信息系统审计
信息系统审计
信息系统审计哎呀,说起信息系统审计,这可真是个有趣又重要的事儿!就拿我之前经历的一件小事来说吧。
我们学校为了提高教学管理效率,引进了一套新的教学信息系统。
刚开始,大家都觉得这可太棒了,能省不少事儿。
但没过多久,问题就来了。
有老师反映成绩录入老是出错,学生选课也出现混乱。
这时候,信息系统审计的重要性就凸显出来了。
那什么是信息系统审计呢?简单来说,就是对信息系统的规划、开发、实施和运行等过程进行审查和评价。
它就像是给信息系统做一次全面的“体检”,看看有没有“生病”,哪里“不舒服”。
从小学到高中,随着信息技术在教育领域的广泛应用,信息系统审计变得越来越重要。
比如说,小学的成绩管理系统,得保证老师录入的成绩准确无误,还能方便家长查看。
要是这个系统出了问题,家长们可不得着急上火嘛!在初中,可能会有一些在线学习平台,学生在上面做练习、交作业。
这时候就得审计一下,这些平台的数据安全怎么样,能不能保护好学生的隐私。
要是不小心把学生的个人信息泄露了,那可就麻烦大啦!到了高中,学校的信息化程度更高,像选课系统、教学资源库等等。
信息系统审计要确保这些系统高效稳定运行,不耽误学生的学习和老师的教学工作。
信息系统审计可不是随便看看就行的,它有一套严格的流程和方法。
首先得了解这个信息系统的目标和功能,就像了解一个人的性格和特长一样。
然后要检查系统的内部控制,看看有没有漏洞,好比给房子检查门窗有没有关好,防止小偷进来。
比如说,审计人员会查看系统的用户权限设置。
是不是只有老师能修改成绩,学生只能查看自己的?如果权限设置混乱,那可就乱套了。
还有数据的准确性和完整性也很重要。
就像在学校的图书馆管理系统中,如果借还书的记录不准确,那可能会导致有的同学被冤枉没还书,多冤枉啊!而且,信息系统的安全性也是审计的重点。
现在网络攻击那么多,要是学校的信息系统被黑客入侵了,那后果不堪设想。
信息系统审计还得关注系统的运行效率。
比如,在考试报名系统中,如果报名页面加载速度慢,学生半天都报不上名,那得多着急啊!总的来说,信息系统审计就像是信息系统的“守护神”,时刻保障着系统的健康运行,为我们的学习和生活提供便利。
信息系统审计
信息系统审计在当今数字化的时代,信息系统已经成为企业和组织运营的核心支撑。
从日常的业务流程管理到关键的决策制定,信息系统的作用无处不在。
然而,随着信息系统的日益复杂和重要性的不断提升,其面临的风险也与日俱增。
这就使得信息系统审计成为了一项至关重要的工作。
那什么是信息系统审计呢?简单来说,信息系统审计就是对组织的信息系统进行审查和评估,以确定其是否能够有效保护资产、维持数据完整性、提供可靠的信息,并高效地实现组织目标。
信息系统审计涵盖了多个方面。
首先,要审查信息系统的内部控制。
这包括访问控制、数据备份和恢复策略、系统变更管理等。
例如,访问控制就像是给信息系统的各个房间设置不同的钥匙,只有拥有相应权限的人才能进入。
如果访问控制设置不当,就可能导致敏感信息被未经授权的人员获取。
其次,要评估信息系统的安全性。
这包括网络安全、应用程序安全、操作系统安全等。
如今,网络攻击日益猖獗,黑客们可能会试图入侵企业的信息系统,窃取重要数据或者破坏系统运行。
因此,信息系统的安全性审计至关重要。
再者,信息系统的性能审计也不能忽视。
比如,系统的响应时间是否满足业务需求,系统的处理能力是否能够应对业务的增长等。
如果一个电商平台在促销活动期间因为系统性能不佳而频繁崩溃,那将会给企业带来巨大的经济损失和声誉损害。
此外,信息系统审计还要关注数据的质量和完整性。
数据是信息系统的核心资产,如果数据不准确、不完整或者过时,那么基于这些数据做出的决策可能会出现偏差。
进行信息系统审计具有诸多重要意义。
它有助于发现潜在的风险和漏洞,提前采取措施进行防范和修复,从而降低组织面临的损失风险。
通过审计,可以确保信息系统的合规性,满足法律法规和行业标准的要求。
这对于一些受到严格监管的行业,如金融、医疗等,尤为重要。
同时,信息系统审计能够提高信息系统的效率和效益。
通过优化系统配置、改进业务流程,可以使信息系统更好地支持组织的业务发展,提升组织的竞争力。
信息系统审计报告
信息系统审计报告信息系统审计是指对企业或机构的信息系统进行全面评估和审核的过程。
这项工作的目的是为了确保信息系统的完整性、机密性和可靠性,以防止信息泄露、无权获取敏感信息等问题。
信息系统审计报告是对审计结果的详细描述和分析,为企业决策者提供了重要的参考信息。
下面将介绍三个不同案例的信息系统审计报告。
案例一:XX公司的信息系统审计报告该公司的信息系统达到了ISO 27001安全标准,但在审计中发现存在一些漏洞和不足。
例如,一些员工使用弱密码进行登录,没有进行多因素认证;系统中存在访问控制和数据分类方面的缺陷。
此外,该公司的网络安全策略和业务连续性计划都需要更新和完善。
在此基础上,审计人员建议该公司进一步加强员工培训,完善访问控制和数据分类策略,并对网络安全策略和业务连续性计划进行全面修订。
案例二:XX银行的信息系统审计报告该银行在信息系统安全方面取得了不错的成绩,但在审计中发现了一些安全漏洞。
例如,某些ATM机上缺乏安全摄像头,难以追溯非法使用者;银行安全管理制度不够完善,可能会导致机密信息泄露。
此外,虽然银行应用了网络安全设施,但需要进一步升级和完善。
审计人员建议该银行加强安全摄像头等设备的安装和更新,并优化安全管理制度,完善网络安全设施。
案例三:XX企业的信息系统审计报告该企业的信息系统较为落后,存在一些安全隐患。
例如,员工共享密码、无日志记录等,导致信息泄露的风险较大。
此外,企业未进行系统备份,一旦出现故障,将导致重大损失。
在此基础上,审计人员建议该企业加强员工教育,规范操作流程,并建议及时备份系统数据以保障业务运营的可靠性。
综上可见,信息系统审计报告对企业的发展具有重要意义,能够有效提升信息系统安全保障和管理水平。
企业领导和相关人员应重视此项工作,根据审计报告提出的建议和指导,及时进行整改和完善。
此外,企业还应加强对信息系统管理的监控和检查,以及加强对信息系统安全方面的投入。
从基础设施安全、网络安全、数据安全、应用安全等多个方面入手,才能全面保障信息系统的安全性和可靠性。
信息系统审计概述
信息系统审计概述一、信息系统审计总体要求(-)信息系统审计的概念信息系统审计是指内部审计机构和内部审计人员对组织信息系统建设的合法合规性、内部控制的有效性、信息系统的安全性、业务流程的合理有效性、信息系统运行的经济性所进行的检查与评价活动。
信息系统审计包括审计计划、审计依据、审计方法、审计技术、审计人员配置、审计实施流程、审计报告以及审计质量控制等内容。
内部审计机构应建立信息系统审计的相应组织管理体系,对信息系统审计的流程和质量进行管控,并依照规章制度开展信息系统审计。
(二)信息系统审计的一般原则组织应建立信息系统审计组织管理体系,并根据有关制度、标准和要求开展信息系统审计活动。
其一般原则包括:1 .信息系统审计需结合所在组织的战略目标、业务目标、治理要求和管理授权开展审计。
——目标导向2 .信息系统审计应合理保证信息系统的运行符合法律法规以及相关监管要求。
——合法合规3 .信息系统审计应在充分了解组织信息系统治理、管理和应用的基础上做出客观评价。
——客观性4 .信息系统审计应结合组织的业务流程、信息系统及应用数据开展审计工作。
5 .信息系统审计应不断提升内部审计人员技能,严格履行审计程序,提高审计工作质量。
(三)信息系统审计的目标1 .总体目标通过对信息系统的审计,揭示信息系统面临的风险、评价信息系统技术的适用性、创新性、信息系统投资的经济性、信息系统的安全性、运行的有效性等内容,合理保证信息系统安全、真实、有效、经济。
2 .具体目标(1)保证信息系统建设符合国家有关法律法规和组织内部制度。
保证信息系统建设方案、规划内容充分体现组织的战略目标,对信息系统建设、应用与公司的经营目标的一致性作出评价。
——目标导向(2)信息系统审计应促进信息系统在购置、开发、使用、维护过程中,以及数据在生产、加工、修改、转移、删除等处理中都必须符合国家相关法律法规、准则、组织内部规定等,并应促进信息系统有效实现既定业务目标。
信息系统审计
1.信息系统审计的概念,内容,流程。
答:概念,信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程;内容,包括内部控制系统审计、系统开发审计、应用程序审计、数据文件审计等内容;流程,(1)准备阶段,在此阶段主要是初步调查被审计单位信息系统的基本状况,并拟定科学合理的计划。
(2)实施阶段,实施阶段是审计工作的核心,也是信息系统审计的核心。
主要工作是根据准备阶段确定的范围、要点、步骤、方法,进行取证、评价,综合审计证据,借以形成审计结论,发表审计意见。
(3)审计结论和执行阶段,审计人员对信息系统进行符合性测试和实质性测试后,整理审计工作底稿,编制审计报告时,除对被审单位会计报表的合理性、公允性发表意见,作出审计结论外,还要对被审单位信息系统的处理功能和内部控制进行评价,并提出改进意见。
(4)异议和复审阶段,被审单位对审计结论和决定若有异议,可提出复审要求,审计部门可组织复审并作出复审结论和决定。
特别是被审单位信息系统有了新的改进时,还需组织后续审计。
1.IT治理的标准有哪些,各自的作用是什么?答:目前国际上通行的IT治理标准主要有四个:ITIL 、COBIT、ISO/IEC17799和PRINCE2;(1)ITIL ,ITIL(Information Technology Infrastructure Library):即信息技术基础构架库,一套被广泛承认的用于有效IT服务管理的实践准则。
1980年以来,英国政府商务办公室(GOC,原称政府计算机与通信中心)为解决“IT服务质量不佳”的问题,逐步提出和完善了一整套对IT服务的质量进行评估的方法体系,叫做ITIL。
2001年,英国标准协会在国际IT服务管理论坛(itSMF)上正式发布了以ITIL为核心的英国国家标准BS15000。
这成为IT服务管理领域具有历史意义的重大事件。
信息系统审计
信息系统审计高效、安全、可靠的信息系统在现代社会的发展中扮演着重要的角色。
为了确保信息系统的运行和管理符合相关规范和标准,信息系统审计应运而生。
信息系统审计是对信息系统及其相关组件的评估和检查,旨在发现潜在的风险、漏洞和问题,并提供改进建议。
本文将从信息系统审计的定义、目的、流程和关键要素等方面进行论述,以期为读者提供一个全面的理解。
一、信息系统审计的定义信息系统审计是一种系统性的审查过程,将对涉及信息系统组成部分的安全控制、性能和管理措施进行评估,以验证其合规性和有效性。
信息系统审计旨在评估信息系统的安全性、完整性、可靠性和保密性等方面,以及其与相关规范和标准的符合性。
信息系统审计是一个动态的过程,需要持续监测和评估,以确保信息系统的安全和可信度。
二、信息系统审计的目的信息系统审计的目的是为了保护信息资源的安全性和可用性,确保信息系统的正常运行和服务质量。
具体而言,信息系统审计的目的包括:1. 发现潜在的风险和漏洞。
通过对信息系统进行全面和系统的审查,发现可能存在的安全隐患、性能问题和管理缺陷,以便及时采取相应的措施加以解决。
2. 评估信息系统的合规性。
审计人员会对信息系统的运行和管理过程进行审查,以确保其符合相关的法规、标准和最佳实践要求,以减少违规操作和风险发生的可能性。
3. 提供改进建议。
信息系统审计不仅仅是问题的发现,还需要提供相应的解决方案和改进建议,以帮助组织改善信息系统的安全性、稳定性和可靠性。
三、信息系统审计的流程信息系统审计可以分为以下几个步骤:1. 确定审计范围和目标。
审计人员需要与组织进行充分的沟通和了解,明确审计的范围、目标和重点,以便有针对性地开展审计工作。
2. 收集相关信息。
审计人员需要获取和收集与信息系统相关的数据、文件和记录,包括技术文档、系统配置和日志等,以便对信息系统进行全面的评估。
3. 进行实地调查和检查。
审计人员需要进行实地走访和检查,以了解信息系统的实际运行情况,包括硬件设备、网络结构和安全措施等。
信息系统审计
信息系统审计随着信息技术的快速发展,信息系统在各行各业扮演着越来越重要的角色。
然而,信息系统的使用也带来了一系列的安全隐患和风险。
为了保障信息系统的安全性和有效性,信息系统审计成为了一项必不可少的工作。
本文将探讨信息系统审计的重要性、目的和流程,并介绍相关标准和规范。
一、信息系统审计的重要性信息系统是组织内部重要的数据处理和管理工具,它承担着数据存储、处理、传输等关键任务。
信息系统的安全性和稳定性对于组织的运作和发展至关重要。
信息系统审计通过评估和监控信息系统的安全性、可用性和合规性,帮助组织发现和解决潜在的安全问题和风险,保障信息系统的正常运行。
二、信息系统审计的目的1. 发现潜在的安全威胁:信息系统审计通过检查系统的配置、权限设置、更新管理等,发现系统中存在的潜在安全威胁,如未经授权访问、漏洞利用等。
2. 评估系统的安全性:信息系统审计评估系统的安全性,包括系统的物理安全、逻辑安全和网络安全等方面,发现系统存在的安全漏洞和弱点,提出改进建议。
3. 检测违规行为:信息系统审计通过检查系统的日志记录、访问控制和审计跟踪等,检测系统中是否存在违规行为,如未经授权的数据访问、篡改数据等。
4. 保护数据和隐私:信息系统审计通过评估数据的存储和传输过程,查看数据的备份和恢复策略,保护组织的重要数据和隐私信息免受损失和泄露。
5. 遵守法规和内部政策:信息系统审计确保组织的信息系统符合相关的法律法规和内部政策,如信息安全管理体系(ISMS)等。
三、信息系统审计的流程1. 确定审计目标:在进行信息系统审计之前,需要明确审计目标,包括系统的安全性、可用性、合规性等方面。
2. 收集信息:审计人员需要收集有关信息系统的各种资料,包括系统的架构、配置规范、访问权限等。
3. 进行现场检查:审计人员对信息系统的实际情况进行现场检查,包括系统设备的运行状态、安全控制措施的有效性等。
4. 分析评估:审计人员对收集到的信息进行分析和评估,发现系统存在的安全问题和风险,并提出改进建议。
信息系统审计
信息系统审计在当今数字化的时代,信息系统已经成为企业和组织运营的核心基础设施。
从日常的办公自动化到复杂的生产管理,从客户关系维护到财务数据处理,几乎所有的业务流程都依赖于信息系统的支持。
然而,随着信息系统的日益复杂和广泛应用,其面临的风险也不断增加。
信息系统审计作为一种独立、客观的审查和评估活动,应运而生,旨在为企业和组织提供关于信息系统的安全性、可靠性、有效性和合规性的保障。
信息系统审计是什么呢?简单来说,它是对信息系统的规划、开发、实施、运行和维护等各个环节进行审查和评估的过程。
就好比给信息系统做一次全面的“体检”,找出可能存在的“病症”和“隐患”,并提出相应的“治疗方案”和“预防措施”。
信息系统审计的重要性不言而喻。
首先,它有助于保障信息系统的安全性。
在网络攻击日益猖獗的今天,信息系统面临着数据泄露、黑客入侵、病毒感染等诸多安全威胁。
通过审计,可以发现信息系统中的安全漏洞和薄弱环节,及时采取措施加以防范,保护企业和组织的核心数据和商业机密不被窃取或破坏。
其次,信息系统审计能够提高信息系统的可靠性和稳定性。
信息系统一旦出现故障或瘫痪,将会给企业和组织带来巨大的损失。
审计可以对信息系统的硬件、软件、网络等方面进行全面检查,评估其性能和容量是否满足业务需求,提前发现潜在的故障隐患,并制定相应的应急预案,确保信息系统的持续稳定运行。
此外,信息系统审计还可以促进信息系统的有效利用。
很多企业和组织在信息系统建设上投入了大量的资金和资源,但往往由于系统设计不合理、功能不完善、操作不便捷等原因,导致信息系统的利用率不高,无法充分发挥其应有的作用。
审计可以对信息系统的功能和业务流程进行优化,提高系统的易用性和工作效率,为企业和组织创造更大的价值。
最后,信息系统审计有助于确保企业和组织遵守相关的法律法规和行业规范。
随着信息技术的快速发展,国家和行业出台了一系列关于信息系统安全、隐私保护、数据管理等方面的法律法规和标准。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统审计电子数据处理系统发展分为三阶段:数据的单项处理阶段(1953-1965)、数据的综合处理阶段(1965-1970)、数据的系统处理阶段(1970年以后),对传统审计产生了巨大的影响,主要表现在(1)对审计线索的影响:传统的审计线索缺失;EDP下:数据处理、存储电子化,不可见,难辨真伪。
(2)对审计方法和技术的影响:技术方法复杂化;EDP下:利用计算机——审计技术变得复杂化(3)对审计人员的影响:知识构成要求发生变化;EDP下:会计、审计、计算机等知识和技能(4)对审计准则的影响:信息化下审计准则与标准的缺失;EDP下:在原有审计准则的基础上,建立一系列新的准则(5)对内部控制的影响:内部控制方式发生改变:传统方式下:强调对业务活动及会计活动使用授权批准和职责分工等控制程序来保证。
EDP下:数据处理根据既定的指令程序自动进行,信息的处理和存储高度集中于计算机,控制依赖于计算机信息系统,控制方式发生改变。
2、信息系统审计的定义:指根据公认的标准和指导规范,对信息系统从计划、研发、实施到运行维护各个环节进行审查评价,对信息系统及其业务应用的完整、效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现,并提出一系列改进建议的管理活动。
3、信息系统审计的特点(1)审计范围的广泛性(2)审计线索的隐蔽性、易逝性(3)审计取证的动态性(4)审计技术的复杂性:首先,由于不同被审单位的信息系统所配备的计算机设备各式各样,各个机器的功能各异,所配备的系统软件也各不相同。
审计人员在审计过程中,必然要和计算机的硬件和系统软件打交道,各种机型功能不一,配备的系统软件各异,必然增加了审计技术的复杂性,其次,由于不同被审单位的业务规模和性质不同,所采用的数据处理及存储方式也不同,不同的数据处理,存储方式,审计所采用的方法、技术也不同。
此外,不同被审单位其应用软甲你的开发方式、软件开发的程序设计语言也不尽相同,不同开发方式以及用不同的程序设计语言开发的应用软件,其审计方法与技术也不一样。
4、信息系统审计的目标:(1)保护资产的完整性:信息系统的资产包括硬件、软件、设备、人员、数据文件、系统档案等;(2)保证数据的准确性:数据准确性是指数据能满足规定的条件,防止粗无信息的输入和输出,一级非授权状态下的修改信息所造成的无效操作和错误后果;(3)提高系统的有效性:系统的有效性表明系统能否获得预期的目标;(4)提高系统的效率性:系统效率是指系统达到预定目标所消耗的资源,一个效率高的信息系统能够以尽量少的资源达到需要的目标;(5)保证信息系统的合规性合法性:信息系统及其运用必须遵守有关法律、法规和规章制度。
5、信息系统审计的主要内容:内部控制系统审计内部控制系统包括一般控制系统(包含组织控制、系统开发控制、系统安全控制、硬件和系统软件控制等方面)应用控制系统(输入、处理、输出);系统开发审计;应用程序审计(决定了数据处理的合规性、正确性目的:一是测试应用控制系统的符合性;二是通过检查程序运行和逻辑的正确性达到实质性测试目的。
测试应用控制的符合性是指对嵌入应用程序中的控制措施进行测试,看它们是否按设计要求在运行和起作用);数据文件审计(目的:一是数据文件进行实质性测试;而是通过数据文件的审计,测试一般控制或应用控制的复合型,但数据文件审计主要是为了实质性测试)6、基本方法:绕过信息系统审计:基于黑箱(Black box)原理,审计人员不审查系统内的程序和文件,只审查I/O数据及其管理制度。
优点:审计技术简单、较少干扰被审系统。
缺点:审计结果不太可靠、要求I/O联系紧密通过信息系统审计:基于黑箱(Black box)原理,审计人员不审查系统内的程序和文件,只审查I/O数据及其管理制度。
优点:审计技术简单、较少干扰被审系统。
缺点:审计结果不太可靠、要求I/O联系紧密。
7、步骤:准备阶段(明确审计任务、组成信息系统小组、了解被审系统的基本情况、制定信息系统审计方案、发出审计通知书);实施阶段(对被审计系统的内部控制制度进行健全性调查和符合性测试、对张单证或数据文件的实质性审查);终结阶段(整理归纳审计资料、撰写审计报告(审计报告主要是对信息系统审计结果的综合归纳,由审计小组撰写)、发出审计结论和决定、审计资料的归档和档案)8、国际信息系统审计原则:审计标准(是整个信息系统准则体系的总纲,是制定审计指南和作业程序的基础和依据);审计指南(为审计标准的应用提供了指引,信息系统审计师在审计过程中应考虑如何应用指南以实现审计标准的要求,在应用过程中应灵活运用专业判断并纠正任何偏离准则的行为);作业程序(提供了信息系统审计师在审计过程中可能遇到的审计程序的示例)9、审计师应具备的素质:(1)应具备的理论知识:传统审计理论、信息系统管理理论、计算机科学、行为科学理论(2)应具有的实践技能:参加过不同类别的工作培训,尤其是在组织采用和实施新技术时,此外也参加过组织内部计划的制定等;参与专业的机构或厂商组织的研讨会,动态掌握信息技术的新发展对审计时间的影响;具有理解信息处理活动的各种技术,尤其是影响组织财务活动的技术,能够与来自各领域的管理者、用户、技术专家进行交流;理解并熟悉操作环境,评估内部控制的有效性;理解现有与未来系统的技术复杂性,以及它们对各级操作与决策的影响;能使用技术的方法去识别技术的完整性;要参与评估与使用信息技术相关的有效性、效率、风险等;能够提供审计集成服务并对审计员工提供指导,与财务审计师一起对公司财务状况作出声明;具备系统开发方法论、安全控制设计、实施后评估等;掌握网络相关的安全事件、信息安全服务、灾难恢复与业务持续计划、异步传输模式等通信技术。
10、IT治理德勤定义:IT治理是是一个含义广泛的概念,包括信息系统、技术、通信、商业、所有利益相关者、合法性和其他问题。
其主要任务是保持IT与业务目标一致推动业务发展,促使收益最大化,合理利用IT 资源,IT相关风险的适当管理。
11、共同点:(1)IT治理必须与企业战略目标一致,IT对于企业非常关键,也是战略规划的组成,影响战略竞争。
(2)IT治理保护利益相关者的权益,使风险透明化,知道和控制IT投资、机遇、利益、风险。
(3)IT治理和其他治理主题一样,是管理执行人员和利益相关者的责任(以董事会为代表)(4)IT治理包括管理层、组织结构、过程,以确保IT维持和拓展组织战略目标(5)应该合理利用企业的信息资源,有效地进程与协调。
(6)确保IT战略及时按照目标交付,有合适的功能和期望的收益,是一个一致性和价值传递的基本构建模块,有明确的期望值和衡量手段。
(7)引导IT战略平衡系统的投资,支持企业,变革企业,或者创建一个信息基础构架,保证业务增长,并在一个新的领域竞争。
(8)对于核心IT资源做出合理的决策,进入新的市场,驱动竞争策略,创造总的收入增长,改善客户满意度,维系客户关系。
12、IT管理是公司的信息及信息系统的运营,确定IT目标以及实现此目标所采取的行动。
IT治理是指最高管理层(董事会)利用它来监督管理层在IT战略上的过程、结构和联系,以确保这种运营处于正确的轨道之上。
IT治理规定了整个企业IT运行的基本框架,IT管理则是在这个既定的框架下驾驭企业奔向目标。
13、公司治理和IT治理:公司治理关注利益相关者权益和管理,驱动和调整IT治理。
IT 能够提供关键的输入,形成战略计划的一个重要组成部分,是公司治理的重要功能。
14、ITIL:信息技术基础构架库;COBIT:信息和相关技术的控制目标;BS 7799:国际安全管理标准体系;PRINCE2是一种对项目管理的某些特定方面提供支持的方法。
15、IT治理成熟度模型:不存在(0级)、初始级(1级)、可重复级(2级)、已定义级(3级)、已管理级(4级)、优化级(5级)作用:IT治理成熟度模型制定了一个基准,组织可能根据上面的指标确定自己的等级,从而了解自身的境界。
在此基础上确定组织的关键成功因素,通过关键绩效指标进行监控,并衡量组织是否能达到关键目标指标中所设定的目标。
16、信息系统内部控制:一个单位在信息系统环境下,为了保证业务活动的有效进行,保护资产的安全与完整,防止、发现、纠正错误与舞弊,确保信息系统提供信息的真实、合法、完整,而制定和实施的一系列政策与程序措施。
17、一般控制系统:范围:应用于一个单位信息系统全部或较大范围的内部控制。
对象:应为除信息系统应用程序以外的其他部分。
基本目标:保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外情况下的持续运行等。
18、良好的一般控制是应用控制的基础。
如果一般控制审计结果很差,应用控制审计就没有进行的必要。
19、审计逻辑访问安全策略:此策略应当为逻辑访问建立“知所必需”的原则,并合理评估在访问过程中暴露的风险。
20、审查离职员工的访问控制:一般来说,员工离职的情况主要有请辞、聘用合同期满和非自愿离职三种。
对于非自愿离职的员工,组织应当在接触其职务之前,及时收回或严格限制其对组织信息资源的访问权,使其不能继续访问组织的机密信息,或使其不能破坏组织有价值的信息资产。
如果对于这类员工还需要保留一部分访问权,必须得到相关管理层批准,并对其进行严格的监督。
对其他两种离职的员工,由管理层批准是否保留他们的访问权,这取决于每一种人所处的特定环境、员工所访问IT资产的敏感程度以及组织的信息安全策略、标准和程序的要求。
21、系统访问:通过某种途径允许或限制对网络资源(软件和硬件)和数据(存储的和通信的)的访问能力及范围。
逻辑访问控制:通过一定的技术方法控制用户可以利用什么样的信息,可以运行什么程序与事务,可以修改什么信息与数据。
物理访问控制:限制人员进出敏感区域。
对极端及信息的物理访问与逻辑访问应当建立在“知所必需”的基础上,按照最小授权原则和职责分离原则来分配系统访问权限,并把这些访问规则与访问授权通过正式书面文件记录下来,作为信息安全的重要文件加以妥善管理。
22、身份识别与验证:(账号与口令,令牌设备,生物测定技术与行为测定技术)“只有你知道的事情”——账号与口令,账号的控制、口令的控制;“只有你拥有的东西”——令牌设备,发送许可权的特殊消息或一次性口令的设备;“只有你具有的特征”——生物/行为测定,指纹、虹膜等和签名等。
23、逻辑访问授权:一般情况下,逻辑访问控制基于最小授权原则,只对因工作需要访问信息系统的人员进行必要的授权,当用户在组织变换工作角色时,在赋予他们新访问权限时,一般没有及时取消旧的访问权限,这回产生访问控制上的风险。
所以当员工职位有变动时,信息系统审计是要及时审核访问控制列表是否做了有效变更。