信息安全审计信息安全风险管理工作的内容有哪些?各工作环节的工作重点是什么?

信息系统一般控制审计的审计方法有哪些内容

信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。

信息系统审计的方法 信息系统审计过程与一般审计过程一样，分为准备阶段、实施阶段和报告阶段。

其中，准备阶段和报告阶段所涉及的技术方法与财务审计所运用的技术方法区别不大，而实施阶段所涉及的技术方法则具有信息技术的特色。

在实施阶段，针对被审计的信息系统，审计人员所开展的工作可以分为三个层次，即了解、描述和测试。

计算机信息系统环境下审计技术方法与手工环境下传统的审计技术方法相比，相应增加了计算机技术的内容。

对信息系统审计的方法既包括一般方法即手工方法，也包括应用计算机审计的方法。

信息系统审计的一般方法主要用于对信息系统的了解和描述，包括：面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等。

应用计算机的方法一般用于对信息系统的控制测试，包括：测试数据法、平行模拟法、在线连续审计技术(通过嵌入审计模块实现)、综合测试法、受控处理法和受控再处理法等。

应用计算机技术的审计方法主要是指计算机辅助审计技术与工具的运用。

但不能把计算机辅助审计技术与工具的使用过程与信息系统审计等同起来。

在信息系统审计的过程中，仍然需要运用大量的手工审计技术。

信息系统审计应关注的重点环节 1.数据环节 在审计中，必须使用一种方法能够向前、向后追踪单个交易和资产记录，以便使审计人员选择一些交易对其进行详细检查，确认交易记录是否符合一般的审计目标。

如对会计事项信息的检查，要检查它的完整性、时效性、合规性和信息披露等方面，检查内容包括与本会计年度有关的交易是否全部记录在册；所有记录的交易是否都是合理发生的并与本会计年度有关；记录的交易是否数据准确，计算无误：记录的交易是否符合基本的和辅助的法律规定，符合特定权威机构的要求；对记录的交易是否进行正确的分类，并符合信息对外披露的要求等。

对财务报表信息的检查，要检查完整性、存在性、会计计量、所有权以及信息披露等方面，检查内容包括是否记录了所有的资产和负债：所有记录的资产和负债是否都是存在的；对资产和负债的计量是否精确，计算方法是否符合按合理性、一致的标准制定的会计政策的要求：确认资产是被审主体所有的、负债是被审主体应该承担的，并且资产和负债是否由合法的经济活动产生的；资产、负债、资本和存货是否都得到正确的披露。

同时对信息系统提供的业务信息也要进行分析，例如每月的工资总数、某阶段的付款清单和订货信息等，要弄清基本的交易情况，并一直追踪到信息源。

对上述信息的分析可以采用计算机辅助审计技术，按照特定的标准对数据进行汇总、分类、排序、比较和选择，并进行各种运算。

2.内部控制环节 内部控制一般而言是指组织经营管理者为了维护财产物资的安全、完整，保证会计信息的真实、可靠，保证经营管理活动的经济性、效率性和效果性以及各项法律和规范的遵守，而对经营管理活动进行调整、检查和制约所形成的内部管理机制，是组织为实现管理目标而形成的自律系统。

计算机系统的内部控制主要分为应用控制、一般控制和管理控制等三个方面，在审计过程中要对被审计单位内控制度进行评价，包括电算化系统的内控制度。

为了对系统的内控制度进行评价，审计人员必须验证内部控制系统是否存在，并能提供令人满意的证据，证明它正在有效地发挥作用。

在计算机系统中，应检查以下方面来证明内控制度的有效性：(1)控制系统资源的存取。

包括物理资源，例如终端、服务器、连接盒、相关文档等；还包括逻辑资源，如软件、系统文件和表、数据等。

(2)控制系统资源的使用。

用户应该只能对授权给他们的那些资源进行操作。

(3)建立按用户职能分配资源的制度。

把重要的任务功能按用户或用户组进行分离，以减少无意的误操作、滥用系统资源和对数据的非授权修改。

(4)记录系统的使用情况。

按时间顺序建立一个使用记录，记录内容应包括例外事例和与安全有关的事件是由谁触发的，财务信息的创建、修改和删除是由谁完成的。

(5)确认处理过程的准确性。

用产生财务控制信息，确认处理过程的准确完成。

(6)管理人员对财务信息系统的修改。

应该保证财务信息系统的所有修改都是经过授权、有文档记录、经过彻底(独立地)测试的，确认最后以一种有控制的方式投入使用。

(7)保护财务信息系统免遭计算机病毒的袭击。

必须建立一套控制措施，检测病毒，防止病毒感染财务信息系统。

3.数据传输转移环节 在信息系统中，有些数据需要在两个财务信息系统或财务信息系统与业务信息系统之间相互转移，在此过程中可能会出现一些问题，尤其是在需要手工重新录入时。

因此在审计时要重点关注以下方面：在转移过程中数据可能会发生变化；新的科目代码表与老的可能不一样，需要在两个财务信息系统之间建立复杂的对应关系：中心数据库可能被一些地理上分散的服务器取代；当前财务信息系统中的数据质量不佳；当用一个总的信息系统取代一个预定财务信息系统时，需要补充许多新的数据。

在检查这一环节时，一定要保证输出的消息是经过批准、完整和精确的，保证输出的消息在约定时间内准确地发送给指定的接收者，保证流人的消息是完整、准确和真实可靠的。

信息系统审计案例分析 2006年，在对某酒店开展的审计中，对酒店信息系统的安全性、可靠性进行了测试。

测试结果发现信息系统在数据传输和运算上存在错误，通过数据验证，证明错误产生的原因是由信息系统本身缺陷造成的。

上述审计结果得到了被审计单位的认可，促使被审计单位更换了信息系统，提高了计算机管理水平。

这次审计之所以能取得一定的效果，主要是注意从数据和内控制度入手，利用计算机辅助审计技术和手工审计技术相结合开展信息系统审计。

(1)在数据环节上，信息系统审计和数据审计对系统数据的利用角度是不一样的。

数据审计侧重于数据之间的关联，是审计数据的结果；而信息系统审计侧重于数据的真实完整性，是通过测试数据的真实完整性来审计信息系统的安全性和可靠性。

在审计中，通过详细了解信息系统的数据库结构，对比数据库中表文件的记录数量大小和字段完整程度，确定需要查询的数据库表文件，把主表的数据完整性作为重点的测试目标。

(2)在内部控制和数据传输环节，通过绘制组织机构图、系统流程图和现场走访等方式，全面了解酒店的业务流程和工作特点。

通过摸清酒店的业务流程，跟踪基础数据流在业务流程中的走向，锁定数据的大量运算点，是确定审计方向的关键。

信息系统中所有业务活动的发生都集中体现在基础数据流上，基础数据流是一个信息系统的重要构成要素，数据的大量运算点是测试系统运行安全性和可靠性的关键点。

在此基础上，确定了年审日报汇总、会议团体客房转账和业务系统与财务核算系统手工传输数据三个系统模块，作为对信息系统进行安全性、可靠性测试的重点。

这三个模块是信息系统内数据大量运算和系统间传输数据的关键点，由于基础数据在运算、自动传输和手工传输过程中存在发生错误和被调整修改的可能性，因此利用计算机辅助审计技术进行验证。

在验证过程中，通过分步骤编写查询语句和程序，调出数据生成中间表进行比对，发现疑点，根据疑点特征继续比对，直到发现错误点。

在SQL语句不能保证完成大批量查询和比对任务的情况下，采用计算能力更强、运算速度更快的JAVA来编写查询程序，起到了事半功倍的效果。

为什么要对信息系统应用程序进行审计

信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整，以及有效率地利用组织的资源并有效果地实现组织目标的过程。

由于信息技术在经营、管理领域的广泛运用，信息系统审计已经贯穿在各种审计之中，成为审计全过程的一部分。

信息系统审计的内容：对银行信息系统进行审计的内容主要集中在以下几个方面：·对信息系统的管理、规划与组织的审计--评价组织信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。

·对信息系统技术基础设施与操作实务的审计--评价组织在技术基础设施与操作实务的管理和实施方面的有效性及效率，以确保其充分支持组织的商业目标。

·对信息资产的保护的审计--对逻辑、环境与信息技术基础设施的安全性进行评价，确保其支持组织保护信息资产的需要，防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。

·对灾难恢复与业务持续计划的审计--这些计划是在发生灾难时，能够使组织持续进行业务，对这种计划的建立和维护流程需要进行评价。

·对应用系统开发、获得、实施与维护的审计--对组织业务应用系统的开发、获取、实施与维护方面所采用的方法和流程进行评价，以确保其满足组织的业务目标。

·对IT相关业务流程的审计--评估组织业务系统与处理流程，确保根据组织的业务目标对相应风险实施管理。

·与信息安全相关的人力资源管理的审计--评估与安全相关的人力资源管理政策、程序、实务，以及“信息安全，人人有责“的企业文化。

信息系统审计工作可以分为两大类：一种是组织自行完成的内部审计，内部审计的主要目的是检查组织各部门对安全保障制度的遵守情况，要保证内部审计师在他们能自由地和客观地进行工作时是独立的，独立性可使内部审计师提出公正和不偏不倚的判断意见。

信息系统审计执行主管应该对审计委员会、董事会或其他治理机构报告业务工作，向机构的首席执行官报告行政工作。

另一种是由会计师事务所或专业技术服务提供商完成的外部审计。

外部审计通常是因为上市、并购、年终检查或其他法规的要求而进行，一般都很正规，也非常深入。

进行信息审计的受托方应当独立于委托方，以保证信息系统审计的客观性与公正性。

四大会计师事务所信息安全职位发展前景怎么样？工作有没有审计职位那么辛苦？

IT审计属于公司的咨询部门，工作量没有审计职位那么大，平时基本能保证正常上下班，但也基本上是在客户处上班，除了IT系统审计，还会做一些诸如Audit support，项目管理等方面的工作。

ITA也有自己的专业证书，就是CISA，只有一门，现在每门可以考三次，拿到这个证书比CPA容易多了。

随着企业不断信息化以及上市的需求，系统的依赖性越来越强，所以IT审计还是很有前景的。

常见的信息系统审计准则与规范有哪些

内部审计具体准则第2203号 -般公认信息系统审计准则。

包括职业准则、ISACA公告和职业道德规范。

职业准则可归类为：审计规章、独立性、职业道德及规范、专业能力、规划、审计工作的执行、报告、期后审计。

ISACA公告是信息系统审计与控制协会对信息系统审计一般准则所做的说明。

ISACA职业道德及规范提供针对协会会员或信息系统审计认证(Certified Information System Auditor，CISA)持有者有关职业上及个人的指导规范。

信息安全风险管理工作的内容有哪些?各工作环节的工作重点是什么?

工作内容主要包括: 1、负责公司信息安全风险识别、根据安全等级定义进行安全审计评估； 2、信息安全违规事件调查与处理。

3、安全审计检查技术设计、实现与报告编制； 4. 负责公司全面风险信息的监测、分析与报告; 5. 负责公司全面风险管理信息系统建设与实施; 6. 负责公司风险数据管理与各类监管数据统计报送工作; 7、其他临时性技术支援工作的开展，如参与项目产品的信息安全策略的集成和应用； 8、配合上级部门进行信息安全内审和外审工作；