进贤南昌网站建设公司,企业网站开发软件,嵌入式培训心得,苏州做网站好的审计流程21%#xff1b;运营和业务恢复23%#xff1b;保护资产27%#xff1b;IT治理17%#xff1b;开发12%。
领域1-信息系统审计流程
规划-现场工作-报告
#xff08;1#xff09;审计规划
了解业务使命、目标、目的和流程
找到相关规定
实施风险分析#xff08;…
审计流程21%运营和业务恢复23%保护资产27%IT治理17%开发12%。
领域1-信息系统审计流程
规划-现场工作-报告
1审计规划
了解业务使命、目标、目的和流程
找到相关规定
实施风险分析找到高风险领域
确定审计目标和审计范围
制定审计方法
为审计工作分配人力资源人员分配那块审计
安排好业务的后勤工作
2内部控制分类
预防性控制防止事件发生降低不良事件的可能性防火墙IPS
检测性控制发现问题IDS
纠正性控制意外发生后修补组件或系统
其他的补偿性可以替代的方法
3基于风险的审计方法
收集信息和计划-固有风险了解内部控制-控制风险/检测风险执行符合性测试执行实质性测试总结审计
符合性测试属性抽样
实质性测试变量抽样
符合性测试是指对被审计单位与生成会计信息有关的内部控制设计和执行的有效性进行了解并对该内部控制是否得到一贯遵循加以审计的过程。实质性测试是指在符合性测试的基础上为取得直接证据而运用检查、监盘、观察、查询及函证、计算、分析性复核等方法对被审计单位会计报表的真实性和财务收支的合法性进行审查以得出审计结论的过程。
(4)审计证据属性
相关性、客观性、时效性
证据可靠性外部审计师测试结果第三方确认函审计师测试被审人员提供
5控制自我评估和审计区别
控制自我评估由职责部门发起多方参与。
6审计章程
规定信息系统内部审计职能的角色明确说明管理层的责任、目标以及向信息系统审计职能部门授予的权力。
董事会最高管理层和审计委员会应对此章程进行审批。
8通用审计软件
数据分析工具可用于过滤大量数据
9计算机辅助审计技术 计算机辅助软件工程工具
计算机辅助审计技术用于访问各种软件环境、记录格式等电子数据的工具。包括通用审计软件。
10审查方法
观察流程和员工表现以不引人注意的方式观察。
面谈本质是挖掘信息。
重新执行所提供的证据通常优于其他技术提供的证据。
浏览审查用于确认对控制的理解的审计技术。
11抽样方法
符合性测试属性抽样特定性质的发生率、停走抽样对控制信任目的防止过度抽样尽快停止审计、发现抽样目的发现问题
实质性测试变量抽样较小样本推算大的、分层单位均值分组、不分层均值平均值、差异估计看差异。
置信系数如果信息系统审计师知道内部控制很强大则可以降低置信系数。置信系数越高样本量越大。置信系数越大置信区间越宽样本量越大。内控有效时可以采用较低的置信系数使用较小的采样规模。
精度样本与总体的接近程度精度制越小样本量越大
(12)小风险聚合
单个风险可能很小但合在一起可能会对整改系统产生重大影响故小错误不可直接忽视。
13固有风险、控制风险、检测风险
固有风险业务自身带有的风险
控制风险实施风险控制后仍存在的风险
检测风险已经出现但是审计师没有发现的风险
14持续审计技术
系统控制审计检查文件和内嵌审计模型SCARF/EAM非常复杂适用于正常处理不能被中断通过在组织的主机应用系统中内嵌经特别编写的审计软件使审计师以可以选择的方式来监控应用系统的使用 快照Snapshots复杂性中等需要审计踪迹时记录一个事务从输入到输出各阶段的处理轨迹。通过对输入数据使用标识符来对事务作标签并跟踪该记录的处理轨迹供信息系统审计师后续检查。 审计钩Hooks复杂性低只有所选择的事务或过程需要检查在应用系统中内嵌程序“钩”像标识符那样
起作用在错误或不规范事务失去控制前提醒信息系统审计师采取行动 集成测试设施ITF复杂性高采用测试数据没有益处时在审计对象应用系统的生产文件中设置虚构的事务通过与真实事务一起进入应用系统中运行然后信息系统审计师经独立计算的数据来比较虚构事务的处理输出确认计算机处理数据的正确性一定要隔离测试数据和生产数据 持续和间歇性模拟CIS复杂性中等符合某些标准的事务需要被检查时在一个事务的处理运行期间计算机系统模拟应用程序指令的执行。在每一个事务输入时模拟器就确定该事务是否符合预定义的标准符合就审计不符合模拟器就等待直到下一个符合标准的事务出现。
15审计的独立性
审计师不能撤销或修改审计结果。
审计发现无论微小或者已经修正要记录到最终审计报告
潜在利益冲突影响独立性应开始执行前提醒管理部门注意。
审计师独立性受损直接参与了系统开发、设计等必须向管理层说明并在报告中披露
领域2-IT治理与管理 1IT治理三大目标
保持IT与业务目标一致有效利用IT资源有效控制IT 风险。
IT治理关注领域战略一致、绩效考核战略和实际的、风险管理、资源管理优化资源、价值交付如何保证IT能够按照战略要求实现企业预期价值
2平衡记分卡
管理人员通过使用IT BSC帮助IT战略委员及管理层确保IT和业务正确保持一致。目标是建立管理层向董事会的报告途径,就 IT 战略目标在关键利益相关方之间达成一致,证实 IT 的效果与价值,沟通 IT 绩效,风险和能力
3IT资源投资与分配实务
◇ 价值治理VGValue Government
◇ 投资组合管理PM
◇ 投资管理IMInvestmentManagement
4公司治理
利益相关者之间职权利的分配。
5IT战略委员会 IT指导委员会
IT战略委员会确保IT目标与业务战略一致
IT指导委员会1设定项目优先级2确定IT风险偏好
IT战略/治理委员会战略层面由董事会成员和专家组成。把握宏观方向投资回报问题。
IT指导/督导委员会(技术层面)由高级管理层、各个业务部门和IT部门的代表组成。关注具体工作不具体干活对内的。
IT战略委员会职责对董事会负责。
IT指导委员会职责对重要的IT项目进行审查而不应当涉及日常运营。审查IT部门的短期计划几个月和长期计划1-2年而战略计划3-5年则由IT战略委员会起草董事会审批。
企业的风险偏好最好由督导委员会决定。
(6)IT外包管理
外包合同明确规定知识产权、数据和系统的所有权
包含SLA定期审查合同是否遵循和服务级别是否符合SLA.
供应商需具有突发情况继续提高服务支持的能力
核心业务不能外包例如企业安全的问责制对外包必须进行独立全面的审核审计师最关心独立审计报告或者安全审计调查。
外包供应商接受外部安全审查。独立全面审核。
所有外包必须建立业务案例。离岸外包开发必须制定详细的正确应用规范。
外包业务风险缺乏对IS的控制、供应商违约或出现业务故障供应商员工不遵守安全政策应在合同中规定赔偿条款、系信息丢失。
降低风险的措施1为降低成本、提高服务水平建立伙伴式利益共享目标和奖励机制
7职责分离
职责分离的目标是通过识别补偿性控制来降低或消除业务风险。
◇ 审计轨迹AuditTrail可追踪交易流能确定谁发起交易、发起时间、数据类型、字段、更新了哪些文件等。
◇ 核对Reconciliation增加了系统处理正确性及数据平衡的可信度水平。
◇ 例外报告Exception Reporting需要确保例外情况能及时得到解决。
◇ 交易日志TransactionLog可以手动或自动生成为所有已处理的交易保留一份记录。
◇ 监督性审核SupervisoryReview可通过现场观察、访谈或远程执行。
◇ 独立性审核IndependentReview是对错误或故意违反既定流程的补偿控制可帮助检测错误或违规情况。 系统管理员应与数据库、系统开发人员、应用程序编程人员职责分离。
安全管理员应与系统开发人员职责分离。
应用程序开发人员应与其他人员职责分离。
(8)可接受使用策略
说明了允许用户使用IT系统做什么不能做什么违反规则时应受到何种处罚。
9风险管理方式
接受风险有意什么也不做正式接收风险并监控或记录在册。
规避风险禁止可能导致风险的行为规避风险。
缓解风险利用适当措施降低风险。
转移风险将风险转移给其他方。例如保险。
10信息安全策略
安全策略提供由高级管理层或董事会批准的。 领域3-信息系统生命周期
1项目管理
时间盒管理规定时间
业务案例BC:应充分描述项目的业务理由或效益。也就是立项报告
项目组合管理的目标优化项目组合的结果排定项目的优先级和时间表
2测试分类
单元测试对单个程序或模块的测试。
接口或集成测试采用经过单元测试的模块并构建满足设计要求的集成结构。
系统测试确保新系统或改良系统中经过修改的程序、对象、数据库模式等运行正常。包括恢复测试、安全测试、负载测试、压力测试、容量测试、性能测试压力测试通过递增并发用户/服务数测试应用程序所受的影响从而确定应用处理的最大并发用户/服务数负载测试通过大量数据来测试应用程序评估其在高峰期的性能
验收测试包括质量保证测试和用户验收测试两者不合并。
其他测试α测试是由一个用户在开发环境下进行的测试是在受控环境下的测试开发和业务分析人员执行属于系统测试。β测试是由多个用户在一个或多个用户的实际环境下进行的测试非受控环境下的测试开发工作以外的用户UAT测试(User Acceptance Test)。社交性测试确认新系统或改良系统可以在目标环境中运行不会对现有系统产生不利影响的测试。回归测试确保变更或更正未引入新的错误。
3自下而上测试
提早发现关键模块中的错误
4自上而下测试
及早发现接口错误
5ACID
原子性是指事务是一个不可再分割的工作单位事务中的操作要么都发生要么都不发生.
一致性是指在事务开始之前和事务结束以后数据库的完整性约束没有被破坏。这是说数据库事务不能破坏关系数据的完整性以及业务逻辑上的一致性。
多个事务并发访问时事务之间是隔离的一个事务不应该影响其它事务运行效果。隔离性这指的是在并发环境中当不同的事务同时操纵相同的数据时每个事务都有各自的完整数据空间。由并发事务所做的修改必须与任何其他并发事务所做的修改隔离。事务查看数据更新时数据所处的状态要么是另一事务修改它之前的状态要么是另一事务修改它之后 的状态事务不会查看到中间状态的数据。
持久性意味着在事务完成以后该事务所对数据库所作的更改便持久的保存在数据库之中并不会被回滚。
6业务流程再造最需要关注的问题
一些关键控制可能会在业务重组过程中没有被纳入到新流程中去。
7SDL
传统瀑布模型
V型模型用户需求-验收测试功能需求-系统测试架构设计-集成测试单元测试-详细设计
8软件基线
软件版本1.0和软件版本2.0
9实施后审查和项目后审查
实施后审查-后评估项目完成后的几周或几个月内执行此时可了解实施解决方案的主要优缺点还用于确认是否存在系统重内置了适当的控制措施。例如评估预计的成本效益或投资回报衡量结果
项目后审查确定项目目标是否达成或得到免除总结可应用到未来项目中的经验教训避免错误再次发生。
10输入、输出、处理控制
数据验证-校验数字位经过数学计算得到的数值添加到相应数据以确保原始数据未被篡改或被不正确但有效的值替换。完整性检查字段应始终包含数据。
11应用程序测试
嵌入式审计数据收集(包括SCARF和SARF)该软件将作为系统开发的一部分来进行开发超阈值告警优点提供生产统计数据缺点开发和维护成本高审计师独立性问题。
整体测试设施ITF数据库中创立虚拟文件同时处理测试数据和实时数据优点定期测试不需要但单独的测试流程缺点需要隔离测试数据和生产数据。
快照记录通过程序内各逻辑路径的指定交易。验证程序逻辑。
12数据完整性测试
关系完整性测试例如主键不能空值不能重复唯一用户定义的完整性规则。
参照完整性检查包括确保所有外键都存在于原始表中。
13甘特图和PERT
甘特图沿时间轴显示活动应该开始的时间及结束时间还显示那些活动可以同时进行及那些必须按顺序完成。
计划评审技术用网络图来表达项目中各项活动的进度和它们之间的相互关系在此基础上进行网络分析和时间估计。
14数据验证编辑
范围检查数据保持在预定的值范围以内。
校验数字位一个经过算术计算的数值可将其附加到数据中以确保原数据未经修改。
有效性检查根据预定标准检查数据有效性的程序校验。
重复检查将新交易与先前输入的交易进行匹配以确保系统中没有包含这些新交易。
15挣值分析
EVA:挣值分析及早发现延期或者超支判断项目进度。
16触发器和视图
触发器经常用于加强数据的完整性约束和业务规则等。
触发器的作用在写入数据表前强制检验或转换数据。
视图并不在数据库中以存储的数据值集形式存在。行和列数据来自由定义视图的查询所引用的表并且在引用视图时动态生成
领域4-信息系统运营和恢复能力
1热备、温备、冷备
热备缺数据
温备缺程序、数据
冷备缺程序、数据、电脑,陪有电线、空调和地板
2业务影响分析
业务影响分析的一个关键结果是恢复时间目标和恢复点目标可承受的最大停机时间和数据丢失进一步确定恢复策略。BIA主要目标识别影响组织运行持续性时间从而定义恢复策略。
3灾备恢复测试方法
核对清单审查恢复检查清单分发给恢复团队的所有成员进行审查。
结构化浏览审查在纸上实际实施这些计划并审查每个步骤。
模拟测试角色扮演一次准备好的灾难场景。
平行测试主站点操作正常持续。将恢复站点调整到操作状态。
完全中断测试关闭主站点并按照恢复计划转移到恢复站点这是最严格的测试形式。
4业务连续性计划测试方法
纸面测试浏览审查计划的纸面材料
准备情况测试测试中会模拟系统崩溃并耗用实际资源
全面运营测试灾难测试与实际的服务中断仅一步之遥。 5RTO、RPO、MTO、SDO RPO:最后一次做备份到发生灾难时间点的数据丢失用时间衡量。
RTO:灾难发生的时间点到系统恢复的时间点不是业务恢复的时间点
MTO:RTO备业务恢复时间点-系统恢复时间点业务中断开始到业务恢复时间灾备业务恢复时间点-灾难发生的时间点
服务交付目标SDO主站点完全恢复的时间点-系统恢复时间点。
6容量管理
能力管理容量管理是对计算机资源的计划和监控其目标是根据总体业务的增长或减少动态的增减资源确保能够以最有效和高效的方式实现业务目标。
7事故管理和问题管理
事故管理划分事件的优先级侧正于解决当前问题目标是尽快使受影响的有流程恢复正常的服务。问题管理对异常报告和错误活动日志进行分析找出问题的根本原因。目标主动预防相同的错误再发生
为解决事件管理首要风险是可能导致业务处理重点管理层应当制定未解决事件的升级标准并确保问升级流程得到贯彻执行。
8恢复点目标
恢复点目标很低就是时间短停机容灾能力低也是时间短首先热备。
RTO:系统恢复时间点-灾难发生的时间点
MTO:灾备业务恢复时间点-灾难发生的时间点
服务交付目标SDO主站点业务完全恢复的时间点-系统恢复时间点。 领域5-保护信息资产
1火灾相关
七氟丙烷FM-200以及Argonite为无污染灭火器。
2审计网络
审计网络系统首先应查阅拓扑图。
3主动攻击和被动攻击
收集网络信息的被动攻击示例包括网络分析、窃听和流量分析主动攻击包括消息修改、穷举攻击、网络钓鱼等。
循环冗余检测
数据传输的有效性由循环冗余检测验证。循环冗余检测可以检测传输数据块。
电力相关
电涌保护设备用于防御高压脉冲。
CA和RA
数字证书是一段包含用户身份信息、用户公钥信息以及验证机构数字签名的数据。
CA有助于通信伙伴之间身份的认证但CA本身不参与通信活动。CA的主要作用是检查拥有证书的实体身份和确认所颁发证书的完整性。 VoIP最关注服务的连续性
最大风险是分布式拒绝服务攻击DDOS。
最大的问题是数字和语音传输的单一故障点。
为保护VoIP免受DOS攻击最重要的是保护会话边界控制器。可能导致VoIP遭到窃听以太网交换器中的地址解析协议ARP缓存损坏。
