全球信息系统审计指南（上下册）

章节摘录

插图：缓解关键的薄弱点通常情况下，缓解关键薄弱点的最有效的途径是让IT安全职员运用现有的事件或故障测试系统。这个系统是标准IT操作程序的一部分，它能够确保相关人员及时修复发现的薄弱点。创建一个减轻薄弱点的程序确定最关键的薄弱点能够显著消除风险。这应该是一个非常快速的执行过程，因为往往这样的薄弱点不会太多。但当你试图一次修护成百上千的薄弱点时，很多不同的挑战就会接踵而至。此时，最有效的方法就是去创建一个包含有一位项目经理，一套交付过程和一个截止期限的IT项目来修复这些薄弱点。那么这个项目就必须获得整合组织基础设施管理流程的授权并安装必要的补丁。因此，想要不断重复并有效率地实施薄弱点管理，其最有效的途径便是实施一套依据组织基础设施管理流程而精心设计的薄弱点管理项目。依此类推，我们同样可以考虑建立一个软件应用公司的开发团队。通过建立应用程序的生命周期来开发高质量的软件，并且开发团队也意识到一项产品如果要不断发展，那就必须不断开发产品的新特征。他们采纳这些特征，依据其商业价值和作用将其分级；随后开发、测试，最后推出该产品。他们通过运用能让股东们认同他们的动机、角色和职责的保证过程来做到这一切。例如，一个开发团队可能会要求来自IT职员的额外的基础设施来支持某一项业务应用。当然，这样的结果自然会影响到IT的成本、数据传递或配置，但是却有利于达到组织的目标和期望。成功执行一个有效的薄弱点管理项目有赖于与IT管理团队相类似的IT安全团队的介入。项目的成功也取决于指定一套薄弱点管理过程并将它传达给IT管理团队，这就如同将另一项计划的工作加到了原本的工作领域上。包括数据传递、职责和薄弱点的确认在内的这些项目细节都成为日益庞大的IT运作过程的组成部分。

前言

本书中IIA所使用的“技术审计”，其实质就是信息系统审计。20世纪60年代IBM出版《Audit Encounters Electronic Data Processing》一书，首次提出计算机审计概念，随着计算机技术的不断普及和发展，其审计的内涵和外延也不断拓展，进入21世纪，信息系统审计框架逐渐形成。原本，信息系统审计与组织内部的管理审计是沿着技术和管理两条路线并行发展的，但因计算机应用技术逐步发展到信息技术和网络技术，并从早期的辅助应用演进为与企业的经营活动相融合，于是，相对独立的信息技术就从纯技术层面走向与财务管理、会计核算、组织营运等活动相融合的技术经济综合体。计算机技术的应用与发展，改变了企业、机关等组织的作业环境和作业条件，使现代企业运营对于信息技术与网络依赖与日俱增。在遵从SOX法案的过程中，尤其是在规范企业管理方面，信息系统起着极为重要的作用，因此，信息系统审计与内部管理审计相融合成为历史的必然。2005年，IT治理协会第三次修订了“信息及相关技术控制目标（Control Objectives for Information and Related Technology）”框架（简称COBIT4.0），它与COSO和SOX紧密结合，将IT治理和IT控制纳入组织治理和组织内部控制范畴，该框架的颁布，加速了信息系统审计与内部管理审计的结合。

书籍目录

译序1 信息技术控制  1.1 主席的信  1.2 执行摘要    1.2.1 IT控制的介绍    1.2.2 理解IT控制    1.2.3 IT控制的重要性    1.2.4 IT的角色和职责    1.2.5 分析风险    1.2.6 监督和技术    1.2.7 IT控制评估  1.3 介绍  1.4 评估IT控制——概述  1.5 理解IT控制    1.5.1 控制分类    1.5.2 治理管理技术    1.5.3 IT控制——期望目标    1.5.4 信息安全    1.5.5 IT控制框架  1.6 IT‘控制的重要性  1.7 组织中IT的角色    1.7.1 董事会俚事机构    1.7.2 管理    1.7.3 审计  1.8 分析风险    1.8.1 风险决定的反应    1.8.2 决定IT控制充分性的风险因素    1.8.3 风险缓解策略    1.8.4 考虑控制的特性    1.8.5 基线IT控制  1.9 监控(Monitoring)与技术(Techniques)    1.9.1 选择一个控制框架    1.9.2 监督IT控制  1.10 评估    1.10.1 可以使用哪些审计方法    1.10.2 测试IT控制和持续鉴证    1.10.3 审计委员会／管理层／审计接口  1.11 结论  1.12 附录A——信息安全计划要素  1.13 附录B——法律和条例的遵守以及相关执行情况的指导  1.14 附录C——内部审计人员IT知识的三个类别  1.15 附录D——遵守框架  1.16 用COSO评估IT控制    1.16.1 内部控制定义    1.16.2 COSO内部控制整体框架  1.17 ITGI的信息和相关技术控制目标CobiT  1.18 审计委员会考虑到IT控制度量    1.18.1 董事会／董事的度量    1.18.2 管理层的度量    1.19 CAE的检查表  1.20 参考文献    1.20.1 治理    1.20.2 管理    1.20.3 技术问题    1.20.4 IT审计  1.21 词汇表  1.22 关于全球技术审计指南    GTAG计划的合作方  1.23 合作者和全球项目组    1.23.1 IT控制咨询理事会    1.23.2 合作组织    1.23.3 项目审评小组    1.23.4 国际分支机构    1.23.5 其他国际组织    1.23.6 国际先进技术委员会    1.23.7 撰写组    1.23.8 总部员工产品组2 变更和补丁管理控制：组织成功的关键3 连续审计：对保证、监控和风险评估的意义4 IT审计管理5 管理和审计隐私风险6 IT薄弱点的管理与审计7 信息技术外包8 应用控制审计9 身份和访问管理10 业务持续性管理11 制订IT审计计划12 IT审计项目

编辑推荐

《全球信息系统审计指南(套装上下册)》：内部审计前沿报告书系。

作者简介

《全球信息系统审计指南(套装上下册)》中IIA所使用的“技术审计”，其实质就是信息系统审计。  20世纪60年代IBM出版《Audit Encounters Electronic Data Processing》一书，首次提出计算机审计概念，随着计算机技术的不断普及和发展，其审计的内涵和外延也不断拓展，进入21世纪，信息系统审计框架逐渐形成。

图书封面

---

 全球信息系统审计指南（上下册）下载

---