信息系统审计
发布时间:2010年08月19日点击数:
作者: 来源:
本书为四类读者写的:一类是管理人士,本书阐述了信息化的整体概念,描述了管理层与咨询和技术服务提供商沟通的共同语言,以及将IT管理与公司上层活动整合起来的方法。第二类是IT的高级管理者和那些准备向管理阶层迈进的IT人士,本书介绍了国际上公认的最权威、最全面的评价和指导IT控制的方法论及其模型。第三类读者是注册会计师及管理咨询顾问,他们在精通管理和专业的同时还急需加强信息系统和网络技术领域的知识。第四类是准备通过国际信息系统审计师或我国信息系统工程监理工程师认证考试的人员,由于信息技术的国际性,本书同样会对这类读者的工作和学习有较大帮助。
当前我国IT产业和信息化应用已经步入了深化、整合、转型和创新的关键时期,信息技术与信息系统对企 业组织形态、治理结构、管理机制、运作流程和商业模式的影响日益深化;政府机构、企业组织对信息技术和信息系统的依赖性在日益加强;信息系统的安全、管 理、风险与控制日益成为突出的问题。目前业界普遍认为,我国的信息安全防护能力只处于发展的初级阶段,许多计算机基本上处于不设防状态。无论是防范意识、 管理措施、核心技术,还是安全产品,都离信息安全的实际需要存在很大的差距,每年各种重要数据和文件的滥用、泄露、丢失、被盗,给国家、企业和个人造成的 损失数以亿计,这还不包括那些还没有暴露出来的深层次的问题。计算机安全问题解决不好,不仅会造成巨大的经济损失,甚至会危及国家的安全和社会的稳定。
长期以来由于媒体报道的侧重点以及生产商的广告宣传等多种因素的影响,人们对信息安全的认识存在偏差,有相当一部分人认为黑客和病毒就已经涵盖了信息安全 的一切威胁,似乎信息安全工作就是完全在与黑客与病毒打交道,全面系统的安全解决方案就是部署反病毒软件、防火墙、入侵检测系统。这种偏面的看法对一个组 织实施有效的信息安全保护带来了不良影响。
信息安全的建设实际上是一个系统工程,它要求对信息系统的各个环节进行统一的综合考虑、规划和构架,并要时时兼顾组织内不断发生的变化,任何环节上的安全 缺陷都会对系统构成威胁。如果组织凭着一时的需要,想当然去制定一些控制措施和引入某些技术产品,都难免存在挂一漏万、顾此失彼的问题,使得信息安全这只 “木桶”出现若干“短木块”,从而无法提高安全水平。 正确的做法是遵循国内外相关信息安全标准与最佳实践过程,考虑到组织对信息安全的各个层面的实际需求,在风险分析的基础上引入恰当控制,建立合理安全管理 体系,从而保证组织赖以生存的信息资产的机密性、完整性和可用性;另一方面,这个安全体系还应当随着组织环境的变化、业务发展和信息技术提高而不断改进, 不能一劳永逸,一成不变。因此实现信息安全是一个需要完整的体系来保证的持续过程。
BS7799就是这样一个可以指导组织安全实践的信息安全管理标准,它从管理、技术、人员、过程的角度来定义、建立、实施信息安全管理体系,保障组织的信 息安全“滴水不漏”,确保组织业务的持续运营,维护企业的竞争优势。遵循这个标准的信息安全管理可以给组织带来两方面效益:一是减少因信息安全事故的经济 损失而产生的经济效益;二是由于增加声誉、提升品牌价值而增加的非经济效益。BS7799第一部分己成为国际标准ISO17799,在全球范围内得到广泛 的认可,被许多国家转化为国家标准,我国的许多政府机关、企事业单位也开始认识到信息安全管理的重要,准备逐步引入BS7799,以建立适用自身需要的信 息安全管理体系。
本书就是为需要了解BS7799知识的专业人员及准备引入BS7799的组织而编写。本书着重介绍BS7799信息安全管理的理论、方法及有效的实施工 具,作者根据BS7799信息安全管理标准,并结合长期的企业信息化建设和信息安全管理实践经验,对BS7799的理论进行了详细的描述,对体系的实施方 法作了深入浅出的说明。
目录
推荐序
前言
绪论
第一篇审计基础
第1章 经济发展呼唤审计服务
1.1 经济发展推动审计发展
1.2 审计的分类
1.3 审计执业规范体系
1.4 审计机构
1.5 审计人员的资格及职称
案例1-1:套住英国国王的“南海泡沫”
第2章 审计的基本概念
2.1 审计目标与审计计划
2.2 审计重要性
2.3 审计风险
第3章 内部控制及其测试与评价
3.1 内部控制的概念
3.2 内部控制的了解与描述
3.3 内部控制测试
3.4 内部控制评价
第4章 审计抽样
4.1 审计抽样的基本概念
4.2 控制测试中的抽样技术
4.3 实质性测试中的抽样技术
第5章 审计证据与审计工作底稿
5.1 审计证据
5.2 审计工作底稿
第6章 审计报告
6.1 审计报告的内容
6.2 审计意见类型
6.3 审计报告的编制和报送
第7章 电算化会计与审计
7.1 电算化会计
7.2 电算化审计
第二篇 信息系统审计理论
第8章 信息系统审计起源与发展
8.1 信息技术给世界带来了什么
8.2 信息系统审计为什么成为研究热点
8.3 信息系统审计的理论基础
8.4 信息系统审计的发展
8.5 在中国研究推广信息系统审计的重要意义
第9章 信息系统审计准则与职业道德规范
9.1 信息系统审计的职业化
9.2 BACA信息系统审计准则
9.3 其他发布信息系统审计准则的职业组织
9.4 ISAGA信息系统审计师职业道德规范
第10章 信息系统审计计划
10.1 信息系统审计过程
10.2 审计计划
第11章 信息系统环境下的内部控制及其测试与评价
11.1 信息系统风险
11.2 信息系统内部控制
11.3 符合性测试与实质性测试
11.4 内部控制评价
第12章 信息系统审计证据的获取与评价
12.1 审计证据的获取
12.2 审计证据的评价
12.3 判断审计结果的重要性水平
12.4 审计工作底稿
第13章 信息系统审计报告
13.1 信息系统审计报告的内容与格式
13.2 信息系统审计报告的编制要求
13.3 与被审计单位沟通
第三篇 信息系统审计实务
第14章 信息系统的战略规划与组织审计
14.1 信息系统的战略规划
14.2 业务流程重组(BPR)和信息系统战略规划
14.3 信息系统的策略和流程
14.4 组织结构和职责
14.5 信息系统的战略规划审计和组织审计
第15章 技术基础平台建设审计
15.1 信息系统硬件
15.2 信息系统软件
15.3 信息系统网络及通信技术基础平台
15.4 技术基础平台建设审计
第16章 应用系统建设审计
16.1 系统开发方法
16.2 系统开发工具
16.3 系统开发过程
16.4 项目管理
16.5 系统开发过程审计
第17章 信息系统管理和运营审计
17.1 信息系统管理实务
17.2 信息系统运营实务
17.3 信息系统管理和运营审计
第18章 风险管理与应用控制审计
18.1 风险分类
18.2 风险管理
18.3 应用控制
18.4 应用控制审计
18.5 平衡计分卡——一种革命性的评估和管理工具
案例18-1 DHL平衡计分卡应用案例
第19章 灾难恢复与业务持续计划审计
19.1 灾难恢复
19.2 业务持续计划
19.3 灾难恢复与业务持续计划审计
案例19-1 世界著名跨国公司应对突发事件措施实例
案例19-2 企业SARS应急计划检查点
第20章 电子商务及相关技术审计
20.1 电子商务概念
20.2 电子商务的安全
20.3 电子商务相关技术审计
第21章 公司治理与盯治理
21.1 公司治理
21.2 IT治理
21.3 公司治理和IT治理的关系
案例21-1 南非酿酒有限公司(SABLtd)实施COBlT案例
案例21-2 美国参议院实施COBlT案例
第22章 信息系统审计师培养与CISA考试
22.1 CISA 简介
22.2 CISA的培养模式
22.3 CISA的课程体系
22.4 CISA的实践技能
22.5 CISA的组织机构
22.6 CISA的职业发展
第23章 信息系统工程监理:中国的实践与经验
23.1 信息系统工程监理开展的必要性与意义
23.2 信息系统工程监理产生动因及其发展
23.3 信息系统工程监理的基本理论
23.4 信息系统工程监理的主要业务和依据
23.5 信息系统工程监理的程序
23.6 监理单位
23.7 监理人员
23.8 信息系统工程监理与信息系统审计之对比分析
23.9 对信息系统工程监理的若干建议
第四篇 信息安全审计实务
第24章 信息安全总论
24.1 信息安全与信息系统安全
24.2 信息系统安全特性
24.3 信息系统安全体系架构
24.4 信息安全教育
24. 5 信息系统安全规划
第25章 信息安全的法规和标准
25.1 与安全有关的标准化组织以及安全标准的产生过程
25.2 国际信息安全标准介绍
25.3 国内信息安全政策法规和标准介绍
第26章 信息安全审计
26.1 逻辑访问的风险及控制
26.2 架构安全的网络
26.3 环境的风险及控制
26.4 物理访问的风险与控制
第27章 信息安全治理
27.1 信息安全治理的产生背景
27.2 信息安全治理的含义
27.3 良好信息安全治理的实现
27.4 信息安全治理的规范
27.5 建立我国信息安全治理机制
第28章 中国电子政务信息安全标准体系
28.1 政务业务安全需求
28.2 电子政务系统安全威胁
28.3 电子政务系统安全目标
28.4 电子政务系统安全实施及其标准化
附录A 网络资源
附录B CISA认证考试简介及备考建议
主要参考文献
内容连载>>>
长期以来由于媒体报道的侧重点以及生产商的广告宣传等多种因素的影响,人们对信息安全的认识存在偏差,有相当一部分人认为黑客和病毒就已经涵盖了信息安全 的一切威胁,似乎信息安全工作就是完全在与黑客与病毒打交道,全面系统的安全解决方案就是部署反病毒软件、防火墙、入侵检测系统。这种偏面的看法对一个组 织实施有效的信息安全保护带来了不良影响。
信息安全的建设实际上是一个系统工程,它要求对信息系统的各个环节进行统一的综合考虑、规划和构架,并要时时兼顾组织内不断发生的变化,任何环节上的安全 缺陷都会对系统构成威胁。如果组织凭着一时的需要,想当然去制定一些控制措施和引入某些技术产品,都难免存在挂一漏万、顾此失彼的问题,使得信息安全这只 “木桶”出现若干“短木块”,从而无法提高安全水平。 正确的做法是遵循国内外相关信息安全标准与最佳实践过程,考虑到组织对信息安全的各个层面的实际需求,在风险分析的基础上引入恰当控制,建立合理安全管理 体系,从而保证组织赖以生存的信息资产的机密性、完整性和可用性;另一方面,这个安全体系还应当随着组织环境的变化、业务发展和信息技术提高而不断改进, 不能一劳永逸,一成不变。因此实现信息安全是一个需要完整的体系来保证的持续过程。
BS7799就是这样一个可以指导组织安全实践的信息安全管理标准,它从管理、技术、人员、过程的角度来定义、建立、实施信息安全管理体系,保障组织的信 息安全“滴水不漏”,确保组织业务的持续运营,维护企业的竞争优势。遵循这个标准的信息安全管理可以给组织带来两方面效益:一是减少因信息安全事故的经济 损失而产生的经济效益;二是由于增加声誉、提升品牌价值而增加的非经济效益。BS7799第一部分己成为国际标准ISO17799,在全球范围内得到广泛 的认可,被许多国家转化为国家标准,我国的许多政府机关、企事业单位也开始认识到信息安全管理的重要,准备逐步引入BS7799,以建立适用自身需要的信 息安全管理体系。
本书就是为需要了解BS7799知识的专业人员及准备引入BS7799的组织而编写。本书着重介绍BS7799信息安全管理的理论、方法及有效的实施工 具,作者根据BS7799信息安全管理标准,并结合长期的企业信息化建设和信息安全管理实践经验,对BS7799的理论进行了详细的描述,对体系的实施方 法作了深入浅出的说明。
目录
推荐序
前言
绪论
第一篇审计基础
第1章 经济发展呼唤审计服务
1.1 经济发展推动审计发展
1.2 审计的分类
1.3 审计执业规范体系
1.4 审计机构
1.5 审计人员的资格及职称
案例1-1:套住英国国王的“南海泡沫”
第2章 审计的基本概念
2.1 审计目标与审计计划
2.2 审计重要性
2.3 审计风险
第3章 内部控制及其测试与评价
3.1 内部控制的概念
3.2 内部控制的了解与描述
3.3 内部控制测试
3.4 内部控制评价
第4章 审计抽样
4.1 审计抽样的基本概念
4.2 控制测试中的抽样技术
4.3 实质性测试中的抽样技术
第5章 审计证据与审计工作底稿
5.1 审计证据
5.2 审计工作底稿
第6章 审计报告
6.1 审计报告的内容
6.2 审计意见类型
6.3 审计报告的编制和报送
第7章 电算化会计与审计
7.1 电算化会计
7.2 电算化审计
第二篇 信息系统审计理论
第8章 信息系统审计起源与发展
8.1 信息技术给世界带来了什么
8.2 信息系统审计为什么成为研究热点
8.3 信息系统审计的理论基础
8.4 信息系统审计的发展
8.5 在中国研究推广信息系统审计的重要意义
第9章 信息系统审计准则与职业道德规范
9.1 信息系统审计的职业化
9.2 BACA信息系统审计准则
9.3 其他发布信息系统审计准则的职业组织
9.4 ISAGA信息系统审计师职业道德规范
第10章 信息系统审计计划
10.1 信息系统审计过程
10.2 审计计划
第11章 信息系统环境下的内部控制及其测试与评价
11.1 信息系统风险
11.2 信息系统内部控制
11.3 符合性测试与实质性测试
11.4 内部控制评价
第12章 信息系统审计证据的获取与评价
12.1 审计证据的获取
12.2 审计证据的评价
12.3 判断审计结果的重要性水平
12.4 审计工作底稿
第13章 信息系统审计报告
13.1 信息系统审计报告的内容与格式
13.2 信息系统审计报告的编制要求
13.3 与被审计单位沟通
第三篇 信息系统审计实务
第14章 信息系统的战略规划与组织审计
14.1 信息系统的战略规划
14.2 业务流程重组(BPR)和信息系统战略规划
14.3 信息系统的策略和流程
14.4 组织结构和职责
14.5 信息系统的战略规划审计和组织审计
第15章 技术基础平台建设审计
15.1 信息系统硬件
15.2 信息系统软件
15.3 信息系统网络及通信技术基础平台
15.4 技术基础平台建设审计
第16章 应用系统建设审计
16.1 系统开发方法
16.2 系统开发工具
16.3 系统开发过程
16.4 项目管理
16.5 系统开发过程审计
第17章 信息系统管理和运营审计
17.1 信息系统管理实务
17.2 信息系统运营实务
17.3 信息系统管理和运营审计
第18章 风险管理与应用控制审计
18.1 风险分类
18.2 风险管理
18.3 应用控制
18.4 应用控制审计
18.5 平衡计分卡——一种革命性的评估和管理工具
案例18-1 DHL平衡计分卡应用案例
第19章 灾难恢复与业务持续计划审计
19.1 灾难恢复
19.2 业务持续计划
19.3 灾难恢复与业务持续计划审计
案例19-1 世界著名跨国公司应对突发事件措施实例
案例19-2 企业SARS应急计划检查点
第20章 电子商务及相关技术审计
20.1 电子商务概念
20.2 电子商务的安全
20.3 电子商务相关技术审计
第21章 公司治理与盯治理
21.1 公司治理
21.2 IT治理
21.3 公司治理和IT治理的关系
案例21-1 南非酿酒有限公司(SABLtd)实施COBlT案例
案例21-2 美国参议院实施COBlT案例
第22章 信息系统审计师培养与CISA考试
22.1 CISA 简介
22.2 CISA的培养模式
22.3 CISA的课程体系
22.4 CISA的实践技能
22.5 CISA的组织机构
22.6 CISA的职业发展
第23章 信息系统工程监理:中国的实践与经验
23.1 信息系统工程监理开展的必要性与意义
23.2 信息系统工程监理产生动因及其发展
23.3 信息系统工程监理的基本理论
23.4 信息系统工程监理的主要业务和依据
23.5 信息系统工程监理的程序
23.6 监理单位
23.7 监理人员
23.8 信息系统工程监理与信息系统审计之对比分析
23.9 对信息系统工程监理的若干建议
第四篇 信息安全审计实务
第24章 信息安全总论
24.1 信息安全与信息系统安全
24.2 信息系统安全特性
24.3 信息系统安全体系架构
24.4 信息安全教育
24. 5 信息系统安全规划
第25章 信息安全的法规和标准
25.1 与安全有关的标准化组织以及安全标准的产生过程
25.2 国际信息安全标准介绍
25.3 国内信息安全政策法规和标准介绍
第26章 信息安全审计
26.1 逻辑访问的风险及控制
26.2 架构安全的网络
26.3 环境的风险及控制
26.4 物理访问的风险与控制
第27章 信息安全治理
27.1 信息安全治理的产生背景
27.2 信息安全治理的含义
27.3 良好信息安全治理的实现
27.4 信息安全治理的规范
27.5 建立我国信息安全治理机制
第28章 中国电子政务信息安全标准体系
28.1 政务业务安全需求
28.2 电子政务系统安全威胁
28.3 电子政务系统安全目标
28.4 电子政务系统安全实施及其标准化
附录A 网络资源
附录B CISA认证考试简介及备考建议
主要参考文献
内容连载>>>
上一篇:信息安全管理下一篇:控制自我评估理论及应用
推荐专题
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved