【正文】 控制措施 ? 2022年 ISO又頒布了 ISO/IEC 27006 ? 截至于 2022年 4月，全球的各個認證機構(gòu)大約頒發(fā)了 4千多 ISO27001 或BS7799 的認證書 國內(nèi)外信息系統(tǒng)認證介紹 ? ISO/IEC15408 ? 90年代開始，由于 Inter的日益普及，信息安全領域呼吁修改桔皮書，以解決商用信息系統(tǒng)安全問題 ? 1991年歐盟 (European Commission) 頒布了 ITSEC（信息技術(shù)安全評估準則） ? 在此基礎上，美國、加拿大、英國、法國等 7國組織聯(lián)合研制了 “ 信息技術(shù)評估安全公共準則 ” （ CC： Common Criteria） ? 1999年 6月 ISO通過了 ISO/IEC 15408 安全評估準則 ? 目前的最新版本于 2022年發(fā)布 國內(nèi)外信息系統(tǒng)認證介紹 ? ISO/IEC 13335 ? ISO/IEC 13335 Information Technology—Guidelines for the Management IT Security 是一套關于信息安全管理的技術(shù)文件，共由五個部分組成，這五個組成部分分別在 1996至 2022年間發(fā)布 ? 第一部分：安全概念和模型（ Part 1— Concepts and Models for ITSecurity ），發(fā)布于1996年 12月 15日 ? 第二部分：安全管理和規(guī)劃（ Part 2— Managing and Planning ITSecurity），發(fā)布于 1997年 12月 15日 ? 第三部分：安全管理技術(shù)（ Part 3— Techniques for the Management of IT Security），發(fā)布于 1998年 6月 15日 ? 第四部分：保護的選擇（ Part 4— Selection of Safeguards），發(fā)布于 2022年 3月 1日 ? 第五部分：外部聯(lián)接的防護（ Part 5— Management Guidance onNetwork Security），發(fā)布于 2022年 1月 2日 ? 其中第一部分分別于 1997年和 2022年發(fā)布了更新版本 ? CoBIT ? COBIT簡介 COBIT（ Control Objectives for Information and related Technology）是由信息系統(tǒng)審計與控制學會 ISACA在 1996年所公布的控制框架；目前已經(jīng)更新至第 。 ? COBIT框架共有 34個 IT的流程，分成四個領域： ? PO（計劃與組織） ? AI（獲取與實施） ? DS（交付與支持） ? ME（監(jiān)控與評估） ? 是一個在國際上公認的、先進權(quán)威的安全與信息技術(shù)管理和控制的框架。 ? 1996年 ： COBIT指導委員會公布 COBIT第一版。 ? 2022年 ： COBIT指導委員會公布 COBIT第三版。 ? 2022年：發(fā)布 COBIT ，為目前最新版本 國內(nèi)外信息系統(tǒng)認證介紹 ?COBIT ? COBIT的作用 ? 作為基于風險的 IT內(nèi)控標準被企業(yè)參考和借鑒 ? 提供一個 IT控制框架，確保企業(yè) IT支持業(yè)務目標， IT治理融合了許多良好實踐并將其制度化。 ? 為做好 IT控制和 IT審計提供很好的參照物。 COBIT通過提供框架來支持 IT治理，進而確保： ? IT與業(yè)務保持一致； ? IT保障業(yè)務并實現(xiàn)收益最大化； ? IT資源的充分管理； ? 適當管理 IT風險。 ? ITIL最核心的內(nèi)容包括服務交付和服務支持 ? 服務交付是針對 IT部門對客戶提供信息服務時應有的工作流程。 ? 服務支持是針對一般系統(tǒng)的運作部分，目的是讓使用者可以順利存取到 IT服務。 國內(nèi)外信息系統(tǒng)認證介紹 ? ISO20220 （ ITIL和 BS15000） ? 2022 年，英國標準協(xié)會在國際 IT 服務管理論壇（ ITSMF）上正式發(fā)布了以 ITIL為核心的英國國家標準 BS15000。 ? BS15000 有兩個部分，目前都已經(jīng)轉(zhuǎn)化成國際標準了。 ? 與 ISO/IEC 27000系列相比， ISO20220關注面更為廣泛（信息技術(shù)），而且更側(cè)重于具體的實施流程。 國內(nèi)外信息系統(tǒng)認證介紹 ? 通用標準（ CC） ? 通用標準或通用準則（ Common Criteria，簡稱 CC）是指 ISO/IEC15408:1999標準。 ? 簡介和一般模型。 ? 安全保證要求。因此，組織在依照 ISO/IEC 27000系列來實施 ISMS 時，一些牽涉系統(tǒng)和產(chǎn)品安全的技術(shù)要求，可以借鑒 CC 標準。 ? SP 80012：計算機安全介紹 ? SP 80030： IT 系統(tǒng)風險管理指南 ? SP 80034： IT 系統(tǒng)應急計劃指南 ? SP 80026： IT 系統(tǒng)安全自我評估指南 ? 這些文件可以作為實施 ISMS 過程中一些關鍵任務的指導和參照（例如風險評估、應急計劃等），是對 ISO/IEC 27000系列很好的 補充和細化 。它側(cè)重于對軟件開發(fā)過程和開發(fā)方法論的考察。這五級包括：初級、可重復的、被定義的、被管理的以及優(yōu)化的。目前最新版本是 SSECMM 國內(nèi)外信息系統(tǒng)認證介紹 ? SSECMM系列 ? 系統(tǒng)安全工程過程一共有 3個相關組織過程、 5個能力級別， 11個過程區(qū)域。 ? 5個能力級別：基本執(zhí)行級、計劃跟蹤級、充分定義級、量化控制級、持續(xù)改進級 國內(nèi)外信息系統(tǒng)認證介紹 ? SSECMM系列 ? 2022年被國際標準化組織采納成為國際標準即 ISO/IEC 21827:2022《 信息技術(shù)系統(tǒng)安全工程－成熟度模型 》 。而 SSECMM 則是一個評估標準， 適合作為評估工程實施組織能力與資質(zhì)的標準 。 認證 ? CompTIA A+ 認證是針對核心硬件和操作系統(tǒng)技術(shù)方面的一項認證。 CompTIA A+ 認證將對技術(shù)人員從事如下工作的能力進行檢驗：安裝、配置、診斷、定期維護和基礎組網(wǎng)的能力。 國內(nèi)外信息系統(tǒng)認證介紹 ? 信息系統(tǒng)技術(shù)認證 – 操作系統(tǒng) ? Windows ? 微軟認證系統(tǒng)工程師 (MCSE) ? Linux ? Red Hat認證工程師（ Red Hat Certified Engineer ，簡稱 RHCE） ? CompTIA Linux+ 認證 ? Unix ? HPUX系統(tǒng)管理員認證 HPUX System Administration Certification 國內(nèi)外信息系統(tǒng)認證介紹 ? 信息系統(tǒng)技術(shù)認證 – 數(shù)據(jù)庫 ? Oracle ? Oracle 認證專員 Oracle Certified Associate (OCA) ? Oracle 認證專家 Oracle Certified Professional (OCP) ? Oracle 認證資深專家 Oracle Certified Master (OCM) ? Sybase ? CPDAssociate (Sybase Certified PowerBuilder DeveloperAssociate) ? CASAAssociate (Sybase Certified Adaptive Server AdministratorAssociate) 國內(nèi)外信息系統(tǒng)認證介紹 ? 信息系統(tǒng)技術(shù)認證 – 應用系統(tǒng) ? SAP ? SAP顧問學院認證 (Solution Academy) ? SAP AllinOne顧問認證 ? SAP Business One 認證考試 國內(nèi)外信息系統(tǒng)認證介紹 ? 信息系統(tǒng)技術(shù)認證 – 網(wǎng)絡 ? Cisco ? Cisco認證網(wǎng)絡支持工程師 CCNA Cisco Certified Network Associate ? Cisco認證資深網(wǎng)絡支持工程師 CCNP Cisco Certified Network Professional ? Cisco認證互聯(lián)網(wǎng)專家 CCIE Cisco Certified Interwork Expert ? CompTIA Network+174。 ? 企業(yè)的重要信息都由信息系統(tǒng)管理，信息系統(tǒng)的安全水平和保密措施至關重要。 信息系統(tǒng)對企業(yè)的重要性 開展信息系統(tǒng)審計的必要性 ? 財務核算和管理全面實現(xiàn)信息系統(tǒng)管理，手工查帳的方式已經(jīng)不適用。 ? 業(yè)務高度依賴信息系統(tǒng)，缺少對系統(tǒng)的審計相當于回避了可能存在的問題，無法得出可信的審計結(jié)論。 “不搞信息系統(tǒng)審計，我們將失去審計資格 ” 提綱 ? 背景介紹 ? 信息系統(tǒng)審計相關概念 ? 信息系統(tǒng)審計的發(fā)展情況 ? 開展信息系統(tǒng)審計的必然性 ? 開展信息系統(tǒng)審計的條件 ? 開展信息系統(tǒng)審計的方法 ? ERP審計介紹 ? 信息系統(tǒng)審計的工作思路 開展信息系統(tǒng)審計的條件 明確目標 ? 信息系統(tǒng)審計的目標： ? 協(xié)助組織信息技術(shù)管理人員有效地履行其受托責任以達成組織的信息技術(shù)管理目標。 開展信息系統(tǒng)審計的條件 分清責任 ? 組織中信息技術(shù)管理人員的責任 信息系統(tǒng)的開發(fā)、運行和維護，以及信息技術(shù)相關的內(nèi)部控制的設計和執(zhí)行； ? 信息系統(tǒng)審計人員的責任 實施信息系統(tǒng)審計工作并出具審計報告。 信息系統(tǒng)審計人員應當： ? 熟悉內(nèi)部審計業(yè)務 ? 具備必要的信息技術(shù)及信息系統(tǒng)審計的專業(yè)知識。 ? 組織應當建立信息系統(tǒng)審計人員培訓制度， ? 取得注冊信息系統(tǒng)審計師等執(zhí)業(yè)資格，以保證審計人員的專業(yè)勝任能力。 提綱 ? 背景介紹 ? 信息系統(tǒng)審計相關概念 ? 信息系統(tǒng)審計的發(fā)展情況 ? 開展信息系統(tǒng)審計的必然性 ? 開展信息系統(tǒng)審計的條件 ? 開展信息系統(tǒng)審計的方法 ? ERP審計介紹 ? 信息系統(tǒng)審計的工作思路 開展信息系統(tǒng)審計 開展方式： 信息系統(tǒng)審計是組織內(nèi)部審計工作的重要組成部分，可以： ? 作為獨立的審計項目組織實施 由相關業(yè)務背景的審計人員和外部專家組成獨立的審計組，對特定信息系統(tǒng)的整個生命周期或者某個階段進行審計。 開展信息系統(tǒng)審計 過程階段： 信息系統(tǒng)審計只是一種新的審計業(yè)務類型，開展過程與其他審計業(yè)務基本一致 信息系統(tǒng)審計劃分為以下階段： ? 風險評估 ? 審計計劃 ? 審計實施 ? 審計報告 ? 后續(xù)工作 開展信息系統(tǒng)審計 風險評估： 進行信息系統(tǒng)審計時，審計人員應當識別組織所面臨的與信息技術(shù)相關的內(nèi)、外部風險，并采用適當?shù)娘L險評估技術(shù)與方法，分析及評價其發(fā)生的可能性及影響程度，為確定審計目標、范圍和方法提供依據(jù)。 ? 信息技術(shù)風險包括 ? 組織層面 ? 一般性控制層面 ? 業(yè)務流程層面 風險評估 組織層面需要關注以下幾方面： ? 組織的信息技術(shù)戰(zhàn)略與組織整體發(fā)展戰(zhàn)略規(guī)劃的契合度 ? 信息技術(shù)對業(yè)務和用戶需求的支持度 ? 信息資產(chǎn)的重要性 ? 對信息技術(shù)的依賴程度 ? 對信息技術(shù)部門人員的依賴程度 ? 對外部信息技術(shù)服務的依賴程度 開展信息系統(tǒng)審計 風險評估 一般性控制層面需要關注以下幾方面： ? 信息系統(tǒng)的可靠性； ? 信息技術(shù)變更； ? 法律規(guī)范環(huán)境； ? 其他。 審計人員應了解業(yè)務流程并關注以下幾方面信息技術(shù)風險： ? 數(shù)據(jù)輸入 ? 數(shù)據(jù)處理 ? 數(shù)據(jù)輸出 開展信息系統(tǒng)審計 審計計劃階段 ? 審計計劃的依據(jù) ? 明確的審計目標 ? 初步風險評估的結(jié)果 ? 對所需的資源估算 ? 重點審計領 ? 審計活動的優(yōu)先次序， ? 審計組成員的職責 開展信息系統(tǒng)審計 審計計劃階段 針對信息系統(tǒng)審計的特殊性，審計人員還應充分考慮以下因素： ? 高度依賴信息技術(shù)、信息系統(tǒng)的關鍵業(yè)務流程及相關的組織戰(zhàn)略目標 ? 信息技術(shù)管理的組織架構(gòu) ? 信息系統(tǒng)框架和信息系統(tǒng)的長期發(fā)展規(guī)劃及近期發(fā)展計劃 ? 信息系統(tǒng)及其支持的業(yè)務流程的變更情況 ? 信息系統(tǒng)的復雜程度 ? 以前年度信息系統(tǒng)內(nèi)、外部審計等相關的審計發(fā)現(xiàn)及跟進情況 信息系統(tǒng)審計作為其他綜合性內(nèi)部審計項目的一部分時 ? 審計人員在審計計劃階段還應綜合考慮相關內(nèi)部審計的審計目標及要求。 開展信息系統(tǒng)審計 信息系統(tǒng)審計內(nèi)容 ? 組織層面信息技術(shù)控制 指管理層及治理層對信息技術(shù)治理職能及內(nèi)部控制的重要性的態(tài)度、認識和措施。 開展信息系統(tǒng)審計 信息系統(tǒng)審計內(nèi)容 ? 信息技術(shù)一般性控制 是指與網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)及其相關人員有關的信息技術(shù)政策和措施，以確保信息系統(tǒng)持續(xù)穩(wěn)定的運行，支持應用控制的有效性。 開展信息系統(tǒng)審計 信息系統(tǒng)審計內(nèi)容 ? 信息技術(shù)一般性控制 ——系統(tǒng)開發(fā)和采購管理 審計人員應關注