信息系统审计重点
CISA重要知识第一章-信息系统审计程序重要知识点
第一层次:信息系统审计准则。信息系统审计准则是整个审计准则体系的总纲,是信息 系统审计师的资格条件、执业行为的基本规范,是制定审计指南和审计程序的基础依据。分 为 8 大类,共 12 条准则。只要是信息系统审计师执行审计业务,出具审计报告,都必须遵 守执行,具有强制性。
CISA 考试复习关键点
第一章 信息系统审计程序
★ 必须的知识点
1、ISACA 发布的信息系统审计标准、准则、程序和职业道德规范 2、IS 审计实务和技术 3、收集信息和保存证据的技术(如观察、调查问卷、谈话、计算机辅助审计技术、电子介质) 4、证据的生命周期(如证据的收集、保护和证据之间的相关性) 5、与信息系统相关的控制目标和控制(如 C}}I}'模型) 6、审计过程中的风险评估 7、审计计划和管理技术 8、报告和沟通技术(如推进、商谈、解决冲突) 9、控制自我评估(CSA) 10、持续审计技术(即:连续审计技术)
如果重大的误报或非法行为影响到信息系统审计人员继续实施审计工作时,信息系统审计人 员应该考虑该环境下的法律和职业责任。信息系统审计人员可以采取的行动有:向业务主管 人员报告、向公司治理机构或司法机构报告、中止审计业务。
信息系统审计人员应该检查和评估 I 职能部门的使命、愿景、价值观、目标和战略是否与组 织相一致。 信息系统审计人员应该检查 I 职能部门是否存在书面明确的业绩标准,评价其履行情况。
ISACA 信息系统审计标准
审计章程或审计业务约定书应得到组织中适当的管理层的同意和批准。
信息系统审计师在从事审计事项时,应该在实质和形式上独立于被审计方。
信息系统审计人员应编制基于风险的审计方法。 信息系统审计人员应编制详细的审计计划,包括审计性质、目标、范围和所需的资源。 信息系统审计人员应编制审计程序和步骤。
信息系统安全审计
信息系统安全审计信息系统安全审计是指对一个组织或者企业的信息系统进行全面和系统的检查,以评估其安全性和合规性,并提供改进建议的过程。
在当今数字化时代,信息系统安全审计变得尤为重要,因为恶意攻击和数据泄露的风险不断增加。
本文将探讨信息系统安全审计的重要性、步骤和关键要点。
一、信息系统安全审计的重要性信息系统安全审计对于保护组织的机密性、完整性和可用性至关重要。
以下是信息系统安全审计的重要性:1. 发现潜在风险:信息系统安全审计可以帮助组织发现潜在的安全风险和漏洞,以便及时采取措施进行修复。
2. 合规性保证:信息系统安全审计可以确保组织符合法规和标准的要求,避免受到罚款和法律诉讼的风险。
3. 提高安全性:通过对信息系统进行审计,可以帮助组织加强其安全性,预防恶意攻击和数据泄露。
4. 保护声誉:一个经过信息系统安全审计的组织可以更好地保护其声誉,向客户和利益相关方展示其信息系统的安全性。
二、信息系统安全审计的步骤信息系统安全审计通常需要经历以下步骤:1. 确定范围:确定审计的范围,包括审计的系统、应用程序和相关的业务流程。
2. 收集信息:收集与审计有关的信息,包括各种文档、日志记录和其他必要的信息。
3. 建立审计计划:制定详细的审计计划,明确审计的目标、方法和时间表。
4. 进行审计测试:通过对系统进行各种测试,如漏洞扫描、渗透测试和安全配置审计,评估其安全性和合规性。
5. 分析结果:对审计测试结果进行综合分析和评估,确定潜在风险和漏洞。
6. 提出改进建议:根据分析结果,提出具体的改进建议,帮助组织修复安全漏洞和加强安全措施。
7. 编写审计报告:编写详细的审计报告,包括审计的目的、范围、方法、结果和改进建议。
8. 进行跟踪:跟踪和监督组织对审计报告中提出的改进建议的实施情况。
三、信息系统安全审计的关键要点在进行信息系统安全审计时,有几个关键要点需要注意:1. 关注网络安全:审计人员应重点关注网络安全,包括防火墙设置、入侵检测系统和网络流量监控等方面。
信息系统审计内容
信息系统审计内容一、信息系统审计内容概述信息系统审计对象,包括操作系统、主机、网络、数据库、应用软件、数据、管理制度等。
信息系统审计内容主要包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的检查和评价。
二、对组织层面信息技术控制的审计组织层面信息技术控制审计的内容包括:(一)控制环境内部审计人员应当关注组织的信息技术战略规划与业务布局的契合度、信息技术治理制度体系建设、信息技术部门的组织架构、信息技术治理的相关职权与责任分配、信息技术的人力资源管理、对用户的教育和培训等方面。
(二)风险评估内部审计人员应当关注组织在风险评估总体架构中关于信息技术风险管理流程,信息资产的分类及信息资产所有者的职责,以及对信息系统的风险识别方法、风险评价标准、风险应对措施。
(三)控制活动内部审计人员应当关注信息系统管理的方法和程序,主要包括职责分工控制、授权控制、审核批准控制、系统保护控制、应急处置控制、绩效考评控制等。
(四)信息与沟通内部审计人员应当关注组织决策层的信息沟通模式,信息系统对财务、业务流程的支持度,信息技术政策、信息安全制度传达与沟通等方面。
(五)内部监督内部审计人员应当关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及对信息技术内部控制自我评估机制等方面。
三、对信息系统一般性控制的审计信息系统一般性控制是确保组织信息系统正常运行的制度和工作程序,目标是保护数据与应用程序的安全,并确保异常中断情况下计算机信息系统能持续运行。
信息系统一般性控制包括硬件控制、软件控制、访问控制、职责分离等关键控制。
审计人员应当采用适当的方法、合理的技术手段对信息系统建设的合规合法、信息系统的安全管理、访问控制、基础架构、数据保护以及灾难恢复等方面开展审计。
信息系统一般性控制审计应当重点考虑下列控制活动:(一)系统开发和采购审计内部审计人员应当关注组织的应用系统及相关系统基础架构的开发和采购的授权审批,系统开发所制定的系统目标以及预期功能是否合理,是否能够满足组织目标;系统开发的方法,开发环境、测试环境、生产环境的分离情况,系统的测试、审核、验收、移植到生产环境等环节的具体活动。
信息技术审计的关键领域与技巧
信息技术审计的关键领域与技巧在信息时代的今天,信息技术的快速发展和广泛应用给企业和组织带来了许多机遇和挑战。
与此同时,信息技术中的安全问题也日益突出,为了保护企业和组织的核心信息资产以及运营的稳定性,信息技术审计应运而生。
信息技术审计是通过对信息系统的全面检查和评估,发现潜在的风险和问题,提供改进建议和控制措施,以确保信息系统的安全性、可靠性和合规性。
本文将重点介绍信息技术审计的关键领域和技巧。
一、信息技术审计的关键领域1. 系统安全审计系统安全审计是信息技术审计的核心领域之一,它主要关注系统的安全性。
在系统安全审计中,审计人员需要评估系统的安全策略和控制措施的有效性,检查是否存在安全漏洞和风险,并提出改进建议。
常见的系统安全审计内容包括对密码策略、访问控制、防火墙和入侵检测等安全控制措施的审计。
2. 数据完整性审计数据完整性审计是信息技术审计的另一个重要领域,它关注数据的准确性、完整性和可信度。
在数据完整性审计中,审计人员需要评估数据输入、处理和输出的过程,确定控制措施是否足够,以防止数据被恶意篡改、丢失或损坏。
此外,审计人员还需要检查数据备份和恢复系统的有效性,以确保数据的可靠性和可用性。
3. 网络安全审计随着互联网的普及和网络攻击的增加,网络安全审计变得越来越重要。
网络安全审计主要关注网络的安全性和合规性,包括网络设备的配置、网络流量的监控和入侵检测等方面。
审计人员需要评估网络设备的安全性和有效性,发现潜在的网络风险和漏洞,并提出相应的改进建议。
4. 业务连续性审计业务连续性审计是信息技术审计中一个比较特殊的领域,它主要关注企业和组织的业务连续性能力。
在业务连续性审计中,审计人员需要评估企业和组织的业务连续性计划和措施的有效性,检查是否存在单点故障和业务中断的风险,并提出改进建议。
常见的业务连续性审计内容包括对备份与恢复策略、容灾设施和测试计划的审计。
二、信息技术审计的技巧1. 确定审计目标和范围在进行信息技术审计之前,首先需要明确审计目标和范围。
信息系统审计知识点总结
信息系统审计知识点总结11 合同主体甲方:____________________________乙方:____________________________111 合同标的本合同的标的为信息系统审计知识点的总结。
该总结应涵盖信息系统审计的各个关键方面,包括但不限于以下内容:1、信息系统审计的定义、目标和范围。
2、信息系统审计的流程和方法,如审计计划的制定、风险评估、控制测试和实质性测试等。
3、信息系统内部控制的审计要点,包括访问控制、数据备份与恢复、系统变更管理等。
4、信息系统审计中的常见风险和应对策略。
5、信息系统审计所依据的法律法规和标准。
6、信息系统审计报告的撰写和内容要求。
112 权利义务甲方的权利和义务:1、有权要求乙方按照合同约定的内容和时间提交信息系统审计知识点总结。
2、有权对乙方提交的总结进行审核和提出修改意见。
3、应按照合同约定的时间和方式向乙方支付相应的费用。
乙方的权利和义务:1、有权要求甲方按照合同约定支付费用。
2、有义务按照合同约定的内容和时间,高质量地完成信息系统审计知识点的总结。
3、应接受甲方的审核和修改意见,并在合理时间内进行修改和完善。
4、保证所提供的知识点总结的准确性、完整性和合法性,不存在抄袭或侵权行为。
113 违约责任若甲方未按照合同约定支付费用,每逾期一天,应按照未支付金额的X%向乙方支付违约金。
若乙方未按照合同约定的时间提交信息系统审计知识点总结,每逾期一天,应按照合同总金额的X%向甲方支付违约金。
若逾期超过X 天,甲方有权解除合同,并要求乙方返还已支付的费用,同时乙方应按照合同总金额的X%向甲方支付违约金。
若乙方提交的总结不符合合同约定的质量要求,乙方应在甲方指定的时间内进行修改和完善,若经多次修改仍不符合要求,甲方有权解除合同,并要求乙方返还已支付的费用,同时乙方应按照合同总金额的X%向甲方支付违约金。
114 争议解决方式本合同在履行过程中发生的争议,由双方协商解决;协商不成的,任何一方均有权向有管辖权的人民法院提起诉讼。
信息系统运营与维护审计
信息系统运营与维护审计在当今数字化时代,信息系统已经成为企业和组织运营的核心基础设施。
信息系统的稳定运行和有效维护对于业务的连续性、数据的安全性以及决策的准确性至关重要。
信息系统运营与维护审计作为一种监督和评估机制,能够帮助企业识别潜在的风险、优化资源配置,并确保信息系统符合法规和业务需求。
信息系统运营与维护审计的定义和目标信息系统运营与维护审计是对信息系统在日常运行和维护过程中的各个方面进行审查和评估的活动。
其主要目标包括:1、评估信息系统的性能和可用性,确保其能够满足业务需求和用户期望。
2、审查系统维护的流程和措施,保障系统的稳定性和可靠性。
3、检查信息安全策略的执行情况,防止数据泄露和系统遭受攻击。
4、评估资源利用效率,以优化成本和提高投资回报率。
信息系统运营审计的主要内容系统性能评估系统性能是衡量信息系统运行状况的关键指标。
审计人员会关注系统的响应时间、吞吐量、资源利用率(如 CPU 使用率、内存使用率、磁盘 I/O 等)。
通过性能监测工具和数据分析,确定系统是否存在性能瓶颈,并评估系统在高负载情况下的处理能力。
可用性审查信息系统的可用性直接影响业务的正常开展。
审计会检查系统的停机时间、故障恢复时间以及备份和恢复策略的有效性。
同时,还会评估系统的容灾能力和应急计划,以确保在面临自然灾害、硬件故障或其他突发事件时,能够迅速恢复系统运行。
变更管理审计变更管理是信息系统维护中的重要环节。
审计人员会审查变更请求的提出、审批、实施和验证流程。
确保变更经过充分的测试和风险评估,避免因不当变更导致系统故障或安全漏洞。
安全管理审计信息安全是信息系统的生命线。
审计会检查访问控制策略的执行情况,包括用户权限管理、密码策略、身份认证机制等。
还会评估网络安全防护措施、数据加密技术的应用以及安全事件的监测和响应机制。
资源管理审计资源管理包括硬件资源、软件资源和人力资源。
审计会评估硬件设备的更新和维护计划,软件许可证的合规性,以及人力资源的配置和技能水平是否满足系统运营和维护的需求。
信息系统审计的内容
信息系统审计的内容信息系统审计是指对组织的信息系统进行全面审查和评估的过程。
其目的是确保信息系统的安全性、完整性和可靠性,以及合规性和合理性。
信息系统审计涵盖了多个方面,包括技术审计、流程审计和合规审计等。
技术审计是信息系统审计中的重要环节,主要涉及对信息系统的硬件和软件进行评估。
技术审计的目标是发现系统中存在的漏洞和安全隐患,以及评估系统的性能和稳定性。
在技术审计中,审计人员会对系统的网络拓扑、服务器配置、数据库管理、密码策略等进行检查和测试,以确保系统的安全性。
流程审计是信息系统审计的另一个重要方面,其主要关注组织的信息系统使用过程。
流程审计旨在评估信息系统的使用效率和合规性,以及发现潜在的问题和风险。
在流程审计中,审计人员会对系统的数据输入、处理和输出过程进行审查,以确保系统的操作符合规定的流程和标准。
合规审计是信息系统审计中必不可少的一部分,其重点是评估信息系统是否符合相关法规和标准。
合规审计包括对系统的安全政策、访问控制、数据保护等方面进行评估,以确保系统的运行符合法律法规的要求。
合规审计还可以帮助组织识别和解决潜在的合规问题,减少合规风险。
信息系统审计还包括其他方面的审计内容,如数据审计、业务连续性审计和风险管理审计等。
数据审计主要关注系统中的数据完整性和准确性,以及数据的访问和使用情况。
业务连续性审计旨在评估系统的灾备和恢复能力,以应对突发事件和灾难。
风险管理审计主要关注组织的风险管理过程和控制措施,以确保系统的安全性和可靠性。
信息系统审计是组织管理和运营的重要环节,对于确保系统的安全性和合规性至关重要。
通过信息系统审计,组织可以发现和解决系统中存在的问题和风险,提高系统的安全性和可靠性。
同时,信息系统审计也可以帮助组织改进和优化系统的运行和管理,提高组织的整体效能和竞争力。
信息系统审计涵盖了技术审计、流程审计、合规审计等多个方面的内容。
通过对组织的信息系统进行全面审查和评估,可以确保系统的安全性、完整性和可靠性,以及合规性和合理性。
审计师在信息技术方面的专业知识要求
审计师在信息技术方面的专业知识要求在当今数字化时代,信息技术的快速发展对各行各业都产生了重要影响,审计行业也不例外。
审计师需要具备一定的信息技术方面的专业知识,以适应不断变化的审计环境。
本文将探讨审计师在信息技术方面的专业知识要求,并重点介绍与数据分析、信息系统审计和网络安全相关的技能。
一、数据分析在现代审计工作中,数据分析已经成为了一个重要的工具。
审计师需要掌握一些常见的数据分析技术和工具,以便更好地处理大量的数据,并从中提取有价值的信息。
以下是一些审计师在数据分析方面需要掌握的专业知识:1. 数据库知识:审计师需要了解数据库的基本原理和常用的数据库管理系统,如SQL Server、Oracle等。
他们需要能够编写和执行SQL 查询语句,从数据库中获取需要的数据。
2. 电子表格应用:审计师通常使用电子表格软件(如Excel)进行数据的处理和分析。
他们需要熟悉电子表格的基本功能和高级功能,如数据透视表、数据筛选和数据逻辑运算等。
3. 数据挖掘与统计分析:审计师需要了解一些数据挖掘和统计分析的方法和技巧,以便能够根据数据模式和规律进行分析和预测。
二、信息系统审计信息系统审计是指对组织的信息系统进行全面评估和审查,以确保其运行符合法规和内部控制要求。
为了进行有效的信息系统审计,审计师需要具备以下专业知识:1. 信息系统基础知识:审计师需要了解信息系统的基本原理和结构,包括硬件、软件和网络等方面。
他们需要熟悉常用的操作系统和数据库管理系统,并理解其内部运行机制。
2. 内部控制和安全管理:审计师需要了解信息系统的内部控制要求和安全管理措施,以评估组织的信息系统是否存在潜在的风险。
3. 审计技术与工具:审计师需要熟悉一些信息系统审计的技术和工具,如网络扫描工具、入侵检测系统、日志分析工具等,以便能够对信息系统进行安全性评估和漏洞扫描。
三、网络安全随着网络的普及和信息传输的依赖程度的提高,网络安全问题日益凸显。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统审计电子计算机在数据处理的发展过程可分为三个阶段:数据的单项处理阶段、数据的综合处理阶段、数据的系统处理阶段。
数据处理电算化以后,对传统的审计产生了巨大的影响,主要表现在:1、对审计线索的影响~~~~2、对审计方法和技术的影响~~~~~~3、对审计人员的影响~~~~~4、对审计准则的影响~~~~~~信息系统审计的定义:信息系统审计是根据公认的标准和指导规范,对信息系统从规划、实施到运行维护各个环节进行审查评价,对信息系统及其业务应用的完整性、有效性、效率性、安全性等进行检测、评估和控制的过程,以确认预订的业务目标得以实现,并提出一系列改进建议的管理活动。
信息系统的主体:有胜任能力的信息系统独立审计机构或人员信息系统审计的对象:被审计的信息系统信息系统审计工作的核心:客观地收集和评估证据信息系统审计的目的是评估并提供反馈、保证及建议。
关注之处被分为三类:可用性、保密性、完整性。
信息系统审计的特点:审计范围的广泛性、审计线索的隐蔽性、易逝性、审计取证的动态性、审计技术的复杂性。
(真是为一道简答题。
在P6,详细看一下各段内容,概括下再答题)信息系统审计目标:1、保护资产的完整性2、保证数据的准确性3、提高系统的有效性4、提高系统的效率性5、保证信息系统的合规性与合法性信息系统的主要内容:内部控制系统审计(分为一般控制系统、应用控制系统,对信息系统的内部控制系统进行审计的目的是在内部控制审计的基础上对信息系统的处理结果进行审计、加强内部控制,完善内部控制系统)系统开发审计(信息系统开发审计是对信息系统开发过程进行的审计,审计目的一是要检查开发的方法、程序是否科学,是否含有恰当的控制;二是要检查开发过程中产生的系统文档资料是否规范。
)应用程序审计(审查应用程序有两个目的,意识测试应用控制系统的符合性,二是通过检查程序运算和逻辑的正确性达到实质性测试目的)数据文件审计(审计目的一是对数据文件进行实质性测试,二是通过数据文件的审计,测试一般控制或应用控制的符合性,但主要是为了实质性测试)(这是道简答题,在P8各个小概括下)信息系统审计的基本方法:绕过信息系统审计、通过信息系统审计信息系统审计的步骤(大题P11):准备阶段:明确审计任务,组成信息系统审计小组,了解被审计系统的基本情况,指定信息系统审计方案,发出审计通知书实施阶段:对被审计系统的内部控制制度进行健全性调查和符合性测试,对账表单证或数据文件的实质性审查终结阶段:整理归纳审计资料,撰写审计报告,发出审计结论和决定,审计资料的归档和管理国际信息系统审计准则:由信息系统审计与控制协会(ISACA)颁布和实施的。
ISACA是国际上唯一的信息系统审计专业组织,通过制定和颁布信息系统审计标准、指南和程序来规范审计师的工作,它由三个层次构成:审计标准(审计标准是整个信息系统准则体系的总纲,是制定审计指南和作业程序的基础和依据)审计指南(审计指南为审计标准的应用提供了指引,信息系统审计师在审计过程中应考虑如何应用指南以实现审计标准的要求,在应用过程中灵活运用专业判断并纠正任何偏离准则的行为)作业程序(作业程序提供了信息系统审计师在审计过程中可能遇到的审计程序的示例)信息系统审计师应具备的素质(大题P18-19)应具备的理论知识:传统审计理论、信息系统管理理论、计算机科学、行为科学理论应具有的实践技能:参加过不同类别的工作培训、参与专业的机构或厂商组织的研讨会,动态掌握信息技术的新发展对审计实践的影响、具有理解信息处理活动的各种技术、理解并熟悉操作环境,评估内部控制的有效性、理解现有与未来系统的技术复杂性,以及它们对各级操作与决策的影响、能使用技术的方法去识别系统的完整性、要参与评估与使用信息技术相关的有效性、效率、风险等、能够提供审计集成服务并为审计员工提供指导,与财务审计师一起对公司财务状况做出说明、具备系统开发方法论、安全控制设计、实施后评估等、掌握网络相关的安全实践、信息安全服务、灾难恢复与业务持续计划、异步传输模式等通信技术。
IT治理定义:德勒定义:IT治理是一个含义广泛的概念,包括信息系统、技术、通信、商业、所有利益相关者、合法性和其他问题。
其主要任务是保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,IT相关风险的适当管理。
IT治理必须与企业战略目标一致,IT对于企业非常关键,也是战略规划的组成,影响战略竞争;IT治理和其他治理主体一样,是管理执行人员和利益相关者的责任(以董事会为代表);IT治理保护利益相关者的权益,使风险透明化,指导和控制IT投资、机遇、利益、风险;IT治理包括管理层、组织结构、过程,以确保IT维护和拓展组织战略目标;应该合理利用企业的信息资源,有效的集成与协调;确保IT及时按照目标交付,有合适的功能和期望的收益,是一个一致性和价值传递的基本构建模块,有明确的期望值和衡量手段;引导IT战略平衡系统的投资,支持企业,变革企业,或者创建一个信息基础架构,保证业务增长,并在一个新的领域竞争。
IT治理和IT管理的关系:IT管理是在既定的IT治理模式下,管理层为实现公司的目标二采取的行动,IT治理规定了整个企业IT运作的基本框架,IT管理则是在这个既定的框架下驾驭企业奔向目标。
缺乏良好IT治理模式的公司,即使有很好的IT管理体系,就想一座地基不牢固的大厦;同时,没有公司IT管理体系的流畅,单纯的治理模式也只能是一个美好的蓝图,而缺乏实际的内容。
公司治理和IT治理:公司治理,驱动和调整IT治理。
同时,IT能够提供关键的输入,形成战略计划的一个重要组成部分,即IT影响企业的战略竞争机遇。
IT治理标准:ITIL、COBIT BS7799 PRINCE2IT治理成熟度模型:不存在、初始级、可重复级、已定义级、已管理级、已优化级(主要内容及其作用在P47-48)信息系统内部控制:是一个单位在信息系统环境下,为了保证业务活动的有效进行,保护资产的安全与完整,防止、发现、纠正错误与舞弊、确保信息系统提供信息的真实、合法、完整,而制定和实施的一系列政策与程序措施。
凡是与信息系统的建立、运作维护、管理和业务处理有关的部门、人员和活动,都属于信息系统内部控制的对象,可分为一般控制和应用控制。
信息系统一般控制是应用于一个单位信息系统全部或较大范围的内部控制,其基本目标为保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的继续运行等。
信息系统应用控制是用于对具体应用系统的控制,一个应用系统一般由多个相关计算机程序组成,有些应用系统可能是复杂的综合系统,牵涉到多个计算机程序和组织单元,与此相对应,应用控制包括包含在计算机编码中的日常控制及与用户活动相关的政策和流程。
良好的一般控制是应用控制的基础,可以为应用控制的有效性提供有力的保障,某些应用控制的有效性取决于计算机整体环境控制的有效性。
当计算机整体环境控制薄弱时,应用控制就无法真正提供合理保障。
如果一般控制审计结果很差,应用控制审计结果很差,应用控制审计就没有进行的必要。
审计逻辑访问安全策略:知所必需原则审查离职员工的访问控制:请辞、聘用合同期满和非自愿离职数据库加密:一般采用公开密钥加密方法系统访问控制及其审计:系统访问就是利用计算机资源达到一定目的的能力,对计算机化的信息资源的访问可以基于逻辑方式,也可以基于物理方式。
物理访问控制可以限制人员进出敏感区域。
对计算机信息的物理访问与逻辑访问应当建立在“知所必需”的基础上,按照最小授权原则和职责分离原则来分配系统访问权限,并把这些访问规则与访问授权通过正式书面文件记录下来,作为信息安全的重要文件加以妥善管理。
身份识别与验证(简答题P65-66):逻辑访问控制中的身份识别与验证是一种提供用户身份证明的过程,在这个过程中,用户向系统提交有效的身份证明,系统验证这个身份证明后向用户授予访问系统的能力。
可分为三类:“只有你知道的事情”“只有你拥有的东西”“只有你具有的特征” 例子:账号与口令、令牌设备、生物测定技术与行为测定技术。
逻辑访问授权:一般情况下逻辑访问控制基于最小授权原则,支队因工作需要访问信息系统的人员进行必要的授权。
当用户在组织变换工作角色时,在赋予他们新访问权限时,一般没有及时取消旧的访问权限,这就会产生访问控制上的风险。
所以当员工职位有变动时,信息系统审计师就要及时审核访问控制列表是否做了有效变更。
灾难恢复控制及其审计:信息系统的灾难恢复和业务持续计划是组织中总的业务持续计划和灾难恢复计划的重要组成部分。
恢复策略与恢复类型:热站、温站、冷站、冗余信息处理设施、移动站点、组织间互惠协议。
BCP中多个计划文件:业务持续性计划(BCP)、业务恢复计划(BRP)、连续作业计划(COOP)连续支持计划、IT应急计划、危机通信计划、事件响应事件、灾难恢复计划(DRP)、场所紧急计划(OEP)异地备份:完全备份、增量备份、差分备份灾难恢复与业务持续计划的审计:主要任务是理解与评价组织的业务连续性策略,及其组织业务目标的符合性;参考相应的标准和法律法规,评估该计划的充分性和时效性;审核信息系统及终端用户对计划所做的测试的结果,验证计划的有效性;审核异地存储设施机器内容、安全和环境控制,以评估异地存储站点的适当性;通过审核应急措施、员工培训、测试结果,评估信息系统及其终端用户在紧急情况下的有效反应能力;确认组织对业务持续性计划的维护措施存在并有效。
应用控制概念:应用控制是为适应各种数据处理的特殊控制要求,保证数据处理完整、准确地完成而建立的内部控制。
应用控制涉及各种类型的业务,每种业务及其数据处理尤其特殊流程的要求,这决定了具体的应用控制的设计需结合具体的业务。
单另一方面。
由于数据处理过程一般都是由输入、处理和输出三个阶段构成,从这一共性出发,可将应用控制划分为输入控制、处理控制和输出控制。
应用控制也是由手工控制和程序化控制构成,但以程序化控制为主。
软件维护的种类:纠错行为化、适应性维护、完善性维护、预防性维护服务管理:面向IT基础设施管理的服务支持、面向业务管理的服务提供IT服务提供流程主要面对付费的机构和个人客户,负责为客户提供高质量、低成本的IT服务。
任务:根据组织的业务需求,对服务能力、持续性、可用性等服务级别目标进行规划和设计,同时还必须考虑到这些服务目标所需要耗费的成本。
主要包括服务水平管理、IT服务财务管理、能力管理、IT服务持续性管理和可用性管理5个服务管理流程。
IT服务的服务支持主要面向终端用户,负责确保IT服务的稳定性与灵活性,用于确保终端用户得到适当的服务,以支持组织的业务功能。
服务支持流程包括体现服务接触和沟通的服务台职能和5个运作层次的流程,即配置管理、事务管理、问题管理、变更管理、发布管理。