【正文】 活方式 網(wǎng)上購物、電視、電影 背景介紹 ?信息技術(shù)改變著我們的工作 ? 作業(yè)工具 計算機、打印機、掃描儀 ? 作業(yè)手段 企業(yè)網(wǎng)、門戶網(wǎng)站、辦公自動化 ? 管理方法 數(shù)據(jù)集中、業(yè)務(wù)集成、動態(tài)監(jiān)控 ? 分析決策 統(tǒng)計數(shù)據(jù)、分析趨勢、發(fā)現(xiàn)規(guī)律 ? 內(nèi)部控制 業(yè)務(wù)流程重組、自動控制增加、舞弊手段 信息技術(shù)的積極面 ? 作業(yè)效率的提高 ? 信息渠道更加暢通 ? 集中管理成為可能 ? 數(shù)據(jù)的搜集和管理更加高效 ? 信息的查詢和分析更加容易 ? 人為的差錯大大減少 ? 紙質(zhì)介質(zhì)的使用減少 背景介紹 信息技術(shù)的消極影響 ? 數(shù)據(jù)信息的安全受到了挑戰(zhàn) 病毒、黑客、非法入侵 ? 業(yè)務(wù)持續(xù)性很難得到保證 停電、系統(tǒng)故障、人為破壞 ? 控制過程透明度下降 控制內(nèi)嵌于軟件中、手工控制變?yōu)樽詣涌刂? ? 錯誤容易產(chǎn)生累計效應(yīng) 一個點的錯誤會引起連鎖反應(yīng) ? 對人員素質(zhì)提出了更高的要求 操作計算機、軟件知識、網(wǎng)絡(luò)知識 背景介紹 圍繞集團公司實施資源、市場和國際化三大戰(zhàn)略，遵循 “ 統(tǒng)一、成熟、實用、兼容、高效 ” 的十字方針，堅持統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一設(shè)計、統(tǒng)一投資、統(tǒng)一建設(shè)、統(tǒng)一管理的 “ 六統(tǒng)一 ” 原則，加快整體推進信息技術(shù)總體規(guī)劃實施步伐，為提高集團公司管理水平與核心競爭力提供強有力支撐。 十一五 ” 信息化建設(shè)指導(dǎo)思想 中國石油信息技術(shù)總體規(guī)劃 中國石油信息技術(shù)總體規(guī)劃 信息技術(shù)總體規(guī)劃是中國石油業(yè)務(wù)戰(zhàn)略規(guī)劃的重要組成部分， 共分 7大類 51個項目。 信息化建設(shè)總體目標 序號 信息系統(tǒng) 實施效果 1 電子商務(wù) 4年累計實現(xiàn)網(wǎng)上采購 579億元，節(jié)約采購成本超過 5% 2 煉化物料優(yōu)化與排產(chǎn)系統(tǒng) 在大連石化實現(xiàn)了原油采購結(jié)構(gòu)優(yōu)化、生產(chǎn)計劃優(yōu)化，年增效益 3000多萬元 3 煉油與化工運行系統(tǒng) 每年可在大連石化降低加工費用約 2022萬元 4 勘探與生產(chǎn)技術(shù)數(shù)據(jù)管理系統(tǒng) 第一次實現(xiàn)了勘探與開發(fā)數(shù)據(jù)庫一體化的集成目標，為勘探開發(fā)綜合研究提供了全過程的信息應(yīng)用手段 5 油氣水井生產(chǎn)數(shù)據(jù)管理系統(tǒng) 搭建了涵蓋上游生產(chǎn)領(lǐng)域一體化的生產(chǎn)管理和輔助決策集成平臺，實現(xiàn)了生產(chǎn)的實時化動態(tài)管理 6 管道生產(chǎn)管理系統(tǒng) 實現(xiàn)了天然氣管道運行數(shù)據(jù)的集成應(yīng)用，提高了工作效率和管理水平 7 健康安全環(huán)保系統(tǒng) 實現(xiàn)了 HSE數(shù)據(jù)的集中管理，有利于公司整體 HSE業(yè)務(wù)及時、有效的管理 8 電子郵件系統(tǒng) 每年收發(fā)郵件 3000萬封以上，年節(jié)約資金 1500萬元 9 視頻會議系統(tǒng) 召開視頻會議 148次， ，僅差旅費就節(jié)約 10 信息門戶系統(tǒng) 上網(wǎng)文檔 583萬個，信息主門戶日訪問量 ，大大推進了信息共享 幾年來，隨著各信息系統(tǒng)的建設(shè)和上線應(yīng)用，對主營業(yè)務(wù)的支撐作用開始逐漸顯現(xiàn)出來。 ? A2油氣水井生產(chǎn)數(shù)據(jù)管理系統(tǒng)： 實現(xiàn)油氣水井生產(chǎn)數(shù)據(jù)管理、油藏動態(tài)監(jiān)測、增產(chǎn)措施和效果數(shù)據(jù)管理等功能，規(guī)范生產(chǎn)流程，提高管理效率。 ? A4地理信息系統(tǒng)： 建立集團公司統(tǒng)一的基礎(chǔ)地理信息管理平臺，提供空間數(shù)據(jù)查詢與展示的功能，實現(xiàn)與空間位置密切相關(guān)的業(yè)務(wù)數(shù)據(jù)管理。 項目目標： 改進對勘探生產(chǎn)技術(shù)數(shù)據(jù)的收集和分析能力，提高勘探成功度，促進勘探開發(fā)項目管理和流程的優(yōu)化和標準化；提高勘探開發(fā)與管道生產(chǎn)運行和管理效率，提升計劃能力和動態(tài)管理能力；增強工程技術(shù)服務(wù)作業(yè)現(xiàn)場管理能力，提高業(yè)務(wù)的總體管控能力； 實現(xiàn)與空間位置密切相關(guān)的業(yè)務(wù)數(shù)據(jù)管理，提高數(shù)據(jù)的共享與可視化管理能力。 ? B2煉化物料優(yōu)化與排產(chǎn)系統(tǒng)： 實現(xiàn)原油評價、 采購 、常減壓裝置、 動力及二次加工裝置、產(chǎn)品調(diào)合、產(chǎn)品銷售、庫存優(yōu)化 等功能。 ? B4加油站管理系統(tǒng)： 實現(xiàn) 基礎(chǔ)業(yè)務(wù)功能（包括組織機構(gòu)管理、用戶管理、類別管理、編碼管理、設(shè)備維護管理）、基本運營業(yè)務(wù)功能（油品業(yè)務(wù)管理、非油品業(yè)務(wù)管理、賬務(wù)與報表處理）、客戶管理、卡支付管理、增強型業(yè)務(wù) 等 功能 。 D ERP項目 項目 說明 ： 主要實現(xiàn)以下功能需求： ? D1ERP業(yè)務(wù)分析與實施計劃： 對 ERP系統(tǒng)進行可行性研究、選型和模板設(shè)計等工作。統(tǒng)一實施人力資源管理系統(tǒng)、預(yù)算管理系統(tǒng)等，提高總部決策管理效率 ? D7工程技術(shù)服務(wù) ERP系統(tǒng)： 實現(xiàn)財務(wù)管理、采購與庫存管理、設(shè)備管理、項目管理等功能，規(guī)范管理流程，提高管理水平 ? D8物資裝備 ERP系統(tǒng)： 實現(xiàn)財務(wù)管理、采購與庫存管理、生產(chǎn)管理、銷售管理、設(shè)備管理等功能，規(guī)范管理流程， 實現(xiàn)物資裝備企業(yè)的采購、生產(chǎn)和銷售業(yè)務(wù)流程一體化 ? D9海外業(yè)務(wù) ERP系統(tǒng)： 實現(xiàn)財務(wù)管理、采購與庫存管理、設(shè)備管理、項目管理等功能，規(guī)范管理流程，提高海外業(yè)務(wù)的管理水平 ? D10油田服務(wù) ERP系統(tǒng)： 實現(xiàn)財務(wù)管理等功能，規(guī)范管理流程，提高管理水平 ? D11煉化服務(wù) ERP系統(tǒng)： 實現(xiàn)財務(wù)管理等功能，規(guī)范管理流程，提高管理水平 項目目標： 支持集團公司的規(guī)范管理，實現(xiàn)人、財、物、購、銷、存在統(tǒng)一平臺中的管理，提高管理水平，促進業(yè)務(wù)流程和各級組織間的信息共享與協(xié)作。 E 綜合管理項目 項目 說明 ： 主要實現(xiàn)以下功能需求： ?E1健康安全環(huán)保系統(tǒng)： 實現(xiàn)環(huán)境管理、安全管理、職業(yè)健康管理、 QHSE報告系統(tǒng)等功能。 建設(shè)滿足 檔案管理部門工作需要的應(yīng)用系統(tǒng) ?E7內(nèi)控管理系統(tǒng)： 實現(xiàn)內(nèi)控工作流程自動化管理，規(guī)范內(nèi)控管理流程，滿足內(nèi)控管理和 SOX需求 項目目標： 提高中國石油保存歷史數(shù)據(jù)、分析數(shù)據(jù)的能力；為公司內(nèi)部使用者提供數(shù)據(jù)快捷獲取的工具，為集團公司的信息發(fā)布提供一個公用的渠道；完善信息系統(tǒng)總體控制機制，符合 SOX法案的要求，完善信息系統(tǒng)的內(nèi)部控制，高效率低成本進行信息系統(tǒng)內(nèi)部控制；通過高效的文檔管理、存儲和檢索，提高企業(yè)對相關(guān)需求的響應(yīng)和解決速度。 經(jīng)過努力，在“十一五”信息技術(shù)總體規(guī)劃全部實施完成后，集團公司信息化整體水平將會得到提升，促進各業(yè)務(wù)的發(fā)展。通過引入一種系統(tǒng)的、有條理的方法去評價和改善風險管理、控制和公司治理流程的有效性，內(nèi)部審計可以幫助一個機構(gòu)實現(xiàn)其目標。它采取系統(tǒng)化、規(guī)范化的方法來對風險管理、控制及治理程序進行評價 ,提高它們的效率 ,從而幫助實現(xiàn)機構(gòu)目標。 信息系統(tǒng)一般包括： ?數(shù)據(jù)處理系統(tǒng) ?管理信息系統(tǒng) ?決策支持系統(tǒng) ?辦公自動化系統(tǒng) 信息系統(tǒng)審計的概念 國外： ? 日本通產(chǎn)省情報協(xié)會在 1996 年對信息系統(tǒng)審計定義 : 為了信息系統(tǒng)的安全、可靠與有效 ,由獨立于審計對象的信息系統(tǒng)審計師 ,以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價 ,向信息系統(tǒng)審計對象的最高領(lǐng)導(dǎo)提出問題與建議的一連串的活動。 信息系統(tǒng)審計的概念 國內(nèi)： ? 國內(nèi)專家孫強在 《 信息系統(tǒng)審計 安全、風險管理與控制 》 定義 : 審計人員接受委托或授權(quán) ,收集并評估證據(jù)以判斷一個計算機系統(tǒng) (信息系統(tǒng) ) 是否有效做到保護資產(chǎn)、維護數(shù)據(jù)完整并最有效率地完成組織活動。 信息系統(tǒng)審計的概念 信息系統(tǒng)內(nèi)部審計： ? 是企業(yè)內(nèi)部審計職能下的一個專業(yè)團隊 ? 是企業(yè)內(nèi)部審計工作不可或缺的一部分 ? 不是一個獨立的團隊： ? 沒有單獨的章程或手冊 ? 必須符合內(nèi)審的工作需求和各項程序 ? 同樣的匯報機制，包括向內(nèi)審職能負責人和審計委員會的匯報 ? 工作應(yīng)包括在審計年度計劃內(nèi) ? 由于是專業(yè)領(lǐng)域，因此可能需要一些專題指引和方法 提綱 ? 背景介紹 ? 信息系統(tǒng)審計相關(guān)概念 ? 信息系統(tǒng)審計的發(fā)展情況 ? 開展信息系統(tǒng)審計的必然性 ? 開展信息系統(tǒng)審計的條件 ? 開展信息系統(tǒng)審計的方法 ? ERP審計介紹 ? 信息系統(tǒng)審計的工作思路 信息系統(tǒng)審計的發(fā)展 信息系統(tǒng)審計的起源 在信息社會中，人們的工作生活，企業(yè)的經(jīng)營運作，政府的施政，都離不開各種的信息系統(tǒng)。 信息化的發(fā)展， 推動了新的審計業(yè)務(wù) ——— 信息系統(tǒng)審計的產(chǎn)生。當計算機技術(shù)應(yīng)用于電子數(shù)據(jù)處理，特別是應(yīng)用于財務(wù)數(shù)據(jù)的電子數(shù)據(jù)處理，針對電子數(shù)據(jù)處理系統(tǒng)信的審計便出現(xiàn)，稱為 EDP 審計。 ? 1994后來也發(fā)展為 信息系統(tǒng)審計與控制協(xié)會 ISACA (international system audit and control association) 是目前世界上唯一的信息系統(tǒng)審計領(lǐng)域國際性專業(yè)組織。計算機系統(tǒng)的審計和控制對他們各自機構(gòu)的運作都變得愈發(fā)關(guān)鍵，因此他們聚集起來討論制定信息集中化資源和本領(lǐng)域指導(dǎo)準則的必要性。 ? 1976年，這個協(xié)會成立一項教育基金來開展大規(guī)模的研究工作，以拓展信息產(chǎn)業(yè)管理與控制領(lǐng)域的知識與價值。 ISACA的分會遍布世界 60 多個國家，可提供成員教育、資源共享、支持、專業(yè)網(wǎng)絡(luò)，以及其他由當?shù)胤謺峁┑闹T多利益。 ? 它最新推出的國際信息安全經(jīng)理（ CISM）認證特別針對信息安全管理的審計事務(wù)。 ? 美國 IT產(chǎn)業(yè)的興起 , 促進了 IT審計的發(fā)展。 ? IT審計行業(yè)建立了較 完善的自我管理機制 ,行業(yè)發(fā)展進入了良性循環(huán)。 信息系統(tǒng)審計的發(fā)展 其他國家： ? 日本的系統(tǒng)審計是從 80年代開始， 1983年通產(chǎn)省公開發(fā)表了 《 系統(tǒng)審計標準 》 ，并在全國軟件水平考試中增加了 系統(tǒng)審計師 一級的考試，著手培養(yǎng)從事系統(tǒng)審計的骨干隊伍。 信息系統(tǒng)審計的發(fā)展 中國： 1988年我國開始探索在審計中應(yīng)用計算機技術(shù) 1998年審技術(shù)提出了審計信息化建設(shè)意 近年來我國先后出臺了部分與 IT審計相關(guān)的法律法規(guī) 《 過五關(guān)辦公廳關(guān)于利用計算機信息系統(tǒng)開展審計工作有關(guān)問題的通知 》 《 審計機關(guān)計算機輔助審計辦法 》 《 信息技術(shù)、會計核算軟件數(shù)據(jù)接口 》 1999年頒布了 《 獨立審計準則第 20號 ——— 計算機信息系統(tǒng)環(huán)境下的審計 》 準則規(guī)范了電子數(shù)據(jù)處理審計的內(nèi)容，但對有關(guān)網(wǎng)絡(luò)信息系統(tǒng)的審計則沒有涉及 2022年頒布了 《 信息系統(tǒng)審計準則（征求意見稿） 》 信息系統(tǒng)審計的發(fā)展 我國信息系統(tǒng)審計的發(fā)展面臨的問題： ? 缺少通用的行業(yè)標準。 ? 組織中還沒有形成制度 ? 重要性沒有得到廣泛的認同 ? 沒有成熟的經(jīng)驗可以借鑒 ? 缺少勝任的專業(yè)人才 信息系統(tǒng)審計的發(fā)展 發(fā)展前景 ? 企業(yè)管理層對信息系統(tǒng)審計愈加重視 。 ? 信息系統(tǒng)審計理論和實務(wù)更加成熟 。 ? 信息系統(tǒng)審計師成為稀缺人才 信息系統(tǒng)審計的發(fā)展 國內(nèi)外信息系統(tǒng)認證介紹 ? 信息安全國際國內(nèi)標準重要里程碑 信息系統(tǒng)審計準則 國內(nèi)外信息系統(tǒng)認證介紹 ? 主要的信息安全標準－國際標準 國內(nèi)外信息系統(tǒng)認證介紹 ? 主要的信息安全標準－國際標準 ? 主要的信息安全標準－國際標準（續(xù)） 國內(nèi)外信息系統(tǒng)認證介紹 ? 主要的信息安全標準－國內(nèi)標準 國內(nèi)外信息系統(tǒng)認證介紹 ? 國際標準化組織簡介 國際標準化組織 (International Organization for Standardization)是由多國聯(lián)合組成的非政府性國際標準化機構(gòu)。國際標準化組織 1946年成立于瑞士日內(nèi)瓦，負責制定在世界范圍內(nèi)通用的國際標準 ISO技術(shù)工作是高度分散的，分別由 2700多個技術(shù)委員會 (TC)、分技術(shù)委員會 (SC)和工作組 (WG)承擔 ISO技術(shù)工作的成果是正式出版的國際標準，即 ISO標準 ISO在信息安全方面的標準主要包括： ? ISO17799/ISO27001/ISO27002 ? ISO/IEC 15408 ? ISO/IEC 13335 ? ISO/TR 13569 國內(nèi)外信息系統(tǒng)認證介紹 ? ISO/IEC 17799/27001/27002 ISO/IEC17799是由國際標準化組織（ ISO）與 IEC（國際電工委員會）共同成立的聯(lián)合技術(shù)委員會 ISO/IEC JTC 1，以英國標準 BS7799為藍本而制定的一套全面和復(fù)雜的信息安全管理標準前 BS7799在 2022年成為 ISO/IEC17799:2022（第一版），后在 2022年 10月更新 ? 2022年 7月 ISO17799:2022改名為 ISO27002:2022 ? ISO/IEC 27001:2022 信息安全管理體系規(guī)范，相當于 BS77992的改進版；內(nèi)容涉及 12個領(lǐng)域，有多個控制措施供企業(yè)選擇 ? ISO/IEC 27002:2022 信息安全管理體系的實施指南，相當于 BS77991的改進版；內(nèi)容涉及 10個領(lǐng)域， 36個管理目標和 127個