《《信息系统审计》 第3章课件》由会员分享,可在线阅读,更多相关《《信息系统审计》 第3章课件(125页珍藏版)》请在金锄头文库上搜索。
1、Information System Audit chapter3,信息系统审计,南京审计学院 主讲教师:吕新民,第3章,第三章 信息系统一般控制及审计,进行信息系统审计,需要对内部控制制度进行审计测 试。但信息系统环境下的内部控制与传统环境下内部 控制相比,有了很大不同,由传统的手工控制转变为 信息系统内部控制。,信息系统内部控制:是一个单位在信息系统环境下, 为了保证业务活动的有效进行,保护资产的安全 与完整,合理确保信息系统提供的会计及业务信 息的真实、准确、合法合规,防止、发现、纠正 错误与舞弊,而制定和实施的一系列政策与程序 措施。,与传统手工处理方式相比,信息系统的构成要素:,由此
2、: 信息系统内部控制对象:物理环境(场地、机房等)、 系统硬件、系统软件(如OS、DBMS等)、系统 通信访问、系统网络架构、信息系统应用程序, 系统管理维护、各项规章制度,以及信息系统业 务处理有关的部门、人员和活动,等。,与传统手工控制相比,信息系统内部控制特点: 1、 控制的重点转向系统职能部门; 2、 控制的范围扩大; 3、 控制方式和操作手段由人工控制转为人工 控制与信息技术控制相结合。,内部控制分类: 从信息系统对象范围角度,信息系统可分为信息系 统环境和信息系统应用程序两部分组成。 因此,从该角度信息系统内部控制通常分为:,信息系统一般控制(即对信息系统环境的控制) 信息系统应用
3、控制(即对应用程序的控制),将信息系统内部控制分为一般控制和应用控制为目 前国际通行分类方法。我们将以此分类方法做介绍。,依据要达到的直接目标分为: 会计控制、管理控制,依据控制的预定意图分为: 预防性控制(事前控制) 检查性控制(事中控制) 纠正性控制(事后控制),依据控制的手段不同分为: 手工系统控制 程序化控制,环境是保障,一般控制的强弱,将会严重地影响 相关的具体应用控制的可靠性。因此,应首先进 行一般控制的审计测试。,本章即先介绍信息系统一般控制及审计主要内容,第一节 信息系统一般控制概述,信息系统一般控制:指对计算机信息系统的构成 要素和系统环境实施的,对系统所有的应用 或功能模块
4、具有普遍影响的控制措施。,一般控制的基本目标:保证系统的数据安全、保 护计算机应用程序、防止系统被非法侵入、 保证在意外中断情况下的继续运行等。,根据前述的有关信息系统内部控制对象内容,一 般控制对象应为除信息系统信息系统应用程序以 外的其他部分。,由此:信息系统的一般控制主要涉及以下方面: 管理控制(包括部门管理、人员管理等); 系统基础设施控制(包括系统物理环境、系 统硬件、系统软件等); 系统访问控制(包括系统通信控制等); 系统网络架构控制; 灾难恢复控制(即有效的系统维护),等。,第二节 管理控制及审计,一、管理控制的基本内容 为了保护组织所有的信息资产,维护信息的机密 性、完整性和
5、可用性,有效管理是关键。,信息系统的安全管理控制的主要目标: 实现职责 分离和人员的管理。,分离基本原则: 1、信息系统部门与业务部门的职责相分离 主要控制措施:,2、信息系统部门与业务部门内部的职责相分离 主要控制措施: (1)信息系统部门内部的职责相分离 信息系统部门人员组成?,(1)信息系统部分负责信息系统的开发和维 护工作; (2)业务部门负责日常的业务操作。,系统分析与设计员; 程序员; 系统操作员; 资料保管员; 系统管理员;,安全管理员。 上述不相容职务应相分离,(2)业务部门内部的职责相分离 业务部门人员组成?,部门主管; 数据操作员; 审核记账员; 数据审查员; 数据分析员;
6、 数据保管员; 系统维护员; 上述不相容职务应相分离。,(3)交易的授权与交易的执行相分离,(4)资产的保管与记录相分离,信息系统环境下的人员管理主要表现在: 对涉及有关人员的各种活动中采取有效地管理控 制措施,包括:人员的招聘、工作的分配、培训、 岗位轮换、监督与评价、离岗和离职等 。,管理控制是否健全?是否真正发挥作用? 需要:实施对管理控制的审计与测试。,二、管理控制审计 对管理控制的审计与评价,审计人员主要应从以 下几方面进行:,1、审计书面策略、流程与标准。 主要审计内容:是否存在?是否恰当?,3、审计安全意识的培训。(预防性控制) 主要审计内容:是否存在?意识如何? 审计方式:抽查
7、测试方式,2、审计逻辑访问安全策略。 原则:知所必需 主要审计内容:是否存在漏洞、风险?,4、审查安全管理员。 主要审计内容:信息安全管理策略;物理 和逻辑安全管理措施。,数据所有权:对信息系统资源保管的权利人员; 数据所有人:拥有信息运营和控制业务活动责 任人员; 数据使用者:使用信息系统数据信息的用户; 主要审计内容:分工是否明确;责任是否明确 和落实;权利和责任是否对称;是否存在 书面的制度和管理控制程序。,5、审查数据所有权、数据所有人和数据使用者。,6、审查数据保管员。 主要审计内容:职责分离;保管措施等。,8、审查离职员工的访问控制。 主要审计内容:物理接触;访问权限的限制或 撤消
8、。,7、审查书面授权。 主要审计内容:授权存在性、充分性、合理性 和有效性。,9、审查访问标准。 安全标准一般包括:账号与密码标准、特定机 器使用规则、特定应用系统访问规则等。 主要审计内容:安全标准的存在性、符合性。,三、管理控制测试 管理控制是否有效?是否健全?是否发挥作用? 需要:对管理控制进行审计测试。,目的:收集证据,从而确认相关控制的存在性和有 效性。,测试技术方法:编制控制测试矩阵 矩阵组成:控制目标、控制措施、单元内容,测试手段:检查控制文档、问卷调查、会谈、观察,测试步骤: 1、依据管理控制内容,编制控制矩阵; 2、进行控制测试; 3、完成控制测试矩阵; 4、评价,“控制测试
9、矩阵”技术应用案例: 公司销售与应收账款系统的控制矩阵(部分):,根据控制测试矩阵,审计人员形成的信息系统内部控 制评价表(部分):,第三节 信息系统基础设施控制及审计 信息系统基础设施:是指保障信息系统工作所必 需的设施与条件。如:机房环境设施,信息 系统软、硬件等。,一、信息系统环境控制 信息系统环境:指保障信息系统正常运行的环境 条件。 信息系统环境?,控制目的:保障信息系统安全、可靠的运行。 重点包括:信息系统环境以及信息系统软、 硬件 的采购、配置、运行与管理。,主要包括:场地(机房场地、信息存储场地)、计算 机机房。,环境是信息系统正常运行的基本条件,环境风险主要 体现在:,自然灾
10、害风险:如:水灾、火灾、地震等,环境故障风险:如:电力故障、设备故障、温 度故障、湿度故障、静电故障、接地故障、 恐怖袭击故障等。,如何防范信息系统环境风险? 防范环境风险主要考虑以下几方面: (1)电源供应规格是否控制在要求的范围内?,2、对环境风险的控制,控制目标:杜绝信息系统运行环境中影响信息系统 正常、可靠运行的安全隐患,保护信息系统中 的各种资源免受毁坏、替换、盗窃和丢失的威 胁。,针对环境风险,通常应采用的控制措施和控制技术 包括: (1)火灾、水灾的控制。控制包括:,A、远离加油站、储气站和蓄水池; B、水灾探测器; C、火灾控制系统或设备(手控式火灾警报器、 手提式灭火器、火灾
11、自动灭火系统(烟雾 探测装置和自动灭火装置);,D、设施环境具备防火、防水能力; E、制定了防止 水灾、火灾的规章制度; F、灾难应急计划,等。,(2)电力供应相关风险的控制。控制包括:,(3)防潮、防尘的控制措施。控制包括:,电力中断控制:包括:保护器保护、UPS、 后备发电机供电(移动式或固定式,可 采用柴油、汽油动力等) 电源线中断控制:备份电力系统 切断电源控制:设置机房内、外紧急断电装 置。,A、机房空气进行净化处理; B、具有防潮和恒温设备; C、制定了防尘和防潮的规章制度。,(4)其他相关的控制 如:信息处理场所设置警示标语、建立 程序控制关机,等。,3、环境控制的审计测试 环境
12、控制是否有效?是否健全?是否发挥作用? 需要:对环境控制进行审计测试。 主要包括以下几方面: (1)审查是否制定相关政策、制度和程序?,(2)场地(机房场地、信息存储场地)审查 审计内容:地址选择条件;温度、湿度条件; 照明、日志、电磁场干扰条件;接地、 建筑结构条件;防水、防火、防雷、防 磁、防尘措施等。 审计标准:标准GB/T 28872000,(3)机房审查 审计内容:防火、内部装修、供配电系统、 空调系统、火灾报警系统、消防设施、 防静电、防雷击等。 审计标准:标准GB 93611998(分为A、 B、C三类),二、信息系统硬件控制与审计 信息系统硬件包括?,(4)物理保障审查 审计内
13、容:电力供应、灾难应急等 审计标准:标准GB/T 28872000、 GB 93611998,主要包括:计算机、网络设备(交换机、集线器、 网关、路由器、中继器、桥接设备、调制解 调器等)、传输介质(同轴电缆、双绞线、 光纤、微波通信等)及转换器、输入/输出设 备、存储介质、监控设备等。,硬件设施的采购、运行、维护、监控和能力管 理等。,1、硬件基础设施采购控制 硬件基础设施采购控制应考虑的问题: 购买什么样的硬件?如何保障硬件的质量?,硬件控制与审计直接关系到信息系统的安全、可靠 的运行。其内部控制及其审计,主要涉及:,主要控制包括: (1)招标书(ITT)或请求建议书(RFP)控制 要求:
14、 全面明确说明所需设备用途、 任务 和要求,及对设备所处环境的描述。,具体应包括:组织的描述、信息系统 处理需求、硬件需求、系统软件应用、 支持需求、适应性需求、转换需求和 约束条件等。,(2) 供应商控制 考虑因素:投标书、供应商财务状况、供应 商维护和支持(包括培训)能力、交付 日程、硬软件升级能力、价格、性能等。,(3)硬件采购的技术指标控制因素 包括:运转时间、响应时间、吞吐量、负载、 兼容性、容量以及利用率等。,(4)硬件设备应具有的基本控制功能因素 计算机设备应具有控制功能:重复处理控制、 回波检验、设备校验、有效性校验等。 可以通过审核硬件厂家的文献资料和书面凭 证确定。,2、硬件基础设施维护与监控 目的:提供系统正常运行的硬件基础设施保障。 控制措施包括:,形成维护计划(维护程序)并得到管理层批准; 维护的落实与监督检查; 维护变更的控制。,为了使对
