第一章 信息系统审计过程
1.1 介绍
1.1.1 信息系统审计职责的组织结构
1.1.2 信息系统审计资源管理
1.1.3 审计计划
1.1.4 法律法规对信息系统审计计划的影响
1.2 ISACA信息系统审计准则和指南
1.2.1 ISACA职业道德规范
1.2.2 ISACA信息系统审计准则
1.2.3 ISACA信息系统审计指南
1.2.4 ISACA信息系统审计程序
1.2.5 准则、指南及程序之间的关系
1.3 风险分析
1.4 内部控制
1.4.1 内部控制目标
1.4.2 信息系统控制目标
1.4.3 COBIT
1.4.4 通用控制程序
1.4.5 信息系统控制程序
1.5 执行信息系统审计
1.5.1 审计分类
1.5.2 审计程序
1.5.3 审计方法
1.5.4 欺诈检测
1.5.5 审计风险和实质性
1.5.6 风险评估方法
1.5.7 审计目标
1.5.8 符合性与实质性测试
1.5.9 证据
1.5.10 面谈与行为观察
观察可以有助于识别:
实际作用
实际过程
安全意识
汇报关系
1.5.11 抽样
统计抽样
非统计抽样
属性抽样
固定样本量抽样
停-走抽样
发现抽样
变量抽样
差异估计抽样
1.5.12 使用其它审计者和专家的服务
1.5.13 计算机辅助审计技术
1.5.14 审计力度和缺点评估
1.5.15 沟通审计结果
1.5.16 管理层执行建议
1.5.17 审计文档
1.6 控制自评(CSA)
1.6.1 CSA的优点
1.6.2 CSA的缺点
1.6.3 CSA中的审计人员角色
1.6.4 CSA的技术驱动
1.6.5 传统方法和CSA的对比
1.7 信息系统审计过程中的新变化
1.7.1 自动化底稿
1.7.2 集成审计
1.7.3 持续审计
第二章 IT治理
2.1 企业治理
2.2 董事会与执行管理团队的监控和鉴证实践
2.2.1 IT治理最佳实践
2.2.2 IT策略委员会
2.2.3 标准IT平衡记分卡
2.2.4 信息安全治理
2.2.5 企业架构
2.3 信息系统策略
2.3.1 策略计划
2.3.2 指导委员会
2.4 原则与程序
2.4.1 原则
信息安全原则
信息安全原则文档
信息安全原则评审
2.4.2 程序
2.5 风险管理
2.5.1 开发风险管理程序
2.5.2 风险管理流程
2.5.3 风险分析方法
定性分析方法
半定性分析方法
定量分析方法
概率与预测
年度损耗预测方法
2.6 信息系统管理实践
2.6.1 个人管理
租用
员工手册
晋升原则
培训
进度安排和时间报告
员工绩效评估
必需的休假
终止原则
2.6.2 外包实践
外包实践和策略
全球化实践和策略
外包与第三方审计报告
容量与成长计划
第三方服务交付管理
服务交付
监控和检查第三方服务
管理第三方服务的变化
服务改进和用户满意度
行业标准/基准测试
2.6.3 组织性变化管理
2.6.4 财务管理实践
信息系统预算
2.6.5 质量管理
2.6.6 信息安全管理
2.6.7 性能优化
2.7 信息系统组织性结构和职责
2.7.1 信息系统角色和职责
供应商与承包商管理
基础设置运营和维护
介质管理
数据登记
系统管理
安全管理
质量保证
数据库管理
系统分析师
安全架构师
应用开发与维护
基础设置开发与维护
网络管理
2.7.2 信息系统中的职责分离
2.7.3 职责控制的分离
交易授权
资产保管
数据访问
授权表单
用户授权表
对于职责分离缺失的弥补控制
2.8 审计IT治理的结构和执行
2.8.1 检查文档
2.8.2 评审合同承诺
第三章 系统和基础设施的生命周期管理
3.1 业务实现
3.1.1 组合/程序 管理
3.1.2 业务用例开发和批准
3.1.3 效益实现技术
3.2 项目管理结构
3.2.1 通用方面
3.2.2 项目范围与环境
3.2.3 项目组织形式
3.2.4 项目沟通和文化
3.2.5 项目目标
3.2.6 团队和个人的角色和职责
3.3 项目管理实践
3.3.1 项目启动
3.3.2 项目计划
软件规模估计
源代码行数
FPA功能点
成本预算
软件成本估算
进度安排和建立期限
关键路径方法
甘特图
程序评估检查技术
时间盒管理
3.3.3 通用项目管理
文档
办公自动化
3.3.4 项目控制
3.3.5 关闭项目
3.4 业务应用开发
3.4.1 传统软件开发生命周期方法
3.4.2 集成资源管理系统
3.4.3 传统软件开发生命周期阶段描述
可行性研究
需求定义
实体关系图
软件采购
设计
参与设计的用户
软件基线
设计阶段的结束
信息系统审计者的参与
开发
编程方法与技术
在线编程工具(集成开发环境)
编程语言
程序调试
测试
软件测试过程的元素
测试分类
其他类型的测试
自动化应用测试
实施
实施计划
阶段1——开发未来支持结构
差距分析
角色定义
阶段2——建立支持功能
服务水平协议
实施计划/知识传授计划
培训计划
终端用户培训
数据转换
定义移植脚本
回滚脚本
切换技术
并行切换
阶段切换
突然切换
认证/鉴定
实施后检查
3.4.4 和软件开发相关的风险
3.4.5 结构化分析、设计、开发技术的使用
3.5 其它应用开发方法
3.6 其它软件项目组织形式
3.6.1 敏捷开发
3.6.2 原型法
3.6.3 快速应用开发
3.7 其它开发方法
3.7.1 面向数据的系统开发
3.7.2 面向对象的系统开发
3.7.3 基于组件的开发
3.7.4 Web应用开发
3.7.5 重构
3.7.6 逆向工程
3.8 基础设施开发/采购实践
3.8.1 物理架构分析的项目阶段
现有架构的检查
分析和设计
初步功能需求
供应商和产品选择
书写功能需求
概念验证
3.8.2 基础设施的计划实施
采购阶段
交付阶段
安装计划
安装测试计划
3.8.3 关键成功因素
3.8.4 硬件采购
采购步骤
3.8.5 系统软件采购
3.8.6 系统软件实施
3.8.7 系统软件变更控制程序
3.9 信息系统维护实践
3.9.1 变更管理过程概述
部署变更
文档
测试变更程序
审计程序变更
紧急变更
将变更部署到生产环境
变更暴露风险(未授权的变更)
3.9.2 配置管理
3.10 系统开发工具和效率改进辅助工具
3.10.1 代码产生器
3.10.2 计算机辅助软件工程
3.10.3 第四代编程语言
3.11 过程改进实践
3.11.1 业务流程再造和过程变更项目
BPR方法与技术
基准测试过程
BPR审计与评估技术
3.11.2 ISO 9126
3.11.3 软件能力成熟度模型(CMM)
3.11.4 集成能力成熟度模型(CMMI)
3.11.5 ISO 15504
3.12 应用控制
3.12.1 输入/来源控制
输入授权
批量控制和平衡
错误报告和处理
在线或数据系统的批量完整性
3.12.2 处理过程和控制
数据验证和编辑过程
处理控制
数据文件控制过程
3.12.3 输入控制
3.12.4 业务处理控制鉴证
3.13 审计应用控制
3.13.1 系统交易流程
3.13.2 分析应用控制的风险评估模型
3.13.3 观察和测试用户执行过程
3.13.4 数据完整性测试
3.13.5 在线事务处理系统的数据完整性
3.13.6 测试应用系统
3.13.7 连续在线审计
3.13.8 在线审计技术
3.14 审计系统开发、采购和维护
3.14.1 项目管理
3.14.2 可行性研究
3.14.3 需求定义
3.14.4 软件采购过程
3.14.5 详细设计和开发
3.14.6 测试
3.14.7 实施阶段
3.14.8 实施后检查
3.14.9 系统变更过程和程序迁移步骤
3.15 业务应用系统
3.15.1 电子商务
电子商务模型
电子商务架构
电子商务风险
电子商务需求
电子商务审计和控制要点(最佳实践)
3.15.2 电子数据交换
通用需求
传统EDI
基于Web的EDI
3.15.3 EDI风险和控制
3.15.4 EDI环境中的控制
入站事务的接收
出站事务
审计EDI
3.15.5 电子邮件
E-mail的安全问题
E-mail的安全标准
3.15.6 零售系统
3.15.7 电子银行
电子银行的风险管理挑战
电子银行的风险管理控制
3.15.8 电子财务
3.15.9 支付系统
电子货币模型
电子账单模型
电子转账模型
3.15.10 集成制造系统
3.15.11 电子资金转账(EFT)
3.15.12 EFT环境中的控制
3.15.13 集成化客户文档
3.15.14 办公自动化
3.15.15 自动柜员机
审计ATM
3.15.16 协同处理系统
3.15.17 语音响应订购系统
3.15.18 采购核算系统
3.15.19 图像处理
3.15.20 人工智能与专家系统
3.15.21 商业智能
商业智能治理
3.15.22 决策支持系统
效率和效果对比
决策焦点
DSS框架
设计和开发
实施和使用
风险因素
实施策略
评估
DSS主要特点
DSS趋势
3.15.23 客户关系管理
3.15.24 供应链管理
第四章 IT服务提供与服务支持
4.1 信息系统操作
4.1.1 信息系统操作管理
控制功能
4.1.2 IT服务管理
服务级别
4.1.3 基础设施操作
无人值守操作
输入/输出控制功能
作业统计
调度
作业调度软件
4.1.4 资源的监控使用
事件处理流程
问题管理
异常状况的检测、文档记录、控制、解决和报告
4.1.5 支持/帮助
4.1.6 变更管理过程
4.1.7 编程类库管理系统
4.1.8 库控制软件
可执行程序和源代码完整性
源代码比较
4.1.9 发布管理
4.1.10 质量保证
4.1.11 信息安全管理
4.2 信息系统硬件
4.2.1 计算机硬件组件和架构
处理组件
输入/输出组件
计算机类型
不同类型计算的通用特性
通用计算机角色
通用串行总线(USB)
存储卡/闪存 驱动器
无线频率识别
一次写入、多次读取
4.2.2 硬件维护程序
4.2.3 硬件监控过程
4.2.4 容量管理
4.3 信息系统架构和软件
4.3.1 操作系统
软件控制功能或参数
软件完整性问题
活动日志记录和报告选项
4.3.2 访问控制软件
4.3.3 数据通信软件
4.3.4 数据管理
文件组织
4.3.5 数据库管理系统
DBMS架构
详细DBMS元数据架构
数据字典目录系统
数据库结构
数据库控制
4.3.6 磁带和磁盘管理系统
4.3.7 工具程序
4.3.8 软件许可问题
4.4 信息系统网络结构
4.4.1 企业网络架构
4.4.2 网络类型
4.4.3 网络服务
4.4.4 网络标准和协议
4.4.5 OSI架构
4.4.6 OSI网络架构模型的应用
局域网
局域网设计基础和规范
网络物理介质规范
局域网拓扑和协议
局域网介质访问技术
局域网组件
局域网技术选择策略
广域网
广域网消息传输技术
广域网设备
广域网技术
点对点协议
X.25
帧中继
集成服务数据网(ISDN)
异步传输模式(ATM)
多协议标志分类
数字用户线路(DSL)
虚拟专用网(VPN)
无线网络
无线广域网
无线局域网
无线等效协议
无线个人区域网络
Ad Hoc网络
无线应用协议(WAP)
公共全球互联网架构
TCP/IP和OSI参考模型的关系
TCP/IP互联网WWW服务
通用互联网术语
跨边界数据流
网络管理和控制
网络性能度量
网络管理问题
网络管理工具
网络环境中的应用
客户机-服务器 技术
中间件
4.5 审计基础设施和操作
4.5.1 硬件检查
4.5.2 操作系统检查
4.5.3 数据库检查
4.5.4 网络设施和执行检查
4.5.5 网络操作控制检查
4.5.6 信息系统操作检查
计算机操作
文件处理过程
数据记录控制
4.5.7 无人值守操作
4.5.8 问题管理报告检查
4.5.9 硬件可用性和利用报告检查
4.5.10 调度检查
第五章 信息资产保护
5.1 信息安全管理的重要性
5.1.1 信息安全管理的关键因素
5.1.2 信息安全管理角色和职责
5.1.3 信息资产目录
5.1.4 信息资产分类
5.1.5 系统访问许可
5.1.6 强制和自由访问控制
5.1.7 隐私管理问题和信息系统审计者的角色
5.1.8 信息安全管理的关键成功因素
5.1.9 信息安全和外部人员
和外部人员相关的风险识别
和客户交互时的安全声明
在第三方协议中安全声明
5.1.10 人力资源安全和第三方
屏蔽
雇用条件和条款
雇用期
雇用的变更和终止
访问权的删除
5.1.11 计算机犯罪问题和暴露风险
5.1.12 安全时间处理和回应
5.2 逻辑访问暴露和控制
5.2.1 逻辑访问暴露
5.2.2 熟悉组织IT环境
5.2.3 逻辑访问路径
通用访问点
5.2.4 逻辑访问控制软件
5.2.5 身份识别和验证
登录ID和密码
密码的特点
身份识别和验证最佳实践
口令卡、一次性密码
生物特征
生物特征管理
单点登录
5.2.6 社会工程
5.2.7 授权问题
访问控制列表
逻辑访问安全管理
远程访问安全
通用连接问题
使用PDA远程访问
和无线技术相关的访问问题
监控系统访问的审计日志记录
系统日志的访问权限
审计日志分析工具
成本考虑
限制和监控访问
逻辑访问控制的命名约定
5.2.8 存储、获取、传输、处理机密信息
运输或存储时保护信息
特定介质存储预防
5.3 网络基础设施安全
5.3.1 局域网安全
局域网风险和问题
拨号访问控制
5.3.2 客户机-服务器 安全
客户机-服务器 风险和问题
5.3.3 无线安全威胁和风险缓解
驾驶攻击
行走攻击
开战标记
5.3.4 互联网威胁和安全
网络安全威胁
被动袭击
主动袭击
威胁影响
互联网袭击的原因
互联网安全控制
防火墙安全系统
防火墙通用特点
防火墙类型
路由包过滤防火墙
应用防火墙系统
状态检测系统
防火墙实施实例
防火墙问题
防火墙平台
入侵检测系统
特点
限制
蜜罐与蜜网
5.3.5 加密
加密系统的关键元素
私钥加密系统
公钥加密系统
椭圆线加密
量子加密
高级加密标准
数字签名
数字信封
公钥设施
加密系统的应用
加密风险和密码保护
5.3.6 病毒
病毒和蠕虫控制
管理过程控制
技术控制
反病毒软件实施策略
5.3.7 VoIP
VoIP安全问题
5.3.8 专用交换分机
PBX风险
PBX审计
PBX系统特点
PBX系统攻击
硬件窃听
硬件电话会议
远程访问
维护
指定厂商的特点
厂商的开发和测试特点
软件加载和更新篡改
崩溃-重起 攻击
密码
5.4 审计信息安全管理框架
5.4.1审计信息安全管理框架
检查书写的原则、过程和标准
逻辑访问安全原则
正式安全意识和培训
数据所有权
数据所有者
数据管理人
安全管理员
新IT用户
数据用户
文档记载的授权
安全基线
访问标准
5.4.2
5.4.3
5.4.4 调查技术
计算机犯罪调查
证据保护和监管链
5.5 审计网络设施安全
5.5.1 审计远程访问
审计互联网连接点
网络渗透测试
全面网络评估检查
局域网评估
网络变更的开发和授权
未经授权的变更
计算机取证
数据保护
数据采集
成像
解压缩
询问
提取/规范化
报告
5.6 环境暴露风险和控制
5.6.1 环境问题和暴露风险
5.6.2 环境暴露风险的控制
警告控制面板
水探测器
手持灭火器
手工火警
烟雾探测器
灭火系统
战略化定位机房
消防部门的常规检查
机房的防火墙壁、地板和天花板
浪涌电压保护器
不间断电源
紧急断电开关
两路供电
电路板和电缆管道的配线
IPF中的抑制活动
防火办公材料
经过测试的、记录在案的紧急撤离计划
5.6.3 审计环境控制
水和烟雾探测器
手持灭火器
灭火系统
消防部门的常规检查
机房的防火墙壁、地板和天花板
浪涌电压保护器
两路供电
经过测试的、记录在案的紧完整业务连续性计划
电路板和电缆管道的配线
不间断电源
经过测试的、记录在案的紧急撤离计划
湿度/温度控制
5.7 物理访问的暴露风险和控制
5.7.1 物理访问问题和暴露风险
物理访问暴露风险
可能犯罪者
5.7.2 物理访问控制
5.7.3 审计物理访问
5.8 移动计算
第六章 业务连续性和灾难恢复
6.1 业务连续性/灾难恢复计划
6.1.1 信息系统业务连续性/灾难恢复计划
6.1.2 灾难和其他破坏性事件
处理对形象、声誉、品牌的破坏
6.1.3 业务连续性计划过程
6.1.4 业务连续性和灾难恢复原则
6.1.5 业务连续性计划意外管理
6.1.6 业务影响分析
操作分类和危险分析
6.1.7 恢复点目标和恢复时间目标
6.1.8 恢复策略
6.1.9 恢复备选方案
恢复技术
获取备选方案
6.1.10 业务连续性的开发和灾难恢复计划
6.1.11 组织结构和职责分配
6.1.12 制定计划的其他问题
6.1.13 业务连续性的组成
关键决策制定者
必需供应的备份
电信网络暂难恢复方法
独立磁盘冗余阵列
RAID级别描述
保险
6.1.14 计划测试
规范
测试执行
结果文档
结果分析
计划维护
6.1.15 备份和恢复
离线库控制
离线设备的安全和控制
介质和文档备份
定期备份过程
循环频率
循环介质和文档的类型
循环的方法
离岸存储的记录保管
业务连续性管理的最佳实践
6.1.16 业务连续性和灾难恢复的总结
6.2 审计灾难恢复和业务连续性
6.2.1 检查业务连续性计划
6.2.2 评估之前的测试结果
6.2.3 评估离线存储
6.2.4 关键人物面谈
6.2.5 离线设备的安全评估
6.2.6 检查备选执行合同
6.2.7 检查保险范围
扫一扫
8341
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
