國際注冊內(nèi)部審計師

前言：
從控制角度來看信息系統(tǒng)構(gòu)成：
1、 一般控制：管理控制/系統(tǒng)實施控制/運行控制/軟件控制/硬件控制/物理訪問控制/邏輯訪問控制
2、 應(yīng)用控制：輸入控制/處理控制/輸出控制
3、 保障控制：災(zāi)難恢復(fù)與應(yīng)急計劃/環(huán)境控制/設(shè)備來源控制

1、 信息系統(tǒng)的戰(zhàn)略、政策和過程
1.1 信息系統(tǒng)的戰(zhàn)略性應(yīng)用目標(biāo)：戰(zhàn)略、政策、過程：通過應(yīng)用信息系統(tǒng)，達到改進組織的目標(biāo)、經(jīng)營和服務(wù)或組織與環(huán)境的關(guān)系，從而幫助組織改善與客戶的關(guān)系，取得競爭優(yōu)勢。戰(zhàn)略性的應(yīng)用系統(tǒng)滲透于業(yè)務(wù)層、企業(yè)層及行業(yè)層面
1.2 信息系統(tǒng)的應(yīng)用推動組織結(jié)構(gòu)變革：自動化/流程合理話/業(yè)務(wù)流程再造/異化
1.3 信息系統(tǒng)應(yīng)用模式的演變：主機/終端模式——客戶機/服務(wù)器模式——瀏覽器/服務(wù)器模式與信息應(yīng)用模式相關(guān)的問題：降型化/開放系統(tǒng)/遺產(chǎn)系統(tǒng)
1.4 信息系統(tǒng)的功能分類：作業(yè)層（事物處理系統(tǒng)TPS）——知識層（知識工作系統(tǒng)KWS/辦公自動戶化系統(tǒng)OAS）——管理層（管理信息系統(tǒng)MIS/決策支持DSS）——戰(zhàn)略層（高級經(jīng)理支持系統(tǒng)ESS）
1.5 信息系統(tǒng)部門的職責(zé)系統(tǒng)開發(fā)小組（系統(tǒng)分析員是聯(lián)絡(luò)的橋梁、設(shè)計、編程、測試）——系統(tǒng)運行小組（確保正常運行/幫助平臺、咨詢）
1.6 信息系統(tǒng)安全主管的責(zé)任信息系統(tǒng)高層管理人員的職責(zé)：評估風(fēng)險/控制成本/制定風(fēng)險控制目標(biāo)與措施信息安全主管的職責(zé)：制定安全政策/評價安全控制/檢測調(diào)查不成功的訪問企圖/監(jiān)督特權(quán)用戶的訪問
1.7 新興技術(shù)——人工智能：專家系統(tǒng)（商品賒銷的審批、醫(yī)療專家系統(tǒng)）/神經(jīng)網(wǎng)絡(luò)（超音速飛機的控制系統(tǒng)、電力系統(tǒng)負荷預(yù)測）/模糊邏輯（人像識別系統(tǒng)）/遺傳算法（煤氣管道控制、機器人控制）/智能代理（互聯(lián)網(wǎng)搜索引擎、電子郵件過濾器）
1.8 第三方服務(wù)機構(gòu)的角色設(shè)備管理機構(gòu)（按用戶要求運行、維護數(shù)據(jù)處理）——計算機租賃公司（只提供設(shè)備）——服務(wù)局（管理運行自己的數(shù)據(jù)處理設(shè)備，用戶只需求提供數(shù)據(jù)，根據(jù)服務(wù)結(jié)果付費）——共享服務(wù)商（管理運營自己的數(shù)據(jù)處理設(shè)備、使各類組織可以使用他們的系統(tǒng)）

2、 硬件、平臺、網(wǎng)絡(luò)與遠程通訊
2.1 各種計算機媒體：磁帶（容量大、價格低順序存儲）、磁帶庫（容納多盤磁帶、機械臂抓?。?、軟盤（直接存取、便于攜帶）、硬盤（直接存取、速度快、容量大）、廉價冗余磁盤陣列/廉價光盤重復(fù)排列（重構(gòu)數(shù)據(jù)、容錯能力強）、CD-ROM（保存數(shù)字文件容量大、便宜、不能寫入）、光盤庫（容納多個光盤）、一次寫多次讀光盤（WORM 適用不須更新、記錄內(nèi)容）
2.2 計算機類型：個人計算機/工作站/網(wǎng)絡(luò)計算機
2.3 各類計算機外部設(shè)備：不間斷電源/光學(xué)字符識別/打印機/掃描儀/繪圖儀/條碼閱讀器
2.4 外部接口：串口/并口/USB口
2.5 操作系統(tǒng)：分配、調(diào)度、監(jiān)視系統(tǒng)資源，保證雇員只對被授權(quán)的數(shù)據(jù)進行讀寫訪問 DOA/UNIX/VMS
2.6 監(jiān)視器：辨別硬件的瓶頸和軟件設(shè)計問題/調(diào)整運行負荷/發(fā)現(xiàn)網(wǎng)絡(luò)反應(yīng)時間惡化情況
2.7 圖形化用戶接口：用鼠標(biāo)點擊圖形來輸入命令如WINDOWS
2.8 大型計算機的使用：影響大型計算機運行速度的因素有：應(yīng)用軟件的是設(shè)計效率/數(shù)據(jù)庫管理軟件的效率/數(shù)據(jù)的結(jié)構(gòu)網(wǎng)絡(luò)容量及傳輸速度/系統(tǒng)負荷/存儲器容量/安全檢查及備份的頻率/軟件初始化選擇的正確性
2.9 個人計算機與大型計算機的接口：通過局域網(wǎng)連接、口令登陸終端仿真的風(fēng)險：雇員利用微機謀取私利/備份不充分/拷貝供個人使用/保存登錄序列的文獻/任何能訪問PC機的人員都可以訪問主機。
2.10 計算機網(wǎng)絡(luò)的分類：廣域網(wǎng)（覆蓋廣、速度慢）/局域網(wǎng)（范圍小、速度快）/城域網(wǎng)（城市內(nèi)部高速網(wǎng)）廣域網(wǎng)：專用網(wǎng)絡(luò)/虛擬專用網(wǎng)/公用交換網(wǎng)絡(luò)/增值網(wǎng)局域網(wǎng)：總線網(wǎng)/星型網(wǎng)/環(huán)型網(wǎng)  或者分為：基于服務(wù)器的網(wǎng)絡(luò)/對等網(wǎng)
2.11 網(wǎng)絡(luò)連接設(shè)備：網(wǎng)卡/調(diào)制解調(diào)器/中績器/集線器/網(wǎng)橋/網(wǎng)關(guān)/路由器
2.12 因特網(wǎng)：資源無限，缺點：難以定位最好的資源  功能：網(wǎng)絡(luò)瀏覽器WEB/電子郵件EMAIL/遠程登錄TELNET/專題論壇USENET/電子公告牌BBS/其他
2.13 數(shù)據(jù)傳輸模式：異步傳輸（利用額外的啟動位與停止位同步數(shù)據(jù)傳輸/慢，有間隔）/同步傳輸（同步時鐘同步數(shù)據(jù)傳輸，快、可連續(xù)傳輸）各種基礎(chǔ)通信網(wǎng)絡(luò)：公用電話交換網(wǎng)（撥號上網(wǎng)）/DDN數(shù)字數(shù)據(jù)網(wǎng)絡(luò)/楨中繼（降局域網(wǎng)和其他局域網(wǎng)連接，使不很敏感的數(shù)據(jù)傳遞）/綜合服務(wù)數(shù)字網(wǎng)ISDN/非對稱數(shù)字環(huán)線ADSL

3、 數(shù)據(jù)處理
3.1 個人計算機軟件：字處理軟件/電子表格/圖象處理軟件/財務(wù)管理/管理軟件/光學(xué)字符識別軟件
3.2 程序執(zhí)行方式：直接執(zhí)行：語言程序（編譯）——目標(biāo)代碼（連接）——可執(zhí)行代碼（執(zhí)行）——程序運行解釋執(zhí)行：語言程序（由解釋程序轉(zhuǎn)換二進制瑪）——程序運行
3.3 語言類型：機器語言/匯編語言/過程化語言/非過程化語言
3.4 文件類型：直接存取文件/順序文件/索引文件主文件與事務(wù)文件/平面文件
3.5 數(shù)據(jù)處理方式：批處理/在線處理   或分集中處理/分散處理/分布處理
3.6 常用計算機審計技術(shù)：測試數(shù)據(jù)（檢查信息系統(tǒng)是否正常）/平行模擬（模擬系統(tǒng)與真實系統(tǒng)比較結(jié)果）/繼承集成測試（虛構(gòu)測試數(shù)據(jù)與真實數(shù)據(jù)一起處理，缺點：測試數(shù)據(jù)可能進入委托人的真實數(shù)據(jù)環(huán)境）/嵌入審計模塊（連續(xù)監(jiān)督）/其他技術(shù)（電腦化帳務(wù)處理系統(tǒng)自動平帳）
3.7 關(guān)系型數(shù)據(jù)庫的操作：選擇（條件選擇出記錄子集）/連接（按某個共同數(shù)據(jù)元素結(jié)合多個關(guān)系型數(shù)據(jù)庫）/映射（將數(shù)據(jù)庫中的部分字段構(gòu)成新的子表）/修改（鎖定/死鎖）
3.8 數(shù)據(jù)定義語言：描述數(shù)據(jù)庫內(nèi)容與結(jié)構(gòu)的語言（建立數(shù)據(jù)庫表結(jié)構(gòu)）數(shù)據(jù)操縱語言：修改、操作、插入、查詢數(shù)據(jù)字典：對數(shù)據(jù)結(jié)構(gòu)的定義
3.9 分布式數(shù)據(jù)庫在各接點的分布方法：快照/復(fù)制/分割數(shù)據(jù)組織與查詢：結(jié)構(gòu)化查詢語言（不會對數(shù)據(jù)庫產(chǎn)生風(fēng)險）/管理查詢設(shè)施（用于趨勢圖、制作圖表）P304管理查詢設(shè)施，把“數(shù)據(jù)有效性檢查”去掉，無法檢查數(shù)據(jù)有效性/；邏輯視圖/數(shù)據(jù)挖掘（分析，發(fā)現(xiàn)隱藏在數(shù)據(jù)后的規(guī)律）
3.10 電子資金轉(zhuǎn)帳系統(tǒng)（EFT）風(fēng)險：未經(jīng)許可的進入和操作/對交易的重復(fù)處理/缺乏備份和恢復(fù)能力/未經(jīng)授權(quán)的訪問和交易活動風(fēng)險最大優(yōu)勢：交易處理成本比手工低/改善與貿(mào)易伙伴的業(yè)務(wù)關(guān)系/減少數(shù)據(jù)錯誤/提高工作效率實施第一步：畫出未實現(xiàn)組織目標(biāo)所開展的經(jīng)營活動的流程圖目標(biāo)：改善業(yè)務(wù)關(guān)系，提高競爭力EDI的風(fēng)險：數(shù)據(jù)網(wǎng)整形和隨意存取數(shù)據(jù)是EDI的固有風(fēng)險/數(shù)據(jù)交換過程中的遺漏、錯序或重復(fù)、向交易伙伴傳輸交易信息有時不成功。EDI的風(fēng)險防范：應(yīng)用數(shù)據(jù)簽名技術(shù)/給EDI文件順序編號/通過對方的反饋來確認

4、 系統(tǒng)開發(fā)獲得和維護
4.1 系統(tǒng)開發(fā)生命周期法（系統(tǒng)、規(guī)范、嚴密）/（快速）原型法（不斷修改直至滿意，缺點，不系統(tǒng)，不正規(guī)）
4.2 系統(tǒng)開發(fā)的主要活動：系統(tǒng)分析——系統(tǒng)設(shè)計——系統(tǒng)編程——測試——轉(zhuǎn)換——系統(tǒng)維護系統(tǒng)分析：要解決問題的分析/用戶分析和系統(tǒng)可行性分析/系統(tǒng)分析員是信息系統(tǒng)和其他業(yè)務(wù)部門聯(lián)系橋梁——能力計劃——《系統(tǒng)需求分析規(guī)格書》系統(tǒng)設(shè)計：邏輯設(shè)計/物理設(shè)計——《系統(tǒng)設(shè)計規(guī)格書》系統(tǒng)編程：將設(shè)計規(guī)格書轉(zhuǎn)化成計算機軟件代碼的過程——《軟件程序代碼》在軟件需求與設(shè)計階段審計師關(guān)注點：需求階段安全需求是否完備，能否保證信息系統(tǒng)機密、完整、可用，是否有足夠的審計蹤跡/審計設(shè)計階段檢查安全需求是否有足夠的控制已集成到系統(tǒng)定義和測試計劃中，連續(xù)性在線審計功能是否集成到系統(tǒng)中/在系統(tǒng)設(shè)計階段的基線上是否建立變動控制/檢查相關(guān)文檔是否齊全測試：模塊測試/系統(tǒng)測試/驗收測試轉(zhuǎn)換：平行轉(zhuǎn)換/直接轉(zhuǎn)換/試點轉(zhuǎn)換/分階段的轉(zhuǎn)換策略
4.3 內(nèi)部審計師對信息系統(tǒng)開發(fā)的參與參與方式：連續(xù)參與開發(fā)/在系統(tǒng)開發(fā)結(jié)束時參與/在系統(tǒng)實施后參與連續(xù)參與的好處：最大限度地降低系統(tǒng)重新設(shè)計的成本
4.4 系統(tǒng)維護與變動的控制：程序變動控制：經(jīng)管理層批準(zhǔn)/經(jīng)全面測試并保存文檔/必須留下何人、何時、何事的線索修改軟件的風(fēng)險：使用未經(jīng)審查、測試的修改軟件，使被處理信息的可靠性減弱
4.5 最終用戶開發(fā)的風(fēng)險系統(tǒng)分析功能被忽略/難集成/系統(tǒng)內(nèi)產(chǎn)生專用信息系統(tǒng)/缺乏標(biāo)準(zhǔn)和文檔，使用和維護都依賴開發(fā)者/缺乏監(jiān)督，失去數(shù)據(jù)一致性
4.6 降低最終用戶開發(fā)的風(fēng)險：成立信息中心/集中系統(tǒng)開發(fā)專家對用戶進行培訓(xùn)/提個開發(fā)工具與指導(dǎo)，協(xié)助建立質(zhì)量標(biāo)準(zhǔn)/信息中心直接參與系統(tǒng)分析與設(shè)計/對終端用戶開發(fā)的審計（確定終端用戶開發(fā)的程序——對應(yīng)用程序進行風(fēng)險排序——對控制情況進行文件處理與測試）
4.7  軟件許可問題：使用盜版軟件的危害（違法/易感染病毒）/防止使用非法軟件的方法（建立制度/版權(quán)法教育/定期鑒別/專人保管安裝盤）/非法軟件的發(fā)現(xiàn)（比較采購記錄與可執(zhí)行文件/比較序列號）

5、 信息系統(tǒng)安全5.1 常見攻擊手段：黑客/阻塞/竊聽/重演/詐騙/中斷/病毒
5.2 不同層次的信息系統(tǒng)安全控制：一般控制/應(yīng)用控制一般控制：管理控制：制定政策與程序/職責(zé)分離 ——系統(tǒng)實施控制：開發(fā)實施過程中建立控制點編制文檔/——運行控制：數(shù)據(jù)存儲、運行規(guī)范化要求，例如在對不需要的文件要在授權(quán)條件下及時刪除，管理系統(tǒng)操作、性能監(jiān)測、系統(tǒng)備份、審計日志__——軟件控制：未經(jīng)許可不得修改、在獨立的計算機上測試所有的要進入生產(chǎn)環(huán)境的軟件——硬件控制：保證正常運行：回撥檢測、奇偶校驗——訪問控制（重點）：標(biāo)識/口令/授權(quán)/訪問日志/自動注銷登錄/回撥/對工具軟件的限制
5.3 訪問控制的類型：標(biāo)識（唯一確定用戶身份）/口令（弱控制）/授權(quán)（建立訪問控制表預(yù)防未經(jīng)授權(quán)訪問修改敏感信息）/訪問日志（檢測性控制措施）/回撥（保護信息按指定路徑傳送）/自動注銷登錄（防止通過無人照管的終端來訪問主機敏感信息）/對工具軟件的限制5.4 加密和解密——算法和密鑰——加密密鑰和解密密鑰——公鑰和私鑰——數(shù)字證書——數(shù)字簽名——認證中心
5.5 電子郵件的安全控制：禁止用EMAIL發(fā)送高度敏感或機密信息/加密/限使用數(shù)量/工作終端的商用電子郵件保存?zhèn)洳?歸檔和分級管理。
5.6 防火墻：數(shù)據(jù)包過濾型/應(yīng)用網(wǎng)關(guān)開型
5.7 應(yīng)用軟件控制：：輸入控制（輸入授權(quán)、數(shù)據(jù)轉(zhuǎn)換、編輯檢驗）——處理控制（運行總數(shù)、計算機匹配、并發(fā)控制）、輸出控制——輸出控制（平衡總數(shù)、復(fù)核日志、審核報告、審核制度文件）
5.8 計算機的物理安全：保證傳輸線路的安全以防止非法訪問網(wǎng)絡(luò)/盡量不要暴露數(shù)據(jù)中心的位置以防止恐怖分子襲擊/不間斷電源 可以在停電時維持電腦系統(tǒng)的運行/防火防潮/生物統(tǒng)計訪問系統(tǒng)
5.9 應(yīng)急計劃：故障弱化保護/災(zāi)難恢復(fù)計劃——第一步風(fēng)險分析，其次才識策略、文檔、計劃執(zhí)行測試等/災(zāi)難恢復(fù)計劃的一個重要組成部分是備份和 重新啟動程序/當(dāng)組織的結(jié)構(gòu)和運營發(fā)生改變時，災(zāi)難恢復(fù)計劃必須隨之改變以保證恢復(fù)計劃的及時有效。

 

（責(zé)任編輯：中大編輯）