收藏
下载资源

信息系统审计第二章ppt课件

上传人:aa****6 文档编号:57288391 上传时间:2018-10-20 格式:PPT 页数:67 大小:427KB
返回 下载 相关 举报
信息系统审计第二章ppt课件_第1页
第1页 / 共67页
信息系统审计第二章ppt课件_第2页
第2页 / 共67页
信息系统审计第二章ppt课件_第3页
第3页 / 共67页
信息系统审计第二章ppt课件_第4页
第4页 / 共67页
信息系统审计第二章ppt课件_第5页
第5页 / 共67页
点击查看更多>>
资源描述

《信息系统审计第二章ppt课件》由会员分享,可在线阅读,更多相关《信息系统审计第二章ppt课件(67页珍藏版)》请在金锄头文库上搜索。

1、信 息 系 统 审 计 第三章,山东财经大学会计学院 李康昊,第三章 信息系统一般控制及审计,3.1 信息系统一般控制概述3.2 管理控制及其审计3.3 系统基础设施控制及其审计3.4 系统访问控制及其审计3.5 系统网络架构控制及其审计3.6 灾难恢复控制及其审计,3.1 信息系统一般控制概述, 信息系统内部控制是一个单位在信息系统环境下,为了保证业务活动的有效进行,保护资产的安全与完整,防止、发现、纠正错误与舞弊,确保信息系统提供信息的真实、合法、完整,而制定和实施的一系列政策与程序措施。信息系统内部控制分为一般控制和应用控制。 信息系统一般控制是应用于一个单位信息系统全部或较大范围内的内

2、部控制,其基本目标为保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的继续运行等。 信息系统应用控制是用于对具体应用系统的控制。 良好的一般控制是应用控制的基础。一般控制是保证应用控制有效的重要因素。,3.2 管理控制及其审计, 3.2.1 管理控制的基本内容 3.2.2 管理控制审计 3.2.3 管理控制测试,3.2.1 管理控制的基本内容, 信息安全管理是指导组织的安全实践活动,它从管理、技术、人员、过程的角度来定义、建立、实施信息安全管理体系,通过维护信息的机密性、完整性和可用性,来管理和保护组织所有的信息资产。 信息系统的安全管理控制的主要目标是实现职责分离和

3、人员的管理。 信息系统组织管理控制的另一个重点是人员管理的控制。,3.2.2 管理控制审计, 审计书面策略、流程与标准 审计逻辑访问安全策略 审计安全意识的培训 审查数据所有权、数据所有人和数据使用者 审查数据保管员 审查安全管理员 审查书面授权 审查离职员工的访问控制 审查访问标准,3.2.3 管理控制测试, 控制测试是审计工作中的重要步骤,从系统审计角度来说,测试分为符合性测试和实质性测试,对信息系统一般控制的测试,是检查相关控制的存在性和有效性,属于符合性测试。 信息系统审计应当针对一般控制的具体区域,参照风险控制的模型,根据控制矩阵进行控制测试,测试一般可采用检查控制文档、问卷调查、会

4、谈、观察等手段进行,并完成控制测试矩阵。,3.3 系统基础设施控制及其审计, 3.3.1 信息系统环境控制 3.3.2 信息系统硬件控制与审计 3.3.3 系统软件控制,3.3.1 信息系统环境控制, 环境风险 对环境风险的控制,环境风险, 环境风险可能来源于自然灾害,或电力故障、设备故障等方面。其中对信息系统影响最大的就是计算机和支持系统的电力故障。 对于信息系统内部控制人员来说,检查环境风险应着重考虑以下问题: 计算机设备电源供应 计算机设备的温度、湿度控制 计算机设备是否提供静电保护 计算机设备能否防尘、防烟及其他特殊物品 是否明文禁止在计算机设备旁就餐、喝饮料及吸烟? 是否对备份磁盘及

5、磁带提供保护措施,对环境风险的控制, 为有效控制信息处理设施的环境风险,对信息处理设施的物理位置需认真考虑 对上述环境风险,通常采用的控制设施和控制技术包括: 安装与使用报警控制面板 水灾探测器 火灾控制 电力供应相关风险的控制 其他相关的控制,3.3.2 信息系统硬件控制与审计, 硬件基础设施采购控制 硬件基础设施维护与监控 硬件基础设施能力管理 对硬件基础设施控制的审计,硬件基础设施采购控制, 选择计算机硬件和软件环境,经常需要向软硬件供应商发布一个规格,并制定评估供应商建议的准则。 从供应商处采购(获取)软硬件时,应充分考虑各种因素进行评标 在硬件采购中通常考虑的技术指标包括运转时间、响

6、应时间、吞吐量、负载、兼容性、容量以及利用率等 信息系统审计在考虑硬件获取时,要确定该获取过程是否开始于业务需求,其硬件需求是否在规格中体现,确定是否考虑了多个供应商,并根据上述准则进行了比较,硬件基础设施维护与监控, 信息系统硬件基础设施必须进行日常清洁和保养以保证其正常运行。 在对该维护过程进行审计时,IS审计师应该确定已形成正式的维护计划并得到管理层的批准 信息系统审计还要检查硬件监控过程,可考虑的参数和报告有: 硬件错误报告 可用性报告 利用率报告,硬件基础设施能力管理, 能力管理是对计算机资源的计划和监控 能力计划应包括被以往经验所证实的预测,并同时考虑现有业务的潜在增长和未来业务的

7、扩充 审计应当清楚上述需求的数量和分布具有固有的灵活性,某一个类别的特定资源可能会对其他类别的需求产生影响。,对硬件基础设施控制的审计, 对硬件基础设施控制的审计,应重点检查和审核其控制的相关文档,必要时可采用会谈等方法获知控制的有效性 硬件获取计划的审查 检查微机获取标准及请求 审查硬件的能力管理程序和性能评估程序 信息系统审计师还需要审查变更管理控制以确定有关信息系统变更的相关控制的存在与有效性。,3.3.3 系统软件控制, 系统软件的获取与实施 系统软件的变更控制 系统软件的版权与许可 操作系统软件控制参数 数据库安全控制 计算机病毒及其控制 对系统软件控制的审计,系统软件的获取与实施,

8、 管理层应保证组织内使用的系统软件具有最新的版本,以保证组织的竞争能力 管理层应制定短期和长期的计划,以便及时将操作系统及相关的系统软件迁移到更新、更有效率和效益的版本上 信息系统软件的此案够、实施与硬件通常是同时进行的,信息系统审计可将其作为同一个审计对象加以评估,这时信息系统审计要特别考虑系统软件采购中的业务和技术因素 系统软件的实施需要制定组织内使用的标准配置,包括功能特征、配置选项和控制方法。,系统软件的变更控制, 系统软件的实施涉及大量的变更,变更控制程序用来保证变更已经得到授权,管理层和相关人员清楚并参与到系统软件的变更过程中,确保变更不会破坏现有处理流程。 变更控制程序还应通知所

9、有可能受变更影响的相关人员,并保证这些人员已经对变更在各自领域可能产生的影响做了适当的评估。 在将变更后系统投入实际运行前,应确保所有测试结果已进行记录、审查并得到相关领域专家的认可。,系统软件的版权与许可, 盗版软件会损害组织利益,同时大量盗版软件会使组织面临被诉讼风险。 为预防或检测对软件版权的侵犯,通常的做法有: 审查用于防范非授权使用和复制软件的策略和程序文件 审查所有标准的、已用的和许可的应用及系统软件列表 建立对软件安装的集中控制和自动分发机制 要求所有的PC都是无盘工作站,并只通过安全局域网来访问应用程序 在局域网中安装计量软件,并要求所有的PC通过该计量软件来访问应用程序 定期

10、扫描PC,确保PC中没有安装非授权的软件备份,操作系统软件控制参数, 判断一个系统软件的控制运行状况的最有效的手段是检查其软件控制特征和参数,对操作系统的不适当的实施和参数设置会导致隐藏的错误和数据毁坏,以及非授权的访问和不准确的日志等。 操作系统利用特殊的硬件或软件设置保护自身免受破坏和修改,保护系统关键进程的安全,保证系统软件的完整性,操作系统的完整性依赖于管理层对授权技术的使用,管理层应防止非授权用户获取执行特权指令的能力并进而控制整个系统。 系统软件一般提供日志文件,记录计算机处理过程并用于分析系统的行为。 系统软件的访问许可与控制可使用安全的访问控制软件。,数据库安全控制, 数据库安

11、全就是保证数据库信息的保密性、完整性、一致性和可用性。 数据库安全通常通过以下技术实现: 存取管理技术:存取管理技术包括用户身份认证技术和存取控制技术两方面。 安全管理技术:安全管理指采取何种安全管理机制实现数据库管理权限分配,安全管理分集中控制和分散控制两种方式。 数据库加密:数据库加密包括库内加密、库外加密、硬件加密;数据库一般采用公开密钥加密方法;数据库加密可在三个层次实现,即操作系统层,DBMS内核层和DBMS外层。,计算机病毒及其控制, 有效地病毒防范方法一是要建立规范严谨的管理策略与程序;而是要采用一定的技术方法,如防病毒软件,来预防和检测计算机病毒。 防反病毒的技术手段包括硬件和

12、软件两种 在网络上进行防病毒,应当在网络入口处开始,对系统软件控制的审计, 为审计信息系统的系统软件的开发、获取和维护,可通过与系统技术人员和相关负责人的会谈等过程获得系统软件选项设置的审查和批准流程、软件实施的测试程序、测试结果的审查和批准程序、系统软件实施程序以及文档需求等系统软件相关文档。 要检查系统软件选择程序 要审查系统软件获取可行性研究和选择流程 在审计系统软件采购、实施中,还要注意审计成本效益分析、审计系统软件的安装控制、维护与变更控制、安全控制。 要特别检查系统文档 要测试软件实施中的控制及其充分性 对有数据库支持的信息系统,审计要检查相应的数据库控制,3.4 系统访问控制及其

13、审计, 3.4.1 逻辑访问控制 3.4.2 物理访问控制 3.4.3 对访问控制的审计,3.4.1 逻辑访问控制, 逻辑访问路径 身份识别与验证 逻辑访问授权 远程访问控制 便携式存储设备控制,逻辑访问路径, 进入系统的逻辑访问可通过不同路径,每种路径均应用适当的访问安全级别。 网络连接是指终端设备或个人计算机通过通信网络与主计算机物理相连而获得访问能力。 远程访问是指利用电话线拨号、远程终端或计算机进入信息系统。 尽管当前网络环境下广泛采用分布式处理,但连接到特定计算机的传统方式仍然在某些组织和领域继续存在。,身份识别与验证, 逻辑访问控制中的身份识别与验证是一种提供用户身份证明的过程 身

14、份识别与验证是实现计算机安全的重要基础,身份识别与验证技术可分为: 账号与口令 令牌设备 生物测定技术与行为测定技术,逻辑访问授权, 逻辑访问控制在正确识别用户身份后,要通过授权过程赋予用户对系统逻辑访问的能力 计算机访问有多种级别,在逻辑访问授权时,应清楚用户在某一级别的访问能做什么,不能做什么 需要采取逻辑访问控制进行保护的计算机资源包括数据、应用系统等 为给以上文件和设施提供安全授权,逻辑访问机制需要利用访问授权表,也成为访问控制列表。,逻辑访问控制, 由于互联网的飞速发展,当今组织需要为不同类型的用户建立远程访问连接 目前大量使用的是基于TCP/IP的INTERNET访问,一般通过VP

15、N的方式来保护数据传输 个人数字助理(PDA)的使用及安全控制,便携式存储设备控制, 由于利用便携式硬盘、闪存等移动设备来备份数据是目前非常流行的一种操作。对这些设备的控制措施包括: 在组织的安全政策中禁用 通过用户登录脚本设置禁止使用USB端口 对所有可能被复制的数据进行加密,3.4.2 物理访问控制, 物理访问风险 物理访问控制,物理访问风险, 物理访问风险原因可能来自于对安全规定有意或无意的违反 可能的犯罪者包括来自内部员工授权或非授权的访问 有许多可能导致犯罪的控制弱点 信息系统的相关处理场所和实施都要纳入物理访问控制范围,物理访问控制, 物理访问控制是用来保护组织使其免受非授权访问的

16、一种措施 组织需要针对不同的物理访问控制区域,选择合适的安保措施,3.4.3 对访问控制的审计, 逻辑访问控制的审计 物理访问控制的审计,逻辑访问控制的审计, 物理信息系统审计师在评价逻辑访问控制时,需注意的各个方面 逻辑访问控制审计的第一步是对信息系统处理设施的技术、管理、安全环境有一个清晰地了解 会谈与观察是逻辑访问控制审计的重要手段 信息系统审计师还应检查已实施的逻辑访问控制软件 系统日志可自动记录和报告计算机访问和试图入侵的行为,对安全管理员访问系统日志的权限应加以严格限制 保护审计踪迹数据的完整性,使其不被非授权修改 审计日志数据量大,内容复杂,人工分析往往很困难,需要专门的软件工具进行处理,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > PPT模板库 > PPT素材/模板

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号