前言

发布时间：2009年07月14日点击数： 作者：孙强 来源：ITGOV中国IT治理研究中心

【字体：小 大】 【收藏】 【打印文章】

摘要:
本书结合中国国情，引进、消化和吸收了国际上先进的安全、风险管理与控制的方法论和最佳实务。本书在介绍基本审计知识的基础上，重点阐述信息系统审计理论与实务，以及信息安全审计的相关内容。 本书是为四类读者而写的：一类是管理人士，本书阐述了信息化的整体概念，描述了管理层与咨询和技术服务提供商沟通的共同语言，以及将IT管理与公司上层活动整合起来的方法。第二类是IT的高级管理者和那些准备向管理阶层迈进的IT人士，本书介绍了国际上公认的最权威、最全面的评价和指导IT控制的方法论及其模型。第三类读者是注册会计师及管理咨询顾问，他们在精通管理和专业的同时还急需加强信息系统和网络技术领域的知识。第四类是准备通过国际信息系统审计师或我国信息系统工程监理工程师认证考试的人员，由于信息技术的国际性，本书同样会对这类读者的工作与学习有较大帮助。

写作背景                  

全球化竞争时代已经到来. 各组织忙着重组, 同时发挥不断增长的IT优势以提高它们的竞争能力. 业务重组. 裁员. 外包. 充分授权. 扁平化组织和分布式处理都影响着商业和政府组织运作方式的变革, 这些变革正在或即将对全球范围内组织的管理和运作控制结构产生深远的影响.                   

在加速变化的框架内, 强调获得竞争优势和降低成本意味着对信息技术更多的依赖. 可是如何建立和运营与业务战略目标“精确校准”的信息系统, 这就要求管理者和信息技术专家必须进行合理的分析和谨慎的判断, 必须理解有关控制技术及其变化着的特征. 鉴于信息技术的飞速发展, 他们的技能必须与信息技术和环境保持同样快速的改进. 这对于管理者和信息技术专家而言, 是一个很大的挑战.                   

目前从国际来看, 既懂业务又懂信息技术的信息系统审计师在这方面走在时代的前沿, 他们通过对内部或第三方提供的IT服务进行鉴证和审计, 来确保IT和业务的融合以及充分的安全和控制. 另外, 信息系统审计师也越来越多地被管理者请去, 就IT管理. 信息安全和控制相关的问题提供预防性的咨询和建议.                   

事实上, 信息系统审计在我国也开始起步并迅速发展, 国家在此方面的法律法规已经或正在出台, 跨国公司和金融业等开始定义信息系统审计职位, 国际会计公司在此领域正在加大投入, 可以预见信息系统审计在我国即将迎来大发展的黄金时代. 

                  

面向读者群                  

《信息系统审计：安全. 风险管理与控制》是为四类读者而写的：一类是管理人士. 管理人士通过此书可以了解信息化的整体概念, 掌握与管理高层(董事会). 咨询和技术服务提供商沟通的共同语言, 以及将盯管理与公司上层活动整合起来的方法. 对第二类读者, 即IT的高级管理者和那些准备向管理阶层迈进的IT人士, 本书介绍了国际上公认的最权威. 最全面的评价和指导IT控制的方法论及其模型. 对于如何组织和理解大量IT运作上的细节性问题, 本书提供了方方面面的最佳实务指导. 准备向管理阶层迈进的IT人士通过此书, 学习“像管理者一样思考”. 当然, 本书也为他们提供了一种共同的观点和相互交流的语言. 第三类读者是注册会计师或管理咨询顾问, 面对新经济时代的机遇与挑战, 他们在精通管理和专业的同时还急需加强信息系统和网络技术领域的知识. 第四类读者是准备通过国际信息系统审计师或我国信息系统工程监理工程师认证考试的人员, 由于信息技术的国际性, 本书同样会对他们的工作与学习有较大帮助. 面向以上四类读者的专著在国内极为匮乏, 我们希望通过此书抛砖引玉, 向同行学习, 共同切磋, 以求信息系统审计能有更大的发展, 真正地为我国的信息化建设保驾护航。

                  

本书主要内容与使用方法                  

本书的最大特色体现在结合中国国情, 引进. 消化和吸收了国际上先进的安全. 风险管理与控制的方法论和最佳实务.                   

全书分为四篇：                  

第一篇简要概述了审计的基本知识, 这包括审计的概念, 内部控制及其测试与评价, 审计报告, 职业道德等. 审计专业的人员可以跳过此部分, 但建议从事IT工作的人员及参加国际信息系统审计师认证考试的人员详细阅读.                   

第二篇为信息系统审计理论, 简要概述了信息系统审计的起源与发展, 信息系统审计计划. 信息系统环境下的内部控制及其测试与评价. 审计证据的收集与评价以及信息系统审计报告等.                   

第三篇为信息系统审计实务, 基本上依照信息系统建设和运营维护生命周期的逻辑关系, 详细描述了信息系统的战略规划与组织, 技术基础平台建设, 应用系统的建设, 信息系统的建设和运营实务, 灾难恢复和业务持续计划等, 同时还介绍了具有中国特色的信息系统安全. 风险与控制制度——信息系统工程监理的相关内容. 关于此部分内容, IT专业人士可以跳过技术概念部分, 重点阅读对各项技术的审计部分.                   

第四篇为信息安全审计实务, 信息安全审计是信息系统审计的一个组成部分, 鉴于信息安全的重要性, 本书将之独立成篇. 本篇涵盖信息安全的法规和标准. 信息安全审计. 信息安全治理. 我国电子政务信息安全标准体系等方面内容. 本书的撰写                  

全书由孙强. 孟秀转进行整体架构与思路的设计, 初稿第1章-第5章. 第6章第1节. 第3节. 第9章第4节的部分内容由尹夏楠编著, 绪论. 第6章第3节. 第7章-第13章. 第21章第1节由孟秀转编著, 第14章—第23章由孙强. 郝晓玲. 王东红. 李长征编著, 第24章—第28聿由孙强. 王东红. 郝晓玲. 李长征.  程华等编著. 俞静参与了第1章. 第2章. 第3章的部分修改. 全书由孙强. 孟秀转总纂定稿.                   

由于信息技术突飞猛进, 信息系统审计涉及的知识范围非常广泛, 书中有一些没有进行深入讨论和清晰阐述的问题, 读者朋友可以通过访问中国IT治理论坛(WWW. itgov. org. cn), 查看最新的资料, 其中包括国内外众多知名公司或协会组织专为本书提供的丰富的软件和案例等, 我们也希望能够通过这一互动网络平台, 与更多的读者朋友一起交流探讨. 对本书内容有任何建议或意见, 请填写本书所附的读者调查表(可从WWW. itgov. org. cn上下载)或发电子邮件至：sun6869@sohu. com, 您将成为中国IT治理论坛的高级个人会员, 并有机会获赠全套丛书.