信息系统审计标准-1001审计章程

CISA考试复习关键点第一章信息系统审计程序★必须的知识点1、ISACA发布的信息系统审计标准、准则、程序和职业道德规范2、IS审计实务和技术3、收集信息和保存证据的技术(如观察、调查问卷、谈话、计算机辅助审计技术、电子介质)4、证据的生命周期(如证据的收集、保护和证据之间的相关性)5、与信息系统相关的控制目标和控制(如C}}I}'模型)6、审计过程中的风险评估7、审计计划和管理技术8、报告和沟通技术(如推进、商谈、解决冲突)9、控制自我评估(CSA)10、持续审计技术(即:连续审计技术)★可能的考试重点ISACA审计标准的变化：违规和非法行为、IT治理、在审计计划中运用风险评估ISACA审计指南索引与审计程序索引（不重要）COBIT（了解和补充）审计程序（必考内容）舞弊检查（审计师的职业谨慎、内部控制和舞弊）面谈并观察员工履行职责情况（审计师识别职能、实际过程、安全意识和报告关系，原第二章内容）补偿控制与审计发现的重要性水平（重要）审计报告（一般不会问到格式，考虑沟通技巧和报告关系）控制自我评估：CSA混合方式、CSA优缺点、审计师在CSA中的作用信息系统审计程序的新变化：电子底稿、综合审计、连续审计与在线审计★知识点摘要审计章程信息系统审计(简称:ls审计，下同)职能的角色应该建立在审计章程的基础上。

一般，Is审计是内部审计的一部分;因此，审计章程还包括其他的审计职能。

审计章程应当清楚地说明管理层对于巧审计职能的的责任、目标和委托授权。

审计章程还应全局性地说明审计职能的授权、业务范围和责任。

最高管理层和审计委员会，应当批准这部章程。

一旦创立，就只有在非常必要、并经过充分的论证后才允许变更审计章程。

IsACA信息系统审计标准要求审计章程或业务委托书上适当地描述信息系统审计职能的责任、授权和义务。

对审计师技能的要求lS审计师是有限的资源，Is技术又日新月异地飞忆速发展。

于是，Is审计师通过不断更新技能通过培训直接获得新的审计技术等方式，保持其执业资格是非常重要的。

有限公司
信息安全适用性声明
变更记录
目录
1 目的与范围 (4)
2 相关文件 (4)
3 职责 (4)
4 声明 (4)
A.5安全方针 (5)
A.6安全组织 (5)
A.7资产管理 (8)
A.8人力资源安全 (10)
A.9实物与环境安全 (12)
A.10通信和操作管理 (15)
A.11访问控制 (22)
A.12信息系统获取、开发和维护 (27)
A.13信息安全事件管理 (31)
A.14业务持续性管理 (33)
A.15符合性 (34)
信息安全适用性声明
1 目的与范围
本声明描述了在ISO27001:2005附录A中，适用于本公司信息安全管理体系的目标/控制、是否选择这些目标/控制的理由、公司现行的控制方式、以及实施这些控制所涉及的相关文件。

2 相关文件
ISMS-1001《信息安全管理手册》
3 职责
《信息安全适用性声明》由行政部编制、修订，由管理者代表批准。

4 声明
本公司按ISO27001:2005建立信息安全管理体系。

根据公司风险评估的结果和风险可接受水平，ISO27001:2005附录A的下列条款被选择（或不选择)用于本公司信息安全管理体系。

A.5安全方针
A.6安全组织
A.7资产管理
A.8人力资源安全
A.9物理与环境安全
A.10通信和操作管理
A.11访问控制
A.12信息系统获取、开发和维护
A.13信息安全事件管理
A.14业务持续性管理
A.15符合性。

it审计标准IT审计是独立于信息系统本身、信息系统相关开发、使用人员的第三方IT 审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。

一、公司层面控制所需资料、文件：1、IT 部门架构图、IT人员职责说明2、IT 预算、策略和年度规划3、IT内部、IT 与业务部门、IT与管理层之会议记录4、与第三方供货商之服务协议（若 IT服务外判）5、IT 风险评估制度和报告6、财务系统与其它系统间之数据流程图7、IT内部审计报告和审计发现之跟进要求：1、完整清晰的部门架构以及职员职责说明；2、有完善的费用预算机制，有经过授权并正式签发的费用预算文件；有与公司战略相匹配的T策略及每年的年度规划；3、内部、与业务部门、与管理层之间的会议记录；4、签订相关服务合同；5、完善的风险评估机制，或引进专业风险评估机构；6、提供数据流程图；7、应建立内审机制并定期内审，以辅助外审，建议引进专业机构定期内审。

二、信息安全（一）信息安全制度、用户信息安全意识所需资料、文件：1、信息技术安全规章制度2、令员工充份了解信息技术安全规章制度的措施3、信息安全培训记录要求：1、制定完善的安全规章制度，并采取广泛的宣传措施将该制度灌输至每位公司员工；规2、章制度写入员工手册并印发，新员工入职便能了解公司要求，并做定期培训，做好培训记录。

（二）物理安全所需资料、文件：1、机房物理安全规章2、保安设施(如门禁系统、访客记录)要求：1、物理要求:门禁系统、烟雾报警器(置于地板夹层或顶棚夹层)、监控、DPS、空调(接UPS)、干粉灭火器、防火防水装修材料；2、机房管理:专人管理钥匙、有访客记录、机柜门应上锁；3、服务器管理:密码变更设置(文档/流程/频率)、密码策略(windows/sql用户密码强制策略、windows帐号锁定策略、密码长度8位以上、历史密码6次)、windows界面自动锁定、应急管理/流程(备用钥匙、密码文件密封置于机房上锁的柜子中或密封的信封里面)；4、机房显眼处应有机房管理制度。

信息系统审计管理办法第一章总则第一条为加强和规范公司信息系统审计工作，明确审计职责及工作范围，根据《内部审计具体准则第2203号-信息系统审计》等有关规定和要求，制定本办法。

第二条信息系统审计是指由公司审计部或外部审计机构对公司的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。

第三条信息系统审计的目的是通过实施信息系统审计，对公司是否实现信息技术管理目标进行审查和评价，提出管理建议，协助信息技术管理人员有效地履行职责。

公司的信息技术管理目标主要包括：（一）保证公司的信息技术战略充分反映公司整体战略目标；（二）提高公司信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性；（三）提高信息系统运行的效率与效果，合理保证信息系统的运行符合法律法规及监管机构的要求。

第四条信息系统审计可以作为独立的审计项目组织实施，也可以作为综合性内部审计项目的组成部分实施。

第五条本规定适用于公司对内开展的有关信息系统审计的各项活动。

第二章审计机构、人员及职责第六条信息系统审计工作可由审计部组织实施，也可聘请具备相关资质的外部审计机构开展。

第七条公司在审计部设立信息审计岗位，负责信息科技审计制度制订和信息系统审计工作。

第八条根据工作需要，经公司管理层批准，可以聘请外部审计机构开展信息系统审计，所聘请的外部审计机构应具备足够的独立性、客观性和专业胜任能力，并遵守公司审计作业管理规定。

公司按照采购规定进行外部审计机构选聘工作，审计部负责协调外部审计人员实施信息系统审计工作。

第九条从事信息系统审计的审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验，以及应有的职业审慎。

第十条信息系统审计人员责任包括计划、实施信息系统审计工作并按要求出具审计报告。

第十一条信息技术部门应积极配合信息系统审计人员开展相关审计工作，其他相关部门应按要求协助开展信息系统审计工作。

第十二条公司应定期或不定期组织内部审计人员开展有关信息系统及技术的专业知识培训，培训方式可采用自主或委外方式开展。

第2203号内部审计具体准则——信息系统审计2013-08-28 08:34:46第一章总则第一条为了规范信息系统审计工作，提高审计质量和效率，根据《内部审计基本准则》，制定本准则。

第二条本准则所称信息系统审计，是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。

第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。

其他组织或者人员接受委托、聘用，承办或者参与内部审计业务，也应当遵守本准则。

第二章一般原则第四条信息系统审计的目的是通过实施信息系统审计工作，对组织是否实现信息技术管理目标进行审查和评价，并基于评价意见提出管理建议，协助组织信息技术管理人员有效地履行职责。

组织的信息技术管理目标主要包括：（一）保证组织的信息技术战略充分反映组织的战略目标；（二）提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性；（三）提高信息系统运行的效果与效率，合理保证信息系统的运行符合法律法规以及相关监管要求。

第五条组织中信息技术管理人员的责任是进行信息系统的开发、运行和维护，以及与信息技术相关的内部控制的设计、执行和监控；信息系统审计人员的责任是实施信息系统审计工作并出具审计报告。

第六条从事信息系统审计的内部审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验。

必要时，实施信息系统审计可以利用外部专家服务。

第七条信息系统审计可以作为独立的审计项目组织实施，也可以作为综合性内部审计项目的组成部分实施。

当信息系统审计作为综合性内部审计项目的一部分时，信息系统审计人员应当及时与其他相关内部审计人员沟通信息系统审计中的发现，并考虑依据审计结果调整其他相关审计的范围、时间及性质。

第八条内部审计人员应当采用以风险为基础的审计方法进行信息系统审计，风险评估应当贯穿于信息系统审计的全过程。

第三章信息系统审计计划第九条内部审计人员在实施信息系统审计前，需要确定审计目标并初步评估审计风险，估算完成信息系统审计或者专项审计所需的资源，确定重点审计领域及审计活动的优先次序，明确审计组成员的职责，编制信息系统审计方案。

国际内部审计师《内部审计基础》强化练习（2022年10月）单项选择题1、IIA的“内部审计新定义”的优点主要有： I .在系统、规范的方法基础上开展内部审计。

II.认识到增加价值、改善组织运营的重要性Ⅲ.适应组织需要，将内部审计的范围定义为风险管理和治理过程，视同风险控制过程的核心专家。

IV.强调内部审计的独特作用在于其独立性和客观性。

A.I和II正确。

B.II正确。

C.IV正确。

D.I、II、Ⅲ和IV都正确。

正确答案：D答案解析IIA将内部审计定义为“一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。

它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标”“内部审计新定义”的优点主要有：在系统、规范的方法基础上开展内部审计；适应组织需要，将内部审计的范围定义为风睑管理和治理过程，视同风险控制过程的核心专家；认识、到内部审计提供的确认和咨询服务；强调内部审计的独特作用在于其独立性和客观性；认银到增加价值、改善组织运营的重要性，内部审计提供的确认服务与外部机构提供的服务有所不同。

考察知识点内部审计的定义2、根据《标准》，以下哪项内容不需要在内部审计章程中规定？A.首席审计执行官的任期不得超过3年。

B.规定内部审计活动的范围。

C.内部审计活动在组织中的地位。

D.授权审计人员接触与开展审计工作相关的记录、人员和实物财产。

正确答案：A答案解析根据《标准》“1010—在内部审计章程中确认强制性指南”的规定，《内部审计实务的核心原则》、《职业道德规范》、《标准》和“内部审计定义”的强制性质必须在内部审计章程中得到确认。

而《标准》“1000—宗旨、权力和职责”要求内部审计章程应该：确定内部审计活动在组织中的地位；授权审计人员接触与开展审计工作相关的记录、人员和实物财产；规定内部审计活动的范围。

考察知识点内部审计章程必备的内容3、在内部审计活动开展某些活动时，以下哪些情形，聘用外部服务提供者可能不会存在利益冲突？A.外部服务提供者持有本企6.8%以上的股份。

信息系统安全审计管理制度
一、审计管理制度实施原则
1.遵守宪法和法律
确保审计管理制度的实施符合宪法和法律的规定，不以任何方式违反宪法和法律，坚持法治原则。

2.维护公司利益
确保审计管理制度的实施符合公司的经营利益，严格把控审计风险，维护公司信息系统的安全。

3.公平公正公开
确保审计管理制度的实施公平、公正、公开，以安全保障公司信息系统的安全。

4.重视细节
确保审计管理制度的实施尽可能深入到每一个细节，确保审计工作的准确性、准确性和有效性。

二、审计内容
1.系统安全性审计
对公司信息系统进行安全性审计，确保信息系统的安全性、可靠性和可控性。

2.访问权限审计
审计各类访问权限，确保受限信息的可靠性和安全性。

3.病毒防护审计
审计公司信息系统的病毒防护条件，确保信息安全免受病毒侵害。

4.日志审计
审计日志记录情况，发现不正当行为的情况，并及时报告有关部门。

5.隐私数据审计
审计公司信息系统中的隐私数据，确保数据的安全性、可靠性和有效性。

三、审计管理架构
1.审计管理部门
审计管理部门是负责审计管理工作的部门。