《信息系统审计》由会员分享,可在线阅读,更多相关《信息系统审计(71页珍藏版)》请在金锄头文库上搜索。
1、信息系统审计信息系统审计(技术基础平台与运行实务)(技术基础平台与运行实务) 国际注册信息系统国际注册信息系统 沼杭冷粥卡夹航姓走恿脊祖休悟纪用绊扇轮纺遗磊袒毒择潜誉枢畔描蜘诀信息系统审计信息系统审计1本章概述信息系统硬件信息系统软件信息网络信息系统运行信息系统性能测量与监控辐奶势辞男螟夷惨率痔鱼芒迭欲城篱毕灵香市伪拭逆邪历谎歹蔽料监怒极信息系统审计信息系统审计2IS战略、政策、过程服务器、工作站、打印机网线交换机Windows NT、UNIXDB2 数据库财务报告销售收入 2000万利润 100万销售业务系统财务核算系统从业务角度来看信息系统构成:从业务角度来看信息系统构成:信息系统安全信息
2、系统安全与应急计划与应急计划系统的开发系统的开发获得、维护获得、维护及数据处理及数据处理充用纸烷咸题铂那朵女傣僧蛮郊魁棕以魂阉脯敢娃防量遵捻潜装崇浴炙眷信息系统审计信息系统审计3企业信息系统的战略、政策与过程企业信息系统的战略、政策与过程企业信息系统的战略、政策与过程企业信息系统的战略、政策与过程网络平台网络平台网络平台网络平台建设建设建设建设系统平台系统平台系统平台系统平台建设建设建设建设操作系统操作系统数据库系统数据库系统中间件中间件应用系统应用系统应用系统应用系统建设建设建设建设软件开发软件开发获得维护获得维护数据处理数据处理机房工程机房工程机房工程机房工程综合布线综合布线局域网局域网广
3、域网广域网InternetInternet机房装修机房装修电源、接地电源、接地空调、消防空调、消防信息系统的安全与应急计划信息系统的安全与应急计划信息系统的安全与应急计划信息系统的安全与应急计划从技术角度来看信息系统构成:从技术角度来看信息系统构成:茅研彦沏纳召俘肢宁枷掳贬偏酞懦佃跌丢明霉巾及古砖响命掉娇帛珍疤毒信息系统审计信息系统审计4一般控制管理控制系统实施控制运行控制软件控制硬件控制物理访问控制逻辑访问控制应用控制输入控制处理控制输出控制保障*控制灾难恢复与应急计划环境控制设备来源控制*从控制角度来看信息系统构成:从控制角度来看信息系统构成:槐鹿叙荣磨递荫帘第兼瘫裙丘绷祖贵漱莹斟机肤陋歪
4、鲁惕瞧渡全撇庶泻儒信息系统审计信息系统审计51、硬件系统泻最致骨铰彭诵捧筐鹊佛痰筷逆步饿虹惶速该谋岔雨捆书曲势披崎贸研兢信息系统审计信息系统审计6联想联想联想联想 高档高档高档高档PCPCHP LH6000HP LH6000便携机便携机便携机便携机SUN 3000SUN 3000不同类型的硬件与软件平台低端低端低端低端 高端高端高端高端Windows 2000Windows 2000、XPXPpalmOSpalmOS1.1 1.1 计算机类型计算机类型Windows ServerWindows Server、UNIXUNIXUNIXUNIXIBM OS/390IBM OS/390IBM S/3
5、90IBM S/390PDAPDANCNC篙批甫戈雀挞霄劫舅郴坛候缚憎矗摹校确顾奄祈角搜份馏衅哩健苦王祷守信息系统审计信息系统审计7大型机大型机/ /终端(终端(mainframe/terminalmainframe/terminal)模式客户机客户机/ /服务器(服务器(client/serverclient/server)模式浏览器浏览器/ /服务器服务器(browser/server)(browser/server) 模式(即互联网模式)1.2 1.2 信息系统应用模式:信息系统应用模式:外风哗诀任挑茵垛岛梅脯晴藤抑跳录跺省缴搅啮销旧涤膜误腥扣此测闺粪信息系统审计信息系统审计8主机主机/
6、 /终端模式终端模式字符终端字符终端1昂贵的图形终端昂贵的图形终端字符字符终端终端2.串行线串行线专用线专用线串行线串行线比铜钒锯原探杰竟戮册吨面渐芋哭村酞扎烃纠失诌拴晃搽各脱奶轧犀幌己信息系统审计信息系统审计9客户机客户机/ /服务器模式服务器模式.MIS服务器服务器客户机客户机客户机客户机客户机客户机五类线五类线交换机交换机OA服务器服务器剥嵌倘仆皱蔼阮惫纹胸脸撞翘变阜脖袜赦氓无圭帧们血沼倔隋杨芭筛筐汇信息系统审计信息系统审计10.五类线五类线数据库服务器数据库服务器浏览器浏览器浏览器浏览器浏览器浏览器防火墙防火墙交换机交换机事务处理服务器事务处理服务器 浏览器浏览器/ /服务器模式(互联
7、网模式)服务器模式(互联网模式)路由器路由器浏览器浏览器视频服务器视频服务器群件服务器群件服务器署均仿武莎距哈瘫萨芜颖芒秧霜姥号鹿睫蝉载宪褂景取颂商糙盐纠绰兽极信息系统审计信息系统审计11 B/S多层应用的逻辑图:多层应用的逻辑图:狱更圣典安痈怔蛇羔砾禹捡琉讳险宅辑逝周拒谨卖妥魄耸迭姑恭事澎吻帐信息系统审计信息系统审计12与应用模式相关的问题与应用模式相关的问题:降型化降型化(downsizing) 降低成本降低成本开放系统开放系统(open systems)降低成本降低成本遗产系统(遗产系统(legacy systems)与新技术整合与新技术整合逐步更新逐步更新虹噪桓套缄塞旧答霍傲历愈幼唾痴
8、峪住升疏词椭仕魏谭贯尿孔苯饮凿莫瞄信息系统审计信息系统审计131.3 1.3 硬件获取计划硬件获取计划购置的硬件必需符合组织的IS计划首先要建立和遵循硬件标准(Criteria)确保兼容性、可扩展性和可靠性编写硬件获取计划( Invitation to tender 、Request for Proposal)脏至袭芬献瑞皇粉蚁酒雹徘捉瘁遗暂臭浓济俩谬踌妆叭位遥通条嫡就毙势信息系统审计信息系统审计14获取计划内容:描述组织计算机系统集中式还是分布式数据处理需求硬件需求系统软件支持资源需求限制条件系统软件需求评定标准购买日期租用、租赁和购买其他墅吻荧枷埠鸳斟领坚宰鹏浴掇甄胞猖坚怠镭胚致痔掇智粗独
9、签议茶悍吨锚信息系统审计信息系统审计15无故障运行时间(Turnaround time)响应时间(Responese time)系统反应时间(System Reaction time)吞吐量(Throughput time)负载(Workable)兼容性(Compatibility)利用率(Utilization)关键性能指标关键性能指标:个胃巧夸豆炔帐研擞仁襄赖忻者郊闷因汗凿锈肥房绵眼甄栖咋嘉靡赖娩框信息系统审计信息系统审计16举例:单项可用性达至举例:单项可用性达至99.5%99.5%,结果,结果客户/服务器应用结构可用性客户端应用软件99.5%服务器端软件99.5%个人电脑(Window
10、s,DOSdrivers,hardware)99.5%局域网LAN99.5%广域网WAN99.5%HP-UX服务器99.5%数据库软件99.5%总可用性总可用性96.552%结果!365x(1-96.552%) =12.775天天365x(1-99.5%) =1.825天天蔚鸡分躯跳郝农彤目拓婉蚂崎文假竿簿坪娟撩敦寓喧涨虾睡诅吊窝娜系诗信息系统审计信息系统审计17制定获取计划步骤制定获取计划步骤项项目目计计与与准准备备目标:确定需求,寻求解决方案目标:确定需求,寻求解决方案确定评估标准需求的概要分析向供应商分发“请示建议书”供应商反应确定供应商需求详细分析准备邀标书对供应商提供支持供应商上交投
11、标书产产品品评评估估与与推推荐荐剃环磐湘幽廉丈百崖牵驭煤愤娘虎气皂饥殊泳铭嘿君挚孽巧奢忿虎豺助麦信息系统审计信息系统审计18审计要点:审计要点:审计师要决定是否获得计划是否能满足业务需要,硬件的选型与配置是否满足IS的计划在最终选择供应商之前,是否考虑多家供应商,并进行了比质比价的过程邢脯谍债煤批萧猿滩寄镰蓟绒娃散揭门向物芬质置撤遗瞅峨扫拎幅耐够奶信息系统审计信息系统审计191.4 1.4 硬件的维护程序硬件的维护程序硬件必须进行例行性的清理与检修维护保养应该符合供应提供的维护规定硬件维护程序是用来记录维护的执行情况信息系统管理层应该监督、识别和记载不符合维护规定之处眨缕偿硫诅例辐纺狭崎艺尤宅
12、暑戒会障璃咸互两酗侍霉同琐玩让丹曼口藕信息系统审计信息系统审计20硬件维护程序应包括的内容硬件维护程序应包括的内容:需要进行日常维护的硬件供应商的信誉情况保养维护时间表维护成本历年维护绩效救记录己计划的、未计划的、己执行的、例外的腻贬矛壤毙皆违挝汕泊蹦执缨真翱暑斡进理污穆叶捆权稽近趴弓巷腥夫间信息系统审计信息系统审计21硬件维护程序审计要点:硬件维护程序审计要点:审计师确认组织制定了正式的硬件维护计划,并经过了管理层的批准审计师要列出超出预算的维护费用,超出部分有可能就是没有遵守维持计划研系添岔伤肃腻蓄吗拢邹凰汲敦袄赁碑旷号就杂建稍圈秉至兰童咐砸侍薪信息系统审计信息系统审计221.5 1.5
13、硬件监控流程硬件监控流程硬件故障报告(Hardware error Reports)系统自动产生,记录CPU、I/O、电源及存储设备的故障。每天应该由操作管理员检查,及时发现和维护。可用率报告( Availability Reports)系统自动产生的报告指出计算机运行及可供用户操作的时段此报告可反映出宕机时间。保拭仅屁谬词敬戌签皮卡规婪所嘛兴停操愿态吏疑芳稀陌罩澡争削知岗容信息系统审计信息系统审计23使用率报告(Utilization Reports)系统自动产生的,以不同的方式来记录计算机及接口设备的使用情况。在多用户环境下,计算机系统资源的正常使用率一般在85%95%之间。网络的使用率如
14、果超出50%,就需要考虑扩容了忿汤兜芽臼上疙弄拎良佣劈传旋悔屿坏阂翘壹价诽瞪望掘试肪矽存工莉辫信息系统审计信息系统审计241.6 1.6 数据管理数据管理数据管理是控制数据缓冲、数据管理是控制数据缓冲、I/OI/O操作、文件管操作、文件管理的一系统活动。理的一系统活动。数据管理是操作系统功能的重要部分数据管理是操作系统功能的重要部分数据管理所涉及的文件类型数据管理所涉及的文件类型顺序文件顺序文件索引顺序文件索引顺序文件直接随机访问文件直接随机访问文件蓬浮疲狞挟赘报堰狂热至塞戮鲤鬼铀鞘越镐懒结踏轿裕哉试观谐父鸥揉廷信息系统审计信息系统审计251.7 容量管理容量管理就是对计算机资源进行管理与监测
15、,以保证资源可以被有效地使用。根据用户的未来需求,预估将来的硬件设施Performance EvaluationCapacityManagementCapacity PlanningTechnical DecisionsManagerial Decisions阂速队逻梁彻勺牲琅者独跟慑雏动瓦浙享辖颐逮袋庞栖茸训艇吟兼稚廖眉信息系统审计信息系统审计26容量管理的关键因素:容量管理的关键因素:CPU的使用率计算机存储设备的使用率远程通讯和广域网络带宽使用率终端机使用率使用人数新技术新应用程序服务水平协议每年至少应该检查一次湃槛项藩闹瓢苟廓端截家则疡忙缴折庙镰篙鸯梨吮拟拴津湖钓帧乃缠浆唯信息系统审计
16、信息系统审计272. .信息系统架构与软件信息系统架构与软件硬件用户应用软件系统软件系统软件(systemsoftware):操作系统语言翻译实用程序应用软件(application software):字处理软件商用软件娱乐软件教育软件声是虾友仍纷墟警肚涛儿秘咽砷器禄鬃抛盎姬足抠膛疯橱西亢遭漏屏色轴信息系统审计信息系统审计282.1系统软件系统软件是用来设计、处理和控制所有计算机应用程序的一组程序它确保系统、程序及流程的完整性,并管理与计算机通讯的接口系统软件包括:操作系统访问控制系统数据通讯软件系统数据库管理系统程序库管理系统磁带与磁盘管理系统网络软件管理系统蝉谴逢掉崔萌企宜候瘦墩愉损殆帖
17、硫镶彭宵凭向戌涡底脯抽两叛绑穆食樊信息系统审计信息系统审计292.2 操作系统(OS)定义对中央处理器、存储器、辅助存储器和输入/输出装置等系统资源的进行分配、调度和监视的一组计算机程序常用的OS有:PC机OS:DOS、MS Windows 、MAC OS等。服务器、工作站OS:MS Windows Server, Linux, Unix (SUN-Solaris, HP-UX, IBM- AIX )等大型机OS:IBM S/390、IBM MVS等港锐溅驶悸一彤粘擞特疫料丁削麓寿肃漠踊拱蚂篓赂象站虱觅赫翻汤烘些信息系统审计信息系统审计30操作系统提供的功能定义用户接口允许用户其享硬件允许用户
18、其享数据在用户之间进行资源调度及个人使用输出/输入资源通知用户所有处理器、输入、输出设备或程序相关的错误信息在故障能进行恢复系统文件管理系统帐号管理操作系统与程 序之间进行通信谈铅入记荚揣妨宾棍篆叛旦利骤酋藻茁敬输寒案痒贸攫畴蠢吾挪葱赊颜星信息系统审计信息系统审计31操作系统参数配置配置参数用于调整操作系统性能以适应不同的环境参数配置的作用数据管理资源管理作业管理优先级设置膳稠钻盒暑导舜鹊谦孰现旨巡朝操妓寥哗凑液刨锁欧明由插樱颧离蛛酮隶信息系统审计信息系统审计32操作系统的完整性定义操作系统保护自身不受非法访问,保证系统安全的机制运行模式的正确设置超级用户模式普通用户模式举例IBM的SYS1.
19、PARMLIBUNIX 的/etc/system,/sbin/initWindows 的注册表尼液砸矗蛊罕婴拓吮很咆魄系式千攀盾莉慷琢激孟问放蹦粗央镍此裸异帘信息系统审计信息系统审计332.3 访问控制软件 定义用来防止对数据、系统功能和程序的未经授权的使用、更新和修必改的软件举例操作系统的认证系统(用户名、口令及授权)数据库的认证系统专用的访问控制系统,如RADIUSRADIUS,TACACS TACACS 、 Kerberos Kerberos、 KryptoKnight KryptoKnight等等翼案润杆遏枷揣陕被捍蛀让聪网渭难墙甥柳伟掇窥芒笑蝎酥欧个篙淡导梭信息系统审计信息系统审计3
20、42.4 数据通讯软件定义在点与点之间进行数据传输的软件,其特征是使用一个智能装置将字符转换成编码格式传输编码EBCDIC、ASCII、Unicode通讯软件的三要素发送方、传输途径、接受方快造拎冤莫本妻荧殊崔腮致翠坞休斌盅凄储犬纷彩隔皆停率筏菏颜虽袁或信息系统审计信息系统审计352.5 数据库管理系统定义数据库是存储在一起的相关数据的集合 ,具有建立、编辑、维护、访问数据的功能,并提供数据独立、完整、安全的保障 功能协助应用程序组织、控制及使用所需数据数据库管理系统提供了相应的优化功能来创建和维护一个数据库,并加以规范化以避免数据重复,从而降低数据访问时间。提供数据访问功能,建立基本的数据访
21、问措施数据库管理系统包括数据字典,用来定义数据元素的属性及使用方式。嘲茎车宗产陇佑兜砍碴纷索涵言锦恭徊兢偶乱绊径嵌平劳戒惭讼律销克急信息系统审计信息系统审计36公司公司部门部门A部门部门C部门部门 B项目项目 1项目项目2根节点根节点父节点父节点子节点子节点层次型数据库(Hierarchical data model) 父元素中包含指针(pointer)指向子元素,检索从根元素开始根元素是最主要的数据元素。湍歪东拴鸵文柑饯朴娥菩瓣抿篇男蹲贸某抿导细籽尉弧崇匡煌鹊葵方咆堑信息系统审计信息系统审计37网状型数据库网状型数据库(Network data model)所有数据元素都通过指针进行链接所有
22、数据元素都通过指针进行链接与层次型区别:层次数据库的数据元素只能与其子与层次型区别:层次数据库的数据元素只能与其子元素进行链接,而网状数据库则可以与任何元素进元素进行链接,而网状数据库则可以与任何元素进行链接行链接公司 B公司 A公司 C项目2项目1项目 3项目 4项目 5部门 1部门 2颈英汁柒礼簿乃安侵扮淳虎腔醒祟痛疏纷梁柄羔朗澜跳铡厅秋偿芋拎激白信息系统审计信息系统审计38关系型数据库关系型数据库(Relational data model):部门部门C部门部门 B部门部门A部门部门职能职能部门部门地址地址部门经部门经理理部门部门部门部门 B 6部门部门 B 5工资工资部门部门 B 3部
23、门部门 C 4部门部门 C 7部门部门 A 2部门部门 A 1部门部门职务职务雇员姓雇员姓名名雇员雇员编号编号公司部门表公司部门表 公司雇员表公司雇员表瘩社荷尉磨攀羽腔酋凄撮瑞尸嗽衙砂曙颊戍恃浩乱贿顶化橙铝吕闺钞统茂信息系统审计信息系统审计39数据库控制建立数据定义标准实施数据备份及恢复程序建立不同级别的访问控制控制并发访问冲突保证数据真实性、完整性和一致性建立检查点减少数据损失及恢复工作量对数据库进行整理,优化性能对性能监控不使用非系统提供的方法管理数据滥桅磨溶功冷吉啤州亨旱炭君简倚桅约歹营欧潘镀甄爱供丢造硬适擞嚏湘信息系统审计信息系统审计402.6 磁带及磁盘管理系统定义指可记录或显示数据
24、处理所需的磁带或磁盘的相关信息功能节省检索文件的时间降低错误率增加空间利用率提供磁带及异地备份的管理提供磁带访问控制宦肖综大搐淀苯扣植砷竭但励顾俐碾松醋正蹲谆罪失的拨朴础累糕丧吝芦信息系统审计信息系统审计412.7 网管系统定义对网络设备进行控制和维护的软件,网管软件可以记录线路状态、激活的终端设备、报文队列长度、线路错误率及流量等功能协助网络内的计算机共享信息及资源,并提供网络的可信度具备预警功能帕帝缝漱哎希矢晾像柯咙蔬拔靖精毒洋揪找犯恐魔概蛀航鹤邯苏送茹寥肾信息系统审计信息系统审计422.8 系统软件的获取获取系统软件要注意的问题业务、功能及技术的需求和规格成本、效益是否己过时与现有系统的
25、兼容性安全性培训及聘用人才的需求未来成长性需求游冯蝇亢虱竹沦萝牌抓易辨缝商酝宣遮峰赴铂誉原殿川包伐磷部潦签鸣匠信息系统审计信息系统审计432.9 系统变更控制过程定义保证正确业务流程不会因软件变更而中断的控制程序功能变更之前,通过充分的测试,保证业务不受影响。变更失败,可以迅速恢复通知所有变更可能影响的相关人员,并督促他们作出业务影响评估健责铃烂简恶术让酥龙肩怕篷婚讫甥摄协怨式彭驼脸稍讯亏钠幼轮恢赁侠信息系统审计信息系统审计44定义以共享资源(硬件、软件和数据等)为目的而连接起来的,在协议控制下由一台或多台计算机系统、若干台终端设备、数据传输设备等组成的系统之集合。 网络发展过程单机 分时多用
26、户远程终端访问 计算机网络全球网络3. 3. 信息系统网络基础设施信息系统网络基础设施钩耕惩率援牢褒樟告绽卿赂卸柿吱音捌级纵侣销懊着莆生锯烫窝望厄蝎蔑信息系统审计信息系统审计453.1 3.1 网络的管理与控制网络的管理与控制定义:对组成网络的各种硬软件设施的综合管理,以达到充分利用这些资源的目标,并保证网络向用户提供可靠的通信服务。作用对各种网络资源进行监测、控制和协调,并在网络出现故障时,可以及时进行报告和处理,尤其是向管理员报警,以便尽快维护。 谎蜜殊疽回栖泰浩时挞摊吩伸茫呢胚帽澄狰样穷垃袁休嚏份捞船进嘴房扳信息系统审计信息系统审计46网络管理的功能故障管理是网络管理最基本的功能,指系统
27、出现异常情况下的管理操作,其目标是自动监测、记录网络故障并通知用户,以便网络有效地运行。 计费管理负责记录网络资源的使用情况和使用这些资源的代价 计费管理的目标是衡量网络的利用率,以便一个或一组用户可以按规则利用网络资源 掺兑瓣络借栗庭梢嘴奸旷孩产怠正凸秀尝只渗皇卉钡炕凰蚜胺集森楼赏新信息系统审计信息系统审计47配置管理定义、收集、监测和管理系统的配置参数,使得网络性能达到最优。配置参数包括(但不局限于)设备资源、它们的容量和属性,以及它们之间的关系。性能管理主要是收集和统计数据(如网络的吞吐量、用户的响应时间和线路的利用率等),以便评价网络资源的运行状况和通信效率等系统性能,分析各系统之间的
28、通信操作的趋势,或者平衡系统之间的负载。性能分析的结果可能会触发某个诊断测试过程,或者引起网络重新配置以维持网络预定的性能。 隘常鬃其钙铭芹逐岂涛蹬鹤厉款凶豁声若德监蝇第温掐钝瞄尉港有圈稿攒信息系统审计信息系统审计48安全管理是指按照本地的指导来控制对网络资源的访问,以保证网络不被侵害(有意识的或无意识的),并保证重要信息不被未授权的用户访问。网络安全管理主要包括:授权管理授权管理、访问控访问控制管理制管理、安全检查跟踪和事件处理、密钥管密钥管理理脆嫁皑痰皮恰狠肖酒什囱怖烃宗透涟秆抹馋专怨镐痰靖俗填蹭呢赛闸厂媒信息系统审计信息系统审计49网络管理的模型网络管理系统(NMS)的基本模型由网络管理
29、工作站、代理、管理数据库构成。 巧湘靛咨雷火涣认孺织欺诚昨漏贮梆削醇淋代歉老玲缓臼懒蠢忘郊味乎蒙信息系统审计信息系统审计50网络管理常用工具响应时间报告指出用户由终端输入一个指令到计算机的答复时间故障时间报告追踪通信线路和电路的可用性在线监控装置测量通信传输并判断传输是否正确地完成协议分析网络活动诊断工具,一般工作在数据链路层服务台扩展的服务的范围,将业务流程与服务架构集成,不仅处理事故、问题和询问,同时为其他活动提供接口这些活动包括客户变更请求,维护合同与软件协议,服务级别管理,配置管理,可用性管理等粕裁妇昌伞平焚步却鸵妻褪矾汁音算牺寓洒饱厩酞鲜捂顾圈耳姻僳阀均寸信息系统审计信息系统审计51
30、SMSNNM &CW 2K OpenView OperationOVDPOVO Agent&MOMOVISSPIOracleSQLSecurity Mgmt.组组件件管管理理IT管理门户管理门户:Information Portal+ Big Screen Service DeskIT响应中心声光电告警声光电告警AppsAppsAppsAppsAppsAppsIT系统监视人员系统监视人员AppsAppsApps升级升级专家专家(组组),总控中心,总控中心现场工程师现场工程师报报表表统统计计分分析析流流程程管管理理Service Reporter服务器服务器存储存储网络网络机房机房+空调空调桌面
31、终端桌面终端数据库数据库 / 中间件中间件WWW应用应用全面的网络管理企业监控中心解决方案全面的网络管理企业监控中心解决方案拣糯摔算夺动州叔康尤慧彭怠浸妄松机矽哉泊熙晕香证痔谁扁骡间尺题直信息系统审计信息系统审计524. 信息系统运营定义信息系统运营是指对硬件与软件的日常功能的控制系统运营包括以下领域信息系统运营管理计算机操作技术支持/服务台作业调度控制数据的输入/输出质量保证程序变更控制库管员功能问题管理程序对资源使用的监控程序物理和环境安全的管理租隐忆蓄夺逝苔叭奔焙颊口莽沙门莽真忙尹陡神致报锥诉扇抒沂靖撵驰介信息系统审计信息系统审计534.1 计算机操作计算机操作人员任务如下:运行作业和程
32、序应用程序非正常中断后重新启动及时备份计算机文件观察信息处理设施是否有非授权访问监督是否遵循信息系统和业务部门制定的作业计划参与灾难恢复计划的测试坟慢汽僻店仁洽魄撑捻唯蓝谣藤旅叮某妒叁叔凑霍橙依湿提匆矮贩匆蝴辱信息系统审计信息系统审计544.2 计算机日常运行程序的内容符合软硬件范及工作流的操作人员工作程序排除硬件、软件故障的工作程序发放输出报告的规定从资料库获得文件和及时归还的程序报告系统运行延误的程序报告的排除设备故障和作业处理延误的程序荣张噎溪涕檀弦凳访彰饰札乏号赢庐找何锰糜假至须嫁赤紧狈超所冯移怪信息系统审计信息系统审计554.2.1系统自动运行(Light-Out)可以自动运行的程序
33、作业调度控制台操作报告的生成与发放程序的重运行磁带挂接与管理存储设备管理环境监测物理与数据安全自动运行的好处:减少成本连续运行(7/24)减少系统错误与中断次数恢汗哼斟优拨闹镀唾怀凶淬廉姓横树科备纽郎拓败筏全坞埠常弯琳血遗鲁信息系统审计信息系统审计564.2.2 输入/输出控制I/O控制人员要保证:输入要及时、准确输出文件要格式准确,及时发放到合适的人手中输出有时要成为下一个处理所需输入,这时要保证输出准确及时。在处理过程中要使用正确的文件操作人员要采取正确的行动在输入、输出过程中,数据没有受到非授权修改数据录入人员要:进行关键字核对数据录入与数据核对职责分离日志记录录入时间、日期、用户号,和
34、数据录入和核对的过程汰双坯舆夫露俏牌赔衔绕辛士悬菇评淀豫拘起云扯蒲蝶鄙瓢三瓶祭麓歹留信息系统审计信息系统审计574.3 运营管理信息系统管理人员对系统正常运营负有管理责任,包括:资源分配完成己计划的活动所需资源合理分配制定与执行运营的标准与程序辑磋仆保殆贫钾檄凤侦推彤关廷泵廷殖杖滥勒吭编懒颁趴盎舟鄂历琵停足信息系统审计信息系统审计58管理控制功能在每个运行班次都有详细的作业调度计划制定计划准确高效地使用运营资源对作业调度计划的改变要合理授权监测运营过程,保证符合规定要求在系统关机和初始运行时要检查控制台日志文件记录的活动监测系统性能和资源的使用来优化计算机资源的使用预测设备能力状况,必要通过新
35、设备的获取来优化作业吞吐量监测设备的环境条件与安全状况,保证设备性能刚含拭添僚啦睛汪疲洛臼怖保疤讶忻萍埋臭北瘸抑耕屏篙楞乒胯镊齿靖症信息系统审计信息系统审计594.4 服务水平可以以下工具来监测信息系统人员的服务水平非正常任务中断报告操作人员问题报告输出发放报告控制台日志操作员工作日程服务水平协议(SLA)有些组织也使用平衡记分卡的方式来评价服务水平、进行绩效测量匹圈求相谆疮俏掸逻勾矮薪遭颈衅辛桂庄较卫彦透捣罚稀封拌资咕鄂袍易信息系统审计信息系统审计604.5 作业记帐目的监测和记录IS资源的使用,如CPU的性能和利用率,对存储介质的使用,终端联接时间。功能根据对资源的利用,记录用户使用成本控
36、制和优化对硬件的使用藐早名忘增炯空掇目快脯教延裕今械爷温忌蓬淮溪棱翅迪砍功久了扎扁搔信息系统审计信息系统审计614.6作业调度计划作业调度计划是信息系统部门的主要工作,包括:对要运行的作业申请与管理确定作业优先级作业运行条件为作业分配计算资源对作业处理的监测钞炼享僵显蘑椒伯路羽泌蛛锨则咆献棋追吼涌痘棱帕背跨渺嘘莆遁聊油拼信息系统审计信息系统审计624.7 监测对资源的使用监测对资源的使用是否合理评估资源的使用效率提出改进意见矽临轨于秸顺富核垮麻滁坞堆弛姥玲檀载尤肇殷赂衬呼傀鞍诅措忿铃毯割信息系统审计信息系统审计634.8 问题处理程序对异常状况的检查、记录、控制、解决及报告通常采用自动或人工的
37、日志,日志项目:程序错误系统错误操作错误通信错误硬件错误叠谩巨弃萧缘难岁钩盖墓索超婪状邑溯椽庸沛隶揩郁晦诌靡彪俭贾苑咕子信息系统审计信息系统审计64注意事项:为达到控制目的,不应限制在错误日志中加入明细数据的权力,但更新错误日志的权力应限于经过授权的人员。确保的适当的问题上报程序,可以将未解决的问题上报给更高层的信息管理人员。将问题解决方案通知适当的系统人员、程序设计师、操作人员及用户,以确保问题得以最迅速地解决审计师通过查看尚未委派人员处理的问题清单,以及追踪案例,了解问题是否己传送给最有能力解决的人手中。熬篷蕾育饰痔易贝谚痪屠鹏蕉峡炯铆差匙臼孤闲艺酗板赔劳斑厌屋谋兄擅信息系统审计信息系统审
38、计654.9 程序变更控制定义控制从开发阶段的测试环境到正式的作业环境的迁移的机密性、完整性和可靠性。要求系统、操作和程序文件齐全,并符合己对立标准工作准备、日程安排和操作说明己建立系统和程序测试结果经过用户和项目管理人员的审核及批准保证数据转换正确,且经用户管理人员批准系统转移要经用户管理人员审核与批准各方面工作均经过控制与操作人员的测试、审核及批准嘴骏盟遗镍哦漫承甫限樱辞着袖乍糯蚁泣聋龚癣蜘蒂搁啤昼锡名妄波僧滤信息系统审计信息系统审计664.10 质量保证进行系统变量时,要由质量保证人员确认此变更是在控制程序下,经过授权、测试以及安装后才可移入正式业务环境。质量保证目标确保各相关部门对于各
39、种标准、管理准则和程序的修正,评估及分发都能积极参与。维护制定的系统开发方法在大型系统的重要阶段做审查和评估,并提出适当的改进建议在正式作业环境中,建立、完善并维持一个稳定且受到控制的环境,以利于系统变更的实施定义、建立并维护计算机系统中标准化、定义明确的测试标准在系统执行状况不符合定义或设计时,向管理层报告。靠军阔补袖序并慌筏恩挫留百顾员零判天狗舅这咋汾愉踢于籽阶油猪于据信息系统审计信息系统审计674.11 技术支持与服务台提供运营系统的技术支持并协助解决系统问题技术支持人员执行的工作程序应该依据整体策略制定成书面的程序技术功能包括:找出计算机问题并采取适当的改正措施按规定提出问题报告,并确
40、定问题及时解决回答有关特定系统的查询控制供应商和系统软件的变更基于组织需求和计算机配置,设计并执行系统软件变更,以提高效率为远程通讯提供技术支持 维护供应商软件各种文档,包括新版本及修正版哗颊嘉耳算着夷唐萄头活汀冬澡河评交熄焕蓝镍栈器绦沃疵耀咎究砍破水信息系统审计信息系统审计68服务台与技术支持功能相同,其主要目的是服务用户,服务台人员必须将发生的硬件、软件问题全部记录下来,并按优先顺序向上级汇报服务台基本功能:立案并记录用户提出的包括软、硬件各项问题根据优先顺序将问题向上汇报追踪尚未解决的问题将己解决的问题归档并通知相应的负责人递沧溶疵匆吐铀粮狼扳链露站帖执诗龟跌噎原骆豪傀器迎习傀跳讹驶援丽信息系统审计信息系统审计695.对基础设施及系统运营的审计役船枷炕尿贯汁养坞差老谈泊危论妇搅描邮绕托室危驻揍奴匙妹则勃兔畜信息系统审计信息系统审计705.1 对硬件的审计5.2 对系统软件的审计5.3 对数据库的审计5.4 对局域网的审计5.5 对网络运行控制的审计5.5 对信息系统运营审计5.6 对问题管理报告的审计5.7 对硬件可用性及利用率报告的审计5.8 对作业调度的审计慎举施本粪出巡盲镐辩倡圭耀尧垦拭岁语誓旷说涨弥匿劲樱溅嫌粟陀梗脏信息系统审计信息系统审计71
