信息系统监理与信息系统审计比较分析
- 格式:doc
- 大小:171.00 KB
- 文档页数:41
下载文档原格式
合集下载
信息系统审计与信息系统监理的再比较
信息系统审计与信息系统监理的再比较所谓信息系统审计是指,审计人员接受委托或授权,收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整并最有效率地完成组织目标的活动过程。
它既包括信息系统外部审计的鉴证目标——即对被审计单位的信息系统保护资产安全及数据完整的鉴证,又包含内部审计的管理目标——即不仅包括被审计信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。
信息系统工程监理,依据信息产业部《信息系统工程监理暂行规定》,是指依法设立且具备相应资质的信息系统工程监理单位,受业主单位委托,依据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程项目实施的监督管理。
两者都可以服务于信息化建设,可以降低信息化投资风险。
但目前在信息化建设领域,信息系统审计尚未被人们接受,在国内的推动中一提到审计,大家就认为是只有对会计报表的审计,似乎与IT和信息系统无关,相比较而言,人们更接受信息系统监理的概念,有些人甚至认为信息系统监理就是信息系统审计。
对这两者认识的模糊,不仅影响到我国信息系统审计业的发展,而且影响到信息时代的市场经济秩序与国家安全等问题。
国外没有信息系统监理的概念,在我国这一概念的提出是借鉴工程建设监理,而信息系统审计是21世纪初从国外介绍到国内的,尽管人们对两者存在模糊认识,但目前尚未见到系统比较两者的文章,笔者想通过比较,使人们认识到在信息化建设中,信息系统审计是不可替代与必不可少的,推动我国信息系统审计的发展是信息时代的要求。
1、信息系统审计与信息系统监理的发展与实践1.1 信息系统审计信息系统审计最早称为计算机审计,是随着计算机在财务会计领域的应用而产生的,作为传统财务审计业务的一种辅助工具,对客户的电子化会计数据进行处理和分析,为财务报表审计人员提供服务。
随着计算机技术应用范围的不断扩展,计算机对被审计单位各个业务环节的影响越来越大,计算机审计所关注的内容也从单纯的对电子的处理,延伸到对计算机系统的可靠性、安全性进行了解和评价。
信息系统监理的概念
信息系统监理的概念
信息系统监理是指在信息系统工程建设过程中,受业主委托,独立、公正地行使监理权,对信息系统工程的质量、进度和投资进行全面监督和管理。
信息系统监理的主要目的是协助业主确保信息系统工程的质量、进度和投资符合业主的要求,并确保工程按照合同约定和计划顺利进行。
信息系统监理的工作涉及到信息系统的规划、设计、开发、测试、部署、运维等多个环节,需要对信息系统的各个方面进行全面把控。
在信息系统监理过程中,监理单位需要与业主、承建单位、供应商等相关方进行密切沟通和协调,确保各方之间的合作顺畅,及时解决问题和纠纷。
具体来说,信息系统监理的主要工作包括:
1.制定监理计划和方案,明确监理范围、工作内容、工作流程和标准等。
2.对信息系统工程的质量、进度和投资进行全面监督和管理,确保工程符合合
同要求和业主需求。
3.对信息系统的规划、设计、开发、测试、部署、运维等环节进行全面把控,
确保各方面工作符合要求。
4.对承建单位、供应商等相关方进行管理和协调,确保各方之间的合作顺畅。
5.对信息系统工程中的风险进行评估和管理,及时发现和处理问题,确保工程
顺利进行。
6.为业主提供咨询和建议,协助业主解决工程中的问题和纠纷。
7.按照合同约定,向业主提交监理报告和相关文档,确保报告和文档的真实性
和准确性。
总之,信息系统监理是在信息系统工程建设过程中不可或缺的一环,通过行使独立的监理权,对信息系统工程的质量、进度和投资进行全面监督和管理,确保工程按照合同约定和计划顺利进行,并满足业主的需求。
第11章 信息系统的监理、审计与评价
【往年试题】一、委托人-代理人理论1.不利选择:在建立委托人-代理人关系之前,代理人已经掌握某些委托人不了解的信息,而这些信息有可能是对委托人不利的。
2.道德风险(名词):代理人在为其自身效用最大化的同时损害委托人或其他代理人效用的行为。
3.激励机制(名词):委托人如何使代理人从自身效用最大化出发,自愿地或不得不选择与委托人标准或目标相一致的行动。
二、信息系统监理1.信息系统监理(名词):具备相应资质的第三方,根据信息系统的开发规律及国家法律法规,开发合同和监理合同的要求,对信息系统开发过程中的行为,事件和文档进行审查和监督,为用户方提供与项目有关的信息和信息处理能力的支持,以确保信息系统建设成功。
2.信息系统监理有那些模式:咨询式监理,里程碑式监理,全程式监理。
(简答)(1)咨询式监理:只对用户就系统建设过程中提出的问题进行解答,其性质类似于业务咨询或方案咨询。
(2)里程碑式监理:是指按照信息系统的开发规律,将信息系统的建设划分为若干阶段,在每一个阶段结束都设置一个里程碑,在里程碑到来时通知监理方进行审查或测试。
(3)全程式监理:不但要求对系统建设过程中的里程碑进行审查,还应该派相应人员全程现场跟踪、收集系统开发过程中的信息,不断评估开发方的开发质量和效率。
3.信息系统建设监理(1)定义:信息系统建设监理是监理单位受用户方的委托,对信息系统建设实施的监督管理。
(2)监理的主要内容是:对信息工程的质量、进度和投资进行监督,对项目合同和文档资料进行管理,协助有关单位间的工作关系。
3.信息系统的监理费用:按时计算法,工资加一定比例的其他费用计算法,监理成本加一定比例其他费用计算法,固定价格计算法,按信息系统建设成本的百分比计算,按减少的项目风险计价。
三、信息系统的计审1、信息系统审计的含义:(1)计算机审计:用计算机和信息系统作工具,辅助一般的财务审计工作。
(2)信息系统运行审计:对信息系统支持的业务信息或业务数据审计,检查其正确性和真实性。
信息系统审计和监理比较
信息系统审计与信息系统监理的再比较孟秀转孙强所谓信息系统审计是指,审计人员接受委托或授权,收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整并最有效率地完成组织目标的活动过程。
它既包括信息系统外部审计的鉴证目标——即对被审计单位的信息系统保护资产安全及数据完整的鉴证,又包含内部审计的管理目标--即不仅包括被审计信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。
信息系统工程监理,依据信息产业部《信息系统工程监理暂行规定》,是指依法设立且具备相应资质的信息系统工程监理单位,受业主单位委托,依据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程项目实施的监督管理。
两者都可以服务于信息化建设,可以降低信息化投资风险。
但目前在信息化建设领域,信息系统审计尚未被人们接受,在国内的推动中一提到审计,大家就认为是只有对会计报表的审计,似乎与IT和信息系统无关,相比较而言,人们更接受信息系统监理的概念,有些人甚至认为信息系统监理就是信息系统审计。
对这两者认识的模糊,不仅影响到我国信息系统审计业的发展,而且影响到信息时代的市场经济秩序与国家安全等问题。
国外没有信息系统监理的概念,在我国这一概念的提出是借鉴工程建设监理,而信息系统审计是21世纪初从国外介绍到国内的,尽管人们对两者存在模糊认识,但目前尚未见到系统比较两者的文章,笔者想通过比较,使人们认识到在信息化建设中,信息系统审计是不可替代与必不可少的,推动我国信息系统审计的发展是信息时代的要求。
1信息系统审计与信息系统监理的发展与实践1.1信息系统审计。
信息系统审计最早称为计算机审计,是随着计算机在财务会计领域的应用而产生的,作为传统财务审计业务的一种辅助工具,对客户的电子化会计数据进行处理和分析,为财务报表审计人员提供服务。
随着计算机技术应用范围的不断扩展,计算机对被审计单位各个业务环节的影响越来越大,计算机审计所关注的内容也从单纯的对电子的处理,延伸到对计算机系统的可靠性、安全性进行了解和评价。
信息系统工程监理与IT审计的关系及比较
信息系统工程监理与IT审计的关系及比较2012-08-01 13:47:34 来源:CIO时代网 CIO时代摘要:由于信息系统工程具有投资大、高技术、高风险的特点,对信息系统进行严格规范的控制至关重要,信息系统工程监理和IT审计作为两种信息系统工程监管手段......关键词:信息系统IT审计通过对信息系统工程监理与IT审计的基本内容进行研究,下面将从两者的相似性、不同点以及两者的联系和发展对其进行分析。
1 信息系统工程监理与IT审计的相似性由于信息系统工程具有投资大、高技术、高风险的特点,对信息系统进行严格规范的控制至关重要,信息系统工程监理和IT审计作为两种信息系统工程监管手段,二者都具有下列的特点:二者都是以管理为核心,以法律法规为保障,以技术为支撑,并以第三方的客观立场,目的都是为了提高信息系统工程安全和质量,降低信息化建设投资风险。
2 信息系统工程监理与IT审计的不同点从信息系统工程监理和IT审计的定义和工作内容,我们可以看出二者的区别。
区别主要反映在目标、作用、覆盖生命周期、与信息系统相关方的关系、使命的侧重点及不同点,并由此派生出的实施效果、控制手段、最终工作成果不同点。
(1)从管理定位分析,信息系统工程监理采取的是对工程项目进行管理,管理对象是信息系统工程的集成企业和设备供应商。
而IT审计是对信息系统进行检查评价,没有管理对象,只有审计对象。
(2)从管理特点分析,信息系统工程监理是受业主单位委托,按照监理合同要求,协助业主单位监督检查信息系统工程项目实施;要解决的是在信息系统工程项目实施过程中的质量、进度和投资额等是否满足建设要求;重点是对实施过程的管理。
IT审计是向IT审计对象的最高领导提出问题和建议;要解决的是信息系统有关的资产保护问题、数据完整性问题、系统有效性问题、系统效率问题;重点是对实施效果的评价。
(3)从管理效果分析,信息系统工程监理一般应用于信息系统工程项目的实施阶段,并随着信息系统工程项目实施的结束而结束;项目监理过程是可见的,即对项目成本、进度及质量的事前、事中、事后进行全过程控制;质量控制手段包括评审、旁站、抽查等;最终工作成果是经过验收的可以投入使用的信息系统。
电子政务信息系统的审计与监理电子政务的评价
个阶段,在每个阶段完成后,由专业的监理方对该阶段 进行审查和测试。
特点:分段式监理与咨询式监理相比较费用高,监 理方的责任也较之增大。 采用分段式监理应该注意的事,对每个阶段的界定 应该由用户、监理方和实施方共同参与。
全程式监理
全程式监理是指对电子政务信息系统建设过程中的 每个阶段都进行审查,并有专门人员进行全程跟踪、 收集电子政务信息系统开发中的信息,不断的评估和 监控实施方的实施过程。 特点:全程式监理是责任最大,费用最高的一种监 理方式,适合于基础设施不完善、技术力量较弱的政 府进行监理。
电子政务信息系统审计与监理的联系
执行方 具有相关资格,对工作人员的公正性和客观 性都有要求
相似点
依据
都需要遵循和遵守公认的标准和指导规范
联系
电子政务监理通过科学地规划和控制工程建设项目的 投资、进度和质量三大目标,有效协调各方相互之间 的关系,确保电子政务项目能按时、按预算、按质量 要求完成任务。而通过审计来确认预定的业务目标是 否得到了实现。 二者共同构成了电子政务系统从建设到运行的监督体 系。
位正确地进行投资决策;
•在设计阶段对设计方案、设计标准、总预算进行审查; •在实施准备阶段协助确定标底和合同造价; •在实施阶段审核设计变更,核实已完成的工程质量及投资变更, 进行工程进度款签证和索赔控制;
•在工程竣工阶段审核工程结算。
三控制
进度控制
进度控制是指采用事先控制、全程监督和事后 纠正的方法达到进度控制的目标,确保电子政 务信息系统的建设工期,包括施工工期控制和 软件开发工期控制。
信息系统运行过程的审计是否已指定数据输出管理规定数据输出管理规定是否得到贯彻落实是否有防止不当行为和保护机密数据的措施输出数据是否及时准确格式是否规范系统输出的审计是否制定数据管理的规定是否得到贯彻落实对数据的存取控制及监控是否有效数据的利用状况是否得到记录并进行定期分析数据备份数据灾难恢复等措施是否合理有效数据整个处理过程是否有防止差错防止非法访问和保护机密数据的措施数据的知识产权是否得到应有的重视和管理数据库的审计针对计算机的处理能力和处理逻辑对审计处理过程进行抽样对抽取的处理过程进行全程跟踪记录对数据从被系统接收到处理完毕之间的整个处理过程进行检验分析和评价数据处理的正确性和效率给出信息系统数据处理性能的评价报告和合理建议处理过程的审计是否已制定网络管理方法是否得到贯彻落实对网络存取控制及监控是否有效网络的利用状况是否有记录是否定期进行分析系统审计是否制定并遵守数据输入管理方法是否得到贯彻落实是否有防止输入数据差错拒绝非法访问数据保密等的措施措施是否有效输入数据的存储和删除是否符合数据输入管理方法系统输入审计信息系统维护过程的审计新程序的测试是否按测试计划进行是否有用户参加心策划能够序的测试结果是否得到开发运行维护及用户的认可新程序的测试结果是否被记录下来并得到妥善保管维护过程的文本是否齐全完整维护确认的审计系统开发设计中形成的各类文档是否按维护计划进行修改程序的修改是否按顺序进行是否得到负责人员的同意维护实施的审计维护计划包含的内容是否完整维护计划是否得到维护方与用户负责人的认可维护计划所需的资源是否明确并合理配置维护费用的预算是否能满足维护活动的需要维护进度安排是否合理维护的测试计划是否明确维护计划的审计维护组织的大小是否满足信息系统规模的要求维护组织中人员的职责分工是否明确维护组织是否有一套科学的内部管理和协调机制维护组织的审计国外的政府网站的评价方法以电子政务的标志性特征基点累计的基础上提出电子政务评价的5分体系安全隐私可用性站点内容在线服务公众参与各国主要城市nnewjerseynewark大学sungkyunkwan大学以电子政务的标志性特征为基点对政务网站进行特征分累计发达国家ins单列出crm测评项目发达国家accenture突出信息服务和交易服务关注电子安全和隐私问题重视电子参与和在线论坛基本上都按静态单向双向交易网络五个层次描述政务服务的深度采用多指标的综合评价体系强调以公众为核心重视电
特点:分段式监理与咨询式监理相比较费用高,监 理方的责任也较之增大。 采用分段式监理应该注意的事,对每个阶段的界定 应该由用户、监理方和实施方共同参与。
全程式监理
全程式监理是指对电子政务信息系统建设过程中的 每个阶段都进行审查,并有专门人员进行全程跟踪、 收集电子政务信息系统开发中的信息,不断的评估和 监控实施方的实施过程。 特点:全程式监理是责任最大,费用最高的一种监 理方式,适合于基础设施不完善、技术力量较弱的政 府进行监理。
电子政务信息系统审计与监理的联系
执行方 具有相关资格,对工作人员的公正性和客观 性都有要求
相似点
依据
都需要遵循和遵守公认的标准和指导规范
联系
电子政务监理通过科学地规划和控制工程建设项目的 投资、进度和质量三大目标,有效协调各方相互之间 的关系,确保电子政务项目能按时、按预算、按质量 要求完成任务。而通过审计来确认预定的业务目标是 否得到了实现。 二者共同构成了电子政务系统从建设到运行的监督体 系。
位正确地进行投资决策;
•在设计阶段对设计方案、设计标准、总预算进行审查; •在实施准备阶段协助确定标底和合同造价; •在实施阶段审核设计变更,核实已完成的工程质量及投资变更, 进行工程进度款签证和索赔控制;
•在工程竣工阶段审核工程结算。
三控制
进度控制
进度控制是指采用事先控制、全程监督和事后 纠正的方法达到进度控制的目标,确保电子政 务信息系统的建设工期,包括施工工期控制和 软件开发工期控制。
信息系统运行过程的审计是否已指定数据输出管理规定数据输出管理规定是否得到贯彻落实是否有防止不当行为和保护机密数据的措施输出数据是否及时准确格式是否规范系统输出的审计是否制定数据管理的规定是否得到贯彻落实对数据的存取控制及监控是否有效数据的利用状况是否得到记录并进行定期分析数据备份数据灾难恢复等措施是否合理有效数据整个处理过程是否有防止差错防止非法访问和保护机密数据的措施数据的知识产权是否得到应有的重视和管理数据库的审计针对计算机的处理能力和处理逻辑对审计处理过程进行抽样对抽取的处理过程进行全程跟踪记录对数据从被系统接收到处理完毕之间的整个处理过程进行检验分析和评价数据处理的正确性和效率给出信息系统数据处理性能的评价报告和合理建议处理过程的审计是否已制定网络管理方法是否得到贯彻落实对网络存取控制及监控是否有效网络的利用状况是否有记录是否定期进行分析系统审计是否制定并遵守数据输入管理方法是否得到贯彻落实是否有防止输入数据差错拒绝非法访问数据保密等的措施措施是否有效输入数据的存储和删除是否符合数据输入管理方法系统输入审计信息系统维护过程的审计新程序的测试是否按测试计划进行是否有用户参加心策划能够序的测试结果是否得到开发运行维护及用户的认可新程序的测试结果是否被记录下来并得到妥善保管维护过程的文本是否齐全完整维护确认的审计系统开发设计中形成的各类文档是否按维护计划进行修改程序的修改是否按顺序进行是否得到负责人员的同意维护实施的审计维护计划包含的内容是否完整维护计划是否得到维护方与用户负责人的认可维护计划所需的资源是否明确并合理配置维护费用的预算是否能满足维护活动的需要维护进度安排是否合理维护的测试计划是否明确维护计划的审计维护组织的大小是否满足信息系统规模的要求维护组织中人员的职责分工是否明确维护组织是否有一套科学的内部管理和协调机制维护组织的审计国外的政府网站的评价方法以电子政务的标志性特征基点累计的基础上提出电子政务评价的5分体系安全隐私可用性站点内容在线服务公众参与各国主要城市nnewjerseynewark大学sungkyunkwan大学以电子政务的标志性特征为基点对政务网站进行特征分累计发达国家ins单列出crm测评项目发达国家accenture突出信息服务和交易服务关注电子安全和隐私问题重视电子参与和在线论坛基本上都按静态单向双向交易网络五个层次描述政务服务的深度采用多指标的综合评价体系强调以公众为核心重视电
信息系统监理师常考知识点汇总
信息系统监理师常考知识点汇总信息系统监理师,作为专门负责监督和审查信息系统工程质量、安全和合规性的职业,需要掌握一定的专业知识和技巧。
本文将对信息系统监理师常考知识点进行汇总,帮助考生系统地了解和掌握这些知识点。
一、信息系统工程管理1. 信息系统工程管理体系1.1 ISO/IEC 12207标准1.2 CMMI(能力成熟度模型集成)模型2. 信息系统项目管理2.1 项目管理知识体系2.2 项目管理过程组2.3 项目范围管理2.4 项目时间管理2.5 项目成本管理2.6 项目质量管理2.7 项目人力资源管理2.8 项目沟通管理2.9 项目风险管理2.10 项目采购管理二、信息系统安全1. 信息系统安全管理1.1 信息系统安全基础1.2 信息系统安全管理体系(ISO/IEC 27001) 1.3 信息系统安全风险管理1.4 信息系统渗透测试2. 信息系统安全控制技术2.1 网络安全技术2.2 数据安全技术2.3 安全加固技术2.4 安全评估与审计技术三、信息系统开发与运维1. 信息系统规划1.1 信息系统规划方法与步骤1.2 信息系统规划的内容和要素2. 信息系统开发2.1 信息系统开发方法2.2 需求分析与系统设计2.3 软件开发生命周期2.4 软件测试与质量保证3. 信息系统运维与支持3.1 信息系统运维管理3.2 信息系统故障与问题处理3.3 信息系统变更管理四、信息系统审计与评估1. 信息系统审计1.1 信息系统审计概述1.2 信息系统审计规范1.3 信息系统审计方法2. 信息系统评估2.1 信息系统评估概述2.2 信息系统评估方法与步骤2.3 信息系统评估报告撰写五、法律法规与标准1. 信息系统相关法律法规1.1 《中华人民共和国网络安全法》1.2 《信息安全技术个人信息安全规范》1.3 其他相关法律法规2. 信息系统相关标准2.1 国际标准(ISO/IEC)2.2 国家标准2.3 行业标准六、信息系统监理与验收1. 信息系统监理工作内容1.1 信息系统设计阶段监理1.2 信息系统实施阶段监理1.3 信息系统运维阶段监理2. 信息系统验收与验收标准2.1 信息系统验收流程2.2 信息系统验收标准与评价指标结语:信息系统监理师考试涉及的知识点非常广泛,本文只对其中的常考知识点进行了汇总,并没有详尽地覆盖所有内容。
11、信息系统的监理、审计与评价
甲方面对的不利选择
• 由于乙方拥有甲方所难以观察到的 隐蔽信息, 由于乙方拥有甲方所难以观察到的隐蔽信息 , 隐蔽信息 就使甲方在与乙方签合同时处于极为不利的 对策地位(不利选择) 对策地位(不利选择)。
– 如是否真正在技术上领先; 如是否真正在技术上领先; – 是否真正做过一些成功的项目; 是否真正做过一些成功的项目; – 是否使以前的用户真正从信息项目中获得了效益 等等。 等等。
乙方也面临双重不对称
• 对策双方的信息量和信息处理能力严重不对 称 , 不但表现在有关信息产品和信息技术的 知识上,还表现在对策双方对甲方的业务 (流程、管理等)上。 流程、管理等) • 因而在信息项目的对策模型中 , 很难说乙方 因而在信息项目的对策模型中, 就一定能在合同中处于优势。 就一定能在合同中处于优势。
信息系统的监理、 第十一讲 信息系统的监理、审计 与评价
一、信息系统监理的背景
企业信息化建设的误区
•有了计算机什么都好办,计算机什么都能干 有了计算机什么都好办, 有了计算机什么都好办 •企业搞信息化就是买些机器然后联成网 企业搞信息化就是买些机器然后联成网 •开发信息系统就是找人编编程序 开发信息系统就是找人编编程序 •我已经付钱了,开发是开发单位的事 我已经付钱了, 我已经付钱了 •企业信息化就是办公自动化 企业信息化就是办公自动化
• 从而降低了因 “ 隐蔽信息 ” 和信息处理能力不对称 从而降低了因“ 隐蔽信息” 引发的风险, 引发的风险 , 改善了甲方在与乙方对策过程中的不 利选择地位。 利选择地位。
监理减少甲方面临的“道德风险” 监理减少甲方面临的“道德风险”
• 在项目实施过程中,监理方可以根据自己的 在项目实施过程中, 经验判明乙方: 经验判明乙方:
信息系统监理师考试用书
信息系统监理师考试用书信息系统监理师考试是一个非常重要的考试,为了顺利通过考试,备考阶段的准备工作非常关键。
其中,选择一本合适的考试用书是非常重要的一步。
本文将介绍一些适合信息系统监理师考试备考的用书。
1.《信息系统工程项目管理师考试指南》这本用书是考试用书中的经典之作,由国内知名的信息系统工程项目管理专家编写。
书中系统地介绍了信息系统工程项目管理的理论、方法和工具,并对考试重点进行了详细的解析。
通过学习这本书,考生可以全面了解信息系统工程项目管理的知识,帮助考生顺利通过考试。
2.《信息系统安全工程师考试指南》信息系统安全是信息系统监理师考试中的一个重要考点,这本考试用书系统地介绍了信息系统安全的基本概念、安全策略和安全技术。
书中还包含了大量的考试练习题和答案,可以帮助考生进行系统的复习和巩固。
考生通过学习这本用书,可以全面掌握信息系统安全的知识,为考试做好充分的准备。
3.《信息系统规划与管理师考试指南》信息系统规划与管理是信息系统监理师考试的另一个重要考点。
这本用书系统地介绍了信息系统规划与管理的基本理论、方法和工具,并对考试重点进行了重点解析。
书中还包含了大量的实例分析和案例研究,帮助考生理解和掌握信息系统规划与管理的实践应用。
考生通过学习这本用书,可以提高自己的信息系统规划与管理能力,为考试取得好成绩提供有力支持。
4.《信息系统评估与审计师考试指南》信息系统评估与审计是信息系统监理师考试的重要考点之一。
这本用书系统地介绍了信息系统评估与审计的基本理论、方法和工具,并对考试重点进行了详细的解析。
书中还包含了大量的案例分析和实践经验,帮助考生理解和掌握信息系统评估与审计的实际操作。
通过学习这本用书,考生可以提高自己的信息系统评估与审计能力,为考试做好准备。
总结起来,选择合适的考试用书对于信息系统监理师考试的备考非常重要。
上述介绍的这些用书是备考过程中的经典之作,通过学习这些用书,考生可以全面掌握信息系统监理师考试的各个考点,提高备考的效果,为考试取得好成绩奠定基础。
信息系统审计与监控
信息系统审计与监控信息系统在现代企业中扮演着至关重要的角色,为企业的运营和决策提供了必要的依据和支持。
然而,随着技术的不断进步和网络环境的复杂性增加,信息系统面临着越来越多的风险和威胁。
为了保护企业的信息资产和确保系统的稳定运行,信息系统的审计与监控变得尤为重要。
本文将探讨信息系统审计的概念、意义以及常见的审计方法和监控技术。
一、信息系统审计的概念和意义信息系统审计是一种对信息系统的过程、控制和数据进行系统性评估的活动。
它旨在评估信息系统的完整性、可靠性和安全性,发现潜在的风险和问题,并提供相应的改进建议。
信息系统审计对于企业来说具有以下几个重要的意义:1. 保障信息资产安全:信息资产是企业的核心资产之一,其中包含了大量的敏感信息和重要数据。
信息系统审计可以识别潜在的威胁和漏洞,并建议相应的安全措施,以保护信息资产的安全性和机密性。
2. 提高运营效率:通过审计信息系统,企业可以识别系统中存在的问题和瓶颈,并提供相应的解决方案和改进措施。
这有助于提高企业的运营效率和效益,减少资源的浪费。
3. 符合法律法规和合规要求:许多行业都有相应的法律法规和合规要求,如金融行业的《IT审计指南》、医疗行业的HIPAA等。
信息系统审计可以帮助企业确保其系统符合相关要求,避免法律风险和罚款。
二、信息系统审计的常见方法信息系统审计可以采用多种方法和技术,以便全面评估系统的安全性和完整性。
以下是几种常见的信息系统审计方法:1. 抽样审计:基于统计学原理,从信息系统中随机选择一部分数据进行审计检查,以评估整个系统的合规性和准确性。
2. 流程审计:通过分析和评估信息系统中的数据流程和业务流程,检查系统中可能存在的风险和漏洞。
3. 逻辑审计:通过审查信息系统中的程序代码和逻辑流程,评估系统在设计和实施过程中是否存在问题,并推断系统的安全性和可靠性。
4. 物理审计:对信息系统的物理设备和基础设施进行审计,确保其安全性和稳定性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统监理与信息系统审计:中国的实践与美国的经验
孙强孟秀转
[摘要] 建立信息化建设的第三方监督对保证信息化建设的效益最大化至关重要。
本文通过信息系统监理和信息系统审计的概念、产生动因等进行比较,分析我国信息系统监理面临的新问题、新要求,并介绍美国信息系统审计的实践经验,在此基础上提出对我国信息系统监理事业进展的若干建议。
[关键词] 信息系统信息系统监理信息系统审计比较独立性
一、引言
“信息化带动工业化”是我国长期的重要进展战略,江泽民同志在十六大的报告中指出:“实现工业化仍然是我国现代化进程中艰巨的历史性任务。
信息化是我国加快实现工业化和现代化的必定选择。
坚持以信息化带动工业化,以工业化促进信息化,走出一条科技含量高、经济效益好、资源消耗低、环境污染少、人力资源优势得到充分发挥的新型工业化路子。
”这段论述表现了我们党对信息化建设的高度重视,也指明信息化带出一条新型工业化路子的光明前景。
目前,各地区、各部门都在认真贯彻十六大精神,十分重视
推进信息化工作,我国信息化建设差不多进入新的时期,我国信息化事业已进展到一个新的时期。
各级政府正在积极推进“电子政务”,许多都市及企业也已着手整合与升级其信息化应用系统。
能够可能,全国将有更多、更大的信息系统建设项目展开。
然而,在信息化推进过程中,存在不同程度上的一些问题,要紧表现在规划制订不够科学,项目治理不够严格,监理机制不够健全,系统运行效益不够明显。
致使相当一部分信息化项目失败或未能实现预期目标,白费了大量资源。
究其根源要紧缘故之一是信息化建设第三方监管机制的缺失和标准的不健全。
国内外的实践表明:信息化是有风险的,信息系统规模越大,功能越复杂,风险也就越大。
英国Kalido于英国时刻2001年12月12日公布了有关企业信息治理的调查结果。
调查显示,96%的企业关于本公司的信息治理系统感到不满。
关于目前正在使用的信息系统,认为"所制作的报告缺乏一贯性"或者是"核对信息花费了太多时刻"的企业约占70%。
特不引人深思的是该调查是由美国Harte-Hanks以全球500强企业以及财宝1000企业中的171家公司为对象通过问卷方式实施的。
调查对象中,40%以上的企业年交易额超过20亿美元。
其他要紧调查结果如下∶回答目前的信息系统不能灵活因应变化的企业约占60%;关于数据
的精度表示担心的企业约占60%;60%以上的企业正在策划有关数据及信息的整合打算。
这充分讲明,信息系统的建设项目较之传统工业工程项目成功率更低,风险也更加突出。
中央领导同志在国家信息化领导小组第一次会议中特不强调:信息化建设一定要讲求效益,不能搞花架子。
因此建立并逐步完善我国信息系统审计制度是健康、有序地推进信息化和落实领导小组会议精神的一项重要措施。
目前,在国内的信息化项目工程建设中,绝大多数用户(业主)无法组织队伍对信息系统建设进行专业化治理,难以胜任从可行性分析、规划设计、招标、方案评审到工程监理和工程验收全过程的治理与组织协调工作,建设方和承建方在信息建设过程中存在严峻的信息不对称问题。
这表现为借助外援进行工程治理咨询的案例越来越多,一些省市的行业主管部门也开始在信息系统建设中推行由监理进行工程质量治理的做法。
然而,监理介入信息系统在我国还处于一个探究的过程中。
我国加入WTO后,鉴于我国IT服务业以后巨大的增长空间,国际知名咨询顾问公司、专业技术服务提供商等纷纷抢滩我国市场。
在信息系统第三方鉴证业务方面,他们提供符合国际标准的信息系统审计服务。
因此当前监理事业的进展面临新的形势,监
理工作外部环境发生了深刻变化,势将对我国监理企业形成严峻冲击,本土监理企业面临前所未有的严峻挑战。
监理事业往何处去?这是摆在每一个监理人面前的重大课题。
每一个监理企业必须以进展的眼光、动态的观点、创新的思想和创新的理论正确认识和推断当前的监理形势,增强危机感和紧迫感,迎接新的挑战。
二、信息系统监理
(一)信息系统监理概念
依据信息产业部《信息系统工程监理暂行规定》,信息系统工程监理是指依法设立且具备相应资质的信息系统工程监理单位,受业主单位托付,依据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程项目实施的监督治理。
(二)信息系统监理产生动因及其进展
1、信息系统监理产生动因分析
监理工作、监理企业是我国在打算经济向市场经济转变的过程中在建设领域中应运而生的,并取得了有目共睹的显著成效,直接促进了工程监理业的繁荣进展,这也导致在通信业工程建设、信息系统建设等方面监理的出现。
因此,回忆建设工程监理的进展,将有助于对信息系统监理的认识。
1988年7月建设部公布了《关于开展建设监理工作的通知》,
随后又于1988年11月印发了《关于开展建设监理试点问题的若干意见》,使得试点工作有章可循。
1989年,依照初步试点取得的经验,建设部制定了《建设监理试行规定》,这是我国第一个比较完备的关于工程建设监理的法规文件,勾画出具有我国特色的工程建设监理制度的初步框架。
1991年又分不制定颁发了《建设监理单位资质治理试行方法》和《监理工程师资格考试及注册试行方法》,建设监理法规制度进一步配套完善。
1993年,上海市开始了工程设备监理制度的试点工作。
1998年,国务院机构改革后给予了国家质量技术监督局“协调建立设备工程监理制度”的职能要求,随后,国家质量技术监督局拟定了《协调建立设备工程监理制度的方案》,在国家进展打算委员会的指导和具体参与下,会同国务院有关部门,在国内有关技术及咨询机构的关心、支持下,完成了设备监理制度中有关规章的起草工作。
此间,世界银行、国家开发银行等亦曾规定,其贷款的有关项目要有监理公司监理,并作为申请贷款的项目单位获得贷款的差不多条件。
由此开始推行建设工程监理制度,监理事业得到持续快速进展,从而积存了一定经验,取得了积极成效。
进展至今建立了一套比较完整的监理法规体系,组成了一支规模较大的监理队伍,监理出一批优良的工程项目,监理工作在工程建设中发挥了
重要作用,得到了各级领导的支持,得到了社会的普遍认可,正逐步向规范化、制度化、科学化方向迈进。
但同时我国工程监理事业通过十多年的进展,尽管取得了一定成绩,但也存在许多问题。
如:监理人员整体素养不高、监理工作缺位、监理取费普遍较低、监理市场竞争机制不健全、监理企业缺乏自我积存和进展能力、监理责任不明确、监理工作缺乏系统的理论研究、宣传工作滞后等问题比较突出。
2、信息系统监理的进展
目前信息系统工程的现状类似于二十世纪八十年代往常建筑工程的状态。
自1988年建设部颁布《关于开展建设监理工作的通知》以后,特不是1996年建设监理全面推行后,建筑工程的质量普遍提高,业主和承建商之间的纠纷普遍减少,凡是出问题的工程,监理也有问题。
因此,要求参考建筑工程的治理方法对信息工程实施监理的呼声日益高涨,这既是信息工程用户(业主)的愿望,也是系统集成商的愿望,信息工程市场呼唤“第三方”—信息系统工程监理的出现。
早在1995年,原电子工业部就出台了《电子工程建设监理规定(试行)》。
1996年,深圳市成立了全国第一家信息工程质量监督机构—信息工程质量监督检验总站。
1998年,西安协同。