信息系统审计:修订间差异
跳到导航
跳到搜索
无编辑摘要 |
|||
| (未显示同一用户的2个中间版本) | |||
| 第1行: | 第1行: | ||
=信息系统审计的意义= | ==信息系统审计的意义== | ||
===定义=== | |||
收集并评估证据以决定一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源。 | |||
=信息系统审计的基本方法= | |||
===目的=== | |||
评估并提供反馈、保证及建议。 | |||
===关注点=== | |||
#可用性 | |||
#*商业高度依赖地信息系统能否在任何需要的时候提供服务?信息系统是否被完好保护以应对各种损失和灾难? | |||
#保密性 | |||
#*系统保存的信息是否仅对需要这些信息的人员开放,而不对其他任何人开放? | |||
#完整性 | |||
#*信息系统提供的信息是否始终正确、可信、及时?能否防止未授权的对系统数据和软件的修改? | |||
===基本业务=== | |||
#系统开发审计 | |||
#主要数据中心、网络、通信设施的结构审计 | |||
#支持其他审计人员的工作 | |||
#为组织提供增值服务 | |||
#软件及硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符 | |||
#灾难恢复和业务持续计划审计 | |||
#对系统运营效能、投资回报率及应用开发测试审计 | |||
#系统的安全审计 | |||
#网络的信誉审计 | |||
#全面控制审计 | |||
===主要组成部分=== | |||
#信息系统的管理、规划与组织 | |||
#信息系统技术基础设施与操作实务 | |||
#资产的保护 | |||
#灾难恢复与业务持续计划 | |||
#应用系统开发、获得、实施与维护 | |||
#业务流程评价与风险管理 | |||
==信息系统审计的基本方法== | |||
===审计流程=== | |||
#审计工作预备工作 | |||
#了解内部控制结构 | |||
#评价控制风险 | |||
#内部控制测试 | |||
#实质性测试 | |||
#形成审计意见出具审计报告 | |||
===基于风险的审计方法=== | |||
#编制组织使用的信息系统清单并对其进行分类 | |||
#决定哪些系统影响关键功能和资产 | |||
#评估哪些风险影响这些系统及对商业运作的冲击 | |||
#在上述评估的基础上对系统分级,决定审计优先值、资源进度和频率。 | |||
2023年5月19日 (五) 15:31的最新版本
信息系统审计的意义
定义
收集并评估证据以决定一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源。
目的
评估并提供反馈、保证及建议。
关注点
- 可用性
- 商业高度依赖地信息系统能否在任何需要的时候提供服务?信息系统是否被完好保护以应对各种损失和灾难?
- 保密性
- 系统保存的信息是否仅对需要这些信息的人员开放,而不对其他任何人开放?
- 完整性
- 信息系统提供的信息是否始终正确、可信、及时?能否防止未授权的对系统数据和软件的修改?
基本业务
- 系统开发审计
- 主要数据中心、网络、通信设施的结构审计
- 支持其他审计人员的工作
- 为组织提供增值服务
- 软件及硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符
- 灾难恢复和业务持续计划审计
- 对系统运营效能、投资回报率及应用开发测试审计
- 系统的安全审计
- 网络的信誉审计
- 全面控制审计
主要组成部分
- 信息系统的管理、规划与组织
- 信息系统技术基础设施与操作实务
- 资产的保护
- 灾难恢复与业务持续计划
- 应用系统开发、获得、实施与维护
- 业务流程评价与风险管理
信息系统审计的基本方法
审计流程
- 审计工作预备工作
- 了解内部控制结构
- 评价控制风险
- 内部控制测试
- 实质性测试
- 形成审计意见出具审计报告
基于风险的审计方法
- 编制组织使用的信息系统清单并对其进行分类
- 决定哪些系统影响关键功能和资产
- 评估哪些风险影响这些系统及对商业运作的冲击
- 在上述评估的基础上对系统分级,决定审计优先值、资源进度和频率。