审计信息系统
审计信息系统建设
审计信息系统建设在当今数字化时代,企业和组织的运营管理越来越依赖于信息技术,审计工作也不例外。
审计信息系统的建设成为了提高审计效率、保证审计质量、防范审计风险的重要手段。
审计信息系统是一个集成了数据采集、处理、分析和报告等功能的综合性平台。
它能够将大量的财务和业务数据进行有效的整合和管理,为审计人员提供准确、及时的信息支持。
通过这个系统,审计人员可以更加快速地获取所需数据,进行深入的分析和挖掘,从而发现潜在的问题和风险。
那么,为什么要建设审计信息系统呢?首先,随着企业规模的不断扩大和业务的日益复杂,传统的手工审计方式已经无法满足需求。
手工审计不仅效率低下,而且容易出现人为失误。
审计信息系统能够实现自动化的数据采集和处理,大大提高了审计工作的效率和准确性。
其次,审计信息系统可以帮助审计人员更好地进行风险评估和内部控制评价。
通过对大量数据的分析,能够发现业务流程中的薄弱环节和潜在风险点,为企业提供有针对性的改进建议。
再者,审计信息系统有助于实现审计工作的标准化和规范化。
系统中可以预设审计程序和标准,确保审计工作的质量和一致性。
在建设审计信息系统时,需要明确系统的目标和功能需求。
这包括确定要涵盖的审计业务范围,如财务审计、绩效审计、合规审计等;明确所需的数据来源和类型,如财务系统、业务系统、外部数据等;以及确定系统需要具备的功能,如数据采集、数据分析、审计流程管理、报告生成等。
数据是审计信息系统的核心。
因此,数据采集和整合是系统建设的关键环节。
要确保能够从各种数据源中准确、完整地采集到所需数据,并进行有效的清洗和转换,以保证数据的质量和一致性。
同时,还需要建立数据仓库或数据集市,对数据进行集中存储和管理,以便于审计人员进行查询和分析。
数据分析功能是审计信息系统的重要组成部分。
系统应具备强大的数据分析工具和算法,能够对海量数据进行快速分析和挖掘。
例如,通过数据对比、趋势分析、关联分析等方法,发现异常数据和潜在的风险线索。
审计师如何进行信息系统审计
审计师如何进行信息系统审计信息系统审计是审计师在财务审计基础上,针对企业的信息系统进行的一项专门活动。
在当今信息化的时代,信息系统对企业的运营和决策起着至关重要的作用,因此审计师需要对信息系统进行审计以保证其安全性、有效性和合规性。
本文将重点探讨审计师在进行信息系统审计时应采取的步骤和方法。
一、审计前准备在进行信息系统审计之前,审计师需要进行充分的准备工作,包括以下方面:1.了解企业信息系统的架构和组成,包括硬件设备、软件应用、数据库等。
2.熟悉企业信息系统的运行模式和业务流程,了解企业的关键业务活动和相关风险。
3.了解企业的信息系统控制措施,包括安全管理、密码策略、访问控制等。
4.与企业的管理层和信息技术部门进行沟通,了解他们对信息系统的看法和期望。
二、风险评估和规划审计师需要对企业的信息系统风险进行评估,并制定相应的审计计划。
具体步骤如下:1.识别和评估信息系统的威胁和风险,包括内部和外部的风险因素。
2.确定审计的范围和目标,明确审计的重点和重要性。
3.制定详细的审计计划,包括时间安排、资源分配、审计方法和技术工具等。
三、数据采集和分析在进行信息系统审计时,审计师需要收集和分析相关的数据和信息,并作出评价。
具体步骤如下:1.收集信息系统的日志记录、安全策略、用户权限等相关数据。
2.使用数据分析工具对收集的数据进行预处理和清洗。
3.分析数据,并根据分析结果评估信息系统的安全性和有效性。
四、内部控制评价信息系统的内部控制是信息系统审计的重要方面,审计师需要对企业的内部控制措施进行评价。
具体步骤如下:1.评估企业的内部控制制度和流程,包括安全管理、访问控制、数据备份与恢复等。
2.检查企业的内部控制执行情况,包括授权验证、权限分离等。
3.评估内部控制的有效性,发现潜在的问题和不足,并提出改进建议。
五、审计报告和建议最后,审计师需要根据审计的结果,撰写审计报告并提出相应的建议。
具体步骤如下:1.整理审计的发现和分析结果,编写详细的审计报告。
信息系统审计
信息系统审计在当今数字化的时代,信息系统已经成为企业和组织运营的核心支撑。
从日常的业务流程管理到关键的决策制定,信息系统的作用无处不在。
然而,随着信息系统的日益复杂和重要性的不断提升,其面临的风险也与日俱增。
这就使得信息系统审计成为了一项至关重要的工作。
那什么是信息系统审计呢?简单来说,信息系统审计就是对组织的信息系统进行审查和评估,以确定其是否能够有效保护资产、维持数据完整性、提供可靠的信息,并高效地实现组织目标。
信息系统审计涵盖了多个方面。
首先,要审查信息系统的内部控制。
这包括访问控制、数据备份和恢复策略、系统变更管理等。
例如,访问控制就像是给信息系统的各个房间设置不同的钥匙,只有拥有相应权限的人才能进入。
如果访问控制设置不当,就可能导致敏感信息被未经授权的人员获取。
其次,要评估信息系统的安全性。
这包括网络安全、应用程序安全、操作系统安全等。
如今,网络攻击日益猖獗,黑客们可能会试图入侵企业的信息系统,窃取重要数据或者破坏系统运行。
因此,信息系统的安全性审计至关重要。
再者,信息系统的性能审计也不能忽视。
比如,系统的响应时间是否满足业务需求,系统的处理能力是否能够应对业务的增长等。
如果一个电商平台在促销活动期间因为系统性能不佳而频繁崩溃,那将会给企业带来巨大的经济损失和声誉损害。
此外,信息系统审计还要关注数据的质量和完整性。
数据是信息系统的核心资产,如果数据不准确、不完整或者过时,那么基于这些数据做出的决策可能会出现偏差。
进行信息系统审计具有诸多重要意义。
它有助于发现潜在的风险和漏洞,提前采取措施进行防范和修复,从而降低组织面临的损失风险。
通过审计,可以确保信息系统的合规性,满足法律法规和行业标准的要求。
这对于一些受到严格监管的行业,如金融、医疗等,尤为重要。
同时,信息系统审计能够提高信息系统的效率和效益。
通过优化系统配置、改进业务流程,可以使信息系统更好地支持组织的业务发展,提升组织的竞争力。
审计信息系统建设
审计信息系统建设在当今数字化时代,企业的运营和管理越来越依赖于信息系统。
审计作为企业监督和评估的重要手段,也需要与时俱进,建立高效、准确的审计信息系统。
审计信息系统的建设不仅能够提高审计工作的效率和质量,还能够增强企业的风险管理能力,为企业的发展提供有力的保障。
一、审计信息系统建设的重要性1、提高审计效率传统的审计方式往往依赖于大量的手工操作和纸质文件,不仅费时费力,而且容易出现错误。
审计信息系统能够实现数据的自动采集、整理和分析,大大减少了人工干预,提高了审计工作的效率。
例如,系统可以自动从财务系统、业务系统等数据源中提取相关数据,并进行比对和分析,快速发现异常情况。
2、增强审计准确性审计信息系统基于预设的审计规则和算法进行数据处理和分析,能够避免人为因素的干扰,提高审计结果的准确性。
同时,系统可以对大量的数据进行全面、深入的分析,发现一些隐藏在数据背后的问题和风险,为审计提供更有价值的线索和证据。
3、提升风险管理水平通过审计信息系统,企业可以实时监控各项业务活动的运行情况,及时发现潜在的风险点,并采取相应的措施进行防范和控制。
这有助于企业提前预警风险,降低损失,提升整体的风险管理水平。
4、促进审计工作的规范化和标准化审计信息系统可以将审计流程、方法和标准固化在系统中,确保审计工作的规范化和标准化。
审计人员在进行审计时,只需按照系统的指引和要求操作,就能够保证审计工作的质量和一致性。
二、审计信息系统建设的需求分析1、明确审计目标和范围在建设审计信息系统之前,首先需要明确审计的目标和范围。
例如,是侧重于财务审计、合规审计还是绩效审计?是针对整个企业还是特定的业务部门或项目?只有明确了审计目标和范围,才能确定系统需要具备的功能和模块。
2、梳理审计流程和方法对现有的审计流程和方法进行梳理和优化,去除繁琐的环节,提高工作效率。
同时,将优化后的审计流程和方法融入到审计信息系统中,实现流程的自动化和标准化。
审计中的信息系统审计与安全
审计中的信息系统审计与安全信息系统是现代企业中不可或缺的一部分,它为企业的运营和管理提供了关键支持。
然而,随着信息技术的快速发展和广泛应用,信息系统也面临着越来越多的安全威胁和风险。
因此,在审计中对信息系统进行审计与安全的工作变得尤为重要。
本文将探讨审计中的信息系统审计与安全的内容和方法。
一、信息系统审计的概念和目标信息系统审计是指对企业的信息系统进行全面、系统性的检查和评估,以确定其合规性、可靠性和安全性。
其主要目标是确保信息系统的稳定运行,防止信息安全风险,提高企业的管理水平和决策能力。
二、信息系统审计的内容信息系统审计的内容主要包括以下几个方面:1. 系统开发和实施过程的审计:包括对系统需求分析、系统设计、系统开发和系统测试等阶段的审计,以评估系统开发过程的合规性和可靠性。
2. 系统运营和维护过程的审计:包括对系统的日常运营、维护和更新等过程的审计,以评估系统运营的合规性和可靠性。
3. 系统安全性的审计:包括对系统的安全策略、安全控制和安全管理等方面的审计,以评估系统的信息安全性和抵御风险的能力。
4. 系统数据完整性和可靠性的审计:包括对系统的数据收集、存储、处理和传输等方面的审计,以评估系统数据的完整性和可靠性。
三、信息系统审计的方法和步骤信息系统审计的方法主要包括以下几个方面:1. 风险评估和控制:通过对系统的风险进行全面评估,确定关键风险点,并制定相应的风险控制措施。
2. 抽样和测试:采用随机抽样的方法,对系统的数据、程序和控制措施进行测试,以评估其有效性和可靠性。
3. 文件和记录的审查:对系统的相关文件和记录进行审查,以了解系统的运作情况和安全性。
4. 与相关人员的沟通:与系统的管理人员、开发人员和用户进行沟通,了解他们对系统的了解和期望。
信息系统审计的步骤可以按照以下顺序进行:1. 确定审计的范围和目标:明确审计的范围和目标,确定需要审计的系统和关键风险点。
2. 收集和整理信息:收集和整理与审计相关的信息和数据,包括系统的文档、记录和测试结果等。
信息系统审计
信息系统审计高效、安全、可靠的信息系统在现代社会的发展中扮演着重要的角色。
为了确保信息系统的运行和管理符合相关规范和标准,信息系统审计应运而生。
信息系统审计是对信息系统及其相关组件的评估和检查,旨在发现潜在的风险、漏洞和问题,并提供改进建议。
本文将从信息系统审计的定义、目的、流程和关键要素等方面进行论述,以期为读者提供一个全面的理解。
一、信息系统审计的定义信息系统审计是一种系统性的审查过程,将对涉及信息系统组成部分的安全控制、性能和管理措施进行评估,以验证其合规性和有效性。
信息系统审计旨在评估信息系统的安全性、完整性、可靠性和保密性等方面,以及其与相关规范和标准的符合性。
信息系统审计是一个动态的过程,需要持续监测和评估,以确保信息系统的安全和可信度。
二、信息系统审计的目的信息系统审计的目的是为了保护信息资源的安全性和可用性,确保信息系统的正常运行和服务质量。
具体而言,信息系统审计的目的包括:1. 发现潜在的风险和漏洞。
通过对信息系统进行全面和系统的审查,发现可能存在的安全隐患、性能问题和管理缺陷,以便及时采取相应的措施加以解决。
2. 评估信息系统的合规性。
审计人员会对信息系统的运行和管理过程进行审查,以确保其符合相关的法规、标准和最佳实践要求,以减少违规操作和风险发生的可能性。
3. 提供改进建议。
信息系统审计不仅仅是问题的发现,还需要提供相应的解决方案和改进建议,以帮助组织改善信息系统的安全性、稳定性和可靠性。
三、信息系统审计的流程信息系统审计可以分为以下几个步骤:1. 确定审计范围和目标。
审计人员需要与组织进行充分的沟通和了解,明确审计的范围、目标和重点,以便有针对性地开展审计工作。
2. 收集相关信息。
审计人员需要获取和收集与信息系统相关的数据、文件和记录,包括技术文档、系统配置和日志等,以便对信息系统进行全面的评估。
3. 进行实地调查和检查。
审计人员需要进行实地走访和检查,以了解信息系统的实际运行情况,包括硬件设备、网络结构和安全措施等。
审计师的信息系统审计经验总结
审计师的信息系统审计经验总结随着信息技术的高速发展,企业的信息系统在运营中扮演着至关重要的角色。
为了确保信息系统的有效性、准确性和安全性,审计师在信息系统审计中发挥着重要的作用。
我作为一名审计师,在多年的工作经验中积累了一些宝贵的信息系统审计经验,现在将其总结如下。
一、信息系统审计的目的和范围信息系统审计的目的是评估和检查企业的信息系统是否有效、安全,并提供具体的改进建议。
在审计过程中,审计师需要关注以下几个方面:1. 信息系统的完整性和可用性:审计师需要确保企业的信息系统能够保持完整性和正常运行,以满足业务需求。
2. 信息系统的安全性:审计师需要评估信息系统的安全性,包括网络安全、访问控制和数据保护等方面,以防止潜在的风险和威胁。
3. 信息系统的合规性:审计师需要确保企业的信息系统符合相关法律法规和行业标准,以避免潜在的法律风险。
二、信息系统审计的主要步骤1. 确定审计目标和范围:审计师需要明确审计的目标和范围,以便制定合适的审计计划和方法。
2. 收集并分析信息:审计师需要获取企业的相关信息,包括业务流程、系统架构和安全策略等,并对这些信息进行仔细分析。
3. 进行风险评估:审计师需要评估信息系统存在的潜在风险和威胁,并对其进行分类和排序。
4. 进行审计测试:审计师需要执行审计测试,包括对系统配置和控制的测试,以确保系统的正常运行和合规性。
5. 发现和报告问题:审计师需要记录和报告在审计过程中发现的问题和不合规行为,并提出具体的改进建议。
6. 跟踪问题的解决:审计师需要监督和跟踪发现的问题的解决情况,确保问题得到妥善解决。
三、信息系统审计经验总结在信息系统审计的过程中,我总结了以下一些经验和教训。
1. 充分了解企业业务:作为审计师,我们需要充分了解企业的业务流程和信息系统架构,以便更好地评估系统的有效性和风险。
2. 保持专业知识的更新:信息技术的发展日新月异,审计师需要不断学习和更新专业知识,以应对新的技术挑战和威胁。
审计师的信息系统审计建议
审计师的信息系统审计建议对于企业而言,信息系统是其运营和管理中不可或缺的一部分。
然而,信息系统的安全性和可靠性一直都是企业面临的挑战。
作为一位审计师,我们应该提供一些建议,以帮助企业改进其信息系统的审计和管理。
以下是本文的主要内容:1. 信息系统审计的重要性信息系统审计是确保企业的信息系统稳定运行和数据安全的重要步骤。
通过对信息系统进行审计,审计师可以评估系统的可靠性、风险管理措施的有效性以及合规性。
这些评估结果将有助于企业识别系统中存在的问题,并采取适当的措施来加以改进。
2. 信息系统安全实施建议(1)建立信息安全政策:企业应该建立和维护一套完善的信息安全政策,明确规定员工对信息系统的使用和访问权限,并提供相关培训和指导。
(2)加强访问控制:确保只有授权人员可以访问关键系统和敏感信息,采用身份验证、密码保护、双因素认证等安全措施。
(3)定期备份和灾备计划:制定定期备份数据的计划,并测试恢复过程的有效性。
同时,建立完善的灾备计划,确保在系统故障或灾难事件发生时,能够快速恢复和维护业务连续性。
(4)持续监管和漏洞修补:建立定期监控信息系统的机制,及时发现并修补系统中的安全漏洞,减少潜在风险。
3. 数据隐私保护建议(1)建立数据分类和保护策略:将数据按照敏感程度进行分类,并制定相应的访问权限和保护策略,避免敏感信息泄露。
(2)加密和加密密钥管理:对传输和存储的敏感数据进行加密,同时建立良好的密钥管理系统,确保密钥的安全和有效性。
(3)合规性要求:了解和遵守适用的数据保护和隐私法规,保证企业处理和存储数据的合规性。
(4)培训和意识提升:为员工提供数据隐私保护的培训和意识提升活动,提醒他们注意保护数据的重要性,并掌握相应的操作方法。
4. 信息系统审计程序建议(1)制定审计计划和程序:制定全面的信息系统审计计划和程序,明确审计的重点和范围,并根据企业实际情况进行调整。
(2)审计证据的收集:采用多种审计方法和技术,收集可靠的审计证据,包括检查数据完整性、访问日志、安全策略和审计日志等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
审计信息系统 (1)计算系统基础 (1)信息系统的安全政策、标准和指南 (3)审计信息系统计算系统基础(一)一个计算系统主要由三个基本部分构成:中央处理器、操作系统和应用程序,另外还有数据库管理系统。
1、中央处理器基本上是一块互联的电子线路板,运行速度用MHz来衡量。
存储空间常用某一时刻能够存储到存储设备中数据的总字节来衡量,经常出现的与计算机相关的存储器主要有两种:内存和存储磁盘。
内存通常用来指可以随机存取的存储器(RAM),也称暂存器。
存储空间通常指能够同时存放到计算机硬驱动上数据的总的字节数,硬驱动指硬盘。
2、操作系统是使硬件能够正常工作的必须程序,通常在制造过程中就装入计算机。
操作系统通常是工具程序的分类,以辅助各硬件设备的运转、维护、安全等。
常用的操作系统包括:DOS,Window,OS/2,NetWare,OSX等。
3、应用程序是使中央处理器和操作系统开展事务工作所必须的。
例如:Word,Excel等。
4、数据库管理系统,数据库管理系统通常有一整套用于定义、查询、保护以及管理大量数据的程序构成。
(二)物理安全控制物理安全控制包括各种各样的锁(如传统的钥匙,电子进出印章,生物锁,密码等);涵盖硬件和重建数据所需费用的保险;每天备份系统软件、应用程序和数据的程序;非现场存储和将备份介质(如磁带机,磁盘,光盘)调换到安全地点;以及目前正在使用并经测试的恢复程序。
(三)逻辑安全控制逻辑安全控制是指用于限制用户对系统的访问权限和防止未授权用户访问系统的措施。
逻辑安全控制的配置包括:用户帐号、要求最小长度且带有一定数字和字符的密码,连续数次登陆失败后对帐号权限的暂止中止,对目录和文件的登录限制,每天登录次数和每周登录天数限制,以及特定终端使用的限制等(四)物理和逻辑安全控制的位置物理安全控制与系统的中央处理器和相关的硬件、外围设备有关;逻辑安全控制存在于操作系统、数据库管理系统和应用程序层面上。
二、确认计算系统(一)在对计算系统进行任何评估之前,有必要先建立一个系统的清单,清单包括机构内部自行开发研制的系统以及从开发商处直接购买的系统,同时也应该把处理机构数据的外部开发商的计算系统列入该清单。
计算系统大致包括涵盖所有商务功能的计算机应用程序,基础数据库管理系统,与硬件交互的操作系统以及以上这些应用程序所驻留的访问设备(包括从第三方处购买的应用程序的)。
(二)建立计算系统的详细清单的有利之处:1、有助于评估机构内部计算系统环境的规模和复杂程度并能确认被忽略掉的计算系统。
2、可以根据重要性对计算系统进行分类,进而进行风险分析。
3、可以确认一些存储或使用有相同或相似数据的工作部门,从而降低费用和提高效率。
4、有助于内部和外部审计人员来计划对计算系统的检查内容以及开展检查所需的人力资源及必要的资金方面的预算。
(三)风险评估除了计算系统清单外,还需要获得资金总额,交易量以及其他信息的相关数据,以便把计算系统按最大风险到最小风险进行排列。
三、信息系统审计方案(一)审计方案主要是指审计师在其审计范围内所执行的不同测试的清单,以决定关键的控制是否像预期的那样能减少重大的风险。
审计方案的好处:1、有助于资源规划的审计管理。
2、可以促进对所有程序常见控制所实施的测试的一致性。
(二)信息系统审计方案环境控制的测试1、评估机构的信息系统安全政策是否适当和有效。
此外,评估机构信息系统的安全标准中列出的各项控制要求是否适当保护机构的信息资产。
2、对于服务机构的应用程序而言,要检查最近由外部审计师编制的有关政策和程序的运行报告,这些在开发商的数据运行站点中可以见到。
3、如果系统是从开发商那里购买并由它支持的,则需评估系统开发商的外部审计师出具的最近经审计的财务报表的财务稳定性。
(最好在系统采购之前进行,否则可能造成资源的重大浪费)4、检查开发商的软件许可证协议以及任何有关持久性维修与支持的协议,确保它们是目前正在实施的,针对服务需求,且不应包含或省略任何对公司产生危害的词汇。
如果适用的话,还应该要求现行软件的源代码文件的副本保存在独立的第三方,物理安全性控制测试5、评估整个计算机系统硬件和存储媒介的物理安全性是否适当。
6、确定是否任命了经适当培训过的后备系统安全管理员。
7、评价书面的业务恢复计划的适当性和有效性,包括已经开展的无效的灾难测试的结果。
8、评估对硬件、操作系统、应用软件以及数据的保险范围是否适当,硬件应以重置成本计算。
逻辑安全控制测试9、确定系统的初始密码是否发生改变以及是否存在1阐述的与计算机系统安全政策、标注、指南一致的定期更改密码的控制。
10、观察系统安全管理员的标志,打印目前的系统用户及其登录权限的清单。
此外,如果你能够获得合适的系统登录权限,就可以独立的得到用户的名单。
11、记录并评估运行系统安全参数设置的合理性。
这一设置应该与组织的计算机系统在1中的描述的安全政策、标准、指南一致。
12、测试系统的逻辑安全控制功能。
13、确定包含用户密码的文件是否已经加密,不能为包括系统管理员在内的任何人看到。
14、确定包含用户密码的敏感性数据是否在整个年限期被完全加密,包括在存储期内,通过任何内外网络和通信设备传送数据以及复制任何备份媒介。
15、评估程序的适当性,以审核与系统安全相关的事件。
16、评估远程登录控制的适当性。
17、信息系统操作控制18、确定在支持信息系统的操作领域中职责是否充分的分离。
19、确定系统是否存在重大的软件问题,评估系统的适当性、实时性,对解决方案应予记录。
20、评估能确保信息系统操作以既有效率又有效果的方式运行的控制的适当性,以支持机构的战略目标和运营活动。
信息系统的安全政策、标准和指南信息系统安全政策是对机构在信息系统的控制与安全方面的综合目标的全面描述。
信息系统安全标准是由高级管理人员制定的最小标准、规则构成的集合,所以必须加以实现,以确保信息系统安全政策的实现。
信息系统安全指南同样由高级管理人员制定,用于确保信息系统安全政策的实现。
四、审计服务机构应用程序(一)外部审计师要对服务机构应用程序发表意见:1、服务机构的相关政策和程序在“某一特定日期”是否运行发表意见。
2、政策和程序是否适当以及这些政策和程序是否适当以及这些政策和程序是否事实上得到有效运行发表意见。
(二)相关政策和程序的描述以及其他信息对内部审计师而言,阅读这部分服务审计报告至关重要,它有助于更好地理解服务机构及其控制环境。
主要包括:对运营情况的综述、对控制环境因素的描述以及对交易流的描述。
对运营情况的综述通常由服务机构公司结构的叙述性概括、公司运营的概括以及每个使用的应用程序的总体概括构成。
控制环境因素是指那些应在服务机构中存在的因素,能够合理的保证客户机构的交易和数据及时、准确、安全的方式处理。
交易流的描述是一种高水平的叙述,有关应用程序如何处理交易,以及客户如何生成产出报告和其他文件。
五、评估开发商(一)评估开发商的财务稳定性服务机构和应用程序的开发商提供的服务对于客户的成功很关键。
中断任何服务都会严重消弱服务机构服务于其客户的能力。
客户的项目小组一旦决定利用外部机构的服务,首先就应检查每一个投标竞争的服务机构的审计师近期出具的审计报告副本。
这项工作要在与所有服务机构签订合同之前进行。
其次,项目开发小组应该在和服务机构或应用程序开发商签订合同之前,分析每一家被选的开发商服务机构的财务报表,以确保在可预见的时期内,该服务机构财务状况合理。
项目开发小组在和开发商签订合同之前的另一个应采取的明显步骤是,与一定数量的开发商的以往和现有客户联系,询问每一家被调查的以往和现有客户,以评估预期开发商的服务水平、产品质量以及对特殊要求的响应情况。
(二)检查与开发商签订的合同内部审计师应在审计过程中检查合同,以评估合同条款是否准确地针对客户当前地经营、财务、规章以及信息系统安全地需要,且合同条款是否事实上已在执行。
并且合同中应明确以下内容:当前软件的编程源代码的副本应附带条件,由独立第三方保管。
(三)检查计算机硬件和软件的会计处理内部审计师应该检查硬件成本、软件成本、维护成本以及其它成本的适当项目,确定这些成本是否适当地记录在财务报表中。
六、物理安全系统的物理安全包括以下几个方面:各种类型的物理锁,包括常规的钥匙锁,电子通道证章锁、组合密码锁以及生物锁;安全警卫;视频监控设备;常规的意外事件监控设备;加热,通风以及冷却系统;涵盖硬件及重建数据费用在内的保险;定期地备份系统软件、应用程序以及数据,将备份资料置于安全的外部场所中;紧急电源以及不间断电源系统;现行的和已经通过测试的业务恢复方案,包括信息系统的关键部分;训练有素的后备系统安全管理员。
七、逻辑安全(一)系统安全参数应该分别在系统层面和个人的基础上定制。
5个常见的系统化系统层面和个人层面的安全参数包括:1、最小密码长度2、密码有效期3、取消用户帐户之前所允许的连续不成功的登录次数上限4、每天用户可以登录的时间和以及每周用户可以登录的日期5、用户自动退出登录之前所允许的最长非活动期另外对还有一个指标是对系统安全参数的补充:系统登录的粒度控制是指系统参数能被控制的详尽程度:1、密码的屏蔽可以防止其他用户轻易猜出密码;2、系统编程应该要求,密码中至少有两个数字和两个非字母的字符,这样就可以确保密码很难被猜出;4、系统编程应该防止用户输入他最近使用的密码;5、系统编程应该仅仅允许某些用户帐号从特定的工作站登录;6、允许用户进行同步的登录会话,即可以同时登录两个或者更多的工作站,弊端是会增加非授权登录的危险。
(二)对系统管理员的行为的控制1、系统编程时要求存在第二个系统安全管理员来确认所有用户的帐号和登录权限的添加、更改和删除的权限,系统的操作和安全参数也可以由它更改。
2、系统编程时应该记录所有与系统安全相关的潜在事件,最好由系统安全管理员的经理实施定期检查异常行为或非授权行为日志的程序。
(三)远程登录控制最常见的远程登录控制包括租用专线、自动回拨、安全套接层会话、多重验证,以及虚拟个人网络。
在某些情况下,可以设置一种或多种控制的组合。
租用专线是指私人的电话连接。
自动回拨使远程用户利用计算机的调制调解器拨通专线电话号码来登录远程网络的一种控制。
安全套接层是网络服务器和远程计算机之间提供加密网络会话的一种协议。
多重验证是指在允许用户登录之前,实施两个或两个以上的控制。
虚拟私人网络使得远程计算机和网络服务器之间可以进行安全网络会话。
(四)系统安全管理系统安全管理是保护信息系统不受非授权登录以及无意或故意的篡改或者卸载的过程系统安全管理员所执行的重大的安全相关的职能包括:创建用户帐号,分配相关的系统登录权限,设置系统安全管理参数,监控系统,防止和检查潜在的非授权的系统登录。