CISA_IT审计实务培训2-审计实务PPT教学课件
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
模拟攻击行为,发现漏洞
关键:
实施风险分析 全面备份与恢复计划 委托专业机构
2020/12/10
杨洋,
杨洋,
杨洋,
6. 数据测试
测试
选择重要模块 数据设计
覆盖各种情况:数据类型、编码违规、违反逻辑 条件、数据文件不一致……
来源:实际业务数据、用户测试数据、审计师测 试数据、自动生成数据
2020/12/10
杨洋,
杨洋,
3. 对IT基础设施与环境的审计
关键风险与控制
参考材料:“IT基础设施审计要点”
案例讨论:
案例1:打印共享设备物理访问安全 案例2:某跨国企业信息系统渗透测试过程
与结果
2020/12/10
杨洋,
杨洋,
4. 对备份和业务持续性的审计
关键风险与控制
参考材料:“BCP审计要点”
2020/12/10
杨洋,
杨洋,
1. 对组织管理架构的审计
组织模式对系统风险的影响
分布式/集中式 IT治理 岗位分工
2020/12/10
杨洋,
IT 岗 位 分 权
杨洋,
控制 系统 小组 分析
员
控制小 组
系统分 析员
应用程 序员
数据录 入员
操作员
应用 程序 员
数据 录入 员
操作 员
数据 库管 理员
IT审计实务培训
务、方法与工具
—— 2. 实
2020/12/10
()
杨洋,
主讲人简介
杨洋
管理学博士(信息管理与信息安全方向,同济大学) 会计学学士、硕士(东北财经大学) 高级程序员(1998),CISA(2002), SCJP,IBM电子商务
咨询师,IBM WSAD Developer 目前为同济大学电信学院博士后,主要研究领域:基于移动计
2020/12/10
杨洋,
2.面询与问卷设计
面谈准备:
背景研究 确定对象 内容、时间和地点
面谈实施:
时间控制 气氛把握 记录方式 确认 后续分析
2020/12/10
杨洋,
杨洋,
杨洋,
2.面询与问卷设计
问卷调查
问题设计
目的性 问卷对象:专业性与客观性 答案的明确性
如何避免答案失真
2020/12/10
杨洋,
3.比对技术
源代码比对 目标代码比对 特征值比对
2020/12/10
杨洋,
杨洋,
杨洋,
4.业务观察与穿行测试
实际岗位分工与制度是否一致 穿行测试(walk-through):实际流程是
否一致 安全意识 汇报路线:权责是否一致
2020/12/10
杨洋,
5.渗透测试
分析性复核
2020/12/10
杨洋,
7. 数据采集与分析
GAAT:
ACL、IDEA ACCESS 、SQL Server SPSS、EXCEL
工具的选择:
功能与易用性 使用习惯与方便获取
2020/12/10
杨洋,
杨洋,
杨洋,
二、 一般控制审计实务
1. 对组织管理架构的审计 2. 对IT外包的审计 3. 对IT基础设施与环境的审计 4. 对备份和业务持续性的审计 5. 对开发和获取过程的审计 6. 对系统变更过程的审计
2020/12/10
杨洋,
杨洋,
3. 对IT基础设施与环境的审计
审计范畴
硬件环境与防灾 主机硬件安全 底层支撑系统安全 通信线路安全 数据存储/IO安全 物理访问控制 ……
2020/12/10
杨洋,
杨洋,
3. 对IT基础设施与环境的审计
审计依据
GB计算站相关标准 ISO17799/BS7799 GB建筑、防雷等相关标准
一般方式:
黑盒 白盒
2020/12/10
杨洋,
杨洋,
6. 数据测试
测试类型
ITF(生产环境中用测试用例)
输入标记 消除影响
平行模拟(SQL,EXCEL+VBA)
开发原型 新旧系统交接
2020/12/10
杨洋,
杨洋,
7. 数据采集与分析
直接获取系统数据,特别是业务输 入与业务输出
案例讨论
某企业灾难恢复计划审计过程与结论
2020/12/10
杨洋,
杨洋,
5. 对开发和获取过程的审计
基本概念回顾
软件工程方法论
关键风险与控制
参考材料:“开发与获取过程审计要点”
2020/12/10
杨洋,
杨洋,
5. 对开发和获取过程的审计
开发过程中的质量和安全控制
进度与成本控制
案例讨论:某局信息系统开发采购计划
算的安全接入关键技术
2020/12/10
杨洋,
杨洋,
一、 常用审计方法概述
1.文档复核
2. 面询与问卷设计 3. 比对技术 4. 业务观察与穿行测试 5. 渗透测试 6. 数据测试 7. 数据采集与分析
2020/12/10
杨洋,
杨洋,
1.文档复核
理解目标背景 理解风险点与内控 理解系统目标与期望业务输出 理解系统架构 发现异常与违规
安全 管理 员
备份 管理 员
系统 程序 员
质量 保证 小组
数据库 管理员
安全管 理员
备份管 理员
系统程 序员
质量保 证小组
2020/12/10
杨洋,
杨洋,
1. 对组织管理架构的审计
关键风险和控制
参考材料:“IT组织管理架构审计要点”
案例讨论:
案例1:大连某企业工资核算系统 案例2:某企业雇员退出管理漏洞与案件
2020/12/10
杨洋,
2. 对IT外包的审计
外包审计的主要关注点
核心竞争力 信息安全 系统可靠性 业务长期可持续性
2020/12/10
杨洋,
杨洋,
杨洋,
2. 对IT外包的审计
关键风险和控制
参考材料:“IT外包审计要点”
案例讨论:
案例1:某通信服务企业充值卡案件 案例2:澳大利亚政府部门IT外包综合审计
审计方法
了解与分析 配置检查 日志复核 漏洞扫描 渗透测试
2020/12/10
杨洋,
杨洋,
5. 对开发和获取过程的审计
技术先进性与系统获取
某区教育系统数据中心ቤተ መጻሕፍቲ ባይዱ购案例
全局性考虑
委托开发中的知识产权问题
2020/12/10
杨洋,
杨洋,
6. 对系统变更过程的审计
系统变更对金融企业的作用 系统变更管理的一般流程
2020/12/10
杨洋,
杨洋,
6. 对系统变更过程的审计
关键风险与控制
参考材料:“系统变更审计要点”
案例讨论:
中国银联系统宕机事件
2020/12/10
杨洋,
杨洋,
三、 网络安全审计实务
1. 网络安全审计概述 2. 渗透测试技术与工具 3. 控制与审计要点 4. 当前热点:无线接入与数据库保护
2020/12/10
杨洋,
1. 网络安全审计概述
审计目标与范围
关键:
实施风险分析 全面备份与恢复计划 委托专业机构
2020/12/10
杨洋,
杨洋,
杨洋,
6. 数据测试
测试
选择重要模块 数据设计
覆盖各种情况:数据类型、编码违规、违反逻辑 条件、数据文件不一致……
来源:实际业务数据、用户测试数据、审计师测 试数据、自动生成数据
2020/12/10
杨洋,
杨洋,
3. 对IT基础设施与环境的审计
关键风险与控制
参考材料:“IT基础设施审计要点”
案例讨论:
案例1:打印共享设备物理访问安全 案例2:某跨国企业信息系统渗透测试过程
与结果
2020/12/10
杨洋,
杨洋,
4. 对备份和业务持续性的审计
关键风险与控制
参考材料:“BCP审计要点”
2020/12/10
杨洋,
杨洋,
1. 对组织管理架构的审计
组织模式对系统风险的影响
分布式/集中式 IT治理 岗位分工
2020/12/10
杨洋,
IT 岗 位 分 权
杨洋,
控制 系统 小组 分析
员
控制小 组
系统分 析员
应用程 序员
数据录 入员
操作员
应用 程序 员
数据 录入 员
操作 员
数据 库管 理员
IT审计实务培训
务、方法与工具
—— 2. 实
2020/12/10
()
杨洋,
主讲人简介
杨洋
管理学博士(信息管理与信息安全方向,同济大学) 会计学学士、硕士(东北财经大学) 高级程序员(1998),CISA(2002), SCJP,IBM电子商务
咨询师,IBM WSAD Developer 目前为同济大学电信学院博士后,主要研究领域:基于移动计
2020/12/10
杨洋,
2.面询与问卷设计
面谈准备:
背景研究 确定对象 内容、时间和地点
面谈实施:
时间控制 气氛把握 记录方式 确认 后续分析
2020/12/10
杨洋,
杨洋,
杨洋,
2.面询与问卷设计
问卷调查
问题设计
目的性 问卷对象:专业性与客观性 答案的明确性
如何避免答案失真
2020/12/10
杨洋,
3.比对技术
源代码比对 目标代码比对 特征值比对
2020/12/10
杨洋,
杨洋,
杨洋,
4.业务观察与穿行测试
实际岗位分工与制度是否一致 穿行测试(walk-through):实际流程是
否一致 安全意识 汇报路线:权责是否一致
2020/12/10
杨洋,
5.渗透测试
分析性复核
2020/12/10
杨洋,
7. 数据采集与分析
GAAT:
ACL、IDEA ACCESS 、SQL Server SPSS、EXCEL
工具的选择:
功能与易用性 使用习惯与方便获取
2020/12/10
杨洋,
杨洋,
杨洋,
二、 一般控制审计实务
1. 对组织管理架构的审计 2. 对IT外包的审计 3. 对IT基础设施与环境的审计 4. 对备份和业务持续性的审计 5. 对开发和获取过程的审计 6. 对系统变更过程的审计
2020/12/10
杨洋,
杨洋,
3. 对IT基础设施与环境的审计
审计范畴
硬件环境与防灾 主机硬件安全 底层支撑系统安全 通信线路安全 数据存储/IO安全 物理访问控制 ……
2020/12/10
杨洋,
杨洋,
3. 对IT基础设施与环境的审计
审计依据
GB计算站相关标准 ISO17799/BS7799 GB建筑、防雷等相关标准
一般方式:
黑盒 白盒
2020/12/10
杨洋,
杨洋,
6. 数据测试
测试类型
ITF(生产环境中用测试用例)
输入标记 消除影响
平行模拟(SQL,EXCEL+VBA)
开发原型 新旧系统交接
2020/12/10
杨洋,
杨洋,
7. 数据采集与分析
直接获取系统数据,特别是业务输 入与业务输出
案例讨论
某企业灾难恢复计划审计过程与结论
2020/12/10
杨洋,
杨洋,
5. 对开发和获取过程的审计
基本概念回顾
软件工程方法论
关键风险与控制
参考材料:“开发与获取过程审计要点”
2020/12/10
杨洋,
杨洋,
5. 对开发和获取过程的审计
开发过程中的质量和安全控制
进度与成本控制
案例讨论:某局信息系统开发采购计划
算的安全接入关键技术
2020/12/10
杨洋,
杨洋,
一、 常用审计方法概述
1.文档复核
2. 面询与问卷设计 3. 比对技术 4. 业务观察与穿行测试 5. 渗透测试 6. 数据测试 7. 数据采集与分析
2020/12/10
杨洋,
杨洋,
1.文档复核
理解目标背景 理解风险点与内控 理解系统目标与期望业务输出 理解系统架构 发现异常与违规
安全 管理 员
备份 管理 员
系统 程序 员
质量 保证 小组
数据库 管理员
安全管 理员
备份管 理员
系统程 序员
质量保 证小组
2020/12/10
杨洋,
杨洋,
1. 对组织管理架构的审计
关键风险和控制
参考材料:“IT组织管理架构审计要点”
案例讨论:
案例1:大连某企业工资核算系统 案例2:某企业雇员退出管理漏洞与案件
2020/12/10
杨洋,
2. 对IT外包的审计
外包审计的主要关注点
核心竞争力 信息安全 系统可靠性 业务长期可持续性
2020/12/10
杨洋,
杨洋,
杨洋,
2. 对IT外包的审计
关键风险和控制
参考材料:“IT外包审计要点”
案例讨论:
案例1:某通信服务企业充值卡案件 案例2:澳大利亚政府部门IT外包综合审计
审计方法
了解与分析 配置检查 日志复核 漏洞扫描 渗透测试
2020/12/10
杨洋,
杨洋,
5. 对开发和获取过程的审计
技术先进性与系统获取
某区教育系统数据中心ቤተ መጻሕፍቲ ባይዱ购案例
全局性考虑
委托开发中的知识产权问题
2020/12/10
杨洋,
杨洋,
6. 对系统变更过程的审计
系统变更对金融企业的作用 系统变更管理的一般流程
2020/12/10
杨洋,
杨洋,
6. 对系统变更过程的审计
关键风险与控制
参考材料:“系统变更审计要点”
案例讨论:
中国银联系统宕机事件
2020/12/10
杨洋,
杨洋,
三、 网络安全审计实务
1. 网络安全审计概述 2. 渗透测试技术与工具 3. 控制与审计要点 4. 当前热点:无线接入与数据库保护
2020/12/10
杨洋,
1. 网络安全审计概述
审计目标与范围