《第二天讲义A:IT治理标准》由会员分享,可在线阅读,更多相关《第二天讲义A:IT治理标准(21页珍藏版)》请在金锄头文库上搜索。
1、1 IT治理标准简介 讲师讲师 陈伟陈伟 一一 信息系统审计信息系统审计 2 什么是审计 审计的定义审计的定义 是指有胜任能力的独立机构或人员接受委托或授权 对特定经 济实体的可计量的信息证据进行客观地收集和评价 以确定这 些信息与既定标准的符合程度 并向利益相关者报告的一个系 统的过程 对审计的理解对审计的理解 审计主体 独立机构或人员 审计关系 接受委托或授权 审计对象 可计量的信息 审计依据 既定标准 审计依据 既定标准 审计工作 客观地收集和评价证据 审计目标 确定这些信息与既定标准的符合程度 并向利益相关 者报告 审计过程 系统的过程 遵循逻辑顺序 结构严密的活动 审计的性质 独立
2、客观 审计的分类 审计的分类 财务报表审计 对被审计单位会计报表的合法性 公允性 一贯性发表审计意见 经营管理审计 检查一个企业或组织经营的程序和方法以确定其经营效率 效果 并向管理当局提出改善经营管理的建议 包括市场营销 投资融资 组织结构 人事管理等 合法性 合规性审计 指对一个单位的某些财务或经营活动收集并评价证据 以确定其是 否按照特定的标准 信息系统审计 3 为什么需要信息系统审计 德勤高级伙人鲍威尔说德勤高级伙人鲍威尔说 由于企业经营越来越依赖于信息系统 除了传统意 义上的经营风险 控制风险与财务风险 企业信息安 全导致的信息风险在日益增长 审计不仅关注被审计 单位电子数据的取得
3、分析与计算等数据处理业务 延伸到了对计算机的可靠性 安全性进行了解与评 价 德勤高级伙人鲍威尔说德勤高级伙人鲍威尔说 由于企业经营越来越依赖于信息系统 除了传统意 义上的经营风险 控制风险与财务风险 企业信息安 全导致的信息风险在日益增长 审计不仅关注被审计 单位电子数据的取得 分析与计算等数据处理业务 延伸到了对计算机的可靠性 安全性进行了解与评 价 IS战略 政策 过程 人员 服务器 工作站 打印机 网络 交换机 Windows NT UNIX Oracle 数据库 财务报告 销售收入 1000万 销售业务系统 会计核算系统 信息系统安全信息系统安全 与应急计划与应急计划 系统的开发系统的
4、开发 获得获得 维护维护 及数据处理及数据处理 信息系统审计的定义 国际信息系统审计领域的权威Ron Weber的定 义 收集与评估证据 以判断一个计算机系统 信息系统 是否有效做到保护资产 维护数据完整 完成组织目 标 同时最经济地使用资源 ISACA定义 信息系统审计是一个获取并评价证据 以判断计算机 系统是否能够保证资产的安全 数据的完整以及有效 率地利用组织的资源并有效果地实现组织目标的过 程 4 信息系统审计国际组织ISACA 1969年美国洛杉矶成立了电子数据审计师协会 EDPAA 1994年该协会更名为信息系统审计与控制协会 ISACA Information System Au
5、dit and Control Associration 总部 在芝加哥 ISACA在100多个国家 设有160个分会 现有会员3万5 千人 制订信息系统审计准则 实务指南等专业规范来指导信息 系统审计师的工作 ISACA每年为通过考试为从业人员颁发CISA证书 CISA 资格在世界各国被广泛认可 信息系统审计业务组成 信息系统的管理 规划与组织审计 评价信息系统的治理机制的有效性 审计信息系统管理 计划与 组织方面的策略 政策 标准 程序和相关实务 信息系统技术基础设施与运行实务审计 评价组织在技术基础设施与运行实务的管理和实施方面的有效性 及效率 以确保其充分支持组织的业务目标 信息资产的
6、保护审计 对逻辑 实体与环境的安全性进行评价 确保其能支持组织保护 信息资产的需要 防止信息资产在未经授权的情况下被使用 披 露 修改 损坏或丢失 5 信息系统审计业务组成 续 灾难恢复与业务持续计划 BCP计划在发生灾难时 能够使组织业 务不中断 对这种计划的建立和维护流程需要进行评价 业务应用系统开发 获得 实施与维护 对业务应用系统的开发 获得 实施与维护方面所采用的方法和流程进行评价 以确保其满足 组织的业务目标 业务流程评价与风险管理 评估组织业务系统与处理流程 确保根 据业务目标对相应风险实施管理 与安全相关的人力资源管理与企业文化 评估与安全相关的人力资 源管理政策 程序 实务以
7、及 信息安全 人人有责 的企业文化 信息系统审计的关注点 6 信息系统审计的关注点 续 有效性有效性 处理与业务过程相应和相关的信息 同时能以及时 正 确 一致和可用的方式交付 经济性经济性 关系到通过优化 最具生产力的和经济的 资源使用来提 供信息 机密性机密性 关系到保护敏感信息不被非授权泄露 完整性完整性 与信息的准确性和完全性 还有与商业价值和期望的一致 性有关 可用性可用性 与信息在当前和将来需要时可用有关 同时还关系到对必 要资源和相关能力的保护 符合性符合性 处理与下述的符合性问题 那些法律 法规和影响业务过 程的合同安排 即外部强加的商业标准 信息可靠性信息可靠性 关系到提供合
8、适的信息给管理层去运作 去行使其财 务和符合性报告职责 信息系统审计的作用 鉴证价值 通过审计 合理地保证被审计单位信息系统及其处理 产生的信 息的真实性 完整性与可靠性 政策遵循的一贯性 促进价值 审计师的证明可以增强人们对组织信息系统的信任程度 促进组 织更有效地带入社会经济生活中 通过审计发现控制缺陷或漏洞 提出解决问题的建议 从而促进 被审计单位提高管理水平 提高经济效益 咨询价值 审计师帮助企业建立健全内部控制制度 进行系统诊断咨询 客 观中立地帮助企业降低信息化建设过程中的风险 7 信息安全越来越成为银行信息化建设与管理中需要密 切关注的问题 企业对信息安全的重视程度和资金投 入
9、将逐渐从单一的产品和技术向整体解决方案过渡 同时从封闭式的设计 实施与管理 不断与完善的 具 有适当资质的 独立的第三方审计相结合 这是未来发 展的一个趋势 中国人民银行支付与科技司司长陈静 信息安全越来越成为银行信息化建设与管理中需要密 切关注的问题 企业对信息安全的重视程度和资金投 入 将逐渐从单一的产品和技术向整体解决方案过渡 同时从封闭式的设计 实施与管理 不断与完善的 具 有适当资质的 独立的第三方审计相结合 这是未来发 展的一个趋势 中国人民银行支付与科技司司长陈静 信息系统审计准则 信息系统审计需要统一的标准与规范 审计指南与程序可以促进信息系统专业人员工作的有 效性 并通过经验
10、交流 不断完善 通用信息系统审计准则由ISACA协会下的准则部制 定 要求CISA遵守信息系统审计准则 1997年7月25日生效 公布了8类12条准则 20条审计 指南 22条审计程序 8 信息系统控制框架 COBIT 国际上公认权威的安全与信息技术管理和控制 的标准 它在商业风险 控制需要和技术问题 之间架起了一座桥梁 以满足管理的多方面需 要 该标准体系已在世界一百多个国家的重要组织 与企业中运用 指导这些组织有效利用信息资 源 有效地管理与信息相关的风险 COBIT 架构设计 COBIT将IT 过程 IT资源及信息与企业的策 略与目标联系起来 形成一个三维的体系结 构 IT准则维集中反映
11、了企业的战略目标 主要 从质量 成本 时间 资源利用率 系统效 率 保密性 完整性 可用性等方面来保证 信息的安全性 可靠性 有效性 IT资源维主要包括以人 应用系统 技术 设施及数据在内的信息相关的资源 这是IT 治理过程的主要对象 IT过程维则是在IT准则的指导下 对信息及相 关资源进行规划与处理 从信息技术的规划 与组织 采集与实施 交付与支持 监控等 四个方面确定了34个信息技术处理过程 每个处理过程还包括更加详细的控制目标和 审计方针对IT处理过程进行评估 9 COBIT结构图 人 员 应 用 系 统 技 术 设 施 数 据 有 效 性 效 率 机 密 性 完 整 性 可 用 性 依
12、 从 可 靠 性 信信 息息 IT资资 源源 规规 划划 与与 组组 织织 监监 控控 交交 付付 与与 支支 持持获获 得得 与与 实实 施施 过过 程程 监监 控控 评评 价价 内内 部部 控控 制制 的的 适适 当当 性性 获获 取取 独独 立立 保保 证证 提提 供供 独独 立立 的的 审审 计计 定定 义义 并并 管管 理理 服服 务务 水水 平平 管管 理理 第第 三三 方方 的的 服服 务务 管管 理理 性性 能能 与与 容容 量量 确确 保保 服服 务务 的的 连连 续续 性性 确确 保保 系系 统统 安安 全全 确确 定定 并并 分分 配配 成成 本本 教教 育育 并并 培培
13、 训训 客客 户户 配配 置置 管管 理理 处处 理理 问问 题题 和和 突突 发发 事事 件件 数数 据据 管管 理理 设设 施施 管管 理理 运运 营营 管管 理理 确确 定定 自自 动动 化化 的的 解解 决决 方方 案案 获获 取取 并并 维维 护护 应应 用用 程程 序序 软软 件件 获获 取取 并并 维维 护护 技技 术术 基基 础础 设设 施施 程程 序序 开开 发发 与与 维维 护护 系系 统统 安安 装装 与与 鉴鉴 定定 变变 更更 管管 理理 定定 义义IT战战 略略 规规 划划 定定 义义 信信 息息 体体 系系 结结 构构 确确 定定 技技 术术 方方 向向 定定 义
14、义IT组组 织织 与与 关关 系系 管管 理理IT投投 资资 传传 达达 管管 理理 目目 标标 和和 方方 向向 人人 力力 资资 源源 管管 理理 确确 保保 与与 外外 部部 需需 求求 的的 一一 致致 性性 风风 险险 评评 估估 项项 目目 管管 理理 质质 量量 管管 理理 CoBIT 业业 务务 目目 标标 COBIT组件 10 二二 信息安全管理信息安全管理 如何保护信息安全 如何实现信息安全 信息安全 反病毒软件 防火墙 入侵检测系统 管理制度 人的因素 环境因素 Ernst Young分析 国家政府和军队信息受到的攻击70 来自外部 银行和企业信息 受到的攻击70 来自于
15、内部 在整个系统安全工作中 管理 包括管理和法律法规方面 所占比重 应该达到70 而技术 包括技术和实体 应占30 建立信息安全管理体系 对信息安全建立系统工程的观念 用制度来保证组织的信息安全更有效 11 根据自顶向下 逐步求精的 原则 根据组织的业务目标 与安全要求 建立完善的安 全治理结构 在风险评估的 基础上 先建立并运行信息 安全框架 初步达到粗粒度 的信息安全 在完整的信息安全框架之 上 建立 人力防火墙 与 技 术防火墙 在细粒度上的保 证信息安全 实施阶段性的信息系统审 计 在持续不断的改进过程 中保证信息的安全性 完整 性 可用性 从而建立一套 完整的信息安全管理体系 信息安
16、全的方法论信息安全的方法论 建立信息安全管理制度建立信息安全管理制度 对于一个组织来说 比较切实可行的第一步的是 建立信息安全管理框架 通过周密 系统 适合 组织自身需求的完整体系来保证信息安全 这种通过维护信息的机密性 完整性和可用性 来管理和保护组织所有的信息资产的体制称为信 息安全管理 信息安全是一个管理过程信息安全是一个管理过程 而不是一个技术过程而不是一个技术过程 信息安全是一个管理过程信息安全是一个管理过程 而不是一个技术过程而不是一个技术过程 用制度来保证信息安全更有效用制度来保证信息安全更有效 用制度来保证信息安全更有效用制度来保证信息安全更有效 12 信息安全管理最佳实践 BS7799 BS7799就是这样一个可以指导组织实现信息安全的 最佳实践 它从管理 技术 人员 过程的角度来定 义 建立 实施信息安全管理体系 保障组织的信息 安全 滴水不漏 确保组织业务的持续运营 维护企 业的竞争优势 引入并遵循BS7799的信息安全管理可以给组织带来 两方面效益 一是因减少信息安全事故的经济损失而产生的价值效益 二是由于增加声誉 提升品牌价值而增加的非价值效益 BS7799简
