读书笔记摘抄新闻资讯
国外信息系统审计案例
《国外信息系统审计案例》是2007年中国时代经济出版社出版的图书,作者是钱啸森、郭静、曾嵘。
基本介绍
- 书名:国外信息系统审计案例
- 作者:钱啸森、郭静、曾嵘
- ISBN:9787802211643
- 页数:355
- 定价:40.00元
- 出版社:中国时代经济出版社
- 出版时间:2007-1
内容简介
《国外信息系统审计案例》较全面地反映了信息系统审计的各个层面,通过分析丰富的案例,既通俗易懂,又有很强的可操作性。
目录
序
前言
部分 国外信息系统审计案例
一、信息系统计画组织与技术构架
【案例1】澳大利亚审计署对退役军人事务部IT服务外包契约管理的审计
【案例2】澳大利亚审计署对Centrelink信息技术管理的审计
【案例3】澳大利亚联邦政府网际网路安全的审计
二、信息安全保护与灾难恢复
【案例4】对加拿大多伦多市政府ORACLE资料库安全审计
【案例5】TALLAHASSEE市审计局对本市区域网路进行的逻辑安全审计
【案例6】美国审计署对联邦存款保险计算机病毒保护程式的审计
【案例7】澳大利亚审计署关于政府中心网路商业永续和危机管理的审计
三、运用软体系统开发、获得、实施及维护
【案例8】对加拿大电子通用信息管理系统(eCIMS)开发的审计
【案例9】美国审计署对联邦存款保险公司时间和出勤处理系统开发项目审计
【案例10】加拿大伯克利市审计局对该市财政系统变更的审计
四、商业流程评估及风险管理与综合案例
【案例11】对GIAC公司Unix系统的审计
【案例12】美国审计署关于SBA财务管理信息安全的审计
【案例13】澳大利亚卫生与老龄人口部信息技术审计
【案例14】加拿大审计署对政府信息技术安全的审计
第二部分 信息系统审计準则、指南和程式
一、美国信息系统审计与控制协会(ISACA)的信息系统
审计準则、指南和程式摘要
一、国际审计组织的信息系统安全检查方法——对政府机构信息系统安全进行检查指南
二、美国系统网路安全协会(SANS)信息安全管理审计检查(清单)
四、美国信息系统审计与控制协会(ISACA)的COBIT框架简介
第三部分 国际注册信息系统审计师(简称CISA)考试及模拟题
一、国际注册信息系统审计师
一、习题彙编
二、习题答案
前言
部分 国外信息系统审计案例
一、信息系统计画组织与技术构架
【案例1】澳大利亚审计署对退役军人事务部IT服务外包契约管理的审计
【案例2】澳大利亚审计署对Centrelink信息技术管理的审计
【案例3】澳大利亚联邦政府网际网路安全的审计
二、信息安全保护与灾难恢复
【案例4】对加拿大多伦多市政府ORACLE资料库安全审计
【案例5】TALLAHASSEE市审计局对本市区域网路进行的逻辑安全审计
【案例6】美国审计署对联邦存款保险计算机病毒保护程式的审计
【案例7】澳大利亚审计署关于政府中心网路商业永续和危机管理的审计
三、运用软体系统开发、获得、实施及维护
【案例8】对加拿大电子通用信息管理系统(eCIMS)开发的审计
【案例9】美国审计署对联邦存款保险公司时间和出勤处理系统开发项目审计
【案例10】加拿大伯克利市审计局对该市财政系统变更的审计
四、商业流程评估及风险管理与综合案例
【案例11】对GIAC公司Unix系统的审计
【案例12】美国审计署关于SBA财务管理信息安全的审计
【案例13】澳大利亚卫生与老龄人口部信息技术审计
【案例14】加拿大审计署对政府信息技术安全的审计
第二部分 信息系统审计準则、指南和程式
一、美国信息系统审计与控制协会(ISACA)的信息系统
审计準则、指南和程式摘要
一、国际审计组织的信息系统安全检查方法——对政府机构信息系统安全进行检查指南
二、美国系统网路安全协会(SANS)信息安全管理审计检查(清单)
四、美国信息系统审计与控制协会(ISACA)的COBIT框架简介
第三部分 国际注册信息系统审计师(简称CISA)考试及模拟题
一、国际注册信息系统审计师
一、习题彙编
二、习题答案
部分章节
分析员
T:如果分析师在系统设计中出现错误,系统的準确性和可用性将受损。
C:设计资料中应包含用户可以理解的详细说明。设计流程的每个阶段用户都应签字认可。可以考虑採用原型法,因为原型法是一种有效的、进行全面功能开发前最终确定用户需求的方法。
T:分析师比程式设计师对信息系统的互动理解全面,他们可能利用自身对系统的认识绕过控制。
C:分析师不应有对原始码的修改许可权,也不应该有对编译器或彙编程式的接触权,以防止其开发应用程式。分析师也不应有权发起或者批准敏感交易。
系统支持人员
T:系统支持人员负责管理非自身所有的信息,存在对信息或程式修改或未经授权输出的风险。
C:支持人员不应有权使用编译器或彙编语言以防止其开发应用程式,不应有权接触套用信息系统的原始码。
作业系统供货商通常能提供强大的修改工具直接修改程式和数据。通过向供货商寻求修改工具的使用方法或建议,支持人员可以绕过系统控制、离线存储敏感信息。因此对系统修改工具的使用应该要求输入密码,该密码应仅限当班主管知道。媒介资料员应该记录何时限制使用的修改工具被签字使用。所有限制使用的工具都应在日誌登记其使用情况,内审人员和系统审计人员负责查阅操作管理员和媒介资料员保存的日誌。
如果作业系统登录控制包非常複杂,能够对上述所有设备的登录、複製和执行操作进行控制,这套机制就比离线使用的设备更能依赖。採用此套流程,内部审计/系统审计人员应该定期检查许可权管理,确保已授权用户定期更改密码。通常,每使用一次系统变更工具,就应该修改一次执行密码。
T:如果分析师在系统设计中出现错误,系统的準确性和可用性将受损。
C:设计资料中应包含用户可以理解的详细说明。设计流程的每个阶段用户都应签字认可。可以考虑採用原型法,因为原型法是一种有效的、进行全面功能开发前最终确定用户需求的方法。
T:分析师比程式设计师对信息系统的互动理解全面,他们可能利用自身对系统的认识绕过控制。
C:分析师不应有对原始码的修改许可权,也不应该有对编译器或彙编程式的接触权,以防止其开发应用程式。分析师也不应有权发起或者批准敏感交易。
系统支持人员
T:系统支持人员负责管理非自身所有的信息,存在对信息或程式修改或未经授权输出的风险。
C:支持人员不应有权使用编译器或彙编语言以防止其开发应用程式,不应有权接触套用信息系统的原始码。
作业系统供货商通常能提供强大的修改工具直接修改程式和数据。通过向供货商寻求修改工具的使用方法或建议,支持人员可以绕过系统控制、离线存储敏感信息。因此对系统修改工具的使用应该要求输入密码,该密码应仅限当班主管知道。媒介资料员应该记录何时限制使用的修改工具被签字使用。所有限制使用的工具都应在日誌登记其使用情况,内审人员和系统审计人员负责查阅操作管理员和媒介资料员保存的日誌。
如果作业系统登录控制包非常複杂,能够对上述所有设备的登录、複製和执行操作进行控制,这套机制就比离线使用的设备更能依赖。採用此套流程,内部审计/系统审计人员应该定期检查许可权管理,确保已授权用户定期更改密码。通常,每使用一次系统变更工具,就应该修改一次执行密码。