信息系统审计

第一篇：信息系统审计1、信息系统审计的概念，内容，流程？答：（1）概念信息系统审计是指根据公认的标准和指导规范，对信息系统从规划、实施到运行维护各个环节进行审查评价，对信息系统及其业务的完整性、有效性、效率性、安全性等进行监测、评估和控制的过程，以确定预定的业务目标得以实现，斌提出一系列改进建议的管理活动。（2）内容：主要包括内部控制系统审计、系统开发审计、应用程序审计、数据文件审计等。a.内部控制系统审计。信息系统的内部控制系统由两个子系统构成：一是一般控制系统，它是系统运行环境方面的控制，为应用程序的正常运行提供外围保障。另一子系统是应用控制系统，它是针对具体的应用系统和程序而设置的各种控制措施。b.系统开发审计。是指对信息系统开发过程所进行的审计，这是一种事前审计。c.应用程序审计。其决定了数据处理的合规性、正确性。对应用程序的审计，可以对程序直接进行审查，也可以通过数据在程序上的运行进行间接测试。d.数据文件审计。在信息系统中，各种凭证、账簿及报表中的数据均以数据文件的形式存储在硬盘或软盘等存储介质中，对数据文件进行审计，可以将该文件打印出来进行检查，也可以在计算机内直接进行审查。（3）流程：主要的分为准备阶段、实施阶段、终结阶段。a.准备阶段：1、明确审计任务。2、组成信息系统审计小组。3、了解被审计系统的基本情况。4、制定信息系统审计方案；b.实施方案：1、对被审计系统的内部控制制度进行健全性调查和符合性测试。2、对帐表单证或数据文件的实质性审查；c.终结阶段：1、整理归纳审计资料。2、撰写审计报告。3、发出审计结论和决定。4、审计资料的归档和管理。2、常见的IT治理标准有哪些，各自的作用是什么？答：常见的IT治理标准有ITIL，COBIT，BS7799，PRINCE2。（1）ITIL（InformationTechnologyInfrastructureLibrary），即信息技术基础构架库，一套被广泛承认的用于有效IT服务管理的时间准则。1980年以来，英国政府商务办公室为解决“IT服务质量不佳”的问题，逐步提出和完善了一整套对IT服务的质量进行评估的方法体系。（2）COBIT，（ControlObjectivesforInformationandrelatedTechnology）：信息和相关技术的控制目标。它是由信息系统审计与控制协会，于1996年推出的用于IT审计的知识体系。作为IT治理的核心模型，其包括34个信息技术过程控制，并归集为IT规划和组织、系统获得和实施、交付与支持以及信息系统运行性能监控4个领域。目前COBIT是国际上公认的IT管理与控制标准。（3）BS7799（ISO/IEC17799）：国际信息安全管理标准体系。该标准包括信息系统安全管理和安全认证两大部分，是参照英国国家标准BS7799而来的。它是一个详细的安全标准，包括安全内容的所有准则，由10个独立的部分组成，每一节都覆盖了不同的主题和区域。该体系主要解决企业的信息安全管理上的问题，为企业提供了一个完整的管理框架，不断改进信息安全管理水平，使机构或企业的信息安全以最小代价达到需要的水准。（4）PRINCE2（ProjectsInControlledEnvironments）是一种对项目管理的某些特定方面提供支持的方法。PRINCE2描述了一个项目如何被切分成一些可供管理的阶段，以便高效地控制资源的使用和在整个项目周期执行常规的监督流程。PRINCE2的视野并不仅仅限于对具体项目的管理，还覆盖了在组织范围对项目的管理。3、常见的信息系统开发方法，对其中的一到两种展开说明？答：常见的信息系统开发方法有软件开发生命周期法、原型法、面向对象法、计算机辅助开发方法、基于组件的开发方法、基于Web应用开发方法。以下对软件开发生命周期法进行说明。软件开发生命周期法（SoftwareDevelopmentLifeCycle，SDLC）是系统分析员和系统开发者常用的软件开发方法。软件开发生命周期法能够生产高质量的软件，满足业务和用户的需求，在开发进度和成本控制下进行软件开发生产，是一种有效保证成本，提高效益的软件开发方法。通过应用传统的SDLC方法，已经成功开发出了大量的业务应用系统。其各个阶段及其基本内容如下：1、第一阶段——可行性研究。确定实施系统在提高生产效率或未来降低成本方面的战略利益，确定和量化新系统可以节约的成本，评价新系统的成本回收期。2、第二阶段——需求定义。一是定义需要解决的问题，二是定义所需的解决方案及方案应当具有的功能和质量要求。该阶段还要确定是采用定制开发的方法还是供应商提供的软件包。3、第三阶段A——系统设计（当决定自行开发软件时）。以需求定义为基础，建立一个系统基线和子系统的规格说明，以描述系统功能如何实现