內容簡介
《國外信息系統審計案例》較全面地反映了信息系統審計的各個層面,通過分析豐富的案例,既通俗易懂,又有很強的可操作性。
目錄
序
前言
部分 國外信息系統審計案例
一、信息系統計畫組織與技術構架
【案例1】澳大利亞審計署對退役軍人事務部IT服務外包契約管理的審計
【案例2】澳大利亞審計署對Centrelink信息技術管理的審計
【案例3】澳大利亞聯邦政府網際網路安全的審計
二、信息安全保護與災難恢復
【案例4】對加拿大多倫多市政府ORACLE資料庫安全審計
【案例5】TALLAHASSEE市審計局對本市區域網路進行的邏輯安全審計
【案例6】美國審計署對聯邦存款保險計算機病毒保護程式的審計
【案例7】澳大利亞審計署關於政府中心網路商業永續和危機管理的審計
三、運用軟體系統開發、獲得、實施及維護
【案例8】對加拿大電子通用信息管理系統(eCIMS)開發的審計
【案例9】美國審計署對聯邦存款保險公司時間和出勤處理系統開發項目審計
【案例10】加拿大伯克利市審計局對該市財政系統變更的審計
四、商業流程評估及風險管理與綜合案例
【案例11】對GIAC公司Unix系統的審計
【案例12】美國審計署關於SBA財務管理信息安全的審計
【案例13】澳大利亞衛生與老齡人口部信息技術審計
【案例14】加拿大審計署對政府信息技術安全的審計
第二部分 信息系統審計準則、指南和程式
一、美國信息系統審計與控制協會(ISACA)的信息系統
審計準則、指南和程式摘要
一、國際審計組織的信息系統安全檢查方法——對政府機構信息系統安全進行檢查指南
二、美國系統網路安全協會(SANS)信息安全管理審計檢查(清單)
四、美國信息系統審計與控制協會(ISACA)的COBIT框架簡介
第三部分 國際註冊信息系統審計師(簡稱CISA)考試及模擬題
一、國際註冊信息系統審計師
一、習題彙編
二、習題答案
部分章節
分析員
T:如果分析師在系統設計中出現錯誤,系統的準確性和可用性將受損。
C:設計資料中應包含用戶可以理解的詳細說明。設計流程的每個階段用戶都應簽字認可。可以考慮採用原型法,因為原型法是一種有效的、進行全面功能開發前最終確定用戶需求的方法。
T:分析師比程式設計師對信息系統的互動理解全面,他們可能利用自身對系統的認識繞過控制。
C:分析師不應有對原始碼的修改許可權,也不應該有對編譯器或彙編程式的接觸權,以防止其開發應用程式。分析師也不應有權發起或者批准敏感交易。
系統支持人員
T:系統支持人員負責管理非自身所有的信息,存在對信息或程式修改或未經授權輸出的風險。
C:支持人員不應有權使用編譯器或彙編語言以防止其開發應用程式,不應有權接觸套用信息系統的原始碼。
作業系統供貨商通常能提供強大的修改工具直接修改程式和數據。通過向供貨商尋求修改工具的使用方法或建議,支持人員可以繞過系統控制、離線存儲敏感信息。因此對系統修改工具的使用應該要求輸入密碼,該密碼應僅限當班主管知道。媒介資料員應該記錄何時限制使用的修改工具被簽字使用。所有限制使用的工具都應在日誌登記其使用情況,內審人員和系統審計人員負責查閱操作管理員和媒介資料員保存的日誌。
如果作業系統登錄控制包非常複雜,能夠對上述所有設備的登錄、複製和執行操作進行控制,這套機制就比離線使用的設備更能依賴。採用此套流程,內部審計/系統審計人員應該定期檢查許可權管理,確保已授權用戶定期更改密碼。通常,每使用一次系統變更工具,就應該修改一次執行密碼。
