【正文】 源越??；* ITAF（信息技術(shù)保證框架）包括： 一般準(zhǔn)則：通用準(zhǔn)則，所有審計都須遵守； 執(zhí)行準(zhǔn)則：在實施審計中的要求 報告準(zhǔn)則（績效準(zhǔn)則） 指南 工具和技術(shù)* 目標(biāo)風(fēng)險控制審計* 風(fēng)險是特定的威脅，利用資產(chǎn)的脆弱性從而對組織造成的一種潛在的損害；它通過使用資產(chǎn)和價值損失的概念把風(fēng)險放在了組織的業(yè)務(wù)環(huán)境中。* 風(fēng)險的三個要素：威脅、脆弱性、資產(chǎn)（價值）；其中應(yīng)該首先評估資產(chǎn)；* 以年為單位評估風(fēng)險——基于成本效益原則（財務(wù)以年結(jié)算）* 風(fēng)險評估：識別風(fēng)險* 風(fēng)險管理：消滅、控制風(fēng)險* 風(fēng)險評估首先識別敏感或關(guān)鍵信息資產(chǎn)；* 風(fēng)險評估的最終目標(biāo)：將風(fēng)險降低至管理層可接受水平的相應(yīng)安全措施；* 高風(fēng)險==高發(fā)展、高收益* 風(fēng)險控制（風(fēng)險消減的措施）： 預(yù)防：避免或減少風(fēng)險事件發(fā)生的可能性； 檢查：發(fā)現(xiàn)不良事件的發(fā)生； 糾正：減小影響 向別的組織轉(zhuǎn)移風(fēng)險* 控制分為（書中）： 預(yù)防性：在問題發(fā)生前預(yù)防，監(jiān)控運營和輸入；職責(zé)分離、控制對物理設(shè)施的訪問、良好設(shè)計的文檔、建立交易授權(quán)的適當(dāng)流程、編輯檢查、訪問控制軟件、加密軟件 檢測性：使用控制措施來檢查和報告已發(fā)生的錯誤；哈希、檢查點、通訊回顯控制 糾正性：糾正問題引起的錯誤，把威脅影響降到最??；BCP、備份、DRP* 審計風(fēng)險：審計過程中未發(fā)現(xiàn)信息可能存在的重大錯誤的風(fēng)險；審計風(fēng)險包括（固有風(fēng)險、控制風(fēng)險、檢測風(fēng)險、整體審計風(fēng)險）* 固有風(fēng)險：審計過程中遇到的，在假定不存在相關(guān)補償控制的情況下，當(dāng)與其他錯誤相結(jié)合時會導(dǎo)致重大錯誤的風(fēng)險；也可以定義為：在不存在相關(guān)控制的情況下，易于導(dǎo)致重大錯誤的風(fēng)險；是由于業(yè)務(wù)性質(zhì)所導(dǎo)致的，在審計中獨立存在（復(fù)雜計算比簡單計算更容易出錯）* 所有審計項目的基本目標(biāo)之一都是確定控制目標(biāo)及針對這些目標(biāo)的相關(guān)控制。* 控制風(fēng)險：內(nèi)部控制體系不能及時預(yù)防或檢測出存在的重大錯誤的風(fēng)險（手工檢查計算機日志的相關(guān)檢查風(fēng)險很高）* 檢測風(fēng)險：信息系統(tǒng)審計師由于采用了不恰當(dāng)?shù)臏y試程序，對實際存在的重大錯誤得出錯誤結(jié)論的風(fēng)險。* 統(tǒng)計抽樣風(fēng)險——指由選定樣本得出錯誤的整體特征的風(fēng)險* 風(fēng)險分析——量化風(fēng)險的系統(tǒng)方法* 風(fēng)險評價——對比風(fēng)險值與風(fēng)險標(biāo)準(zhǔn)確定風(fēng)險重要性的過程* 風(fēng)險評估中所識別出的每一個風(fēng)險都必須處置，處置方式包括：降低、避免、接受、轉(zhuǎn)移* 風(fēng)險分析的目標(biāo)是理解和識別由實體及其環(huán)境引起的風(fēng)險和相關(guān)的內(nèi)部控制* 審計是典型的檢測性控制；* 審計可定義為：由具備資質(zhì)、勝任、獨立的組織或人員，針對流程的預(yù)定結(jié)果，客觀地搜集并評價證據(jù)，以確定與既定標(biāo)準(zhǔn)的符合程度，形成意見并報告的系統(tǒng)過程?？芍噩F(xiàn)當(dāng)時場景* 信息系統(tǒng)控制程序包括：戰(zhàn)略和方針、全面的組織管理、IT資源的訪問（包括數(shù)據(jù)和程序）、系統(tǒng)開發(fā)和變更控制、運行規(guī)程、系統(tǒng)編程及技術(shù)支持智能、質(zhì)量保證（QA）流程、物理訪問控制、BCP、DRP、網(wǎng)絡(luò)和通訊、數(shù)據(jù)庫管理、對內(nèi)外部攻擊的檢查和保護機制* 風(fēng)險評估過程應(yīng)當(dāng)在組織中持續(xù)進行，以致力于及時發(fā)現(xiàn)和評估新出現(xiàn)的風(fēng)險；* 內(nèi)部控制：為減少風(fēng)險所實施的各種政策、步驟、實踐和組織結(jié)構(gòu)；確保業(yè)務(wù)目標(biāo)的有效達成。（業(yè)務(wù)部門需要IT部門提供滿足一定要求的信息）；* 管理：好的事情發(fā)生，產(chǎn)生價值、創(chuàng)造效益；* 控制：防止風(fēng)險* 業(yè)務(wù)需求七要素：種類項目解釋質(zhì)量效果符合業(yè)務(wù)部門的期望效率成本效益安全保密性信息泄露可用性物理設(shè)備的丟失、信息被破壞；需要時能用完整性防止篡改、修改受信/受托符合性合規(guī)性，法律法規(guī)可靠性數(shù)據(jù)準(zhǔn)確* IT資源：人員、信息、基礎(chǔ)架構(gòu)、應(yīng)用系統(tǒng)；* 通過流程化管理IT資源；* 通用控制：適用于組織的各個方面，包括：會計控制、運營控制、管理控制；* 應(yīng)用控制：針對特定的流程；* 信息系統(tǒng)控制：戰(zhàn)略指導(dǎo)、信息系統(tǒng)開發(fā)流程的控制、程序變更管理控制、計算機運行管理控制、程序與數(shù)據(jù)訪問控制、信息系統(tǒng)安全的控制、網(wǎng)絡(luò)和通訊、數(shù)據(jù)庫管理、IT計劃；* 審計是指：有勝任能力的獨立機構(gòu)或人員（審計主體）接受委托或授權(quán)（審計關(guān)系），對特定經(jīng)濟實體的可計量的信息（審計對象）證據(jù)進行客觀的收集和評價證據(jù)（審計工作），以確定這些信息與既定標(biāo)準(zhǔn)（審計依據(jù)）的符合程度，并向利益相關(guān)者報告（審計目標(biāo)）的一個系統(tǒng)的過程（審計過程）； 審計的性質(zhì)——獨立、客觀。確定審計目標(biāo)是信息系統(tǒng)審計計劃的關(guān)鍵步驟。* 符合性測試是為測試組織對控制程序的符合性而收集證據(jù)，驗證控制的執(zhí)行是否符合管理政策和規(guī)程（測試內(nèi)控是否起作用）；* 實質(zhì)性測試是為評價交易、數(shù)據(jù)或其他信息的完整性而收集證據(jù)，證實實際處理的完整性。* 審計風(fēng)險與實質(zhì)性（重要性）：實質(zhì)性水平越高，審計工作風(fēng)險就越低；實質(zhì)性水平越低，審計工作風(fēng)險就越高；* 符合性測試（控制測試）：屬性抽樣* 實質(zhì)性測試：判斷控制是否完整* 充分性—數(shù)量上足夠；適當(dāng)性—審計證據(jù)有效且相關(guān)；* 統(tǒng)計抽樣——采用統(tǒng)計推斷技術(shù)的一種抽樣方法，可以量化抽樣風(fēng)險* 非統(tǒng)計抽樣——隨機抽樣* 屬性抽樣一般用于符合性測試中估計屬性的有或無，結(jié)論是用比率表示發(fā)生率（屬性抽樣、?！叱闃印l(fā)現(xiàn)抽樣）；* 變量抽樣一般用于實質(zhì)性測試中估計總體的變化特征，結(jié)論是與正常值的偏差范圍 具體數(shù)值 （分層單位平均估計抽樣、不分層單位平均估計抽樣、差額估計）* 屬性抽樣： 固定樣本抽樣：100個里面抽10個 ?！叱闃樱?00個里面先抽5個，如果沒有問題就停止，如果有問題就再抽 發(fā)現(xiàn)抽樣：100個里面一直抽，直到抽到一個有問題為止* 變量抽樣：分層單位平均估計抽樣、不分層單位平均估計抽樣、差額估計抽樣；* 置信系數(shù)越高，樣本量越大；風(fēng)險水平=1置信系數(shù)；精度值越小樣本量越大* 控制需求：發(fā)現(xiàn)高風(fēng)險區(qū)域而又未控制的區(qū)域* 補償性控制與重疊性控制：需要重點關(guān)注的是補償性控制；* 補償控制是強控制補償弱控制，而重疊控制是指兩個強控制；* 信息系統(tǒng)審計師在報告控制缺陷之前應(yīng)當(dāng)先檢查補償性控制* 判斷控制是否有效率和效果；* 信息系統(tǒng)審計師在報告發(fā)布前，就重要發(fā)現(xiàn)及時和合適的人員進行交流，但前提是交流不應(yīng)該改變報告的內(nèi)容；* 審計底稿是指在審計過程中產(chǎn)生的所有的記錄和資料，應(yīng)保存7年；* 控制自我評估（CSA）三個基本特征： 關(guān)注業(yè)務(wù)的過程和控制的成效； 有管理部門和職員共同進行； 用結(jié)構(gòu)化的方法開展自我評估。* 持續(xù)審計的技術(shù)應(yīng)該在系統(tǒng)開發(fā)和實施的早期階段介入；* 持續(xù)審計的限制因素：成本問題* 持續(xù)審計是被審計事實的發(fā)生至證據(jù)收集和審計報告之間的時間間隔非常短* 持續(xù)審計應(yīng)獨立于持續(xù)控制或監(jiān)控活動，當(dāng)同時存在持續(xù)監(jiān)控和持續(xù)審計時，就形成了持續(xù)保證* IT系統(tǒng)通常是預(yù)防和檢查性控制的第一道防線，綜合審計的根本就在于合理評估它們的效果及效率* 確定審計發(fā)現(xiàn)重要性的關(guān)鍵是評估這些審計發(fā)現(xiàn)對各級管理層的重要性，評估中需要判斷未針對審計發(fā)現(xiàn)采取糾正措施可能導(dǎo)致的潛在影響。* 進行實際取證時，只能對位流映像進行操作，目標(biāo)驅(qū)動器應(yīng)該封存* 對司法取證審計師而言，最重要的考慮就是做好目標(biāo)驅(qū)動器的位流映像（鏡像），并檢查該映像的時間戳和其他信息屬性未被人為改變；* 位流映像做出來后應(yīng)該對目標(biāo)驅(qū)動器進行哈希，然后與位流映像的哈希進行對比，確保兩者的完全一致；* 除了位流映像以外還有內(nèi)存信息轉(zhuǎn)儲到文件中也是司法取證的一種；* 信息系統(tǒng)審計師通常從許多不同的角度來評估IT職能和系統(tǒng)： 安全——機密性、完整性、可用性 質(zhì)量——效果、效率 委托責(zé)任——符合性、可靠性 服務(wù)和能力第二章 IT治理與管理* IT治理是組織中的一種安排。* 信息系統(tǒng)的戰(zhàn)略規(guī)劃是獲取、配置和管理信息資源及實現(xiàn)組織遠景目標(biāo)的總體規(guī)劃，包括軟件、硬件、責(zé)任以及資源配置等，提供給組織相應(yīng)的解決方案。* 在IT治理中，信息系統(tǒng)審計師應(yīng)當(dāng)確認已明確以下內(nèi)容： 工作范圍，包括清晰定義所涵蓋的職能領(lǐng)域和事務(wù)； 采用的報告路線，使查出的IT治理問題能報告給組織的最高層 信息系統(tǒng)審計師對信息的訪問權(quán)限，包括對組織內(nèi)部和第三方服務(wù)提供商* IT戰(zhàn)略委員會是方向性的：由一個董事會成員加外部專家組成，戰(zhàn)略層面* IT指導(dǎo)委員會是技術(shù)執(zhí)行層面的* IT平衡記分卡是協(xié)助IT戰(zhàn)略委員會和管理層實現(xiàn)IT與業(yè)務(wù)保持一致的最有效的方法之一，其目標(biāo)是建立管理層向董事會的報告途徑，就IT戰(zhàn)略目標(biāo)在關(guān)鍵利益相關(guān)方之間達成一致，證實IT的效果與價值，溝通IT績效、風(fēng)險和能力。* 有效的信息安全能為組織帶來巨大價值： 在與貿(mào)易伙伴的交往中提供可靠的信賴； 提高客戶的信任度； 保護組織信譽 促進采用更新更好的方式處理電子交易* 業(yè)務(wù)戰(zhàn)略方針通過業(yè)務(wù)目的和目標(biāo)來明確，信息安全必須能支持業(yè)務(wù)活動向企業(yè)交付價值；* 信息安全治理框架為制定一套有成本效益的、支持組織業(yè)務(wù)目標(biāo)的信息安全程序提供了基礎(chǔ)。* IT治理是企業(yè)的一種制度安排，它通過為IT提供必要的領(lǐng)導(dǎo)力、組織結(jié)構(gòu)和相關(guān)過程，來保證企業(yè)的IT能支持企業(yè)戰(zhàn)略和實現(xiàn)企業(yè)目標(biāo)，同時控制風(fēng)險、降低成本、提高績效。* IT戰(zhàn)略委員會負責(zé)宏觀的指導(dǎo)性要求* IT指導(dǎo)委員會負責(zé)具體事務(wù)，預(yù)算、架構(gòu)以及項目進展，不討論具體細節(jié)問題；* 信息系統(tǒng)審計師需要對IT治理的各個方面進行評估： 信息系統(tǒng)審計的職能與組織的使命、愿景、價值、目標(biāo)和戰(zhàn)略一致； 信息系統(tǒng)的職能績效目標(biāo)應(yīng)當(dāng)由業(yè)務(wù)來決定（效率與效果）； 法律問題、環(huán)境問題、信息質(zhì)量、信用和安全需求； 組織的控制環(huán)境； 信息系統(tǒng)環(huán)境的內(nèi)在風(fēng)險； IT投資/費用* IT平衡記分卡的四個視角（只是管理報告工具）： 財務(wù)視角：為了使股東滿意 客戶視角：為了實現(xiàn)財務(wù)目標(biāo)，需要服務(wù)客戶 過程視角：提高客戶和利益相關(guān)者的滿意度 學(xué)習(xí)視角：為了達成目標(biāo)，組織應(yīng)當(dāng)如何學(xué)習(xí)與創(chuàng)新* 信息安全治理具有特定的價值驅(qū)動：信息安全的機密性（C）、完整性（I）和可用性（A），持續(xù)服務(wù)和信息資產(chǎn)保護等，使信息安全治理成為一個重點關(guān)注領(lǐng)域；是董事會和高管的職責(zé)。* 信息安全治理的安全職責(zé)： 董事會——提出要求，聽取匯報 執(zhí)行管理層——制定具體的流程定義 指導(dǎo)委員會——具體事務(wù)的定義 信息安全管理層——具體流程的執(zhí)行 審計員——對各個流程執(zhí)行的評價* 審計員永遠不提具體的改進活動，改進審計出來的缺陷，是被審計單位的管理層的職責(zé)；* 企業(yè)架構(gòu)（EA）通過一種結(jié)構(gòu)化的方式來反映組織IT資產(chǎn)，并有效管理對IT投資；* 企業(yè)架構(gòu)通常應(yīng)描述記錄當(dāng)前資產(chǎn)狀態(tài)和最佳未來資產(chǎn)狀態(tài)。AUPs的執(zhí)行是隨網(wǎng)絡(luò)變化的。這個AUP是一個正式的或非正式的文件，其定義了網(wǎng)絡(luò)的應(yīng)用意圖、不接受的使用和不服從的結(jié)果。一個好的AUP 將包括網(wǎng)絡(luò)禮節(jié)的規(guī)定，限制網(wǎng)絡(luò)資源的使用和明確指出網(wǎng)絡(luò)應(yīng)該尊敬的成員的隱私，最好的AUPs使what if關(guān)一體化，其舉例說明這個策略在現(xiàn)實世界協(xié)商中的作用。* IT平衡記分卡評估IT功能和流程* 政策：永遠都是高層政策決定低層政策。* 政策最高管理層一定要簽字確認，定期修訂，重大變化時隨時修訂?？刂凭褪亲钄嗤{* 壞事已經(jīng)發(fā)生了叫事件，可能發(fā)生叫風(fēng)險；* 凡是高于風(fēng)險可接受水平的，就要進入風(fēng)險處置（降低、轉(zhuǎn)移、回避、接受）；* 任何對企業(yè)有價值的資源都叫資產(chǎn)，所有資產(chǎn)有有脆弱性。 定量分析法：使用數(shù)值描述風(fēng)險發(fā)生的可能性及其影響* 應(yīng)在公司的所有IT職能領(lǐng)域內(nèi)實施風(fēng)險管理，風(fēng)險管理是高層管理人員的職責(zé)，盡量使用量化風(fēng)險的管理辦法* 信息安全治理的成果： 戰(zhàn)略一致——使信息安全與業(yè)務(wù)戰(zhàn)略保持一致以支持組織目標(biāo) 風(fēng)險管理——管理和實施適當(dāng)?shù)拇胧┮越档惋L(fēng)險并減少對信息資源的潛在影響至可接受水平 價值交付——優(yōu)化安全投資以支持業(yè)務(wù)目標(biāo) 績效衡量——衡量、監(jiān)督和報告信息安全流程，以確保實現(xiàn)SMART目標(biāo)（具體的、可度量的、可實現(xiàn)的、切實的和有時限的） 資源管理——有效利用信息安全知識與基礎(chǔ)設(shè)施 流程整合——關(guān)注組織安全管理保證流程的整合* 信息安全治理需要戰(zhàn)略指導(dǎo)和推動力，需要委任、資源和為信息安全管理分配責(zé)任，也包括董事會確定其目標(biāo)是否已實現(xiàn)的方式。* 建立IT用戶計費機制可以提高應(yīng)用水平，監(jiān)督信息系統(tǒng)費用和可用資源* 軟件開發(fā)，公司對內(nèi)部使用軟件的成本資本化（作為固定資產(chǎn)成本攤銷）* 績效優(yōu)化：是在無須對信息技術(shù)基礎(chǔ)設(shè)施追加額外投資的情況下，將信息系統(tǒng)的生產(chǎn)力盡可能提高到最高水平* 管理指南的重要內(nèi)容： 關(guān)鍵成功要素（CSF）、 關(guān)鍵目標(biāo)指標(biāo)（KGI）、 關(guān)鍵績效指標(biāo)（KPI）、 成熟度模型* 信息系統(tǒng)部門組織結(jié)構(gòu)職務(wù)： 最終用戶服務(wù)臺：與業(yè)務(wù)部門溝通的界面 運行部門計算機操作員：在主機環(huán)境的控制臺上執(zhí)行任務(wù) 技術(shù)支持部門的系統(tǒng)程序員：在主機環(huán)境中對操作系統(tǒng)進行修改IT部門DBA業(yè)務(wù)部門最終用戶OS管理員網(wǎng)絡(luò)管理員生產(chǎn)現(xiàn)場操作人員QA開發(fā)部門應(yīng)用程序員分析員系統(tǒng)程序員* 職責(zé)分離（要理解） 安全管理員不可以是系統(tǒng)管理員 選項中業(yè)務(wù)案例最重要