信息系统审计信息系统审计基础-PPT课件.ppt

上传人(卖家):三亚风情 文档编号:3518410 上传时间:2022-09-10 格式:PPT 页数:24 大小:583KB
下载 相关 举报
信息系统审计信息系统审计基础-PPT课件.ppt_第1页
第1页 / 共24页
信息系统审计信息系统审计基础-PPT课件.ppt_第2页
第2页 / 共24页
信息系统审计信息系统审计基础-PPT课件.ppt_第3页
第3页 / 共24页
信息系统审计信息系统审计基础-PPT课件.ppt_第4页
第4页 / 共24页
信息系统审计信息系统审计基础-PPT课件.ppt_第5页
第5页 / 共24页
点击查看更多>>
资源描述

1、1杨杨 烺烺 (CISACISA)国际注册信息系统审计师国际注册信息系统审计师 2信息系统审计基础信息系统审计基础 信息系统审计的起源与发展信息系统审计的起源与发展 信息系统审计的内容信息系统审计的内容 内部控制与审计内部控制与审计 ITIT审计的标准和依据审计的标准和依据 ITIT审计的过程审计的过程 ITIT审计的技术审计的技术 31.1.信息系统审计的起源与发展信息系统审计的起源与发展1.1 1.1 国外:国外:八十年代、九十年代信息技术的进一步八十年代、九十年代信息技术的进一步发展与普及,使得企业越来越依赖信息及产发展与普及,使得企业越来越依赖信息及产生信息的信息系统。人们开始更多的关

2、注信生信息的信息系统。人们开始更多的关注信息系统的安全性、保密性、完整性及其实现息系统的安全性、保密性、完整性及其实现企业目标的效率、效果,真正意义的信息系企业目标的效率、效果,真正意义的信息系统风险评估与审计才出现。统风险评估与审计才出现。41.1.信息系统审计的起源与发展信息系统审计的起源与发展1.1 1.1 国外:国外:信息系统审计与控制协会信息系统审计与控制协会ISACA ISACA(INFORMATION SYSTEM AUDIT AND CONTROL(INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION)ASSOCIATION),总部设

3、在美国芝加哥。目前,总部设在美国芝加哥。目前该组织在世界上该组织在世界上100100多个国家设有多个国家设有160160多个分多个分会,现有会员两万多人,它是从事信息系统会,现有会员两万多人,它是从事信息系统审计的专业人员唯一的国际性组织。审计的专业人员唯一的国际性组织。51.1.信息系统审计的起源与发展信息系统审计的起源与发展1.1 1.1 国外:国外:CISA(Certified Information System CISA(Certified Information System Auditor)Auditor)是信息系统审计领域的唯一职业资是信息系统审计领域的唯一职业资格格 ISAC

4、AISACA每年举办每年举办CISACISA资格考试,通过考试资格考试,通过考试的人员可以申请的人员可以申请CISACISA资格,符合资格,符合ISACAISACA规定规定的工作经验及其他相关要求的申请人会被授的工作经验及其他相关要求的申请人会被授予予CISACISA资格。资格。CISACISA资格在世界各国都被广泛资格在世界各国都被广泛的认可。国内获得此资格的有三百多人。的认可。国内获得此资格的有三百多人。61.1.信息系统审计的起源与发展信息系统审计的起源与发展1.1 1.1 国外:国外:CISACISA考试介绍:考试介绍:内容:信息系统审计流程、信息系统的内容:信息系统审计流程、信息系统

5、的管理、计划与组织、信息技术基础设施与操管理、计划与组织、信息技术基础设施与操作实务、信息资产的保护、灾难恢复与业务作实务、信息资产的保护、灾难恢复与业务持续计划、应用系统的开发、获得、实施与持续计划、应用系统的开发、获得、实施与维护、业务处理流程评价与风险管理。维护、业务处理流程评价与风险管理。时间:每年一次时间:每年一次 题型与考试语言:全部是客观题;英文、题型与考试语言:全部是客观题;英文、中文;中文;7575分合格分合格 71.1.信息系统审计的起源与发展信息系统审计的起源与发展1.2 1.2 国内:国内:1994 年2 月,我国颁布了中华人民共和国计算机信息系统安全保护条例,提出了计

6、算机信息系统实行安全等级保护的要求。安全等级保护的总体目标是确保信息安全和计算机信息系统安全正常运行,并保障以下安全特性:信息的完整性、可用性、保密性、抗抵赖性、可控性等(其中完整性、可用性、保密性为基本安全特性要求)。81.1.信息系统审计的起源与发展信息系统审计的起源与发展1.2 1.2 国内:国内:1994 年2 月,我国颁布了中华人民共和国计算机信息系统安全保护条例,提出信息的完整性、可用性、保密性、抗抵赖性、可控性等要求。2019年2月9日,我国正式成立了中国国家信息安全测评认证中心。2019年4月15日 全国信息安全标准化技术委员会(简称信息安全标委会,TC260)。2019年12

7、月16日 国家网络与信息安全协调小组正式通过了信息安全风险评估指南。9管理计划与IS的组织信息资产的保护灾难备份与业务持续计划技术基础与操作实务业务应用系统的开发取得实施与维护业务过程评价与风险管理 2.2.信息系统审计的内容信息系统审计的内容 10一般控制静态IS的构成管理角度 管理计划与IS的组织(C2)技术角度 技术基础与操作实务(C3)IS的控制与安全正常情况 信息资产的保护(C4)非常情况 灾难恢复与业务持续计划(C5)动态业务应用系统的开发取得实施与维护(C6)应用控制 业务过程评价与风险管理(C7)3.3.信息系统审计与内部控制信息系统审计与内部控制 114.4.信息系统审计的标

8、准与依据信息系统审计的标准与依据 可信的计算机系统安全评估标准(可信的计算机系统安全评估标准(TCSECTCSEC,从橘皮书到彩虹系列)从橘皮书到彩虹系列)由美国国防部于由美国国防部于19851985年公布的,是计算年公布的,是计算机系统信息安全评估的第一个正式标准。它机系统信息安全评估的第一个正式标准。它把计算机系统的安全分为把计算机系统的安全分为4 4类、类、7 7个级别,对个级别,对用户登录、授权管理、访问控制、审计跟踪、用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容生命周期保障、

9、文档写作、用户指南等内容提出了规范性要求。提出了规范性要求。124.4.信息系统审计的标准与依据信息系统审计的标准与依据 信息技术安全评价的通用标准(信息技术安全评价的通用标准(CCCC)由六个国家(美、加、英、法、德、荷)由六个国家(美、加、英、法、德、荷)于于20192019年联合提出的,并逐渐形成国际标准年联合提出的,并逐渐形成国际标准ISO15408ISO15408。该标准定义了评价信息技术产品。该标准定义了评价信息技术产品和系统安全性的基本准则,提出了目前国际和系统安全性的基本准则,提出了目前国际上公认的表述信息技术安全性的结构,即把上公认的表述信息技术安全性的结构,即把安全要求分为

10、规范产品和系统安全行为的功安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效地实施这些功能要求以及解决如何正确有效地实施这些功能的保证要求。能的保证要求。CCCC标准是第一个信息技术安标准是第一个信息技术安全评价国际标准,它的发布对信息安全具有全评价国际标准,它的发布对信息安全具有重要意义,是信息技术安全评价标准以及信重要意义,是信息技术安全评价标准以及信息安全技术发展的一个重要里程碑。息安全技术发展的一个重要里程碑。134.4.信息系统审计的标准与依据信息系统审计的标准与依据 ISO13335 ISO13335标准标准 首次给出了关于首次给出了关于ITIT安全的保密性、完整安全

11、的保密性、完整性、可用性、审计性、认证性、可靠性性、可用性、审计性、认证性、可靠性6 6个个方面含义,并提出了以风险为核心的安全模方面含义,并提出了以风险为核心的安全模型:企业的资产面临很多威胁(包括来自内型:企业的资产面临很多威胁(包括来自内部的威胁和来自外部的威胁);利用信息系部的威胁和来自外部的威胁);利用信息系统存在的各种漏洞(如:物理环境、网络服统存在的各种漏洞(如:物理环境、网络服务、主机系统、应用系统、相关人员、安全务、主机系统、应用系统、相关人员、安全策略等),对信息系统进行渗透和攻击。策略等),对信息系统进行渗透和攻击。144.4.信息系统审计的标准与依据信息系统审计的标准与

12、依据 BS7799 是英国的工业、政府和商业共同需求而发展的一个标准,它分两部分:第一部分为“信息安全管理事务准则”;第二部分为“信息安全管理系统的规范”。目前此标准已经被很多国家采用,并已成为国际标准ISO17799。BS7799包含10个控制大项、36个控制目标和127个控制措施。BS7799/ISO17799主要提供了有效地实施信息系统风险管理的建议,并介绍了风险管理的方法和过程。企业可以参照该标准制定出自己的安全策略和风险评估实施步骤。154.4.信息系统审计的标准与依据信息系统审计的标准与依据 “信息系统和技术控制目标”(COBIT)是IT治理的一个开放性标准,目前已成为国际上公认的

13、最先进、最权威的安全与信息技术管理和控制的标准。该标准为IT的治理、安全与控制提供了一个一般适用的公认的标准,以辅助管理层进行IT治理。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。164.4.信息系统审计的标准与依据信息系统审计的标准与依据174.4.信息系统审计的标准与依据信息系统审计的标准与依据184.4.信息系统审计的标准与依据信息系统审计的标准与依据194.4.信息系统审计的标准与依据信息系统审计的标准与依据205.5.信息系统审计的过程信息系统审计的过程审计计划:检查被审计单位的IT政策、实务及组织结构;检查一般控制

14、和应用控制的情况;计划控制测试和实质性测试的程序;215.5.信息系统审计的过程信息系统审计的过程控制测试:实施控制测试;评价测试结果;确定对控制的依赖程度;225.5.信息系统审计的过程信息系统审计的过程实质测试:实质测试:实施实质性测试;评价测试结果并签发审计报告;审计报告236.6.信息系统审计的技术信息系统审计的技术问卷调查表问卷调查表被测信息系统被测信息系统评估申请评估申请漏洞扫描工具漏洞扫描工具评估或等级标准评估或等级标准系统风险识别与分析系统风险识别与分析综合评估综合评估标准库标准库评估报告评估报告风风险险数数据据采采集集正反向工具箱正反向工具箱知识库知识库风风险险识识别别与与分分析析综综合合评评估估评估单位评估单位信息库信息库等级库等级库评估方法库评估方法库等级判定报告等级判定报告 资产分析 脆弱性分析 威胁分析 资产分析 脆弱性分析 威胁分析物理平台网络平台应用平台管理平台操作系统平台评评估估项项目目管管理理24

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 办公、行业 > 各类PPT课件(模板)
版权提示 | 免责声明

1,本文(信息系统审计信息系统审计基础-PPT课件.ppt)为本站会员(三亚风情)主动上传,163文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。
2,用户下载本文档,所消耗的文币(积分)将全额增加到上传者的账号。
3, 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(发送邮件至3464097650@qq.com或直接QQ联系客服),我们立即给予删除!


侵权处理QQ:3464097650--上传资料QQ:3464097650

【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。


163文库-Www.163Wenku.Com |网站地图|