huì)，動(dòng)態(tài)掌握信息技術(shù)的新發(fā)展對(duì)審計(jì)實(shí)踐的影響、具有理解信息處理活動(dòng)的各種技術(shù)、理解并熟悉操作環(huán)境，評(píng)估內(nèi)部控制的有效性、理解現(xiàn)有與未來(lái)系統(tǒng)的技術(shù)復(fù)雜性，以及它們對(duì)各級(jí)操作與決策的影響、能使用技術(shù)的方法去識(shí)別系統(tǒng)的完整性、要參與評(píng)估與使用信息技術(shù)相關(guān)的有效性、效率、風(fēng)險(xiǎn)等、能夠提供審計(jì)集成服務(wù)并為審計(jì)員工提供指導(dǎo)，與財(cái)務(wù)審計(jì)師一起對(duì)公司財(cái)務(wù)狀況做出說(shuō)明、具備系統(tǒng)開(kāi)發(fā)方法論、安全控制設(shè)計(jì)、實(shí)施后評(píng)估等、掌握網(wǎng)絡(luò)相關(guān)的安全實(shí)踐、信息安全服務(wù)、災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃、異步傳輸模式等通信技術(shù)。IT治理定義：德勒定義：IT治理是一個(gè)含義廣泛的概念，包括信息系統(tǒng)、技術(shù)、通信、商業(yè)、所有利益相關(guān)者、合法性和其他問(wèn)題。其主要任務(wù)是保持IT與業(yè)務(wù)目標(biāo)一致，推動(dòng)業(yè)務(wù)發(fā)展，促使收益最大化，合理利用IT資源，IT相關(guān)風(fēng)險(xiǎn)的適當(dāng)管理。IT治理必須與企業(yè)戰(zhàn)略目標(biāo)一致，IT對(duì)于企業(yè)非常關(guān)鍵，也是戰(zhàn)略規(guī)劃的組成，影響戰(zhàn)略競(jìng)爭(zhēng)；IT治理和其他治理主體一樣，是管理執(zhí)行人員和利益相關(guān)者的責(zé)任（以董事會(huì)為代表）；IT治理保護(hù)利益相關(guān)者的權(quán)益，使風(fēng)險(xiǎn)透明化，指導(dǎo)和控制IT投資、機(jī)遇、利益、風(fēng)險(xiǎn)；IT治理包括管理層、組織結(jié)構(gòu)、過(guò)程，以確保IT維護(hù)和拓展組織戰(zhàn)略目標(biāo)；應(yīng)該合理利用企業(yè)的信息資源，有效的集成與協(xié)調(diào)；確保IT及時(shí)按照目標(biāo)交付，有合適的功能和期望的收益，是一個(gè)一致性和價(jià)值傳遞的基本構(gòu)建模塊，有明確的期望值和衡量手段；引導(dǎo)IT戰(zhàn)略平衡系統(tǒng)的投資，支持企業(yè)，變革企業(yè)，或者創(chuàng)建一個(gè)信息基礎(chǔ)架構(gòu)，保證業(yè)務(wù)增長(zhǎng)，并在一個(gè)新的領(lǐng)域競(jìng)爭(zhēng)。IT治理和IT管理的關(guān)系：IT管理是在既定的IT治理模式下，管理層為實(shí)現(xiàn)公司的目標(biāo)二采取的行動(dòng)，IT治理規(guī)定了整個(gè)企業(yè)IT運(yùn)作的基本框架，IT管理則是在這個(gè)既定的框架下駕馭企業(yè)奔向目標(biāo)。缺乏良好IT治理模式的公司，即使有很好的IT管理體系，就想一座地基不牢固的大廈；同時(shí)，沒(méi)有公司IT管理體系的流暢，單純的治理模式也只能是一個(gè)美好的藍(lán)圖，而缺乏實(shí)際的內(nèi)容。公司治理和IT治理：公司治理，驅(qū)動(dòng)和調(diào)整IT治理。同時(shí)，IT能夠提供關(guān)鍵的輸入，形成戰(zhàn)略計(jì)劃的一個(gè)重要組成部分，即IT影響企業(yè)的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇。IT治理標(biāo)準(zhǔn)：ITIL、COBIT BS7799 PRINCE2 IT治理成熟度模型：不存在、初始級(jí)、可重復(fù)級(jí)、已定義級(jí)、已管理級(jí)、已優(yōu)化級(jí)（主要內(nèi)容及其作用在P4748）信息系統(tǒng)內(nèi)部控制：是一個(gè)單位在信息系統(tǒng)環(huán)境下，為了保證業(yè)務(wù)活動(dòng)的有效進(jìn)行，保護(hù)資產(chǎn)的安全與完整，防止、發(fā)現(xiàn)、糾正錯(cuò)誤與舞弊、確保信息系統(tǒng)提供信息的真實(shí)、合法、完整，而制定和實(shí)施的一系列政策與程序措施。凡是與信息系統(tǒng)的建立、運(yùn)作維護(hù)、管理和業(yè)務(wù)處理有關(guān)的部門(mén)、人員和活動(dòng)，都屬于信息系統(tǒng)內(nèi)部控制的對(duì)象，可分為一般控制和應(yīng)用控制。信息系統(tǒng)一般控制是應(yīng)用于一個(gè)單位信息系統(tǒng)全部或較大范圍的內(nèi)部控制，其基本目標(biāo)為保證數(shù)據(jù)安全、保護(hù)計(jì)算機(jī)應(yīng)用程序、防止系統(tǒng)被非法侵入、保證在意外中斷情況下的繼續(xù)運(yùn)行等。信息系統(tǒng)應(yīng)用控制是用于對(duì)具體應(yīng)用系統(tǒng)的控制，一個(gè)應(yīng)用系統(tǒng)一般由多個(gè)相關(guān)計(jì)算機(jī)程序組成，有些應(yīng)用系統(tǒng)可能是復(fù)雜的綜合系統(tǒng)，牽涉到多個(gè)計(jì)算機(jī)程序和組織單元，與此相對(duì)應(yīng)，應(yīng)用控制包括包含在計(jì)算機(jī)編碼中的日?？刂萍芭c用戶活動(dòng)相關(guān)的政策和流程。良好的一般控制是應(yīng)用控制的基礎(chǔ)，可以為應(yīng)用控制的有效性提供有力的保障，某些應(yīng)用控制的有效性取決于計(jì)算機(jī)整體環(huán)境控制的有效性。當(dāng)計(jì)算機(jī)整體環(huán)境控制薄弱時(shí)，應(yīng)用控制就無(wú)法真正提供合理保障。如果一般控制審計(jì)結(jié)果很差，應(yīng)用控制審計(jì)結(jié)果很差，應(yīng)用控制審計(jì)就沒(méi)有進(jìn)行的必要。審計(jì)邏輯訪問(wèn)安全策略：知所必需原則審查離職員工的訪問(wèn)控制：請(qǐng)辭、聘用合同期滿和非自愿離職 數(shù)據(jù)庫(kù)加密：一般采用公開(kāi)密鑰加密方法 系統(tǒng)訪問(wèn)控制及其審計(jì)：系統(tǒng)訪問(wèn)就是利用計(jì)算機(jī)資源達(dá)到一定目的的能力，對(duì)計(jì)算機(jī)化的信息資源的訪問(wèn)可以基于邏輯方式，也可以基于物理方式。物理訪問(wèn)控制可以限制人員進(jìn)出敏感區(qū)域。對(duì)計(jì)算機(jī)信息的物理訪問(wèn)與邏輯訪問(wèn)應(yīng)當(dāng)建立在“知所必需”的基礎(chǔ)上，按照最小授權(quán)原則和職責(zé)分離原則來(lái)分配系統(tǒng)訪問(wèn)權(quán)限，并把這些訪問(wèn)規(guī)則與訪問(wèn)授權(quán)通過(guò)正式書(shū)面文件記錄下來(lái)，作為信息安全的重要文件加以妥善管理。身份識(shí)別與驗(yàn)證（簡(jiǎn)答題P6566）：邏輯訪問(wèn)控制中的身份識(shí)別與驗(yàn)證是一種提供用戶身份證明的過(guò)程，在這個(gè)過(guò)程中，用戶向系統(tǒng)提交有效的身份證明，系統(tǒng)驗(yàn)證這個(gè)身份證明后向用戶授予訪問(wèn)系統(tǒng)的能力?？煞譃槿悾骸爸挥心阒赖氖虑椤薄爸挥心銚碛械臇|西”“只有你具有的特征” 例子：賬號(hào)與口令、令牌設(shè)備、生物測(cè)定技術(shù)與行為測(cè)定技術(shù)。邏輯訪問(wèn)授權(quán)：一般情況下邏輯訪問(wèn)控制基于最小授權(quán)原則，支隊(duì)因工作需要訪問(wèn)信息系統(tǒng)的人員進(jìn)行必要的授權(quán)。當(dāng)用戶在組織變換工作角色時(shí)，在賦予他們新訪問(wèn)權(quán)限時(shí)，一般沒(méi)有及時(shí)取消舊的訪問(wèn)權(quán)限，這就會(huì)產(chǎn)生訪問(wèn)控制上的風(fēng)險(xiǎn)。所以當(dāng)員工職位有變動(dòng)時(shí)，信息系統(tǒng)審計(jì)師就要及時(shí)審核訪問(wèn)控制列表是否做了有效變更。災(zāi)難恢復(fù)控制及其審計(jì)：信息系統(tǒng)的災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計(jì)劃是組織中總的業(yè)務(wù)持續(xù)計(jì)劃和災(zāi)難恢復(fù)計(jì)劃的重要組成部分?；謴?fù)策略與恢復(fù)類型：熱站、溫站、冷站、冗余信息處理設(shè)施、移動(dòng)站點(diǎn)、組織間互惠協(xié)議。BCP中多個(gè)計(jì)劃文件：業(yè)務(wù)持續(xù)性計(jì)劃（BCP）、業(yè)務(wù)恢復(fù)計(jì)劃（BRP）、連續(xù)作業(yè)計(jì)劃（COOP）連續(xù)支持計(jì)劃、IT應(yīng)急計(jì)劃、危機(jī)通信計(jì)劃、事件響應(yīng)事件、災(zāi)難恢復(fù)計(jì)劃（DRP）、場(chǎng)所緊急計(jì)劃（OEP）異地備份：完全備份、增量備份、差分備份災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃的審計(jì)：主要任務(wù)是理解與評(píng)價(jià)組織的業(yè)務(wù)連續(xù)性策略，及其組織業(yè)務(wù)目標(biāo)的符合性；參考相應(yīng)的標(biāo)準(zhǔn)和法律法規(guī)，評(píng)估該計(jì)劃的充分性和時(shí)效性；審核信息系統(tǒng)及終端用戶對(duì)計(jì)劃所做的測(cè)試的結(jié)果，驗(yàn)證計(jì)劃的有效性；審核異地存儲(chǔ)設(shè)施機(jī)器內(nèi)容、安全和環(huán)境控制，以評(píng)估異地存儲(chǔ)站點(diǎn)的適當(dāng)性；通過(guò)審核應(yīng)急措施、員工培訓(xùn)、測(cè)試結(jié)果，評(píng)估信息系統(tǒng)及其終端用戶在緊急情況下的有效反應(yīng)能力；確認(rèn)組織對(duì)業(yè)務(wù)持續(xù)性計(jì)劃的維護(hù)措施存在并有效。應(yīng)用控制概念：應(yīng)用控制是為適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整、準(zhǔn)確地完成而建立的內(nèi)部控制。應(yīng)用控制涉及各種類型的業(yè)務(wù)，每種業(yè)務(wù)及其數(shù)據(jù)處理尤其特殊流程的要求，這決定了具體的應(yīng)用控制的設(shè)計(jì)需結(jié)合具體的業(yè)務(wù)。單另一方面。由于數(shù)據(jù)處理過(guò)程一般都是由輸入、處理和輸出三個(gè)階段構(gòu)成，從這一共性出發(fā)，可將應(yīng)用控制劃分為輸入控制、處理控制和輸出控制。應(yīng)用控制也是由手工控制和程序化控制構(gòu)成，但以程序化控制為主。軟件維護(hù)的種類：糾錯(cuò)行為化、適應(yīng)性維護(hù)、完善性維護(hù)、預(yù)防性維護(hù) 服務(wù)管理：面向IT基礎(chǔ)設(shè)施管理的服務(wù)支持、面向業(yè)務(wù)管理的服務(wù)提供IT服務(wù)提供流程主要面對(duì)付費(fèi)的機(jī)構(gòu)和個(gè)人客戶，負(fù)責(zé)為客戶提供高質(zhì)量、低成本的IT服務(wù)。任務(wù)：根據(jù)組織的業(yè)務(wù)需求，對(duì)服務(wù)能力、持續(xù)性、可用性等服務(wù)級(jí)別目標(biāo)進(jìn)行規(guī)劃和設(shè)計(jì)，同時(shí)還必須考慮到這些服務(wù)目標(biāo)所需要耗費(fèi)的成本。主要包括服務(wù)水平管理、IT服務(wù)財(cái)務(wù)管理、能力管理、IT服務(wù)持續(xù)性管理和可用性管理5個(gè)服務(wù)管理流程。IT服務(wù)的服務(wù)支持主要面向終端用戶，負(fù)責(zé)確保IT服務(wù)的穩(wěn)定性與靈活性，用于確保終端用戶得到適當(dāng)?shù)姆?wù)，以支持組織的業(yè)務(wù)功能。服務(wù)支持流程包括體現(xiàn)服務(wù)接觸和溝通的服務(wù)臺(tái)職能和5個(gè)運(yùn)作層次的流程，即配置管理、事務(wù)管理、問(wèn)題管理、變更管理、發(fā)布管理。應(yīng)用程序?qū)徲?jì)的內(nèi)容：審查程序控制是否健全有效：程序中輸入控