CISA笔记全套Word下载.docx
《CISA笔记全套Word下载.docx》由会员分享,可在线阅读,更多相关《CISA笔记全套Word下载.docx(85页珍藏版)》请在冰豆网上搜索。
审阅以往的审计报告或IT相关报告
识别适用于IT的具体章程
识别已外包的IT职能或相关活动
1.3.3.法律、法规对信息系统审计计划的影响
一方面:
审计或IS审计的法律要求
另一方面:
审计对象及其系统、数据管理和报告等方面相关的法律要求
2.ISACA信息系统审计准则和指南
2.1.ISACA职业道德规范
ISACA会员和认证人应当:
遵从并执行适当的IS审计准则、程序和控制;
按照职业准则和最佳时间履行职责,并做到应用的客观、敬业和职业审慎;
以诚实、合法的方式为利益相关服务,保持高尚的行为操守及品德,不得从事有损职业行为的活动;
对工作中获取的信息,除按法律要求披露外,应保持其隐私和机密性,不得用于谋取私利或泄漏给他人;
保持在所从事工作领域的专业胜任能力,仅从事自己能胜任的工作;
向适当的组织报告工作成果,并向他们披露所有重大事项;
应对利益相关者进行教育,以加强他们对信息系统安全和控制的理解
2.2.ISACA信息系统审计准则框架
ISACA信息系统审计准则的目标是指明:
基于职业道德规范,IS审计师满足执业能力,可接受的最低业绩要求;
管理层和相关部门对IS审计人员的执业期待
CISA持证人的资格要求
ISACA信息系统审计准则框架分为以下三个层次:
准则定义了IS审计和报告的强制性要求
指南为应用IS审计准则提供了指导
程序为IS审计师执行审计任务提供了过程范例
2.2.1.审计准则
信息系统审计职能或审计任务的目标、职责、授权和责任应当在审计章程或审计委托书中说明,审计章程或审计委托书应当由组织中适当层级批准和同意。
独立性
职业道德和准则
执业胜任能力
审计计划
审计工作执行
✓监督:
应当对审计人员进行监督,以合理保证实现审计目标并符合适用审计准则的要求。
✓证据:
在审计过程中,IS审计师应获得充分、可靠、相关的审计证据一实现审计目标,对审计证据的适当分析和解释应当能支持审计发现和结论。
✓文档:
应记录审计过程,描述所执行的审计工作和支持IS审计师发现及结论的审计证据。
审计报告
追踪审计
违规和非法行为
IT治理
✓IS审计师应当审核和评价IS职能是否与组织使命、愿景、价值、目标和战略保持一致;
✓IS审计师应当审核是否清晰描述了业务部门对IS职能的预期绩效-效果和效率,并评价其完成情况。
✓IS审计师应当审核和评价IS资源的效果和绩效管理流程;
✓IS审计师应当审核和评价对法律、环境和信息质量、信用和安全需求的符合性;
✓IS审计师应当采用基于风险的方法评价IS职能;
✓IS审计师应当审核和评价组织的控制环境;
✓IS审计师应当审核和评价可能对IS环境造成负面影响的风险。
审计计划中的风险评估
✓IS审计师在制定IS审计总体计划和确定优先级时,应当采用适当的风险评估技术或方法,以有效分配IS审计资源。
✓当计划单个审计任务时,IS审计师应当识别和评估被审计领域的相关风险。
审计重要性
使用其他专家的工作成果
审计证据
It控制
电子商务
2.3.ISACA信息系统审计指南
2.4.ISACA信息系统审计程序
审计程序时ISACA为IS审计师执行审计任务提供的可参考的过程范例。
2.5.审计准则、指南和程序之间的关系
IS审计师必须遵守ISACA制定的审计准则,审计指南帮助审计师在各种审计任务中应用这些准则,审计程序为审计师在具体审计任务中应用审计准则提供了过程和步骤范例。
3.风险分析
4.内部控制
内部控制的设计是为管理层提供风险事件能够被预防、检测和纠正,业务目标能够达成的合理保证,内部控制活动以及支撑流程可以是人工的,也可以是自动化计算机处理方式。
控制的分类
类型
作用
实例
预防性
在问题发生前预防
监控运营和输入
在问题发生前进行预测并作出纠正
预防错误、疏忽或恶意行为的发生
仅雇用胜任的员工
职责分离
控制对物理设施的访问
使用良好设计的文档
建立交易授权的适当流程
完全计算机化的编辑检查
使用访问控制软件,仅允许授权用户访问敏感文件
使用加密软件预防非授权的数据泄露
检测性
使用控制措施检查和报告已发生的错误、疏忽或恶意行为
哈希汇总
生产作业中的检查点
通讯中的回显控制
磁带标签上的错误信息
计算过程的重复检查
定期报告性能差异
过期账款报告
内部审计职能
为查找非授权访问而检查活动日志
纠正性
把威胁的影响降到最小
纠正检查性控制所发现的问题
找出问题根源
纠正问题引起的错误
变更处理系统以避免问题再次发生
业务持续计划
备份程序
恢复运营程序
4.1.内部控制的目标
4.2.IS控制目标
IS控制目标包括:
✓保护资产
✓确保OS环境的完整
✓使用以下方法保护敏感及关键的应用系统环境,包括财务及管理信息和客户数据的完整性。
⏹输入授权,每一笔交易均需授权且仅录入一次
⏹输入确认,每一笔输入均需确认且不能对交易处理造成负面影响
⏹交易处理的准确性和完整性,所有交易均需记录并按适当周期录入计算机
⏹信息活动的整体可靠性
⏹输出的准确性、完整性和安全性
⏹数据库的完整性、可用性和机密性
✓确保对IS资源用户的恰当识别和验证
✓确保运行的效率和效果
✓符合用户需求、组织正常和规程
✓制定有效的BCP和DRP,确保IT服务的可用性
✓制定事件响应计划,确保对数据和系统的保护
✓实施有效的变更管理流程,确保系统的完整性和可靠性。
4.3.COBIT,信息及相关技术控制目标
5.实施IS审计
5.1.符合性测试和实质性测试
符合性测试:
是为测试组织对控制程序的符合性而收集证据。
验证控制的执行是否符合管理政策和规程
例如:
IS审计师关系生产程序库的控制是否正常运行,可以对程序进行抽样以确定源代码和目标版本是否一致。
实质性测试:
是为评价交易、数据或其他信息的完整性而收集证据。
证实实际处理的完整性,验证财务报表数据及相关交易的有效性和完整性。
应当采用抽样执行的符合性测试包括:
用户访问权限、程序变更控制流程、文件流程、编程文档、例外跟踪、日志检查、软件许可审计等。
应当采用抽样执行的实质性测试包括:
基于对账户或交易的抽样来证实复杂计算的结果等
5.2.CAAT-计算机辅助审计技术
CAAT是IS审计师收集审计信息的重要工具,Caat包括多种工具和技术,如通用审计软件GAS,调试和扫描软件,测试数据,应用软件跟踪映像,专家系统等。
通用审计软件GAS是指可以从多种数据库平台、平面文件系统及ASCII格式直接读取和访问数据的标准软件。
GAS为IS审计师提供了一种访问和分析数据的独立方法,以及使用高水平问题解决软件来调用数据文件处理功能的能力,GAS的特征包括数学计算、分层、统计分析、顺序检查、重复性检查和复算。
GAS一般支持一下功能:
✓文件访问:
读取不同的记录格式和文件结构;
✓文件重组:
索引、排序与其他文件合并和关联;
✓数据检索:
建立数据筛选条件和选取标准;
✓分层功能:
抽样、分层和频度分析;
✓算术功能:
算术运算和功能
工具软件(如数据库管理系统中的报告生成器)是软件的一种,它能为审计师提供关于系统控制效率的证据,测试数据能使审计师使用抽样数据来评价程序中是否存在逻辑错误及是否满足其目标。
应用系统检查提供了嵌入系统中的内部控制相关信息;
审计专家系统是基于高级审计人员或管理人员的知识库而建立的查询系统,可以为执行审计工作的各级审计人员提供有价值的指导信息。
上述工具和技术可用于执行各种审计流程:
✓测试详细的交易或余额
✓分析性复核程序
✓IS一般控制的符合性测试
✓IS应用控制的符合性测试
✓网络和操作系统OS的脆弱性分析
✓穿透测试
✓应用系统安全测试和源代码安全扫描
6.控制自评估CSA
CSA可以被看做是一种管理技术,
CSA目标,采用CSA程序由若干目标,主要是通过把一些控制监督职责分散到职能部门来充分发挥内部审计职能的作用,例如基层管理人员将不仅要对其工作环境控制负责,还要监督控制的有效性。
7.持续审计
对审计保证效果和效率的不断关注,激发了内部审计和控制对与常规定期审计完全相反的持续审计概念的研究和尝试。
传统的财务报告及传统的审计方式有时是不充分的,因为他们缺乏当前业务环境的基本要素“最新信息”。
实施持续审计的原因是它能够更好地监控公司的财务问题,确保实时交易能够受到实时监控,避免如安然和世通公司的财务欺诈和审计丑闻。
持续审计包括大量工作,因为实施持续审计的公司并非仅在季末提交一份报告,而是更频繁地提供财务报告。
持续监控:
是一种IS管理工具,一般给予自动化程序来满足既定的监督要求,例如IDS
持续审计:
是独立审计师对审计对象提供书面保证的一种方法,它是在审计对象发生事件的同时,或在短时之后,发表一系列审计师报告,持续IS审计一般都是用自动化的审计程序。
持续审计致力于在活动发生的同时收集和分析数据,这些数据来自运行在不同环境下的不同应用系统,交易必须被过滤,这肯定要通过分析交易环境来检查交易趋势和例外,并将具备非常特征的交易提取出来,如果这一切都要求实时运转,甚至在一笔交易未最终完成之前,那将必须结合采用多种高端IT技术,IT环境自动化运转的特征,将促进次序审计的应用
第二章IT治理
1.公司治理
整个组织层面的文化、决策和实务都必须通过公司治理来培养,公司治理被治理层定义为:
为所有股东创造和呈现价值的企业道德行为,公司治理为制定公司目标、确定实现目标和监督绩效的方式提供了框架。
2.董事会和高级管理层的监督和保证实务
IT治理是一个综合术语,它包括信息系统、技术和通讯、业务、法律相关事务,所有利益相关方、董事会、高级管理层、流程所有人、IT供应商、用户和审计师。
IT治理有助于确保IT和企业的目标保持一致。
以实现业务的价值。
公司治理
应采用公认的最佳实践,并通过特定控制来保证其实施。
通过这些实践来贯彻组织方针,指导特定活动使用组织资源。
对活动的结果要进行测评和报告,为控制的维护和持续改进提供依据。
IT治理采用最佳实践来确保组织信息及相关技术支持业务目标和价值交付,确保资源得到合理使用、风险得到适当管理、绩效得到测评。
IT治理在根本上关注两方面问题:
IT向业务交付价值和IT风险得到管理。
前者由IT与业务的战略一致驱动,后者通过向企业分配责任来驱动。
2.1.IT治理的最佳实践
IT治理整合最佳实践并使之制度化,确保企业IT支持业务目标,IT治理的目的是指导IT工作,确保IT绩效满足IT目标符合企业目标的要求,并实现预期的收益。
2.1.1.审计在IT治理中的角色P58
IT治理包含了确定企业内如何应用IT的一系列问题,审计有助于确保组织满足所实施的IT治理的要求。
IT治理报告涉及组织最高层次,并可能是跨区域,跨职能、跨部门的,IS审计师应当确认已明确以下内容:
工作范围:
包括清晰定义所涵盖的职能领域和事务;
采用的报告路线:
使查出的IT治理问题能报告给组织最高层;
IS审计师对信息的访问权限,包括对组织内部和第三方服务提供商。
按照IS审计师的既定角色,需要评价与IT治理的相关内容:
IS职能与组织使命、愿景、价值、目标和战略的一致性;
法律、环境、信息质量、委托、安全和隐私方面的要求;
组织的环境控制;
IS环境的固有风险。
2.2.IT战略委员会
2.3.标准IT平衡记分卡
一种绩效评价体系,平衡计分卡已经发展为集团战略管理的工具,在集团战略规划与执行管理方面发挥非常重要的作用.根据解释,平衡计分卡主要是通过图、卡、表来实现战略的规划.
平衡计分卡是从财务、客户、内部运营、学习与成长四个角度,将组织的战略落实为可操作的衡量指标和目标值的一种新型绩效管理体系。
设计平衡计分卡的目的就是要建立“实现战略制导”的绩效管理系统,从而保证企业战略得到有效的执行。
2.4.信息安全治理
2.4.1.信息安全治理概述
信息安全治理成果:
战略一致:
是信息安全与业务战略保持一致以支持组织目标,为达到战略一致,应当实现:
✓制定完全由企业需求驱动的安全要求,为必须完成的事项及其衡量标准提供指导;
✓结合考虑组织文化、治理模式、技术和组织结构等因素,制定符合企业流程的安全方案;
✓是信息安全投资与企业战略、既定的威胁、脆弱性和风险特征保持一致。
风险管理:
管理和实施适当的措施以降低风险并减少对信息资源的潜在影响至可接受水平,为实现风险管理,应当考虑以下内容:
✓从整体上了解组织的威胁、脆弱性和风险特征;
✓了解危及法律、法规、运营符合性和影响上虞的风险及潜在后果
✓注意基于潜在后果的风险管理的优先次序;
✓在了解剩余风险的潜在后果基础上确定可接受风险水平。
价值交付:
优化安全投资以支持业务目标。
绩效衡量:
资源管理:
有效利用信息安全知识与基础设施
流程整合:
关注组织安全管理保证流程的整合。
有效的信息安全治理
董事会与最高管理层的角色与职责
信息安全治理需要战略指导和推动力,需要为人、资源和为信息安全管理分配职责,也包括董事会确定其目标是否已实现的方式。
董事会/高级管理层
批准政策、适当的监督和衡量指标、报告和趋势分析来实现。
执行管理层
实施有效的安全治理和制定组织战略安全目标。
指导委员会
为确保涵盖受安全事件影响的所有利益相关方,许多组织采用有受影响部门派出的高级代表组成知道委员会。
首席信息安全官CISO
3.信息系统战略
3.1.战略规划
从IS角度看,战略规划是组织为了利用信息技术来改善业务流程而确定的长期发展方向。
3.2.指导委员会
高级管理层应当组建一个计划或指导委员会来监督IS职能及其活动,高层的信息技术指导委员会是确保IS部门与公司目标协调一致的重要因素。
该指导委员会的主要职能是:
审查IS部门的长期和短期计划以确保其符合公司目标;
在董事会批准的权限内,审查和批准重要的硬件和软件获取;
批准并监督重要项目\is计划及预算进度,设定优先级,批准标准何流程并监督所有的IS绩效。
审查和批准所有IS活动的承包策略,包括内保或外包职能
审查资源的充分性以及时间、人力和设备资源的分配情况
在集中与分散管理之中做出决策并分配职责
对制定和实施,企业级信息安全管理程序提供支持
向董事会报告IS活动
4.政策和程序
政策和程序反映了管理层对信息系统的控制方面的指导方针。
4.1.政策
政策是高层次的文件,代表了组织的企业文化和高级管理层与业务流程所有人的战略思考。
根据公司政策采用自上而下的方法来制定底层政策是好的选择,确保了各级政策的一致性,然而有些组织选择自下而上的方法,因为这些政策都是基于风险评估的结果而制定和实施的,但容易造成政策间的不一致。
信息安全政策应表明管理层的承诺并陈述组织管理信息安全的方式,政策文件应当包括:
信息安全的定义、整体目标和范围,安全作为信息共享的促进机制的重要性;
陈述管理层意图,支持信息安全和业务战略和目标保持一致;
设定控制及控制目标的框架,包括风险评估和风险管理的组成内容;
简要说明安全政策、原理、标准以及重要符合性要求:
✓对法律法规及合同要求的符合性
✓安全教育、培训和意识需求
✓业务连续性管理
✓未被信息安全政策的后果
明确信息安全管理人员的总体及具体职责,包括报告信息安全事件;
政策所参考的文件
4.2.程序
程序是为实施政策而制定的制度化的详细步骤,必须根据上层政策来制定并体现政策的精神和意图
5.风险管理
风险管理是组织用于识别信息资源的脆弱性及威胁,制定相应对策,以实现组织业务目标的过程。
任何风险,都应当基于信息资源对组织的价值,将其降低至可接受水平。
风险管理包括识别、分析、评估、处置、监督和沟通IT流程的风险影响。
一旦确定了风险偏好与分先承受能力,就可以指定风险管理策略并分配职责。
根据风险类型及其对业务的影响程度,董事会和管理层可以选择一下措施来应对风险:
避免风险
降低风险
转移风险
接受风险
5.1.制定风险管理程序
确定风险管理程序的目的:
第一步是确定组织建立风险管理程序的目的,可能是降低保险费用,或者是减少相关系统的损害。
为风险管理计划分配职责:
第二步是为制定和实施组织的风险管理程序向个人或团队分配职责。
5.2.风险管理过程
风险管理过程第一步是对那些由于具有脆弱性而受到威胁,需要保护的信息资产进行识别并分类。
资产包括:
信息和数据
硬件
软件
服务
文档
人员
第二步是评估信息资源相关的威胁和脆弱性,及其发生的可能性。
威胁种类有:
错误
恶意损坏
欺诈
盗窃
设备或软件故障
威胁的发生是由于脆弱性,脆弱性是信息资源的特征,可以被威胁利用并造成损坏,脆弱性包括:
用户知识匮乏
安全职能缺失
使用弱口令
未经测试的技术
补交保护的通讯传输
发生任何威胁后造成的结果称为影响,它能导致损失,损失例子有:
直接货币损失
违反法律法规
商誉或声誉损失
危机员工或顾客
损害信用
丧失业务机会
降低运营效率及业绩
业务活动的中断
一旦确定风险因素,综合考虑这些风险因素就形成了对风险的总体评价。
对各类风险因素进行综合的常用方法是计算每一类威胁对脆弱性的影响,汇总得出整体风险值。
风险确定后,就可以评价现有控制或设计新控制来降低脆弱性至可接受水平。
这些控制就好是安全措施,可以是某项活动、设备、规程、技术等。
在评价控制强度时应当考虑的控制要素包括:
预防性、检查性、纠正性。
是手动还是自动化,是正式还是临时的。
实施控制之后所保持的风险水平称为剩余风险,用于管理层找出更多控制领域以进一步降低
5.3.风险分析方法
5.3.1.定性分析方法P83
定性的风险分析方法是用文字或文字分级来描述风险的影响及发生可能性,是最简单、常用的分析方法,通常是用检查表及主观的风险分级,如高、中、低。
这种方法缺少严密性,通常用在财务会计及管理方面。
5.3.2.半定量的分析方法
半定量的风险分析方法采用文字分级与量化分级相结合的方式,常常用在不能使用定量分析方法或为了降低定性分析方法的主观因素时。
5.3.3.定量分析方法
定量分析方法使用数值来描述风险发生的可能性及其影响,分析中所用数据有多种不同的来源,如历史数据、过去的经验值、行业数据、统计理论、测试和实验值等。
通常在业务影响分析BIA过程中使用定量风险分析方法,主要问题时如何量化信息资产。
概率与期望值
如果有足够的历史数据来分析其趋势或模式,就可以在一定范围内预测风暴发生的概率。
如果事件发生概率用P表示,0≤P≤1,与事件相关受影响的资产用V表示,那么损失值为V*P(资产*事件发生的可能性)
年预期损失方法
ALE方法采用量化的方式简化了对资产价值V与事件概率P的赋值。
6.IS管理实务
IS管理实务反映的是为各种IS相关管理活动所涉及的政策与程序的实施情况。
6.1.人力资源管理
人力资源管理涉及到人员的招聘、选用、培训和晋升、业绩考评、员工纪律、继任计划等组织政策与程序。
6.1.1.聘用
聘用常用控制:
背景调查
保密协议
员工保证保护公司财产不被盗窃、滥用和忽视
利用冲突协议
职业行为道德
竞业禁止协议
控制风险包括:
员工可能不适合聘用的职位
未对员工进行背景调查
临时员工及第三方人员可能引入未受控制的风险
缺乏保密意识可能导致对整体安全环境的损害
6.1.2.员工手册
员工手册在聘用时发给新员工,适当解释以下内容:
安全政策和规程
准许及禁止的行为
组织价值和道德规范
公司期望
休假政策
加班规定
兼职规定
业绩考评
应急规程
过度缺勤纪律处分
违反保密或安全规定
不遵守政策
6.1.3.晋升政策
6.1.4.培训
6.1.5.日程安排和工时报告
6.1.6.员工绩效评价
6.1.7.强制休假
强制休假确保每年至少一次有常规人员之外的其他人来代行职责,这种做法减少了进行不正当或违法行为的机会,只要不存在员工相互串通掩盖问题,在强制休假期间就有可能发生欺诈行为。
工作轮换为减少欺诈或恶意行为的风险提供了额外的控制,因为同一个员工不长期执行同一个任务,这也为由常规职责之外的其他人来代行职责并发现可能的违规行为提供了机会。
6.1.8.解聘政策
6.2.采购实务
采购实务是组织获取支持所需IS职能的方式,组织可以通过集中方式在内部实施全部IS职
升级会员 