【精品文档】信息系统审计简介.ppt

《【精品文档】信息系统审计简介.ppt》由会员分享，可在线阅读，更多相关《【精品文档】信息系统审计简介.ppt（104页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、怎样开展信息系统审计工作怎样开展信息系统审计工作审计署计算中心审计署计算中心 辅助审计处辅助审计处 陈剑陈剑课程目的l这部分内容是对信息系统审计这一新兴的审计领域的介绍性这部分内容是对信息系统审计这一新兴的审计领域的介绍性质的课程。质的课程。l通过学习，学员能够了解国内外信息系统审计开展的状况，通过学习，学员能够了解国内外信息系统审计开展的状况，明确国家审计中信息系统审计的范围和目标，初步了解开展信息明确国家审计中信息系统审计的范围和目标，初步了解开展信息系统审计的工作流程和技术方法，达到开阔眼界，启发思路、指系统审计的工作流程和技术方法，达到开阔眼界，启发思路、指导实践的作用。导实践的作用。

2、小调查1l你的专业背景是：你的专业背景是：计算机相关计算机相关审计业务相关审计业务相关其他其他l是否参加过本单位开展的信息系统审计项目是否参加过本单位开展的信息系统审计项目是是否否l是否有信息系统审计相关学习经历是否有信息系统审计相关学习经历CISACISSP其他其他无无小调查2l你认为影响本单位开展信息系统审计工作的主要因素是：（多选）你认为影响本单位开展信息系统审计工作的主要因素是：（多选）人才和技术手段缺乏人才和技术手段缺乏信息系统审计在国家审计中的定位模糊信息系统审计在国家审计中的定位模糊法规不健全法规不健全目前单位的考核机制目前单位的考核机制不知道该如何开展不知道该如何开展认为没有开

3、展的必要认为没有开展的必要其他（请具体说明）其他（请具体说明）内容提要l信息系统审计概述信息系统审计概述l国际上开展的政府的信息系统审计现状国际上开展的政府的信息系统审计现状l信息系统审计模型信息系统审计模型COBITCOBITl审计署所做的信息系统审计工作审计署所做的信息系统审计工作l案例介绍与分析案例介绍与分析l审什么和怎么审审什么和怎么审l交流互动交流互动什么是信息系统审计lINTOSAI（最高审计机关国际组织最高审计机关国际组织）：）：信息系统审计是：信息系统审计是：一个一个通过通过获取获取并并评估证据评估证据，以判断以判断IT系统是否保护了系统是否保护了组织的资产，有效率地组织的资产

4、，有效率地利用组织的利用组织的资源，资源，保障保障数据的安全性和一致性，以及有效数据的安全性和一致性，以及有效地达到组织的业务目标地达到组织的业务目标的过程的过程。为什么要开展信息系统审计l计算机在各级政府组织中的广泛使用计算机在各级政府组织中的广泛使用交易处理交易处理财务报表财务报表决策支持决策支持功能功能数据挖掘数据挖掘l被审计单位的被审计单位的IT系统对审计人员的审计方法和在审计测试中采用的技术产生了影响；系统对审计人员的审计方法和在审计测试中采用的技术产生了影响；l内部控制环境的变更；内部控制环境的变更；l匿名用户带来的责任缺失；匿名用户带来的责任缺失；l未经授权的和未记录下来的数据修

5、改的可能性；未经授权的和未记录下来的数据修改的可能性；l看得见的审计痕迹和看得见的审计痕迹和/或纸质文件的缺失；或纸质文件的缺失；l审计证据的变化；审计证据的变化；l数据复制数据复制/无内容数据的可能性；无内容数据的可能性；l出现欺诈和错误的新机会和机制；出现欺诈和错误的新机会和机制；l分布式数据处理和存储；分布式数据处理和存储；l关键业务信息的机密性和一致性；关键业务信息的机密性和一致性；l由于组织内部或组织之间的通讯，特别是因特网增加的风险；由于组织内部或组织之间的通讯，特别是因特网增加的风险；l系统故障系统故障/宕机的可能性。宕机的可能性。信息系统审计的类型l对信息系统控制的检查对信息系

6、统控制的检查l对财务信息系统的审计对财务信息系统的审计l信息系统的绩效审计或信息系统的绩效审计或VFM审计审计l对正在开发的信息系统的审计对正在开发的信息系统的审计l信息系统舞弊审计信息系统舞弊审计l信息系统安全审计信息系统安全审计l计算机辅助审计技术（计算机辅助审计技术（CAATs）信息系统审计的起源与发展l社会审计：伴随着财务报告审计发展社会审计：伴随着财务报告审计发展l19541954年，第一套计算机化的会计系统在通用电气公司开始使用。年，第一套计算机化的会计系统在通用电气公司开始使用。六十年代中期，出现了第一套通用审计软件（六十年代中期，出现了第一套通用审计软件（GASGAS）。）。l

7、19681968年，年，AICPAAICPA（美国注册会计师协会）和当时的八大会计师事务（美国注册会计师协会）和当时的八大会计师事务所联合开始开展所联合开始开展EDPEDP（电子数据处理）审计。（电子数据处理）审计。l19681968年，电子数据处理审计师协会（年，电子数据处理审计师协会（EDPAAEDPAA）成立。该协会于）成立。该协会于19771977年发布了年发布了控制目标控制目标第一版（即第一版（即CobitCobit的前身）。的前身）。l19771977年，年，IIAIIA发布了一项研究成果，即发布了一项研究成果，即系统可审计性与控制系统可审计性与控制（the Systems,Aud

8、itability,and Control,the Systems,Auditability,and Control,简称简称SAC)SAC)。信息系统审计发展的历史（续）l19941994年，电子数据处理审计师协会（年，电子数据处理审计师协会（EDPAAEDPAA）改名为信息系统审计）改名为信息系统审计与控制协会（与控制协会（ISACAISACA）。）。l19961996年，信息系统审计与控制基金会（年，信息系统审计与控制基金会（Control Objectives for Control Objectives for Information and Related TechnologyIn

9、formation and Related Technology，简称，简称ISACFISACF）发布了信息）发布了信息技术控制目标技术控制目标COBITCOBIT第一版。目前已经修订到第四版。第一版。目前已经修订到第四版。l19981998年，年，ITIT治理学会（治理学会（IT Governance InstituteIT Governance Institute）成立。）成立。l19781978年，出现了年，出现了CISACISA职业化认证，并在职业化认证，并在19811981年举办了第一次年举办了第一次CISACISA考试。考试。20052005年年9 9月，美国国家标准协会（月，美国

10、国家标准协会（ANSIANSI）对）对ISACAISACA提供的提供的CISACISA和和CISMCISM资格进行了鉴定的认可，巩固了这两个资格的地位。资格进行了鉴定的认可，巩固了这两个资格的地位。l信息系统审计发展的历史（续）l政府审计：起源于对政府信息系统的评价政府审计：起源于对政府信息系统的评价l1959年，年，GAO发布第一份政府的信息系统审计报告：发布第一份政府的信息系统审计报告：评价自动评价自动化数据处理系统的安装化数据处理系统的安装；l1999年，年，GAO发布发布联邦信息系统控制审计手册联邦信息系统控制审计手册（第一版）；（第一版）；l2001年，年，GAO发布发布联邦信息系统

11、安全审计联邦信息系统安全审计管理的计划指南管理的计划指南；l2007年，审计署组织了第一次信息系统审计项目；年，审计署组织了第一次信息系统审计项目；l2008年，审计署组织了第一次独立的信息系统审计项目；年，审计署组织了第一次独立的信息系统审计项目；l2009年，年，GAO发布发布联邦信息系统控制审计手册联邦信息系统控制审计手册（第二（第二版）版）信息系统审计的标准体系lISACAISACA的信息系统审计标准的信息系统审计标准标准（标准（StandardsStandards）指南（指南（GuidelinesGuidelines）流程（流程（ProceduresProcedures）l信息系统审

12、计可以参考的其他标准信息系统审计可以参考的其他标准信息系统控制方面信息系统控制方面信息系统运营、服务管理方面信息系统运营、服务管理方面信息系统安全方面信息系统安全方面l信息系统审计必须遵循的行业法规信息系统审计必须遵循的行业法规ISACA的信息系统审计标准l标准：标准：定义了信息系统审计和报告的强制性要求。定义了信息系统审计和报告的强制性要求。l指南：指南：对审计人员执行信息系统审计标准的指导，信息系统审计对审计人员执行信息系统审计标准的指导，信息系统审计人员在实施相关工作时，应当考虑这些指南的要求。人员在实施相关工作时，应当考虑这些指南的要求。l流程：流程：为信息系统审计人员在执行具体审计任

13、务时提供详细的案为信息系统审计人员在执行具体审计任务时提供详细的案例，供审计人员参考。例，供审计人员参考。标准生效日期生效日期指南生效日期生效日期流程生效日期生效日期信息系统审计可以参考的其他标准l信息系统控制方面信息系统控制方面COSOCOBITSAC&eSACl信息系统运营、服务管理方面信息系统运营、服务管理方面ITILITILl信息系统安全方面信息系统安全方面ISO/ICT17799COSOlCOSO内部控制框架实际上是内部控制框架实际上是COSO组织在组织在1992年年9月发布的一份报告，月发布的一份报告，报告的正式名称是报告的正式名称是“内部控制内部控制-完整框架完整框架”。它是在美

14、国审计行业最为。它是在美国审计行业最为广泛接受并使用的内部控制框架。包括政府审计和会计师事务所的审计广泛接受并使用的内部控制框架。包括政府审计和会计师事务所的审计都以都以COSO作为检查组织内部控制的标准框架。作为检查组织内部控制的标准框架。l尽管尽管COSO框架并不是信息技术方面的内部控制框架，但是由于它在审框架并不是信息技术方面的内部控制框架，但是由于它在审计领域的重要性，几乎所有的信息系统审计的框架和指南都会考虑吸取计领域的重要性，几乎所有的信息系统审计的框架和指南都会考虑吸取它的主要思想作为内部控制的考虑出发点。特别是它的主要思想作为内部控制的考虑出发点。特别是2002年年萨班斯萨班斯

15、奥奥克斯利法案克斯利法案(SOX)颁布后，美国证券交易管理委员会（颁布后，美国证券交易管理委员会（SEC）把）把COSO框架作为组织加强内部控制的唯一参考框架，更进一步提升了框架作为组织加强内部控制的唯一参考框架，更进一步提升了COSO框架的重要地位。许多组织为了达到框架的重要地位。许多组织为了达到SOX法案对内部控制和信息法案对内部控制和信息真实性的要求，纷纷对信息系统进行控制评估和风险测试，开发了各种真实性的要求，纷纷对信息系统进行控制评估和风险测试，开发了各种信息技术控制框架以符合信息技术控制框架以符合COSO提出的要求，从而把信息技术的一般控提出的要求，从而把信息技术的一般控制和应用控

16、制方法与制和应用控制方法与COSO框架结合起来。框架结合起来。SAC&eSAC lSAC是第一个与信息技术相关的内部控制框架，它其实是由内部审计师学会是第一个与信息技术相关的内部控制框架，它其实是由内部审计师学会（IIA）在）在1977年发布一份报告，报告的正式名称是年发布一份报告，报告的正式名称是系统审计与控制报告系统审计与控制报告，该，该报告着重从业务视角考察信息技术，分析了存在于信息系统的计划、实施、自动报告着重从业务视角考察信息技术，分析了存在于信息系统的计划、实施、自动化应用中的风险，希望为组织提供化应用中的风险，希望为组织提供“对信息技术与系统审计的控制的指导对信息技术与系统审计的

17、控制的指导”。lSAC报告包含了报告包含了14个模块，分别是：执行概要、审计与控制环境、审计中信息技个模块，分别是：执行概要、审计与控制环境、审计中信息技术的应用、计算机资源管理、管理信息与开发系统、业务系统、最终用户与部门术的应用、计算机资源管理、管理信息与开发系统、业务系统、最终用户与部门级计算、通讯、安全、意外计划、技术、索引、先进技术支持、案例研究。级计算、通讯、安全、意外计划、技术、索引、先进技术支持、案例研究。l2001年，内部审计师学会（年，内部审计师学会（IIA）发布了适应时代的信息系统控制模型：电子系统）发布了适应时代的信息系统控制模型：电子系统验证与控制（验证与控制（eSA

18、C），主要内容包括高级管理人员、公司治理实体、审计人员在），主要内容包括高级管理人员、公司治理实体、审计人员在理解、评估、监控、化解技术风险时需要掌握的新知识。理解、评估、监控、化解技术风险时需要掌握的新知识。eSAC的核心通过五个验的核心通过五个验证目标（可用性、性能、功能、保护、责任）与证目标（可用性、性能、功能、保护、责任）与COSO的四个内部控制目标（运的四个内部控制目标（运行、报告、符合、维护）以及五项基础设施模块（人员、技术、过程、投资、通行、报告、符合、维护）以及五项基础设施模块（人员、技术、过程、投资、通讯）结合起来。讯）结合起来。ITIL lITIL是指信息技术基础设施库（是

19、指信息技术基础设施库（ITInfrastructureLibrary）。是一个能促进组织）。是一个能促进组织接近提供高质量的信息技术服务的最佳实践的框架。接近提供高质量的信息技术服务的最佳实践的框架。lITIL专门关注怎样做和谁来做。核心过程包括在两个专门关注怎样做和谁来做。核心过程包括在两个ITIL的文档中：服务支持和服的文档中：服务支持和服务交付。务交付。l服务支持主要包括以下过程：服务支持主要包括以下过程：事故管理事故管理问题管理问题管理配置管理配置管理变更管理变更管理版本管理版本管理l服务交付主要包括以下过程：服务交付主要包括以下过程：服务水平管理服务水平管理信息技术服务的财务管理信息

20、技术服务的财务管理能力管理能力管理信息技术服务持续度管理信息技术服务持续度管理可用性管理可用性管理lITIL还包括了基础架构管理、应用程序管理、安全管理、规划与实施服务管理、还包括了基础架构管理、应用程序管理、安全管理、规划与实施服务管理、软件资产管理等内容。软件资产管理等内容。ISO/ICT17799 lISO/ICT17799是信息安全的国际标准，是由国际标准化组织（是信息安全的国际标准，是由国际标准化组织（ISO）和）和国际电子技术委员会（国际电子技术委员会（ICT）颁布的。该标准的正式名称是）颁布的。该标准的正式名称是“信息技术信息技术安全技术安全技术信息安全管理实务规定信息安全管理实

21、务规定”。其中。其中ISO/ICT17799：2000版本，是对英国标准版本，是对英国标准BS7799-1：1999的复制。的复制。l2005版的版的ISO/ICT17799标准包含了以下标准包含了以下12个方面：风险评估与处理、安个方面：风险评估与处理、安全策略、信息安全组织、资产管理、人力资源安全、物理与环境安全、全策略、信息安全组织、资产管理、人力资源安全、物理与环境安全、通讯与运营管理、访问控制、信息系统获取、开发与维护、信息安全事通讯与运营管理、访问控制、信息系统获取、开发与维护、信息安全事故管理、业务持续管理、符合性。故管理、业务持续管理、符合性。l在标准的每一部分中，都清楚地标明

22、了信息技术安全控制的目标，信息在标准的每一部分中，都清楚地标明了信息技术安全控制的目标，信息技术安全控制被作为达到这些目标的最佳实践。技术安全控制被作为达到这些目标的最佳实践。信息系统审计必须遵循的行业法规信息系统审计必须遵循的行业法规lGramm-Leach-Bliley法案法案(GLBA)又称金融现代化法案，又称金融现代化法案，1999年年11月月12日获得美国国会的通过，日获得美国国会的通过，GLBA规定金规定金融机构必须评估客户机密信息的风险，制定控制措施，尽量降低已知风险，融机构必须评估客户机密信息的风险，制定控制措施，尽量降低已知风险，并定期更新风险评估结果和控制措施。并定期更新风

23、险评估结果和控制措施。l健康保险流通与责任法案健康保险流通与责任法案(HIPAA)1996年年8月月21日，日，健康保险流通与责任法案(HIPAA)(TheHealthInsurancePortabilityandAccountabilityAct)获得美国国会的通过，法案规定所有处获得美国国会的通过，法案规定所有处理和理和/或持有健康医疗相关信息的组织都必须遵守保护病患信息或持有健康医疗相关信息的组织都必须遵守保护病患信息(PHI)的安全的安全性规定。性规定。HIPAA把医疗记录和相关信息定义为需要特别控制的受保护的健康把医疗记录和相关信息定义为需要特别控制的受保护的健康信息。信息。l萨班斯

24、一奥史斯利法案萨班斯一奥史斯利法案(Sarbanes-OxleyAct)2002年通过的萨班斯一奥史斯利法案年通过的萨班斯一奥史斯利法案(Sarbanes-Oxley(SOX)Actof2002)规定美国证券交易所规定美国证券交易所(SEC)的注册公司必须针对运营和金融业务建立并维持的注册公司必须针对运营和金融业务建立并维持有效的内部控制架构，为控制措施的有效性提供管理报告，而且控制措施的有效的内部控制架构，为控制措施的有效性提供管理报告，而且控制措施的有效性必须通过外部审计人员的审核。有效性必须通过外部审计人员的审核。l内容提要l信息系统审计概述信息系统审计概述l国际上开展的政府的信息系统审

25、计现状国际上开展的政府的信息系统审计现状l信息系统审计模型信息系统审计模型COBITCOBITl审计署所做的信息系统审计工作审计署所做的信息系统审计工作l案例介绍与分析案例介绍与分析l审什么和怎么审审什么和怎么审l交流互动交流互动国际上开展的政府的信息系统审计现状l美国联邦审计机构信息系统审计美国联邦审计机构信息系统审计l美国地方审计机构信息系统审计美国地方审计机构信息系统审计l国外国外IT绩效审计与电子政务审计绩效审计与电子政务审计美国联邦机构信息系统审计l美国的联邦审计机构（中央级）由两部分组成：美国的联邦审计机构（中央级）由两部分组成：l一部分是美国审计署（一部分是美国审计署（GAO），

26、），l另一部分是兼有审计、监察两种职能的行政部门和机构的监察长另一部分是兼有审计、监察两种职能的行政部门和机构的监察长办公室（办公室（OIGs）。）。美国联邦审计机构l美国审计署作为议会的调查机构，是议会用来监督和评价联邦政美国审计署作为议会的调查机构，是议会用来监督和评价联邦政府的工具。其主要工作是开展项目效果评价和管理评估、政策评府的工具。其主要工作是开展项目效果评价和管理评估、政策评估以及为国会提供有关政府施政方面的复杂问题的研究报告。除估以及为国会提供有关政府施政方面的复杂问题的研究报告。除对联邦合并财务报表和个别机构、单位的财务报表由美国审计署对联邦合并财务报表和个别机构、单位的财务

27、报表由美国审计署进行审计外，部门和机构的财务审计基本上交由监察长办公室进进行审计外，部门和机构的财务审计基本上交由监察长办公室进行。行。l美国的监察长审计制度是通过美国的监察长审计制度是通过1978年年监察长法监察长法建立起来的。建立起来的。根据根据1978年的年的监察长法监察长法及其后来的修正案，联邦政府各部门及其后来的修正案，联邦政府各部门均设立监察长办公室，监察长负责监察长办公室的工作，由总统均设立监察长办公室，监察长负责监察长办公室的工作，由总统任命。监察长办公室的预算是独立的，由国会批准，部门负责人任命。监察长办公室的预算是独立的，由国会批准，部门负责人不能用经费来限制监察长办公室的

28、业务活动。监察长办公室的工不能用经费来限制监察长办公室的业务活动。监察长办公室的工作范围十分广泛，涉及到影响部门工作效率和效果的各个方面。作范围十分广泛，涉及到影响部门工作效率和效果的各个方面。其主要工作包括审计、对投诉、举报和有关事项的调查和监察等其主要工作包括审计、对投诉、举报和有关事项的调查和监察等工作。其中，审计工作主要包括财务审计和绩效审计两个方面。工作。其中，审计工作主要包括财务审计和绩效审计两个方面。l美国审计署和监察长办公室在分工上各有侧重，二者共同构成了美国审计署和监察长办公室在分工上各有侧重，二者共同构成了美国国家审计的整体。美国国家审计的整体。美国审计署与监察长办公室的关

29、系美国审计署美国审计署监察长办公室监察长办公室作用范围作用范围整个政府整个政府部门、机构内部部门、机构内部关注问题关注问题普遍性（横向）和长期性的问普遍性（横向）和长期性的问题题深入（纵向）和短期性的问题深入（纵向）和短期性的问题工作类型工作类型较多审计、评价和政策分析较多审计、评价和政策分析较多调查较多调查对财务报表审计的对财务报表审计的分工分工对联邦政府合并报表发表意见对联邦政府合并报表发表意见对部门、机构财务报表进行审计对部门、机构财务报表进行审计对政府绩效进行监对政府绩效进行监督的方式督的方式提出联邦政府部门绩效和责任提出联邦政府部门绩效和责任高风险名单高风险名单提出政府部门面临的管理

30、挑战清提出政府部门面临的管理挑战清单单（根据2004年3月24日美国审计长大卫沃克所做的美国审计署和监察长办公室：提高政府绩效和责任演讲中的幻灯片的内容编译。）1、美国审计署美国审计署与计算机相关的组织机构美国审计署与计算机相关的组织机构在业务方面，设置了专门的信息技术局开展信息系统审计；在业务方面，设置了专门的信息技术局开展信息系统审计；另外，在应用研究与技术局下设有专门的技术工程和信息安全另外，在应用研究与技术局下设有专门的技术工程和信息安全实验中心，负责改善信息技术和促进软件工程现代化，评估联邦实验中心，负责改善信息技术和促进软件工程现代化，评估联邦政府计算机系统的安全性。政府计算机系统

31、的安全性。在保障方面，设置了专门的信息系统与技术服务部门保障内部在保障方面，设置了专门的信息系统与技术服务部门保障内部信息系统的运转。信息系统的运转。相关计算机机构的任务l信息技术局（截止至信息技术局（截止至2007年年4月）有局领导月）有局领导2人，人，5个处，分别是：个处，分别是：（1）信息管理；）信息管理；（2）信息技术架构与系统；）信息技术架构与系统；（3）信息技术人力资本与管理；）信息技术人力资本与管理；（4）信息技术管理事务：）信息技术管理事务：（5）信息技术安全事务。）信息技术安全事务。l信息系统与技术服务部门设信息系统与技术服务部门设GAO首席信息官（首席信息官（CIO）一名，

32、承担）一名，承担9项任务：项任务：（1）业务系统；（）业务系统；（2）客户关系；）客户关系；（3）预约管理；）预约管理；（4）组织架构；（）组织架构；（5）信息系统安全；（）信息系统安全；（6）网络运营；）网络运营；（7）运行与计划；（）运行与计划；（8）通讯；（）通讯；（9）网页服务）网页服务l技术工程和信息安全实验中心负责对工作成果有关内容的准确性进技术工程和信息安全实验中心负责对工作成果有关内容的准确性进行技术检验，包括具备系统工程、软件工程、成本概算和计算机安行技术检验，包括具备系统工程、软件工程、成本概算和计算机安全等方面的工程师和科学家。全等方面的工程师和科学家。美国审计署文件对信

33、息系统审计组织机构的要求l美国审计署美国审计署信息系统安全审计信息系统安全审计管理的计划指南管理的计划指南（2001年年12月）中提月）中提到：到：审计机关所辖信息系统审计部门的大小决定了信息系统审计的能力，审计机关所辖信息系统审计部门的大小决定了信息系统审计的能力，州和地方审计机关信息系统审计部门的大小和职能区别很大。州和地方审计机关信息系统审计部门的大小和职能区别很大。一些审计机关没有设置信息系统审计部门，而是通过与社会审计有关一些审计机关没有设置信息系统审计部门，而是通过与社会审计有关方面签订合同，完成信息系统审计工作。还有一些审计机关的信息系统方面签订合同，完成信息系统审计工作。还有一

34、些审计机关的信息系统审计人员直接整合进入财务审计和业务审计小组。审计人员直接整合进入财务审计和业务审计小组。此外，审计机关应该根据其大小、结构和任务建立健全信息系统安全此外，审计机关应该根据其大小、结构和任务建立健全信息系统安全审计方面的能力。审计方面的能力。美国审计署对信息系统控制审计的提法1、一般控制（摘自、一般控制（摘自联邦信息系统控制审计手册联邦信息系统控制审计手册）：）：l实体安全控制l访问控制l应用软件开发和变更控制l系统软件控制l职责分离控制l服务连续性控制2、应用控制（摘自、应用控制（摘自联邦政府内部控制标准联邦政府内部控制标准和和控制管控制管理与评价工具理与评价工具）：）：l

35、授权控制l完整性控制l准确性控制l数据文件和处理的完整性控制美国审计署关于信息系统安全审计的提法l（摘自（摘自信息系统安全审计信息系统安全审计管理的计划指南管理的计划指南）信息系统安全审计的目标是：支持财务审计、信息系统安全审计的目标是：支持财务审计、支持效益审计、支持计算机辅助审计和完成系统支持效益审计、支持计算机辅助审计和完成系统开发的安全检查等。开发的安全检查等。满足信息系统安全审计目标的活动有：满足信息系统安全审计目标的活动有：计划计划支持；支持；一般控制检查（组织和管理、应用开发一般控制检查（组织和管理、应用开发与维护、系统软件、计算机运行、安全管理、逻与维护、系统软件、计算机运行、

36、安全管理、逻辑安全、物理安全）、辑安全、物理安全）、应用控制检查（输入控应用控制检查（输入控制、输出控制）；制、输出控制）；采用专门的安全技术工具；采用专门的安全技术工具；收集其他安全相关信息；收集其他安全相关信息；其他的专业支持。其他的专业支持。美国审计署与信息技术投资相关的指南和手册l信息技术：评估采购风险的审计指南信息技术：评估采购风险的审计指南,1992年年12月；月；l执行指南：通过信息管理战略来提高执行任务的效果，执行指南：通过信息管理战略来提高执行任务的效果，1994年年5月；月；l信息技术投资：联邦机构能提高效益、降低成本和使风信息技术投资：联邦机构能提高效益、降低成本和使风险

37、最小，险最小，1996年年9月；月；l信息技术投资评价指南，信息技术投资评价指南，1997年年2月；月；l执行指南：信息技术投资的效益计量和成果演示，执行指南：信息技术投资的效益计量和成果演示，1998年年3月；月；l执行指南：信息安全管理，执行指南：信息安全管理，1998年年8月；月；l信息安全风险评估：领先者的实践经验，信息安全风险评估：领先者的实践经验，1999年年11月；月；l信息技术投资管理执行指南：评估和改进过程成熟度的信息技术投资管理执行指南：评估和改进过程成熟度的框架框架2004年年3月。月。美国审计署发布的信息系统审计报告l根据对美国审计署官方网站上审计报告的统计根据对美国审

38、计署官方网站上审计报告的统计,自自1959年年12月月15日的日的评价自动化数据处理系统的安装评价自动化数据处理系统的安装开始至今（开始至今（2007年年5月）月），美国审计署共发布，美国审计署共发布1632份有关信息管理的审计报告。份有关信息管理的审计报告。l自自2000年年1月至今，美国审计署共发布有有关信息管理的审计报月至今，美国审计署共发布有有关信息管理的审计报告告392篇，占同期全部审计报告（篇，占同期全部审计报告（7087份）约份）约5.5%。以美国审计署网站公布的第一份信息管理类审计报告为例l这是一份提交给邮政事务委员会（这是一份提交给邮政事务委员会（THECOMMITTEEON

39、POSTOFFICEANDCIVILSERVICE）的报告。）的报告。l审计调查：审计调查：1959年年10月，邮政事务委员会请求美国审计署对其自月，邮政事务委员会请求美国审计署对其自动化数据处理系统的安装进行评价。动化数据处理系统的安装进行评价。1952年年12月，其下属部门租月，其下属部门租得一套中型计算机系统得一套中型计算机系统Datatron205，年度租金，年度租金$123,300，增加，增加运营成本运营成本$156,700，该部门不久，该部门不久安装了一套更大处理能力的安装了一套更大处理能力的Datatron220,将进一步增加运营成本将进一步增加运营成本$127,500。审计署认

40、为，该部门决定租用计算机系统审计署认为，该部门决定租用计算机系统Datatron205的理由的理由是充分的，但调查也发现使用该套设备并不能直接节约费用。是充分的，但调查也发现使用该套设备并不能直接节约费用。以美国审计署发布的最新一期信息管理类审计报告为例l信息安全：美国联邦存款保险公司需要继续改进其处理程序。信息安全：美国联邦存款保险公司需要继续改进其处理程序。GAO-07-351,2007年年5月月18日日l美国审计署为什么要完成进行这项审计任务？美国审计署为什么要完成进行这项审计任务？美国联邦存款保险公司（美国联邦存款保险公司（FDIC）有责任强制要求金融机构遵守银行法，保护）有责任强制要

41、求金融机构遵守银行法，保护存款人的利益。作为存款人的利益。作为2006年度财务报表审计的一部分，美国审计署评估以下年度财务报表审计的一部分，美国审计署评估以下内容：内容：（1）美国联邦存款保险公司按照先前报告要求，对信息安全薄弱环节的纠正）美国联邦存款保险公司按照先前报告要求，对信息安全薄弱环节的纠正情况。情况。（2）信息系统完整性控制的效力，以保证财务信息和信息系统的机密性和有）信息系统完整性控制的效力，以保证财务信息和信息系统的机密性和有效性。效性。l美国审计署的建议是：美国审计署的建议是：美国联邦存款保险公司应采取措施解决控制薄弱点，并将美国联邦存款保险公司应采取措施解决控制薄弱点，并将

42、NFE“新财务环新财务环境境”充分整合，纳入统一的信息安全程序。充分整合，纳入统一的信息安全程序。在起草报告的过程中，美国联邦存款保险公司反映他们正在落实整改。在起草报告的过程中，美国联邦存款保险公司反映他们正在落实整改。以美国审计署发布的最新一期信息管理类审计报告为例（续）l美国审计署的审计发现：美国审计署的审计发现：首先，美国联邦存款保险公司积极按照首先，美国联邦存款保险公司积极按照2005年美国审计署报告的建议，年美国审计署报告的建议，对对26项薄弱点进行了纠正。其中包括：项薄弱点进行了纠正。其中包括：（1）正在开发和已经完成的计算机程序不得在网络中以可读取的方式传输主）正在开发和已经完

43、成的计算机程序不得在网络中以可读取的方式传输主机用户和管理员的密码；机用户和管理员的密码；（2）使用程序变更供应商的用户名）使用程序变更供应商的用户名/密码；密码；（3）改进主机的安全监控等。）改进主机的安全监控等。虽然，美国联邦存款保险公司已经采取了有效措施改进其信息系统控制，虽然，美国联邦存款保险公司已经采取了有效措施改进其信息系统控制，但是原有的和新发现的薄弱点将阻碍公司保护其财务和敏感信息与系统的完但是原有的和新发现的薄弱点将阻碍公司保护其财务和敏感信息与系统的完整、机密和有效。除了还有整、机密和有效。除了还有5项薄弱点还没有得到纠正以外，本次审计还发项薄弱点还没有得到纠正以外，本次审

44、计还发现以下控制存在薄弱点：现以下控制存在薄弱点：（1）e-mail安全；（安全；（2）物理安全；（）物理安全；（3）配置管理。）配置管理。虽然这些薄弱点可能不会给公司的财务报表造成虚假陈述的显著风险，虽然这些薄弱点可能不会给公司的财务报表造成虚假陈述的显著风险，但是他们的确是可能造成财务和信息系统风险的发生。此外，公司没有将其但是他们的确是可能造成财务和信息系统风险的发生。此外，公司没有将其“新财务环境新财务环境”（NFE）纳入整体的信息安全程序，没有对其实施关键的控）纳入整体的信息安全程序，没有对其实施关键的控制活动。制活动。2、监察长办公室（OIGs）l监察长办公室下设多个部门，其中包括

45、审计处。审计处主要负责：监察长办公室下设多个部门，其中包括审计处。审计处主要负责：1、实施和监督与部门项目和业务活动有关的审计；、实施和监督与部门项目和业务活动有关的审计；2、提出相关政策建议以提升部门项目和业务活动管理的经济、效、提出相关政策建议以提升部门项目和业务活动管理的经济、效率和效果，揭露并杜绝项目和业务活动管理过程中出现的舞弊、率和效果，揭露并杜绝项目和业务活动管理过程中出现的舞弊、浪费、滥用和管理不善问题，协助监察长提请部长和国会注意有浪费、滥用和管理不善问题，协助监察长提请部长和国会注意有关部门项目和业务管理方面的问题、不足以及改善的必要性和过关部门项目和业务管理方面的问题、不

46、足以及改善的必要性和过程。程。l监察长下设的审计部门在信息系统审计领域，同样要遵守美国审监察长下设的审计部门在信息系统审计领域，同样要遵守美国审计署颁布的审计标准、手册和指南。计署颁布的审计标准、手册和指南。美国小企业管理局监察长办公室，2003财年信息系统控制审计报告，2004年4月l审计人员检查了小企业管理局的财务管理系统的一般控制和应用控制，确认其是否控制符合联邦的要求。l本次审计，对联邦政府进行一般控制和应用控制的检查，主要依据下列文件：（1）管理和预算办公室（OMB）的A-130通知；（2）联邦信息资源和计算机安全法案，1987年。l审计结论认为：小企业管理局在实施信息系统安全程序方

47、面获得相当大的进展，但仍然存在不足，部分控制仍需加强，包括：整体的安全控制、访问控制、应用软件开发和变更控制、系统软件控制、职责分离控制控制和业务持续性控制。l该报告也提出了相应的解决建议。联邦通信委员会监察长办公室，呼叫中心的计算机控制审计，2000年6月l审计依据：审计依据：（1）管理和预算办公室（OMB）的A-130通知；（2）美国审计署联邦信息系统控制审计手册；（3）通讯委员会自定的“计算机安全程序”；（4）“计算机舞弊和滥用法”。l审计发现：审计发现：审计最终发现审计最终发现103处问题，其中高风险（处问题，其中高风险（13处），处），中风险（中风险（52处），低风险（处），低风险（

48、38处）。处）。呼叫中心共有呼叫中心共有3大系统，分别是：自动呼叫管理系统、大系统，分别是：自动呼叫管理系统、语音响应系统和专家顾问系统。语音响应系统和专家顾问系统。国外的信息系统审计l美国联邦审计机构信息系统审计美国联邦审计机构信息系统审计l美国地方审计机构信息系统审计美国地方审计机构信息系统审计l国外国外IT绩效审计与电子政务审计绩效审计与电子政务审计两个协会l美国州审计师、主计师、司库全国协会(NASACT)l美国地方政府审计师协会美国地方政府审计师协会（ALGA）美国州审计师、主计师、司库全美国州审计师、主计师、司库全国协会国协会(NASACT)l美国州审计师、主计师、司库协会由州政府

49、开展财务管理美国州审计师、主计师、司库协会由州政府开展财务管理政府官员组成的一个组织。政府官员组成的一个组织。l其会员包括美国其会员包括美国50个州、哥伦比亚特区等美国领土的所有个州、哥伦比亚特区等美国领土的所有审计师、主计师和司库。审计师、主计师和司库。l该协会成立了专门的政府间信息安全审计论坛，以促进加该协会成立了专门的政府间信息安全审计论坛，以促进加强政府信息安全审计能力。包括强政府信息安全审计能力。包括5个组，任务目标组、法个组，任务目标组、法律文件和报告组、技术组、培训和课件开发组和信息共享律文件和报告组、技术组、培训和课件开发组和信息共享组。组。l其目标是：技术技巧和人力资源；采用

50、的审计方法和工具；其目标是：技术技巧和人力资源；采用的审计方法和工具；建立完成信息安全审计的技术、法律和程序基础；开发材建立完成信息安全审计的技术、法律和程序基础；开发材料，教育信息安全风险与审计；讨论改善信息安全的统一料，教育信息安全风险与审计；讨论改善信息安全的统一标准。标准。l其开发的操作手册包括：一般控制、应用控制、计算机辅其开发的操作手册包括：一般控制、应用控制、计算机辅助审计技术、计算机取证审计助审计技术、计算机取证审计美国地方政府审计师协会（ALGA）l美国地方政府审计师协会是由有关审计机构组成，自美国地方政府审计师协会是由有关审计机构组成，自由入会，共享资源。由入会，共享资源。