返回
cisa_it审计实务培训2-审计实务

cisa_it审计实务培训2-审计实务

ID:36199169

大小:448.05 KB

页数:60页

时间:2019-05-07

cisa_it审计实务培训2-审计实务_第1页
cisa_it审计实务培训2-审计实务_第2页
cisa_it审计实务培训2-审计实务_第3页
cisa_it审计实务培训2-审计实务_第4页
cisa_it审计实务培训2-审计实务_第5页
资源描述:

《cisa_it审计实务培训2-审计实务》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、Feb,2008金融企业IT审计实务培训——2.实务、方法与工具杨洋(yycisa@263.net)杨洋,yycisa@263.netFeb,2008主讲人简介杨洋管理学博士(信息管理与信息安全方向,同济大学)会计学学士、硕士(东北财经大学)高级程序员(1998),CISA(2002),SCJP,IBM电子商务咨询师,IBMWSADDeveloper目前为同济大学电信学院博士后,主要研究领域:基于移动计算的安全接入关键技术杨洋,yycisa@263.netFeb,20081.文档复核2.面询与问卷设计3.比对技术4.

2、业务观察与穿行测试5.渗透测试6.数据测试7.数据采集与分析一、常用审计方法概述杨洋,yycisa@263.netFeb,2008理解目标背景理解风险点与内控理解系统目标与期望业务输出理解系统架构发现异常与违规1.文档复核杨洋,yycisa@263.netFeb,20082.面询与问卷设计面谈准备:背景研究确定对象内容、时间和地点面谈实施:时间控制气氛把握记录方式确认后续分析杨洋,yycisa@263.netFeb,20082.面询与问卷设计问卷调查问题设计目的性问卷对象:专业性与客观性答案的明确性如何避免答案失真杨

3、洋,yycisa@263.netFeb,20083.比对技术源代码比对目标代码比对特征值比对杨洋,yycisa@263.netFeb,20084.业务观察与穿行测试实际岗位分工与制度是否一致穿行测试(walk-through):实际流程是否一致安全意识汇报路线:权责是否一致杨洋,yycisa@263.netFeb,2008模拟攻击行为,发现漏洞关键:实施风险分析全面备份与恢复计划委托专业机构5.渗透测试杨洋,yycisa@263.netFeb,20086.数据测试测试选择重要模块数据设计覆盖各种情况:数据类型、编码违

4、规、违反逻辑条件、数据文件不一致……来源:实际业务数据、用户测试数据、审计师测试数据、自动生成数据一般方式:黑盒白盒杨洋,yycisa@263.netFeb,20086.数据测试测试类型ITF(生产环境中用测试用例)输入标记消除影响平行模拟(SQL,EXCEL+VBA)开发原型新旧系统交接杨洋,yycisa@263.netFeb,20087.数据采集与分析直接获取系统数据,特别是业务输入与业务输出分析性复核杨洋,yycisa@263.netFeb,20087.数据采集与分析GAAT:ACL、IDEAACCESS、SQ

5、LServerSPSS、EXCEL工具的选择:功能与易用性使用习惯与方便获取杨洋,yycisa@263.netFeb,20081.对组织管理架构的审计2.对IT外包的审计3.对IT基础设施与环境的审计4.对备份和业务持续性的审计5.对开发和获取过程的审计6.对系统变更过程的审计二、一般控制审计实务杨洋,yycisa@263.netFeb,20081.对组织管理架构的审计组织模式对系统风险的影响分布式/集中式IT治理岗位分工杨洋,yycisa@263.netFeb,2008IT岗位分权控制小组系统分析员应用程序员数据录

6、入员操作员数据库管理员安全管理员备份管理员系统程序员质量保证小组控制小组系统分析员应用程序员数据录入员操作员数据库管理员安全管理员备份管理员系统程序员质量保证小组杨洋,yycisa@263.netFeb,20081.对组织管理架构的审计关键风险和控制参考材料:“IT组织管理架构审计要点”案例讨论:案例1:大连某企业工资核算系统案例2:某企业雇员退出管理漏洞与案件杨洋,yycisa@263.netFeb,20082.对IT外包的审计外包审计的主要关注点核心竞争力信息安全系统可靠性业务长期可持续性杨洋,yycisa@26

7、3.netFeb,20082.对IT外包的审计关键风险和控制参考材料:“IT外包审计要点”案例讨论:案例1:某通信服务企业充值卡案件案例2:澳大利亚政府部门IT外包综合审计杨洋,yycisa@263.netFeb,20083.对IT基础设施与环境的审计审计范畴硬件环境与防灾主机硬件安全底层支撑系统安全通信线路安全数据存储/IO安全物理访问控制……杨洋,yycisa@263.netFeb,20083.对IT基础设施与环境的审计审计依据GB计算站相关标准ISO17799/BS7799GB建筑、防雷等相关标准杨洋,yyci

8、sa@263.netFeb,20083.对IT基础设施与环境的审计关键风险与控制参考材料:“IT基础设施审计要点”案例讨论:案例1:打印共享设备物理访问安全案例2:某跨国企业信息系统渗透测试过程与结果杨洋,yycisa@263.netFeb,20084.对备份和业务持续性的审计关键风险与控制参考材料:“BCP审计要点”案例讨论某企业灾难恢复计划

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。