IT審計(jì)的組織與實(shí)施(培訓(xùn)課件)

1,IT審計(jì)的組織與實(shí)施,劉濟(jì)平中國(guó)光大（集團(tuán)）總公司審計(jì)部副主任注冊(cè)信息系統(tǒng)審計(jì)師（CISA）、注冊(cè)內(nèi)部審計(jì)師（CIA）、高級(jí)審計(jì)師經(jīng)濟(jì)學(xué)碩士（南開大學(xué)西方會(huì)計(jì)與審計(jì)專業(yè)）、理學(xué)碩士（英國(guó)Strathclyde大學(xué)商務(wù)信息技術(shù)系統(tǒng)專業(yè)）E-mail:liujp,2,內(nèi)容安排,內(nèi)部審計(jì)及其分類信息系統(tǒng)審計(jì)從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的角度理解信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)信息系統(tǒng)審計(jì)方法IT核心流程和審計(jì)方法問(wèn)題討論案例分析,3,內(nèi)部審計(jì)及其分類,內(nèi)部審計(jì)內(nèi)部審計(jì)分類業(yè)務(wù)審計(jì)（OperationsAudit）信息系統(tǒng)審計(jì)(InformationSystemsAudit)或IT審計(jì),4,內(nèi)部審計(jì)及其分類,業(yè)務(wù)審計(jì)與IT審計(jì)的關(guān)系,自動(dòng)應(yīng)用控制應(yīng)用控制帳號(hào)管理/邏輯控制,一般應(yīng)用控制電子數(shù)據(jù)表和局部數(shù)據(jù)庫(kù)程序員安全在業(yè)務(wù)用戶層面上的變更管理業(yè)務(wù)持續(xù)計(jì)劃（BCP）,基礎(chǔ)架構(gòu)一般應(yīng)用控制變更和配置管理網(wǎng)絡(luò)安全管理計(jì)算機(jī)操作系統(tǒng)開發(fā)生命周期（SDLC）共享數(shù)據(jù)庫(kù)機(jī)房,業(yè)務(wù)審計(jì),IT審計(jì),5,信息系統(tǒng)審計(jì)從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的角度理解,一個(gè)目標(biāo)兩種風(fēng)險(xiǎn)三項(xiàng)評(píng)價(jià)四類測(cè)試,6,信息系統(tǒng)審計(jì)從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的角度理解,一個(gè)目標(biāo)將IT相關(guān)的風(fēng)險(xiǎn)控制在可接受的水平風(fēng)險(xiǎn)是事件的不確定性，這個(gè)事件對(duì)目標(biāo)的實(shí)現(xiàn)具有影響。風(fēng)險(xiǎn)是不希望發(fā)生事情的可能性。對(duì)待風(fēng)險(xiǎn)的四種策略：拒絕、接受、轉(zhuǎn)移、緩釋（控制）,7,信息系統(tǒng)審計(jì)從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的角度理解,兩種風(fēng)險(xiǎn)戰(zhàn)略風(fēng)險(xiǎn)失去競(jìng)爭(zhēng)優(yōu)勢(shì)信息系統(tǒng)項(xiàng)目失敗災(zāi)難導(dǎo)致長(zhǎng)期不能提供服務(wù)操作風(fēng)險(xiǎn)變更管理文檔不完整密碼政策不恰當(dāng)未激活Oracle審計(jì)軌跡設(shè)置,8,信息系統(tǒng)審計(jì)從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的角度理解,三項(xiàng)評(píng)價(jià)評(píng)價(jià)信息系統(tǒng)項(xiàng)目評(píng)價(jià)業(yè)務(wù)流程中的IT控制評(píng)價(jià)信息安全,9,信息系統(tǒng)審計(jì)從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的角度理解,四類測(cè)試IT控制環(huán)境測(cè)試物理控制測(cè)試邏輯控制測(cè)試IS操作控制測(cè)試,10,信息系統(tǒng)審計(jì)從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的角度理解,將IT相關(guān)風(fēng)險(xiǎn)控制在可接受水平,戰(zhàn)略風(fēng)險(xiǎn),操作風(fēng)險(xiǎn),評(píng)價(jià)IT項(xiàng)目,評(píng)價(jià)業(yè)務(wù)流程中的IT控制,評(píng)價(jià)信息安全,測(cè)試IT控制環(huán)境,測(cè)試物理控制,測(cè)試邏輯控制,測(cè)試IS操作控制,一個(gè)目標(biāo),兩種風(fēng)險(xiǎn),三項(xiàng)評(píng)價(jià),四類測(cè)試,11,信息系統(tǒng)審計(jì)標(biāo)準(zhǔn),ITIL(ITInfrastructureLibrary)BS7799COBIT(ControlObjectivesforInformationandRelatedTechnology),12,信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)ITIL,IT服務(wù)管理IT服務(wù)管理（ITSM）：一種以流程為導(dǎo)向，以客戶為中心的方法，它通過(guò)整合IT服務(wù)與組織業(yè)務(wù)，提高組織IT服務(wù)提供和服務(wù)支持的能力和水平。ITIL（ITInfrastructureLibrary,IT基礎(chǔ)架構(gòu)庫(kù)），最初由英國(guó)商務(wù)部（OGC）80年代組織開發(fā)，是ITSM領(lǐng)域在歐洲的事實(shí)標(biāo)準(zhǔn)。2001年成為英國(guó)標(biāo)準(zhǔn)BS15000,13,信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)ITIL,ITIL整體框架服務(wù)提供包括5個(gè)核心流程：服務(wù)級(jí)別管理、能力管理、可用性管理、持續(xù)性管理、財(cái)務(wù)管理。服務(wù)支持包括5個(gè)核心流程：配置管理、發(fā)布管理、變更管理、事故管理、問(wèn)題管理、服務(wù)臺(tái)職能。,資料來(lái)源：OGC,2002,14,信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)BS7799,信息安全管理：指一個(gè)組織的政策、實(shí)務(wù)、程序、組織結(jié)構(gòu)和軟件功能，用以保護(hù)信息，確保信息免受非授權(quán)訪問(wèn)、修改或意外變更，并且在經(jīng)授權(quán)用戶需要時(shí)可用。,保密性(Confidentiality),資料來(lái)源：Pfleeger,1997,完整性(Integrity),可用性(Availability),15,信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)BS7799,信息安全管理體系（ISMS）BS7799：最早由英國(guó)貿(mào)易和工業(yè)部于1993年組織開發(fā)，1995年成為英國(guó)國(guó)家標(biāo)準(zhǔn)，由兩部分組成，目前最新版本為：BS7799-1：1999信息安全管理實(shí)施規(guī)則BS7799-2：2002信息安全管理體系規(guī)范BS7799-1于2000年被批準(zhǔn)為國(guó)際標(biāo)準(zhǔn)ISO/IEC17799：2000信息技術(shù)：信息安全管理實(shí)施規(guī)則。,16,信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)BS7799,信息安全管理體系（ISMS）BS7799-1將信息安全管理分為10類控制，成為組織實(shí)施信息安全管理的實(shí)用指南。,通訊和運(yùn)行管理訪問(wèn)控制系統(tǒng)開發(fā)和維護(hù)業(yè)務(wù)持續(xù)管理合規(guī),信息安全政策安全組織資產(chǎn)分類和控制人員控制物理和環(huán)境安全,17,信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)BS7799,BS7799-2提供的信息安全管理框架,制定政策,確定ISMS的范圍,實(shí)施風(fēng)險(xiǎn)評(píng)價(jià),管理風(fēng)險(xiǎn),選擇控制目標(biāo)和控制,制定應(yīng)用說(shuō)明,政策文件,ISMS范圍,風(fēng)險(xiǎn)評(píng)價(jià),選擇的控制選項(xiàng),應(yīng)用說(shuō)明,結(jié)果和結(jié)論,選擇的控制目標(biāo)和控制,威脅、弱點(diǎn)、影響,風(fēng)險(xiǎn)管理方法,需要的保證程度,ISMS需要的控制目標(biāo)和控制,BS7799以外的控制,第一步,第二步,第三步,第四步,第五步,第六步,資料來(lái)源：BSI，1999,18,信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)-COBIT,IT治理信息安全和控制實(shí)務(wù)普遍接受的標(biāo)準(zhǔn)主要目的是為企業(yè)治理提供清晰的政策和最佳實(shí)務(wù)以信息系統(tǒng)審計(jì)與控制基金會(huì)(ISACF)的控制目標(biāo)為基礎(chǔ)，由ISACA及其下屬的“IT治理研究院”開發(fā)。1996年第一版，2000年第三版，2006年第四版。,19,信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)-COBIT,由34個(gè)IT控制目標(biāo)組成，分為四個(gè)方面:規(guī)劃和組織獲得與實(shí)施交付與支持監(jiān)控,20,信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)-COBIT,COBIT的34個(gè)控制目標(biāo),交付和支持,IT資源,信息,監(jiān)控,獲得與實(shí)施,規(guī)劃和組織,-效果性-效率性-保密性-完整性-可用性-合規(guī)性-可靠性,-人-應(yīng)用系統(tǒng)-技術(shù)-設(shè)備-數(shù)據(jù),確定自動(dòng)化方案獲取并維護(hù)應(yīng)用程序軟件獲取并維護(hù)技術(shù)基礎(chǔ)設(shè)施程序開發(fā)與維護(hù)系統(tǒng)安裝與鑒定變更管理,定義IT戰(zhàn)略規(guī)劃定義信息體系結(jié)構(gòu)確定技術(shù)方向定義IT組織和關(guān)系管理IT投資傳達(dá)管理目標(biāo)和方向人力資源管理確保遵循外部要求風(fēng)險(xiǎn)評(píng)估項(xiàng)目管理質(zhì)量管理,定義并管理服務(wù)水平管理第三方的服務(wù)管理性能與容量確保服務(wù)的連續(xù)性確保系統(tǒng)安全確定并分配成本教育并培訓(xùn)用戶協(xié)助和咨詢客戶配置管理處理問(wèn)題和突發(fā)事件數(shù)據(jù)管理設(shè)施管理運(yùn)行管理,過(guò)程監(jiān)控評(píng)價(jià)內(nèi)部控制的適當(dāng)性獲取獨(dú)立鑒證提供獨(dú)立的審計(jì),COBIT,企業(yè)目標(biāo),IT治理,資料來(lái)源：ITGovernanceInstitute,2000,21,信息系統(tǒng)審計(jì)方法,年度風(fēng)險(xiǎn)評(píng)估和計(jì)劃,問(wèn)題追蹤和后續(xù)審計(jì),審計(jì)評(píng)價(jià),審計(jì)報(bào)告,審計(jì)計(jì)劃,控制評(píng)價(jià),風(fēng)險(xiǎn)評(píng)估,審計(jì)方案和測(cè)試,年度風(fēng)險(xiǎn)評(píng)估和計(jì)劃,問(wèn)題追蹤和后續(xù)審計(jì),審計(jì)評(píng)價(jià),審計(jì)報(bào)告,審計(jì)計(jì)劃,控制評(píng)價(jià),風(fēng)險(xiǎn)評(píng)估,審計(jì)方案和測(cè)試,22,內(nèi)部審計(jì)方法年度風(fēng)險(xiǎn)評(píng)估和計(jì)劃,實(shí)施年度風(fēng)險(xiǎn)評(píng)估識(shí)別下一年度的審計(jì)領(lǐng)域.制定年度審計(jì)計(jì)劃,23,年度風(fēng)險(xiǎn)評(píng)估:風(fēng)險(xiǎn)評(píng)估,按照可審計(jì)業(yè)務(wù)單元進(jìn)行每年實(shí)施一次考慮因素業(yè)務(wù)/財(cái)務(wù)影響外部環(huán)境：如規(guī)章制度、市場(chǎng)、技術(shù)容易出現(xiàn)欺詐舞弊計(jì)算機(jī)環(huán)境上一次審計(jì)結(jié)果及時(shí)間與管理層討論（分公司、子公司和總公司）,24,年度風(fēng)險(xiǎn)評(píng)估:風(fēng)險(xiǎn)分級(jí)和審計(jì)頻率,非常高(一年或少于一年審計(jì)一次)高(每一至兩年審計(jì)一次)中(每三到四年審計(jì)一次)低(每五年審計(jì)一次或不審計(jì)),25,年度風(fēng)險(xiǎn)評(píng)估:舉例,26,年度審計(jì)計(jì)劃:舉例,某公司2005年內(nèi)部審計(jì)計(jì)劃一、制定計(jì)劃的方法本計(jì)劃是根據(jù)公司規(guī)定的年度風(fēng)險(xiǎn)評(píng)估方法加以制定的。在制定過(guò)程中，我們考慮了公司管理層的要求，以及公司其他股東的年度審計(jì)計(jì)劃。二、影響計(jì)劃制定的主要因素1、中國(guó)區(qū)業(yè)務(wù)的快速發(fā)展2、與其他股東在內(nèi)部審計(jì)方面的良好合作3、三、審計(jì)范圍,四、審計(jì)項(xiàng)目描述五、審計(jì)時(shí)間預(yù)算,27,信息系統(tǒng)審計(jì)方法計(jì)劃,審計(jì)任務(wù)備忘錄(審計(jì)通知書)審計(jì)目的和范圍審計(jì)方法審計(jì)人員被審計(jì)單位人員審計(jì)時(shí)間安排問(wèn)題溝通和行動(dòng)計(jì)劃審計(jì)標(biāo)準(zhǔn)審計(jì)效果評(píng)價(jià),28,計(jì)劃：舉例,某公司一般IT控制審計(jì)備忘錄審計(jì)范圍和目的：本次審計(jì)的目的是，通過(guò)審計(jì)，評(píng)價(jià)下列領(lǐng)域控制的效果。IT規(guī)劃和組織系統(tǒng)開發(fā)和獲得變更管理數(shù)據(jù)管理信息安全網(wǎng)絡(luò)管理計(jì)算機(jī)操作物理安全和設(shè)備管理業(yè)務(wù)持續(xù)計(jì)劃審計(jì)方法：本次審計(jì)是按照風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的方法進(jìn)行的，我們將對(duì)上述領(lǐng)域的風(fēng)險(xiǎn)進(jìn)行評(píng)估，然后對(duì)中高風(fēng)險(xiǎn)領(lǐng)域進(jìn)行控制測(cè)試。在審計(jì)中，我們主要采取如下方法：檢查有關(guān)規(guī)章制度、程序和標(biāo)準(zhǔn)；檢查有關(guān)規(guī)劃和操作文件和報(bào)告（如IT規(guī)劃、項(xiàng)目文檔、總是日志、BCP等）；IT實(shí)地觀察；與管理層和有關(guān)員工面談。審計(jì)組成員：審計(jì)時(shí)間：審計(jì)標(biāo)準(zhǔn)：我們將按照國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)（IIA）和國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）制定的有關(guān)標(biāo)準(zhǔn)進(jìn)行審計(jì)。由于我們是通過(guò)抽樣進(jìn)行測(cè)試，因此我們的審計(jì)并不能絕對(duì)保證發(fā)現(xiàn)所有的錯(cuò)誤和違規(guī)問(wèn)題。審計(jì)績(jī)效評(píng)價(jià)：審計(jì)結(jié)束時(shí)，我們將向員工發(fā)送問(wèn)券調(diào)查，以評(píng)價(jià)審計(jì)工作是否有效和達(dá)到目的。,29,信息系統(tǒng)審計(jì)方法風(fēng)險(xiǎn)評(píng)估,識(shí)別業(yè)務(wù)流程的具體風(fēng)險(xiǎn)風(fēng)險(xiǎn)矩陣具體風(fēng)險(xiǎn)業(yè)務(wù)影響可能性評(píng)價(jià)(高/中/低)影響評(píng)價(jià)(低/中/顯著/非常顯著)風(fēng)險(xiǎn)(高/中/低),30,風(fēng)險(xiǎn)評(píng)估:舉例,流程:IT規(guī)劃與組織,31,信息系統(tǒng)審計(jì)方法控制評(píng)價(jià),記錄需要控制風(fēng)險(xiǎn)的主要內(nèi)部控制.控制評(píng)價(jià)矩陣具體風(fēng)險(xiǎn)需要的控制控制類型(預(yù)防/發(fā)現(xiàn)/改正),32,控制評(píng)價(jià):舉例,流程:IT規(guī)劃與組織,33,信息系統(tǒng)審計(jì)方法審計(jì)方案和測(cè)試,制定審計(jì)方案需要測(cè)試的控制審計(jì)程序測(cè)試主要控制的有效性記錄測(cè)試結(jié)果,34,審計(jì)方案和測(cè)試:舉例,流程:IT規(guī)劃與組織,35,信息系統(tǒng)審計(jì)方法溝通和報(bào)告,發(fā)出審計(jì)發(fā)現(xiàn)清單與被審計(jì)單位管理層交換意見起草審計(jì)報(bào)告舉行結(jié)束會(huì)議發(fā)布最終審計(jì)報(bào)告摘要詳細(xì)審計(jì)發(fā)現(xiàn)和審計(jì)建議,36,信息系統(tǒng)審計(jì)方法績(jī)效評(píng)價(jià),被審計(jì)單位調(diào)查問(wèn)卷審計(jì)結(jié)束時(shí)發(fā)出調(diào)查問(wèn)題:審計(jì)目的是否表述清楚?審計(jì)人員對(duì)被審計(jì)單位人員是否謙和禮貌?審計(jì)發(fā)現(xiàn)是否準(zhǔn)確?對(duì)你是否有用?,37,信息系統(tǒng)審計(jì)方法問(wèn)題追蹤和后續(xù)審計(jì),對(duì)重要審計(jì)建議進(jìn)行季度監(jiān)控.內(nèi)部審計(jì)季度檢查報(bào)告控制報(bào)告,38,IT核心流程和審計(jì)方法,規(guī)劃和組織系統(tǒng)開發(fā)變更/問(wèn)題管理數(shù)據(jù)管理計(jì)算機(jī)操作運(yùn)行物理安全/設(shè)備管理業(yè)務(wù)持續(xù)計(jì)劃(BCP)信息安全網(wǎng)絡(luò)管理應(yīng)用處理,39,IT流程:規(guī)劃和組織,公司如何管理IT.相關(guān)風(fēng)險(xiǎn)IT規(guī)劃與業(yè)務(wù)規(guī)劃不一致不現(xiàn)實(shí)的戰(zhàn)略規(guī)劃IT成本超支存在不相容的職能組織不好的IT職能,40,審計(jì)方法:規(guī)劃和組織,審計(jì)范圍組織結(jié)構(gòu)規(guī)劃過(guò)程(戰(zhàn)略,戰(zhàn)術(shù))預(yù)算和成本控制服務(wù)級(jí)別協(xié)議(SLAs)培訓(xùn)和資源保障溝通過(guò)程,41,審計(jì)方法:規(guī)劃和組織,訪談對(duì)象首席執(zhí)行官（CEO）/首席營(yíng)運(yùn)官（COO）首席財(cái)務(wù)官（CFO）首席信息官（CIO）IT指導(dǎo)委員會(huì)成員IT高級(jí)管理層用戶管理層,42,審計(jì)方法:規(guī)劃和組織,檢查內(nèi)容:IT組織機(jī)構(gòu)圖IT部門章程/權(quán)限IT規(guī)劃(戰(zhàn)略,戰(zhàn)術(shù))業(yè)務(wù)規(guī)劃IT指導(dǎo)委員會(huì)會(huì)議紀(jì)要政策、程序和標(biāo)準(zhǔn)服務(wù)級(jí)別協(xié)議(SLAs)培訓(xùn)計(jì)劃職位描述,43,IT流程:系統(tǒng)開發(fā),信息系統(tǒng)是如何開發(fā)的，以支持企業(yè)運(yùn)營(yíng).相關(guān)風(fēng)險(xiǎn)未滿足業(yè)務(wù)需求有瑕疵的業(yè)務(wù)案例延期實(shí)施范圍不確定（軟件基線）,44,審計(jì)方法:系統(tǒng)開發(fā),審計(jì)范圍項(xiàng)目所有者需求的提出和控制項(xiàng)目管理開發(fā)和測(cè)試數(shù)據(jù)轉(zhuǎn)換控制后實(shí)施,45,審計(jì)方法:系統(tǒng)開發(fā),訪談對(duì)象:CIOIT指導(dǎo)委員會(huì)成員項(xiàng)目指導(dǎo)委員會(huì)成員項(xiàng)目所有者項(xiàng)目經(jīng)理,46,審計(jì)方法:系統(tǒng)開發(fā),檢查內(nèi)容:IT規(guī)劃系統(tǒng)開發(fā)方法與硬件/軟件采購(gòu)相關(guān)的政策和程序項(xiàng)目文檔(如：需求定義，可行性分析)與軟件采購(gòu)、開發(fā)和維護(hù)相關(guān)的合同,47,IT流程:變更管理,IT變更是如何管理的，以確保完整性相關(guān)風(fēng)險(xiǎn)非授權(quán)的變更請(qǐng)求未測(cè)試的變更非授權(quán)的變更實(shí)施,48,審計(jì)方法:變更管理,審計(jì)范圍所有者需求的提出和控制變更控制文檔和過(guò)程軟件發(fā)布政策,49,年度審計(jì)計(jì)劃:考慮的因素和批準(zhǔn),考慮的因素風(fēng)險(xiǎn)高的可審計(jì)單元管理層的要求公司風(fēng)險(xiǎn)管理委員會(huì)和審計(jì)委員會(huì)的指導(dǎo)外部審計(jì)年度審計(jì)計(jì)劃批準(zhǔn)第一層次:副總裁&總審計(jì)師（管理層）第二層次:審計(jì)委員會(huì)（董事會(huì)）,50,審計(jì)方法:變更管理,訪談對(duì)象CIOIT高級(jí)管理層應(yīng)用開發(fā)經(jīng)理質(zhì)量鑒定經(jīng)理IT運(yùn)行經(jīng)理,51,審計(jì)方法:變更管理,檢查內(nèi)容:系統(tǒng)開發(fā)方法變更控制政策和程序變更需求表,52,IT流程:數(shù)據(jù)管理,數(shù)據(jù)是如何管理的，以確保完整和可用.相關(guān)風(fēng)險(xiǎn)數(shù)據(jù)不準(zhǔn)確、過(guò)時(shí)或被破壞數(shù)據(jù)不可恢復(fù)數(shù)據(jù)的不適當(dāng)訪問(wèn),53,審計(jì)方法:數(shù)據(jù)管理,審計(jì)范圍數(shù)據(jù)所有者組織結(jié)構(gòu)計(jì)劃和開發(fā)系統(tǒng)管理安全備份/恢復(fù),54,審計(jì)方法:數(shù)據(jù)管理,訪談對(duì)象:IT高級(jí)管理層信息安全官員系統(tǒng)開發(fā)經(jīng)理數(shù)據(jù)庫(kù)存管理員數(shù)據(jù)所有者,55,審計(jì)方法:數(shù)據(jù)管理,檢查內(nèi)容:數(shù)據(jù)所有關(guān)系結(jié)構(gòu)數(shù)據(jù)模型與以下內(nèi)容相關(guān)的政策和程序:數(shù)據(jù)輸入授權(quán)數(shù)據(jù)處理輸出的分發(fā)數(shù)據(jù)庫(kù)維護(hù)和安全庫(kù)管理,56,IT流程:計(jì)算機(jī)操作運(yùn)行,如何管理計(jì)算設(shè)備，以提供持續(xù)服務(wù).相關(guān)風(fēng)險(xiǎn)處理延遲重新運(yùn)行頻繁問(wèn)題無(wú)法解決,57,審計(jì)方法:計(jì)算機(jī)操作運(yùn)行,審計(jì)范圍組織結(jié)構(gòu)時(shí)間安排媒介控制備份/重新啟動(dòng)/恢復(fù)容量規(guī)劃,58,審計(jì)方法:計(jì)算機(jī)操作運(yùn)行,訪談對(duì)象:IT高級(jí)管理層IT運(yùn)行經(jīng)理數(shù)據(jù)中心主管,59,審計(jì)方法:計(jì)算機(jī)操作運(yùn)行,檢查的文件：組織結(jié)構(gòu)圖部門計(jì)劃職位描述服務(wù)級(jí)別協(xié)議(SLAs)與計(jì)算機(jī)處理相關(guān)的政策和程序工作安排人員備份/恢復(fù)問(wèn)題管理磁帶管理,60,IT流程:物理安全/設(shè)備管理,相關(guān)風(fēng)險(xiǎn)非授權(quán)訪問(wèn)、使用公司資產(chǎn)或信息偷竊、損壞或毀損數(shù)據(jù)或設(shè)備不安全的工作環(huán)境,61,審計(jì)方法:物理安全/設(shè)備管理,審計(jì)范圍訪問(wèn)控制環(huán)境災(zāi)難火災(zāi)控制電力供應(yīng)員工安全應(yīng)急程序維護(hù),62,審計(jì)方法:物理安全/設(shè)備管理,訪談對(duì)象:IT高級(jí)管理層IT設(shè)備經(jīng)理信息安全官運(yùn)行/數(shù)據(jù)中心經(jīng)理,63,審計(jì)方法:物理安全/設(shè)備管理,檢查內(nèi)容:數(shù)據(jù)中心樓層計(jì)劃/分布IT用房的視查可接觸IT設(shè)備人員清單與物理安全、人員健康和安全、環(huán)境危害防護(hù)相關(guān)的政策和程序,64,IT流程:業(yè)務(wù)持續(xù)計(jì)劃（BCP）,如何確保持續(xù)的IT服務(wù)、當(dāng)需要時(shí)可得到，以及在出現(xiàn)重大中斷時(shí)對(duì)業(yè)務(wù)影響最小.相關(guān)風(fēng)險(xiǎn)無(wú)法按照計(jì)劃恢復(fù)關(guān)鍵業(yè)務(wù)功能沒有足夠的資源完成或?qū)嵤┯?jì)劃過(guò)時(shí)和未測(cè)試的業(yè)務(wù)持續(xù)計(jì)劃第三方供貨商的支持不充分,65,審計(jì)方法:業(yè)務(wù)持續(xù)計(jì)劃（BCP）,審計(jì)范圍所有者業(yè)務(wù)影響評(píng)估恢復(fù)策略與業(yè)務(wù)的聯(lián)系維護(hù)測(cè)試,66,審計(jì)方法:業(yè)務(wù)持續(xù)計(jì)劃（BCP）,訪談對(duì)象:CIOIT高級(jí)管理層IT運(yùn)行經(jīng)理信息安全官用戶管理層業(yè)務(wù)持續(xù)計(jì)劃（BCP）/災(zāi)難恢復(fù)計(jì)劃（DRP）小組災(zāi)難恢復(fù)地經(jīng)理,67,審計(jì)方法:業(yè)務(wù)持續(xù)計(jì)劃（BCP）,檢查內(nèi)容:BCP手冊(cè)BCP/DRP測(cè)試結(jié)果供貨商/維護(hù)合同業(yè)務(wù)中斷保單與持續(xù)計(jì)劃過(guò)程相關(guān)的政策和程序,68,IT流程:信息安全,信息是如何保護(hù)的，以確保其完整、保密和可用.相關(guān)風(fēng)險(xiǎn)非授權(quán)訪問(wèn)信息（內(nèi)部和外部）有意泄露信息,69,審計(jì)方法:信息安全,審計(jì)范圍政策和程序數(shù)據(jù)分級(jí)用戶添加、維護(hù)和刪除監(jiān)控密碼方案訪問(wèn)級(jí)別安全環(huán)境,70,審計(jì)方法:信息安全,訪談對(duì)象:IT高級(jí)管理層信息安全官員應(yīng)用開發(fā)經(jīng)理數(shù)據(jù)管理員,71,審計(jì)方法:信息安全,檢查內(nèi)容信息安全政策和程序了解訪問(wèn)控制軟件違反安全的報(bào)告IT資源訪問(wèn)點(diǎn)(物理的/邏輯的)的設(shè)計(jì)安排具有訪問(wèn)系統(tǒng)資源權(quán)限的雇員、供貨商、服務(wù)提供商的人員名單,72,IT流程:網(wǎng)絡(luò)管理,如何管理網(wǎng)絡(luò)，以確保其安全、高效運(yùn)行和可用.相關(guān)風(fēng)險(xiǎn)網(wǎng)絡(luò)低效率網(wǎng)絡(luò)無(wú)法恢復(fù)網(wǎng)絡(luò)問(wèn)題無(wú)法解決,73,審計(jì)方法:網(wǎng)絡(luò)管理,審計(jì)范圍所有者組織結(jié)構(gòu)規(guī)劃和開發(fā)政策和程序網(wǎng)絡(luò)安全和管理恢復(fù)/重新啟動(dòng),74,審計(jì)方法:網(wǎng)絡(luò)管理,訪談對(duì)象:IT運(yùn)行經(jīng)理網(wǎng)絡(luò)管理員信息安全官,75,審計(jì)方法:網(wǎng)絡(luò)管理,檢查內(nèi)容組織結(jié)構(gòu)圖部門計(jì)劃職位描述服務(wù)級(jí)別協(xié)議(SLAs)網(wǎng)絡(luò)體系結(jié)構(gòu)/配置與網(wǎng)絡(luò)管理相關(guān)的政策和程序,76,IT流程:應(yīng)用處理,系統(tǒng)如何實(shí)施，以確保經(jīng)授權(quán)的業(yè)務(wù)信息處理完全、準(zhǔn)確相關(guān)風(fēng)險(xiǎn)：包括計(jì)算機(jī)操作運(yùn)行、變更管理和信息安全風(fēng)險(xiǎn),77,審計(jì)方法:應(yīng)用處理