信息系统安全性审计
| 后台-插件-广告管理-内容页头部广告(手机) |
信息系统安全性审计是信息系统审计的一种,它与信息系统真实性审计、信息系统绩效审计等组成了信息系统来自审计。 信息系统安全性审计的主要目标是审查企业信息系统和电子数据的安全性、可靠性、可用性、保密性等。一是预防来自互联网对信息系统的威胁,二是预防来自企业内部对信息系统的危害。
- 中文名称 信息系统安全性审计
- 隶属 信息系统审计
- 组成 信息系统真实性信息系统绩效审计
- 目标 审查企业信息系统
涵义
信息技术对企业发展的作用是一把双刃剑, 既可以给企业创造巨大的价值, 也可以给企业造成潜在的巨大风险。安全性审计的主要目标就是审查企业信息系统和电子数据的安全隐患。这种安全扬目心专危害可能来自企业外部,如黑客攻击、数据外泄、系统瘫痪等;也可能来自企业内部,如舞弊、系统中断来自、非法更改、不恰当的访问等。这些安全隐患可能中断企业的正常经营活动,丢失宝贵的信息资产,泄露企业的商业机密等,因此,当企业管理当局权衡信息系统所带来的潜在风险时,他们需要通过中介机构对安全性做出检查和评价。审计师为投资者、债权人、经营者提供财务风险鉴证是远率河跟溶轮养衡远不够的,他们还需要对企业的信息系统和信息资产安全提供鉴证。此外360百科财务审计也需要对信息轻标客的艺怕未滑系统的安全状况做出评价,为正确判断财务信息的真假称白粒实性、可靠性提供依据。我们很难想象一个在安全方面存在严重问题和缺陷的信息系统,它提供的数据会真实可靠。因此,信息系统的安全性审计也是真实性审计的前提。具体而言,安今眼纪陈轻早是制全性审计的目标是信息系统和电子都取板伯还数据的安全性、保密性、可靠性认损善实散算我触自约、可用性。
内容
信息系统安全性审计主要包逐三问刘在到千告括数据安全,操作系统安全,数据极个段此州排范字库系统安全,网络安全,没盐第执从孙钟真设备安全,环境安全等方面。操作系统介于硬件和其他软件之间兵钢胞志,是所有软件运行的书间指草马普绝基础,因此操作系统的安全性决色银社岩记军游团温五定了整个软件系统的安全状。云破充运两评矿减而环境安全,设备安全属于硬件安全。数据库系统是管理信息系统最重要的支撑软件,数据库系统是否安全直接影响企业数据(特别是财务数据)的真实性和安全性。长期积累下来的数据是企业最宝贵的数字资源,它们反映了企业的经营状况和财务状况,同时也为决策提供依据,甚至也隐藏着企业的许多商业秘密,这些宝贵的数据不能被恶意篡改,不能未经授权的访问,必须始终处于界区马众宣精阶安全状态,这是安全性审计的根本目的。企业通过电子商务平台建立了采购网络厚居纪曾般查巴和销售网络,可是信息系统受到的威胁也大量来自互联网,如黑客攻击,木马钓鱼,病毒传播等,给企业运作造成极大的影响,甚至威内胁企业的生存,如何抵御外部攻击,网络安全至关重要。
依据
门六沿真宜提烈完(1)可信计算机系统伟是或全察评价准则
美国国防部的可信计算机系统评价准则(Trusted Computer System Evaluation Criteria ,T轴丰径CSEC)是计算机系统安全评估的第一个正式标准,具有划时代的意义。该准则于1970年由美国国防科学委员会提出,并于1985年12月由美国国防部公布。TCSEC将安全分为四个要素:安全策略、责任、保证来自和文档。TCSEC根据这四个安全要素将计算机系统分为四类七个等级,按可信程度从最低到最高依次是D、C1、C2、B1、B2、B3、A1。
(2)信息技术安全评价通用准则
在美国的TCSEC、欧洲预无相步怎的ITSEC、加拿360百科大的CTCPEC、打土着美国的FC等信息安全准则的基础上,由6个国家7方(美国国家安全局和国家技术或酸香节刑开细标准研究所、加、英、法、德、荷)共同提出了"信息技术安全评价通用准乎之苦则"(The Common Criteria for Information Technology security Evaluation),简称CC标准打伯触,它综合了已有的信息安全的准则和标准,形成了收坐因尽宪一个更全面的框架。制定CC标知夜准的目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评估准则。1996年6月候以思源章室并措CC第一版发布, 1998年5月CC第二版发布, 1999年 10月CC V2.1版发布,并且成为ISO标准。
(3)信息系统安全等级划分标准
我国的《计算机呢书电静往继商皮肉济信息系统安全保护等级划分准则》把信息系统划分成五个安全等级,补了动块容音移即用户自主保护级,系统审计保护级,安全标记保护级,结构化保护级,访问验证保护级。除了《计算机信息系统安全保护等级划分准则》(GB/17859-1999)外,我国还提供了一系列标准,例如《信息系统等级保护安全设计技术要求》(GB/T25070-2010)、《信息系统安全等级保护实施指南》(GB/T 25058-2010)、《信息安全风险管理指南》(GB/Z 24364-2009)等。审计人员在进行操作系统、数据库系统、管理信息系统的安全性审计时,首先要评估这些系统处于哪个安全等级,其次,要世训效力由需分析审核系统运行的安全状况。
(4)华就垂根校念厚供照形烈数据中心安全标准
数据中心是一个组织内部集中存放计算机主机及相关设备的场所,有时候也是灾备中心。数据中心安全是企业基于IT的业务持续能力和灾难恢复能力的物质基础。国家陆续颁布了多项与数据中心建设直接相关的国家标准,包括《电子信息系统机房设计身两护政作虽唱者规范》(GB50174-2008),《电子信息系统机房施工及验收规范》(GB50462-2008),《计算机场地通用规范》(GB/T2887-2011),《计算站场地安全要求》(GB/T9361-2011),《电子信息系统机房环境检测标准》,《数据中心综合监控系统永清定易如烟程初额团工程技术规范》等。这些标准成为审计人员审核数据中心阻报故宗星培稳安全的主要依据。
(5)存储设备安全标准
没有一种介质可以永久地保存资料,企业应当定期进行数据迁移。国家标准《电子文件归档与管理规范》(GBT18894-2002)对长期存储提出一系列的要求。
主要内容
本书围绕现代信息系统审计的鄂三大基本职能(审计、控制、管理)进行编写,在审计职能方面,突出审计的目的与本质,按照真实性审计、安全性审计和绩效审计等三个基本审计类型展开;在控制职能中,以IT安全为核心介绍了IT内部控制的方方面面;在管理职能中,以IT风险为导向,围绕IT风险管理展开。本书结构新颖独特,既具有教好的系统性和理论性,又具有很强的实战性和可操作性。
全书每一篇均包含一个案例,可以围绕案例组织教学,适用于高校信息管理类、会计、审计、财务管理、企业管理、计算机应用等专业本科生和研究生作为教材或参考书;书中还提供了大量实用表格等,为信息系统审计师、内部审计师、注册会计师、管理咨询师、企业管理人员等专业人士提供工作指导,是一本实用的工具书。
图书目录
第一篇 总论
第1章 信息系统审计概述
1.1 信息系统审计的历史
1.1.1 早期的信息系统审计
1.1.2 现代信息系统审计的形成
1.2 信息系统审计的概念
1.2.1 信息系统审计定义
1.2.2 信息系统审计辨析
1.2.3 信息系统审计分类
1.2.4 信息系统审计目标
1.2.5 信息系统审计职能
1.2.6 信息系统审计过程
1.2.7 信息系统审计方法
1.2.8 信息系统审计依据
1.3 信息系统审计的规范
1.3.1 与信息系统审计相关的组织
1.3.2 ISACA的准则体系
1.3.3 审计师的职业准则
1.3.4 与IT服务管理相关的规范
1.3.5 与信息安全技术相关的标准
1.3.6 与计算机犯罪相关的法律
第2章 信息系统审计实施
2.1 管控审计风险
2.1.1 什么是审计风险
2.1.2 审计风险的特征
2.1.3 审计风险的模型
2.1.4 评估固有风险和控制风险
2.1.5 确定重要性水平
2.1.6 控制检查风险
2.2 制定审计计划
2.2.1 审计计划的作用
2.2.2 审计计划的规范
2.2.3 审计计划的内容
2.2.4 审计计划中风险评估的运用
2.3 收集审计证据
2.3.1 审计证据的属性
2.3.2 审计证据的种类
2.3.3 数字证据的特点
2.3.4 数字证据的形式
2.3.5 收集证据的充分性
2.3.6 收集证据的适当性
2.3.7 收集证据的可信性
2.4 编制工作底稿
2.4.1 工作底稿的作用
2.4.2 工作底稿的分类
2.4.3 编制工作底稿的注意事项
2.4.4 工作底稿的复核
2.4.5 工作底稿的管理
2.5 编写审计报告
2.5.1 审计报告的作用
2.5.2 审计报告的规范
2.5.3 审计报告的格式
2.5.4 编写审计报告的注意事项
第3章 信息系统审计方法
3.1 证据收集方法
3.1.1 证据收集方法概述
3.1.2 收集证据的方法
3.2 数字取证方法
3.2.1 数字取证的概念
3.2.2 数字取证的作用
3.2.3 数字取证的方法
3.2.4 数字取证的工具
3.2.5 数字取证的规范
3.3 数据库查询方法
3.3.1 数据库查询工具
3.3.2 对单个表的查询
3.3.3 对单个表的统计
3.3.4 生成审计中间表
3.3.5 对多个表的查询
3.3.6 应用实例
3.4 软件测试方法
3.4.1 概述
3.4.2 黑盒测试
3.4.3 白盒测试
3.4.4 基于故障的测试
3.4.5 基于模型的测试
案例1 安然公司破产--信息系统审计的转折点
第二篇 真实性审计
第4章 真实性审计概述
4.1 真实性审计概念
4.1.1 真实性审计的含义
4.1.2 真实性审计的内容
4.1.3 真实性审计的分类
4.1.4 业务流程审核
4.1.5 财务处理审核
4.1.6 交易活动审核
4.1.7 真实性审计的方法
4.2 管理信息系统
4.2.1 管理信息系统的定义
4.2.2 管理信息系统的特征
4.2.3 管理信息系统的发展
4.2.4 管理信息系统的概念结构
4.2.5 管理信息系统的层次结构
4.2.6 管理信息系统的系统结构
4.2.7 管理信息系统的硬件结构
4.3 系统流程审核
4.3.1 系统流程的审计目标
4.3.2 数据流图的概念
4.3.3 分析业务流程
4.3.4 画出数据流图
4.3.5 分析数据的逻辑关系
4.3.6 发现审计线索
第5章 财务数据的真实性
5.1 财务信息系统
5.1.1 财务信息系统的发展过程
5.1.2 财务信息系统的功能
5.1.3 销售与应收子系统
5.1.4 采购与应付子系统
5.1.5 工资管理子系统
5.1.6 固定资产子系统
5.1.7 财务信息系统对审计的影响
5.1.8 财务信息系统审计内容
5.2 财务处理的真实性
5.2.1 总账子系统的真实性问题
5.2.2 总账子系统的主要功能
5.2.3 总账子系统的处理流程
5.2.4 总账子系统的数据来源
5.2.5 系统的初始化
5.2.6 科目与账簿设置
5.2.7 自动转账凭证的设置
5.2.8 总账子系统的审计
5.3 财务报表的真实性
5.3.1 报表子系统的真实性问题
5.3.2 报表子系统的主要功能
5.3.3 报表子系统的处理流程
5.3.4 财务报表自动生成原理
5.3.5 报表子系统的审计
第6章 交易活动的真实性
6.1 电子商务
6.1.1 电子商务的概念
6.1.2 电子商务的功能
6.1.3 电子商务体系结构
6.1.4 电子商务工作流程
6.1.5 电子商务对审计的影响
6.1.6 电子商务审计
6.2 电子交易方的真实性
6.2.1 身份冒充问题
6.2.2 身份认证概述
6.2.3 单向认证
6.2.4 双向认证
6.2.5 可信中继认证
6.2.6 Kerberos系统
6.3 电子交易行为的真实性
6.3.1 交易欺诈问题
6.3.2 不可抵赖证据的构造
6.3.3 不可否认协议概述
6.3.4 不可否认协议安全性质
6.3.5 Zhou-Gollmann协议
6.3.6 安全电子支付协议
案例2 超市上演"无间道"--舞弊导致电子数据不真实
第三篇 安全性审计
第7章 安全性审计概述
7.1 安全性审计概念
7.1.1 安全性审计的含义
7.1.2 安全性审计的内容
7.1.3 调查了解系统情况
7.1.4 检查验证安全状况
7.1.5 安全性审计的方法
7.2 系统安全标准
7.2.1 可信计算机系统评价准则
7.2.2 信息技术安全评价通用准则
7.2.3 信息系统安全等级划分标准
7.3 物理安全标准
7.3.1 数据中心安全标准
7.3.2 存储设备安全标准
第8章 数据安全
8.1 数据的安全问题
8.1.1 数据的安全性
8.1.2 数据的保密性
8.1.3 数据的完整性
8.1.4 数据的可用性
8.1.5 数据安全审计
8.2 数据的加密技术
8.2.1 数据加密与安全的关系
8.2.2 对称加密算法
8.2.3 非对称加密算法
8.2.4 散列加密算法
8.3 数据的访问控制
8.3.1 访问控制与安全的关系
8.3.2 自主访问控制
8.3.3 强制访问控制
8.3.4 基于角色的访问控制
8.4 数据的完整性约束
8.4.1 完整性与安全的关系
8.4.2 数据完整性
8.4.3 完整性约束条件
8.4.4 完整性约束机制
8.4.5 完整性约束的语句
8.4.6 完整性约束的实现
第9章 操作系统安全
9.1 操作系统的安全问题
9.1.1 操作系统的概念
9.1.2 操作系统的种类
9.1.3 操作系统的结构
9.1.4 操作系统面临的威胁
9.1.5 操作系统的安全策略
9.1.6 操作系统安全等级的划分
9.1.7 操作系统的安全机制
9.1.8 操作系统安全性的测评
9.2 windows安全机制
9.2.1 windows安全机制概述
9.2.2 身份认证
9.2.3 访问控制
9.2.4 加密文件系统
9.2.5 入侵检测
9.2.6 事件审核
9.2.7 Windows日志管理
9.3 UNIX安全机制
9.3.1 UNIX安全机制概述
9.3.2 账户的安全控制
9.3.3 文件系统的安全控制
9.3.4 日志文件管理
9.3.5 密码强度审查
9.3.6 入侵检测
9.3.7 系统日志分析
第10章 数据库系统安全
10.1 数据库系统的安全问题
10.1.1 数据库系统的概念
10.1.2 数据库系统的组成
10.1.3 数据库系统的结构
10.1.4 数据库管理系统
10.1.5 数据库系统面临的威胁
10.1.6 数据库系统的安全需求
10.1.7 数据库系统安全等级划分
10.2 数据库系统安全机制
10.2.1 数据备份策略
10.2.2 数据库备份技术
10.2.3 数据库恢复技术
10.2.4 数据库审计功能
10.2.5 数据库访问安全
10.3 Oracle审计机制
10.3.1 Oracle审计功能
10.3.2 标准审计
10.3.3 细粒度的审计
10.3.4 审计相关的数据字典视图
10.4 SQL Server审计机制
10.4.1 SQL Server审计功能
10.4.2 服务器审计
10.4.3 数据库级的审计
10.4.4 审计级的审计
10.4.5 审计相关的数据字典视图
第11章 网络安全
11.1 网络的安全问题
11.1.1 计算机网络
11.1.2 网络的体系结构
11.1.3 网络协议的组成
11.1.4 网络面临的威胁
11.1.5 网络的安全问题
11.2 网络入侵的防范
11.2.1 网络入侵问题
11.2.2 网络入侵技术
11.2.3 网络入侵防范
11.3 网络攻击的防御
11.3.1 服务失效攻击与防御
11.3.2 欺骗攻击与防御
11.3.3 缓冲区溢出攻击与防御
11.3.4 SQL注入攻击与防御
11.3.5 组合型攻击与防御
案例3 联通盗窃案--信息资产安全的重要性
第四篇 绩效审计
第12章 IT绩效审计概述
12.1 绩效审计概念
12.1.1 绩效审计的出现
12.1.2 绩效审计的定义
12.1.3 绩效审计的目标
12.1.4 绩效审计的对象
12.1.5 绩效审计的分类
12.1.6 绩效审计的方法
12.1.7 绩效审计的评价标准
12.1.8 绩效审计的特点
12.2 IT绩效审计概念
12.2.1 IT绩效审计的必要性
12.2.2 IT绩效审计的含义
12.2.3 IT绩效审计的特点
12.2.4 IT绩效审计的评价标准
12.2.5 IT绩效审计的视角
12.2.6 IT绩效审计的阶段
12.2.7 IT绩效审计的方法
12.3 信息化评价指标
12.3.1 评价指标的提出
12.3.2 评价指标的内容
12.3.3 评价指标适用性
12.3.4 评价指标的层次
第13章 IT项目经济评价
13.1 资产等值计算
13.1.1 资金的时间价值
13.1.2 若干基本概念
13.1.3 资金等值计算
13.2 软件成本估算
13.2.1 软件估算方法
13.2.2 软件规模估算
13.2.3 软件工作量估算
13.2.4 软件成本估算
13.3 项目绩效评价
13.3.1 效益评价方法
13.3.2 项目现金流分析
13.3.3 财务静态分析法
13.3.4 财务动态分析法
第14章 IT项目应用评价
14.1 IT应用评价的复杂性
14.1.1 企业信息化的作用
14.1.2 ERP投资陷阱
14.1.3 IT生产率悖论
14.1.4 IT应用评价的作用
14.2 IT评价理论的形成
14.2.1 IT评价的内涵
14.2.2 IT评价的发展历程
14.2.3 IT评价的种类
14.3 平衡计分卡技术
14.3.1 平衡计分卡的提出
14.3.2 平衡计分卡的作用
14.3.3 平衡计分卡的内容
14.3.4 平衡计分卡的使用
14.4 IT平衡计分卡构建
14.4.1 IT平衡计分卡
14.4.2 财务评价
14.4.3 用户体验评价
14.4.4 内部流程评价
14.4.5 创新能力评价
14.4.6 指标权重评价
案例4 许继公司ERP实施失败--绩效审计的作用
第五篇 内部控制
第15章 IT内部控制概述
15.1 IT内部控制的概念
15.1.1 内部控制观念
15.1.2 财务丑闻
15.1.3 IT内控重要性
15.1.4 IT内控的定义
15.1.5 IT内控的准则
15.2 IT内部控制的构成
15.2.1 IT内控的目标
15.2.2 IT内控的要素
15.2.3 IT内控的特征
15.2.4 IT内控的分类
15.3 IT内部控制的设计
15.3.1 控制设计原则
15.3.2 IT内控的作用
15.3.3 控制措施设计
15.3.4 控制涉及对象
15.3.5 控制的实施
第16章 IT内部控制应用
16.1 一般控制
16.1.1 概述
16.1.2 组织控制
16.1.3 人员控制
16.1.4 日常控制
16.2 应用控制
16.2.1 概述
16.2.2 输入控制
16.2.3 处理控制
16.2.4 输出控制
第17章 软件资产管理
17.1 概述
17.1.1 信息资产的含义
17.1.2 软件生命周期与过程控制
17.1.3 软件开发方法
17.1.4 软件开发方式与控制评价
17.2 软件全过程控制
17.2.1 总体规划阶段
17.2.2 需求分析阶段
17.2.3 系统设计阶段
17.2.4 系统实施阶段
17.2.5 系统运行与维护阶段
17.2.6 软件资产控制措施
17.2.7 软件资产变更控制措施
17.3 软件质量标准
17.3.1 软件质量标准
17.3.2 软件质量控制方法
17.3.3 软件质量控制措施
案例5 法国兴业银行事件--传统内控的终结
第六篇 风险管理
第18章 IT风险管理概述
18.1 IT风险
18.1.1 IT风险管理
18.1.2 IT风险评估
18.1.3 IT风险识别
18.1.4 IT风险计算
18.1.5 IT风险处理
18.1.6 IT风险控制
18.2 IT治理
18.2.1 IT治理的定义
18.2.2 IT治理的内容
18.2.3 IT战略制定
18.2.4 IT治理的目标
18.2.5 IT治理委员会
18.2.6 首席信息官
18.2.7 内部IT审计
18.3 IT管理
18.3.1 IT管理的定义
18.3.2 IT管理的目标
18.3.3 IT管理的资源
18.3.4 IT管理的内容
第19章 安全应急管理
19.1 概述
19.1.1 应急响应目标
19.1.2 组织及其标准
19.1.3 应急响应体系
19.2 应急准备
19.2.1 任务概述
19.2.2 应急响应计划准备
19.2.3 应急响应计划编制
19.2.4 应急响应计划测试
19.2.5 其他准备事项
19.3 启动响应
19.3.1 任务概述
19.3.2 信息安全事件分类
19.3.3 信息安全事件确定
19.3.4 信息安全事件分级
19.4 应急处理
19.4.1 任务概述
19.4.2 遏制、根除与恢复流程
19.4.3 处理示例
19.5 跟踪改进
19.5.1 任务概述
19.5.2 证据获取
19.5.3 证据分析
19.5.4 行为追踪
第20章 业务连续性管理
20.1 业务连续性计划
20.1.1 业务连续性的重要性
20.1.2 影响业务连续性的因素
20.1.3 业务连续性计划的制定
20.1.4 业务影响分析
20.1.5 业务连续性计划的更新
20.2 安全防范体系建设
20.2.1 网络安全防范原则
20.2.2 网络安全体系结构
20.2.3 IPSec安全体系建设
20.2.4 防火墙系统建设
20.3 灾难恢复体系建设
20.3.1 灾难恢复计划
20.3.2 灾难恢复能力分析
20.3.3 容灾能力评价
20.3.4 灾备中心的模型
20.3.5 灾备中心的解决方案
20.3.6 灾备中心的选址原则
20.3.7 制定灾备方案的要素
20.3.8 建立有效的灾备体系
案例6 911事件--IT风险对企业的影响
参考文献
| 后台-插件-广告管理-内容页尾部广告(手机) |
标签:
相关文章
发表评论
评论列表