2022年信息系统审计报告 .pdf

《2022年信息系统审计报告 .pdf》由会员分享，可在线阅读，更多相关《2022年信息系统审计报告 .pdf（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机和信息系统安全保密审计报告根据市国家保密局要求，公司领导非常重视计算机信息系统安全保密工作，在公司内部系统内开展自查，认真对待，不走过场，确保检查不漏一机一人。虽然在检查中没有发现违反安全保密规定的情况，但是，仍然要求计算机使用管理人员不能放松警惕，要时刻注意自己所使用和管理的计算机符合计算机信息系统安全保密工作的规定，做到专机专用，专人负责，专人管理，确保涉密计算机不上网，网上信息发布严格审查，涉密资料专门存储，不交叉使用涉密存储设备，严格落实计算机信息系统安全保密制度。通过检查，进一步提高了全公司各部门员工对计算机信息系统安全保密工作的认识，增强了责任感和使命感。现将自查情况汇报如下

2、：一、加大保密宣传教育，增强保密观念。始终把安全保密宣传教育作为一件大事来抓，经常性地组织全体职工认真学习各级有关加强安全保密的规定和保密常识，如看计算机泄密录像等，通过学习全公司各部门员工安全忧患意识明显增强，执行安全保密规定的自觉性和能力明显提高。二、明确界定涉密计算机和非涉密计算机。涉密计算机应有相应标识，设置开机、屏保口令，定期更换口令，存放环境要安全可靠。涉密移动硬盘、软盘、光盘、u 盘等移动存储介质加强管理，涉密移动存储介质也应有标识，不得在非涉密计算机中使用，严防泄密。非涉密计算机、非涉密存储介质不得以任何理由处理涉密信息，非涉密存储介质不得在涉密计算机中使用涉密信息。涉密信息和

3、数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。计算机信息系统存储、处理、传递、输出的涉密信息要有相应的密级标识，密级标识不能与正文分离。涉密信息不得在与国际网络联接的计算机信息系统中存储、处理、传递。三、加强笔记本电脑的使用管理。笔记本电脑主要在公司内部用于学习计算机新软件、软件调试，不处理涉密数据或文件。四、计算机的使用人员要定期对电脑进行安全检查，及时升级杀毒软件，定时查杀病毒。对外来计算机介质必须坚持先交计算机管理人员查杀病毒再上中转机使用的原则。五、对需要维修的涉密计算机，各部门必须事先将计算机内的涉密信息进行清除；如需调换计算机硬盘，清除涉密信息后方可允许维修人员将硬盘

4、带走。对报废的涉密计算机必须彻底清除计算机内的信息，方可处理。六、小结安全审计作为一门新的信息安全技术，能够对整个计算机信息系统进行监控，如实记录系统内发生的任何事件，一个完善的安全审计系统可以根据一定的安全策略记录和分析历史操作事件及数据，有效的记录攻击事件的发生， 提供有效改进系统性能和的安全性能的依据。本文从安全审计的概念、在涉密信息系统中需要审计的内容、安全审计的关键技术及安全审计系统应该注意的问题等几个方面讨论了安全审计在涉密信息系统中的应用。安全审计系统应该全面地对整个涉密信息系统中的网络、主机、应用程序、数据库及安全设备等进行审计，同时支持分布式跨网段审计，集中统一管理，可对审计

5、数据进行综合的统计与分析，从而可以更有效的防御外部的入侵和内部的非法违规操作，最终起到保护机密信息和资源的作用。计算机技术管理部 2011.8.17篇二：信息系统审计信息系统审计电子数据处理系统发展分为三阶段：数据的单项处理阶段(1953-1965) 、数据的综合处理阶段（ 1965-1970 ） 、数据的系统处理阶段（1970 年以后），对传统审计产生了巨大的影响，主要表现在 （1）对审计线索的影响：传统的审计线索缺失；edp 下：数据处理、 存储电子化，名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - -

6、 - - - - 第 1 页，共 9 页 - - - - - - - - - 不可见，难辨真伪。 （2）对审计方法和技术的影响：技术方法复杂化；edp 下：利用计算机审计技术变得复杂化（3）对审计人员的影响：知识构成要求发生变化；edp 下：会计、审计、计算机等知识和技能（4）对审计准则的影响：信息化下审计准则与标准的缺失；edp下：在原有审计准则的基础上，建立一系列新的准则（5）对内部控制的影响：内部控制方式发生改变：传统方式下：强调对业务活动及会计活动使用授权批准和职责分工等控制程序来保证。 edp 下：数据处理根据既定的指令程序自动进行，信息的处理和存储高度集中于计算机，控制依赖于计算机

7、信息系统，控制方式发生改变。 2、信息系统审计的定义：指根据公认的标准和指导规范，对信息系统从计划、研发、实施到运行维护各个环节进行审查评价，对信息系统及其业务应用的完整、效能、效率、安全性进行监测、评估和控制的过程，以确认预定的业务目标得以实现，并提出一系列改进建议的管理活动。 3、信息系统审计的特点（1）审计范围的广泛性（2）审计线索的隐蔽性、易逝性（3）审计取证的动态性（4）审计技术的复杂性：首先，由于不同被审单位的信息系统所配备的计算机设备各式各样，各个机器的功能各异，所配备的系统软件也各不相同。审计人员在审计过程中，必然要和计算机的硬件和系统软件打交道，各种机型功能不一，配备的系统软

8、件各异，必然增加了审计技术的复杂性，其次，由于不同被审单位的业务规模和性质不同，所采用的数据处理及存储方式也不同，不同的数据处理，存储方式，审计所采用的方法、技术也不同。此外，不同被审单位其应用软甲你的开发方式、软件开发的程序设计语言也不尽相同， 不同开发方式以及用不同的程序设计语言开发的应用软件，其审计方法与技术也不一样。 4、信息系统审计的目标： （1）保护资产的完整性：信息系统的资产包括硬件、软件、设备、人员、数据文件、系统档案等；（2）保证数据的准确性：数据准确性是指数据能满足规定的条件，防止粗无信息的输入和输出，一级非授权状态下的修改信息所造成的无效操作和错误后果； （ 3）提高系统

9、的有效性：系统的有效性表明系统能否获得预期的目标；（4）提高系统的效率性：系统效率是指系统达到预定目标所消耗的资源，一个效率高的信息系统能够以尽量少的资源达到需要的目标；（5）保证信息系统的合规性合法性：信息系统及其运用必须遵守有关法律、法规和规章制度。 5、信息系统审计的主要内容：内部控制系统审计内部控制系统包括一般控制系统（包含组织控制、 系统开发控制、 系统安全控制、 硬件和系统软件控制等方面）应用控制系统 （输入、处理、 输出） ；系统开发审计； 应用程序审计 （决定了数据处理的合规性、正确性目的：一是测试应用控制系统的符合性；二是通过检查程序运行和逻辑的正确性达到实质性测试目的。测试

10、应用控制的符合性是指对嵌入应用程序中的控制措施进行测试，看它们是否按设计要求在运行和起作用） ；数据文件审计 （目的： 一是数据文件进行实质性测试；而是通过数据文件的审计，测试一般控制或应用控制的复合型，但数据文件审计主要是为了实质性测试） 6、基本方法：绕过信息系统审计：基于黑箱（black box）原理，审计人员不审查系统内的程序和文件， 只审查 i/o数据及其管理制度。优点：审计技术简单、 较少干扰被审系统。缺点：审计结果不太可靠、要求i/o联系紧密通过信息系统审计： 基于黑箱 （black box） 原理，审计人员不审查系统内的程序和文件，只审查 i/o数据及其管理制度。优点：审计技术

11、简单、较少干扰被审系统。缺点：审计结果不太可靠、要求i/o联系紧密。 7、步骤：准备阶段（明确审计任务、组成信息系统小组、了解被审系统的基本情况、制定信息系统审计方案、发出审计通知书） ；实施阶段 （对被审计系统的内部控制制度进行健全性调查和符合性测试、对张单证或数据文件的实质性审查）； 终结阶段（整理归纳审计资料、撰写审计报告 （审计报告主要是对信息系统审计结果的综合归纳，由审计小组撰写） 、发出审名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 9 页 - - - -

12、- - - - - 计结论和决定、审计资料的归档和档案） 8、国际信息系统审计原则：审计标准 （是整个信息系统准则体系的总纲，是制定审计指南和作业程序的基础和依据）；审计指南 （为审计标准的应用提供了指引，信息系统审计师在审计过程中应考虑如何应用指南以实现审计标准的要求，在应用过程中应灵活运用专业判断并纠正任何偏离准则的行为）；作业程序 （提供了信息系统审计师在审计过程中可能遇到的审计程序的示例） 9、审计师应具备的素质：（1）应具备的理论知识：传统审计理论、信息系统管理理论、计算机科学、行为科学理论（2）应具有的实践技能：参加过不同类别的工作培训，尤其是在组织采用和实施新技术时，此外也参加过

13、组织内部计划的制定等；参与专业的机构或厂商组织的研讨会，动态掌握信息技术的新发展对审计时间的影响；具有理解信息处理活动的各种技术，尤其是影响组织财务活动的技术，能够与来自各领域的管理者、用户、技术专家进行交流；理解并熟悉操作环境，评估内部控制的有效性；理解现有与未来系统的技术复杂性，以及它们对各级操作与决策的影响；能使用技术的方法去识别技术的完整性；要参与评估与使用信息技术相关的有效性、效率、风险等；能够提供审计集成服务并对审计员工提供指导，与财务审计师一起对公司财务状况作出声明；具备系统开发方法论、安全控制设计、实施后评估等；掌握网络相关的安全事件、信息安全服务、灾难恢复与业务持续计划、异步

14、传输模式等通信技术。 10、it治理德勤定义： it治理是是一个含义广泛的概念，包括信息系统、 技术、通信、商业、 所有利益相关者、合法性和其他问题。其主要任务是保持it与业务目标一致推动业务发展，促使收益最大化，合理利用it 资源， it相关风险的适当管理。 11、共同点：（1）it治理必须与企业战略目标一致，it对于企业非常关键，也是战略规划的组成，影响战略竞争。（2）it治理保护利益相关者的权益，使风险透明化， 知道和控制it投资、机遇、利益、风险。（3）it治理和其他治理主题一样，是管理执行人员和利益相关者的责任（以董事会为代表）（4）it治理包括管理层、组织结构、过程，以确保it维持

15、和拓展组织战略目标（5）应该合理利用企业的信息资源，有效地进程与协调。（6）确保 it战略及时按照目标交付，有合适的功能和期望的收益，是一个一致性和价值传递的基本构建模块，有明确的期望值和衡量手段。（7）引导 it战略平衡系统的投资，支持企业， 变革企业， 或者创建一个信息基础构架，保证业务增长，并在一个新的领域竞争。（8）对于核心it资源做出合理的决策，进入新的市场，驱动竞争策略，创造总的收入增长，改善客户满意度，维系客户关系。 12、 it管理是公司的信息及信息系统的运营，确定it目标以及实现此目标所采取的行动。 it治理是指最高管理层（董事会）利用它来监督管理层在it战略上的过程、结构和

16、联系，以确保这种运营处于正确的轨道之上。it治理规定了整个企业it运行的基本框架，it管理则是在这个既定的框架下驾驭企业奔向目标。 13、公司治理和it治理：公司治理关注利益相关者权益和管理，驱动和调整it治理。it能够提供关键的输入，形成战略计划的一个重要组成部分，是公司治理的重要功能。 14、 itil：信息技术基础构架库；cobit ：信息和相关技术的控制目标；bs 7799 ：国际安全管理标准体系；prince2是一种对项目管理的某些特定方面提供支持的方法。 15、 it治理成熟度模型：不存在（0 级） 、初始级（ 1 级） 、可重复级（ 2 级） 、已定义级名师资料总结 - - -精

17、品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 9 页 - - - - - - - - - （3 级） 、已管理级（ 4 级） 、优化级（ 5 级）作用： it治理成熟度模型制定了一个基准，组织可能根据上面的指标确定自己的等级，从而了解自身的境界。在此基础上确定组织的关键成功因素，通过关键绩效指标进行监控，并衡量组织是否能达到关键目标指标中所设定的目标。 16、信息系统内部控制：一个单位在信息系统环境下，为了保证业务活动的有效进行，保护资产的安全与完整，防止、发现、纠正错误与舞弊，确保信息系统提供

18、信息的真实、合法、完整，而制定和实施的一系列政策与程序措施。 17、一般控制系统： 范围：应用于一个单位信息系统全部或较大范围的内部控制。对象：应为除信息系统应用程序以外的其他部分。基本目标： 保证数据安全、 保护计算机应用程序、防止系统被非法侵入、保证在意外情况下的持续运行等。 18、良好的一般控制是应用控制的基础。如果一般控制审计结果很差，应用控制审计就没有进行的必要。 19、审计逻辑访问安全策略：此策略应当为逻辑访问建立“知所必需”的原则，并合理评估在访问过程中暴露的风险。 20、审查离职员工的访问控制：一般来说，员工离职的情况主要有请辞、聘用合同期满和非自愿离职三种。对于非自愿离职的员

19、工，组织应当在接触其职务之前，及时收回或严格限制其对组织信息资源的访问权，使其不能继续访问组织的机密信息，或使其不能破坏组织有价值的信息资产。 如果对于这类员工还需要保留一部分访问权，必须得到相关管理层批准，并对其进行严格的监督。对其他两种离职的员工，由管理层批准是否保留他们的访问权，这取决于每一种人所处的特定环境、员工所访问it资产的敏感程度以及组织的信息安全策略、标准和程序的要求。 21、系统访问：通过某种途径允许或限制对网络资源（软件和硬件）和数据（存储的和通信的）的访问能力及范围。逻辑访问控制：通过一定的技术方法控制用户可以利用什么样的信息，可以运行什么程序与事务，可以修改什么信息与数

20、据。物理访问控制：限制人员进出敏感区域。对极端及信息的物理访问与逻辑访问应当建立在“知所必需”的基础上，按照最小授权原则和职责分离原则来分配系统访问权限，并把这些访问规则与访问授权通过正式书面文件记录下来，作为信息安全的重要文件加以妥善管理。 22、身份识别与验证： （账号与口令，令牌设备，生物测定技术与行为测定技术）“只有你知道的事情”账号与口令，账号的控制、口令的控制；“只有你拥有的东西”令牌设备，发送许可权的特殊消息或一次性口令的设备；“只有你具有的特征”生物/ 行为测定，指纹、虹膜等和签名等。 23、逻辑访问授权：一般情况下，逻辑访问控制基于最小授权原则，只对因工作需要访问信息系统的人

21、员进行必要的授权，当用户在组织变换工作角色时，在赋予他们新访问权限时，一般没有及时取消旧的访问权限，这回产生访问控制上的风险。所以当员工职位有变动时，信息系统审计是要及时审核访问控制列表是否做了有效变更。 24、bcp 一般包括业务持续性计划（bcp） 、业务恢复计划 （brp ） 、连续作业计划 （coop） 、持续支持计划/it应急计划、危机通信计划、事件响应计划、灾难恢复计划（drp ） 、场所应急计划（ oep） 25、数据备份：完全备份、增量备份、差分备份等 26、信息系统审计针对灾难恢复与业务连续性计划，其主要任务是理解预评价组织的业务连续性策略，及其与组织业务目标的符合性；参考相

22、应的标准和法律法规，评估该计划的充分性和实效性；审核信息系统及终端用户对计划所做测试的结果，验证计划的有效性；审核异地存储设施及其内容、安全和环境控制，以评估异地存储站点的适当性；通过审核应急名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 9 页 - - - - - - - - - 措施、员工培训、测试结果，评估信息系统及其终端用户在紧急情况下的有效反应能力；确认组织对业务持续性计划的维护措施存在并有效。 27、应用控制市委适应各种数据处理的特殊控制要求，保证数据处理完整

23、、准确地完成而建立的内部控制。可将应用控制划分为输入控制、处理控制和输出控制。应用控制也是由手工控制和程序化控制构成，但以程序化控制为主。 28、信息系统开发审计是对信息系统开发过程进行的审计，审计的目的一是要检查开发的方法、程序是否科学，是否含有恰当的控制；二是要检查开发过程中产生的系统文档资料室否规范。 29、系统开发过程审计：遵守标准与流程；有效的操作；使系统合乎法律要求；必要的控制，预防可能的损失及严重错误；为管理层、信息系统审计师、操作人员提供必要的审计轨迹；系统文档，便于系统维护与审计。 30、软件维护的种类：纠错性维护、适应性维护、完善性维护、预防性维护 31、 itil:六个主

24、要模块: 服务管理（service management） 、业务管理（business management） 、 信息与通信技术基础设施管理（ict infrastructure） 、 应用管理（ application management） 、 it服务管理实施规划、安全管理（security management） 32、服务管理模块：面向it基础设施管理的服务支持和面向业务管理的服务提供。it服务提供流程主要面对付费的机构和个人客户，负责为客户提供高质量、低成本的it服务。它的任务是根据组织的业务需求，对服务能力、持续性、可用性等服务级别目标进行规划和设计，同时，还必须考到这些服务

25、目标所需要好费电成本。it 服务主要包括服务水平管理、it服务财务管理、能力管理、it 服务持续性管理和可用性管理五个服务管理流程。it服务支持的服务支持流程主要面向终端用户，责任确保it服务的稳定性与灵活性，用于确保终端用户得到适当的服务，以支持组织的业务功能。服务支持流程包括体现服务接触和沟通的服务台职能和五个运作层次的流程，即配置管理、事故管理、问题管理、变更管理和发布管理等。 33、应用程序审计的内容：审查程序控制是否健全有效：程序中输入控制、处理控制、输出控制的审计；审查程序编码的合法性：是否含有为了舞弊目的而设计的非法编码；审查程序编码的正确性：是否编码有错误、目标和任务不明确，系

26、统设计、程序设计错误；审查程序的有效性：是否有无效编码、是否有效率较差的编码 34、应用程序审计方法：手工审计方法与计算机辅助审计方法相结合。 35、程序编码检查法： 逐条审查被审程序，验证程序的合法性、完整性和逻辑的正确性。 36、检测数据法：审计人员把一批预先设计好的检测数据，利用被审程序加以处理，并把处理的结果与预期的结果做比较，以确定被审程序的控制与处理功能是否恰当、有效的一种方法。 37、平行模拟法是指审计人员自己或请计算机专业人员编写的具有和被审程序相同处理和控制功能的模拟程序，用这种程序处理档期的实际数据，并已处理的结果与被审计程序的处理结果进行比较，已评价被审程序的处理和控制功

27、能是否可靠的一种方法。 38、嵌入审计程序法是指被审信息系统的设计和开发阶段，在被审的应用程序中嵌入未执行特定的审计功能而设计的程序段，这些程序段可以用来收集审计人员感兴趣的资料，并且建立一个审计控制文件，用来存储这些资料，审计人员通过这些资料的审核来确定被审程序的处理和控制功能的可靠性。 39、程序追踪法是一种对给定的业务，跟踪被审程序处理步骤的审查技术。一般可由追踪软件来完成， 也可利用某些高级语言或数据库管理系统中的跟踪指令跟踪被审程序的处理。篇三： 信息系统审计实验报告- 模板信息系统审计实验报告名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - -

28、- - - - - - 名师精心整理 - - - - - - - 第 5 页，共 9 页 - - - - - - - - - 篇四：信息系统审计考试要点据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效地实现组织目标的过程。三种基本类型信息系统的真实性审计（是对传统审计的补充， 防止假账真审） 、信息系统的安全性审计（对企业的信息资产的安全性的审核，防止来自信息系统造成的经营风险。这时信息系统审计的目标是企业信息系统的安全性、可靠性、可用性、保密性）和信息系统的绩效审计（是对信息系统投入产出比的审核。审计的目标是企业信息系统投资的效果、效率、效益。审计的作用

29、是如何正确、合理地评价企业信息系统投资的绩效，给企业的投资者、债权人、经营者、管理者提供决策参考）目标真实性、安全性、完整性、可用性、保密性、可靠性、合法性、效果、效益、效率等。实施程序包括接受审计委托、评估审计风险、制定审计计划、收集审计证据、出具审计报告、后续工作。u9 电子商务的安全性是电子商务真实性的基础，而电子商务真实性又是信息系统真实性，特别是财务数据真实性的基础。分为交易信息保密，交易者身份确认，交易不可否认，交易记录不可修改。电子商务的真实性在于基金流（包括1 认证中心（第三方）2 电子支付）。真实的电子商务资金流，信息流，物流三者吻合。电子商务对审计的影响突出标志：增加贸易机

30、会，降低贸易成本，简化贸易流程，提高贸易效率。1 电子商务交易行为的认定更加困难2 电子商务的安全问题不仅涉及企业和消费者的利益更重要的是国家的经济安全3 电子商务的无纸化彻底改变了审计证据的获取技术和方法，电子文件必须借助相应的软件才能看见和提取，属于电子证据认定。. 总之，由于电子商务的虚拟化、数字化、匿名化、无国界和支付方式电子化等特点，使其交易情况大多数被转换为“数据流”在网络中传送，增加了操作隐蔽性和复杂度，提高了企能力。电子商务的体系架构底层是基础层（互联网、企业网等），中间是技术层，是信息传送的载体和用户接入的手段（认证机构，支付网关，客户服务中心，其真正核心是认证中心） ，顶层

31、是各种各样的电子商务应用系统（电子商厦，远程医疗，股票交易，视频点播，网上购物，网上订票等）。电子商务真实性审计内容1、电子商务的真实性，通过被审计企业的电子商务系统的日志文件与从认证中心获取数字时间戳等信息进行核对，同时，提取数字签名以验证交易信息的完整性和是否被修改，2、电子支付的真实性，通过银行核实电子支付的真实性，3、交易目的的合法性，在信息系统审计师签证了这些交易的真实性的基础之上，财务审计师应关注关联企业之间电子商务是否合法合规，是否会影响或扭曲企业的收入、成本、利润等，审核这些交易的合法性。电子商务的特点1 信息加密2 电子付款3 无纸化操作4 操作方便。 u11 cobit的

32、4 个领域 1 计划与组织2 获取与实施3 转移与支持4监督与评价。它直接反应企业的计划、实施、检查、更正等基本管理职能。提供了管理的要素、标准和控制目标。模型目标保障有效性，高效性，保密性，完整性，可用性，兼容性，可靠性。 cobit立方：组织内部的it资源需要由一组自然分类的it过程来管理。立方的三维是目标（业务需求：x）it资源（ y）it过程（ z）目标（业务需求）1 质量需求2 信任需求 3 安全需求。 it资源包括： 1 应用系统：指人工和程序化的过程的总和，2 信息：指信息系统使用、处理、存储、输出的数字、文字、图像、影像、声音等，4 基础设施：指支持和保护信息系统的所有相关基础

33、设施，5 人员：指与信息系统设计、开发、使用、管理、维护等相关的人员。it过程三个层次，最底层是活动，中间层为过程，顶层是领域。 u2信息系统审计的一个重要特征过程性。信息系统审计风险模型审计风险=技术风险 * 控制风险 * 检查风险技术风险指由于技术缺陷或漏洞等导致信息系统出错或终端的可能性。是一种无法控制的风险。特点技术风险的水平取决于信息技术的发展水平以及企业采用的技术水平，它的产生与信息系统审计师无关，企业可以通过加强内部控制和管理等非技术手段以降低技术风险的水平。技术风险独立存在于审计过程中，又客观存在于审计过程中，且是一种相对独立的风险。这种风险水平的大小需要信息系统审计师的认定。

34、控制风险是指被审计企业未能通过管理与控制及时防止或发现其信息系统出现问题或缺陷的可能性，审计人员只名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 9 页 - - - - - - - - - 能评估不能改变。特点控制风险水平与被审计企业的控制水平有关，与信息系统审计师地工作无关，有效地内部控制能降低控制风险，无效的则增加。 有效地内部控制将降低控制风险，而无效的内部控制有可能增加控制风险。检查风险是指信息系统审计师通过预定的审计流程未能发现被审计企业在信息系统的安全性、真实

35、性、绩效等发面存在的问题或缺陷的可能性，它是可以通过信息系统审计师进行控制和管理的。特点1 它能独立于整个审计过程中，不受技术风险和控制风险的影响2 与信息系统审计师的工作直接相关，是审计流程有效性和运用审计程序的有效性函数。在实践中信息系统审计师就是通过收集充分的证据来降低检查风险，检查风险和重要性水平共同决定了需要收集证据的数量。审计重要性水平是针对特定被审计单位、特定审计事项而言的，具有相对性和个性差异，需要从审计目标、被审对象及审计报告的使用者等三方比外部的更为严重；基于信息技术的舞弊行为比误操作等更为严重；来自企业高层的信息系统舞弊比中层、基层的舞弊更为严重；软件设计上的舞弊比利用软

36、件漏洞的舞弊更为严重。做好审计计划工作，对于提高审计管理效率和效益，促进审计工作质量和水平的提高具有重大意义。审计计划的划分根据时间要素可分为长期审计计划、中期和短期。根据内容要素可分为审计工作计划和审计项目计划。根据范围要素分为总体审计计划和具体审计计划。信息系统审计报告阶段是信息系统审计工作的最后阶段，信息系统审计报告时信息系统审计工作的最后产品，也是信息系统审计师向委托人报告问题、提出建议的工具。作用鉴定作用（信息系统审计师签发的信息系统审计报告，是以独立的第三方身份对被审计单位信息系统管理的安全性、产生数据的真实性、运行的绩效等方面发表意见，能得到各个部门和社会各界的普遍认可）保护作用

37、（信息系统审计师通过审计可以被审计单位出具不同类型审计意见的审计报告，以提高或降低企业披露信息的可信度，能过在一定程度上对被审计单位的财产、债权人和股东的权益及公司利害关系人的利益起到保护作用）证明作用（审计报告是对信息系统审计师任务完成情况的总结，它可以表明审计工作的质量并明确信息系统审计师的责任。通过审计报告，可以证明信息系统审计师审计责任的履行情况）格式1 题头段 2 正文段 3 结论段 4 结尾段。 （正文段： 1 审计目的2 审计步骤及时间3 审计依据4 采用的技术与方法5 审计发现）独立性问题决定了信息系统审计的质量。分为形式上的独立性（审计师与被审计企业无任何特殊的利益关系）和实

38、质上的独立性（审计师的超然性，不依赖和屈从于外界压力的影响）审计准则对“独立性”的阐述1 职业独立性（对于所有与审计相关的事物，信息系统审计师应当在态度和形式上独立于被审计单位）2 组织独立性（信息系统审计职能应当独立于受审查的范围或活动之外，以确保审计工作完成的客观性）3 审计章程或委托书中应当针对审计职能的独立性和义务做出相应的规定4 信息系统审计师应该在审计过程中随时保持态度和形式上的独立性5 如出现独立性受损的现象，无论是在实质上还是形式上，应向有关当事人披露独立性收损的细节6 信息系统审计师应当在组织上独立于被审计的范围7信息系统审计师、管理层和审计委员会应当定期地对独立性进行评估。

39、8 除非被其他职业标准或管理机构所禁止，当信息系统审计师虽然参与信息系统项目，但所担当的并不是审计角色时，并不要求信息系统审计师保持独立性。业务持续计划是企业应对种种不可控义素的一种防御和反映机制。灾难恢复计划是造成业务停顿后，如何以最短时间、最少损失恢复业务的方案。影响业务持续能力的因素有：1 应用系统灾难2 自然灾难3 人为灾难 4 社会灾难。 u4业务持续计划是企业应对种种不可控因素的一种预防和反应机制，而灾难恢复计划则是造成业务已经停顿后，如何以最短时间、 最少损失恢复业务的处理预案。前者立足于预防，后者立足于事后的补救。业务持续计划目的为了防止企业正常业务行为的中断而建立起来的计划作

40、用：确保企业的主要业务流程和运营服务，包括支撑业务的信息系统以及设施，能够在事故发生后持续运行保持一定程度的服务，并能尽快的恢复事故前的服务水平。它的制定并不意味着企业不再受任何事故的影响。难恢复计划与业务持续计划的区别灾难恢复计划是名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 9 页 - - - - - - - - - 基于假定灾难发生后造成业务已经停顿企业将如何去恢复业务，立足于把损失减小到最低程度；业务持续计划基于这样一个基本原则及无论发生任何意外事件组织的关键业

41、务也不能中断，立足于建立预防机制，强调使企业业务能够抵御意外事件的打击，灾难恢复计划是对业务持续计划的必要补充。业务持续计划的实施包括的阶段项目启动、风险评估、业务影响分析、业务持续性策略规划、业务持续性计划编制、人员培训及训练、业务持续性计划测试与演练以及业务持续性计划更新等主要阶段。其中，风险评估、业务影响分析、计划演练、计划更新是关键因素。业务影响分析的目的通过客观的分析，掌握各关键业务可容许中断的最大时间长度，从而制定各关键业务的恢复时间目标、最低的恢复要求、恢复次序以及支持各关键业务恢复所需的各项业务资源。业务影响分析是制定业务持续计划传统步骤中最耗时和最关键的一步，用的是系统化的方

42、法。影响业务持续能力的因素（信息系统灾难）人为因素（分为社会灾难和人为灾难，如人为破坏、攻击系统、管理疏忽）非人为因素（分为自然灾害和应用系统灾害） 。防火墙比喻隔离在本地网络与外界网络之间的一道防御系统，是一类防容灾能力评价： rop 即数据丢失量， 代表了当灾难发生时信息系统所能容忍的数据丢失。pto即系统恢复时间，代表了从遭难发生到业务恢复服务功能所需要的最长时间。国际标准定义的容灾系统7 层次 0 级无异地备份（这种容灾系统成本较低，易于配置。该级别容灾系统对数据丢失的容忍度在数天以上）1 级备份介质异地存放（成本低，易于配置容忍度在数天以上） 2 级备份介质异地存放及备用场地（虽然移

43、动数据到热备份站点增加了成本，但缩短额灾难恢恢复的时间，大约在1、2 天） 3 级电子链接 ( 热备份站点和信息中心在地理上必须远离， 备份数据通过网络传输)4 级活动状态的被援站点（地理上分开的两个站点同时处于工作状态，相互管理彼此的备份数据，几个小时）5 级实时数据备份（两个站点数据相互镜像，仅在传输中尚未完成提交的数据会丢失几秒）6 级零数据丢失 （可以实现零数据的丢失，但是贵， 几乎没有中断的恢复方式）。 这个等级划分的目的是让企业清楚为什么要从业务层面作遭难恢复，不同的业务应采取什么样的手段。灾备中心的模型1 热备份型灾备中心（指两个信息中心完全同步，任一发生事故对用户不产生影响但是

44、实现的技术难度大、成本高；同步远程镜像技术，同步远程镜像在相对较近的距离上应用，成本高管理用难度，开支大，对距离有限制）2 温备份型灾备中心（两个信息中心在数据层面同步，业务运营层面不同步，当事故时， 要一定时间才能恢复业务运营，数据不丢失， 实现技术要求相对低，成本也较低；异步远程镜像技术对网络宽带要求小，传输距离长，成本比热备份遭难中心要低）3 冷备份型灾备中心（最普通的数据备份处理方式，用磁盘或磁带备份数据送到一异地保存，或通过数据线传输在异地备份。最大的不同点是只在数据层面备份没有业务层面的备份，且数据备份的时间间隔长， 不能完全恢复，但成本低， 管理简单）。一个实际的灾备解决方案首先

45、考虑企业各种业务对信息系统以来的程度，其次研究可用技术和成本。在同城中建立热接管的互备中心，双机热备份系统采用心跳（指的是主、从系统之间按照一定的时间间隔发送信号，表明各自系统当前的运行状态）方式保证主系统与备份系统的联系。再夸城市、远距离之间的中心建立异步的灾难备份中心，以防地域性灾难。在灾难备份方案设计及实施中，是否可以做到极大化的系统操作自动化是一个非常重要的考虑因素。采用灾备解决方案的指标1 灾难类型 2恢复速度3 恢复程度。制定灾备方案应考虑的因素1 考虑企业各种业务对信息系统依赖的程度2 研究可用技术和成本，根据可投入的资金量，选择设计灾备的方案。灾备中心的选址原则人文环境、基础环

46、境、自然环境。灾备体系建立的6 个流程 1 建立在被专门机构2分析灾备需求3 制定灾备方案4 实施灾备方案5 制定灾难恢复计划6 保持灾难恢复计划的持续可用。信息中心安全注意点防盗、防火、防静电、防雷击、防电磁干扰、三度（温度湿度清洁度）的要求、电力保障。存储架构的安全性是企业业务持续的重要物质基础之一。存储架构安全策略：1 直接连接存储系统（计算机主机直接与存储设备连接，对存储设备进行本名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 9 页 - - - - - - -

47、- - 地冗余备份，确保数据不因存储设备故障而丢失）2 网络连接存储系统（把存储设备集中在一起，通过互联网与计算机主机连接，所有在网络上的计算机共享该存储系统，容易实施成本不高。可以为企业提供便捷的远程异地的数据备份）3 存储区域网络（采用光纤通道交换机等高速网络设备，构成一个数据存储网络，网络内部的数据传输率很快，成本也高，提供本地或异地的存储备份之间的告诉的相互备份，这样的冗余避免数据的丢失）。 u6访问控制策略（控制强度由强到弱）dac 自主型访问控制策略（用户对不同的数据对象有不同的存取权限，用户可将权限转授。dac 访问控制完全基于访篇五：信息系统审计事项和信息系统审计案例报告信息系

48、统审计事项附件 2 信息系统审计案例报告（模板）一、案例摘要简要说明本案例的基本信息，具体包括：（一）案例名称， 所属审计项目名称，审计实施单位和主要审计人员，审计实施的时间；（二）本案例所包括的各具体信息系统审计事项名称及所属审计事项类别；（三）本案例所采用的信息系统审计技术和方法简要描述；（四）审计发现和建议的简要描述。二、被审计单位信息系统基本情况（一） 描述被审计单位信息化建设和管理的相关情况；（二） 描述与本案例相关的被审计单位主要信息系统的总体情况，分析被审计单位对这些信息系统的业务依赖程度；（三）描述与本案例相关的被审计单位主要信息系统的组织管理、系统运行、 业务流程、电子数据等

49、方面情况。三、被审计单位信息系统控制情况描述与本案例相关的被审计单位主要信息系统的控制情况，包括一般控制和应用控制情况。四、信息系统审计总体目标详细说明本信息系统审计项目的总体审计目标。五、审计重点内容及审计事项描述本信息系统审计项目的重点关注内容，按照附件1 中关于审计事项的分类，划分本信息系统审计项目所实施的审计事项。针对每一审计事项，详细说明以下方面的内容：（一）具体审计目标。本审计事项的具体审计目标。（二）审计测试过程。 1详细说明在审计准备阶段需要调查了解的信息内容，调阅的资料名称，分析的管理或业务流程，编制的审计底稿等； 2详细说明在审计实施阶段对关键控制点的分析，选择的测试技术和

50、方法，测试的实施过程以及测试得出的初步结论等； 3在以上说明中， 要着重介绍审计测试技术、方法以及自动化工具的使用，并要对所涉及的技术、方法、工具的适用性与效果进行分析。（三）审计发现问题和建议。六、对案例的自我分析与评价（一）描述本案例（或所属信息系统审计项目）的特点和价值所在；（二） 对该案例中各具体审计事项内容和目标的理解；（三） 信息系统审计中所使用技术、方法和工具的经验总结。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 9 页 - - - - - - - -