IT审计实务
- 格式:pdf
- 大小:106.36 KB
- 文档页数:3


it审计案例
某公司是一家IT服务提供商,为客户提供定制化的IT解决方案。由于业务规模的扩大,公司管理层决定进行一次IT审计。
IT审计团队首先对公司的信息系统进行了概览,包括硬件设备、软件程序、数据库、网络架构等。在对系统进行审查时,审计团队发现了一些问题。首先,公司的硬件设备并没有采取严格的控制措施,例如,服务器房间没有安装专门的访问控制系统,只有几个人有权限进入。这样的安全措施太过简单,对于保护公司的敏感信息来说是不够的。
其次,公司的软件程序存在一些漏洞和安全隐患。审计团队发现,某个核心系统的程序版本已经过时,存在已经被公开披露的漏洞,但公司并没有及时升级。这个漏洞可能会导致黑客入侵和数据泄露的风险。此外,公司的开发团队没有严格的代码审查制度,代码质量和安全性无法保证。审计团队建议公司加强软件开发过程的管理和监督。
还有,公司的数据库存在一些问题。审计团队发现,数据库没有进行及时的备份和恢复测试,也没有设置合理的权限控制,导致一些敏感数据可能面临泄露的风险。此外,审计团队还发现了一些存储敏感数据的文件并没有加密,这也增加了保护数据的难度。
最后,审计团队还对公司的网络架构进行了评估。他们发现公司的内部网络与外部网络并没有进行有效的隔离,容易受到外部攻击。此外,公司没有建立网络入侵检测系统,无法及时发现和应对潜在的网络攻击。
根据以上问题,审计团队向公司的管理层提出了一些建议。首先,加强硬件设备的控制,例如,安装专门的访问控制系统,限制进入服务器房间的人员。此外,及时升级软件程序,修复已经公开披露的漏洞,并建立代码审查制度。另外,加强数据库的备份和恢复测试,设置合理的权限控制和加密敏感数据。最后,加强网络安全,与外部网络隔离,建立网络入侵检测系统。
通过对IT系统的审计,公司意识到了自身存在的安全风险和不足之处,并采取了相应的改进措施,提高了公司的信息安全水平。
审计理论与方法——第十一章计算机审计
目录
01考情分析
02内容介绍
03内容讲解
【考情分析】
随着审计信息化的发展,计算机审计越来越成为审计中一个不可忽略的问题。本章与其他章节关系不大,属于非重点章节,分值3分左右。
初级资格仅要求第一节,但历年考试内容也可能涉及一些第三节知识。
内容介绍
第一节计算机审计概述
第二节电子数据审计
第三节信息系统审计
第一节计算机审计概述
一、计算机审计的含义(2019年变化)
从广义上来看,计算机审计是在信息技术环境下发展的审计技术方法的总称;从狭义上来看,计算机审计可以包括对计算机产生的电子数据的审计、对信息系统本身的审计和大数据审计。
电子数据审计:是以被审计单位信息系统产生的电子数据,为审计对象的审计,包括被审计单位的财务数据和业务数据。
信息系统审计:是以被审计单位的信息系统本身为审计对象的审计,包括信息系统建设管理情况审计、信息系统应用绩效情况审计,以及网络和信息安全情况审计等。
大数据审计:是以数量巨大、来源分散、格式多样的经济社会运行数据为审计对象的审计,审计人员需要遵循大数理念,运用大数据技术方法和工具,开展跨层级、跨地域、跨系统、跨部门和业务的深入挖掘与分析。
计算机对审计的影响可以分为两个方面,既有对审计对象客体的影响,又有对审计自身的影响。
二、计算机审计的过程
三、计算机审计技术(2019年新)
计算机审计技术通常分为两类,一类是面向信息系统的审计技术,在信息系统审计中广泛使用,另一类是面向数据的审计技术,在电子数据审计和大数据审计中广泛使用。
面向信息系统:程序代码检查法、平行模拟法、测试数据法、嵌入审计模块法等。
面向数据:数据查询、统计分析、数值分析等方法。
常见的工具包括 Excel、 Access等通用类工具,也包括 SQL Server、 Oracle等专用的数据库工具,还包括ACL、IDEA等专业分析工具。
IT系统安全审计方案
一、背景介绍
随着信息技术的广泛应用和互联网的快速发展,IT系统在企业运营中扮演着重要的角色。然而,随之而来的安全威胁也不断增加,给企业正常运营带来了巨大风险。因此,对IT系统进行安全审计,及时发现并解决潜在的安全问题,对企业来说是至关重要的。
二、目标与范围
2.1 目标
本安全审计方案的目标是对企业的IT系统进行全面、准确的安全审计,找出系统存在的安全问题,并提供整改措施,确保IT系统的安全稳定运行。
2.2 范围
本安全审计方案的范围包括企业所有的IT系统,涵盖操作系统、网络设备、数据库、应用程序等各个层面。
三、审计方法与步骤
3.1 审计方法
本安全审计方案采用综合性的审计方法,包括以下几个方面:
- 文献资料审阅:对IT系统的相关文献资料进行审阅,了解系统的架构、功能和安全规范。
- 安全策略检查:审查企业的安全策略和规范,评估其合理性与有效性。
- 安全漏洞扫描:利用专业的安全扫描工具,全面扫描IT系统中存在的漏洞,并生成扫描报告。
- 弱口令检查:通过对系统账户的密码策略进行审查,检测弱口令的存在。
- 安全配置审查:对IT系统的配置进行审查,发现潜在的安全风险。
- 安全事件分析:通过审查日志记录和事件报告,对系统的安全事件进行分析和解读。
3.2 审计步骤
本安全审计方案的审计步骤如下:
1. 确定审计目标和范围,明确所需资源和时间。
2. 收集相关文献资料,了解IT系统的基本情况。
3. 对企业的安全策略和规范进行审查,评估其合理性与有效性。
4. 运用安全扫描工具对IT系统进行全面的扫描,并生成扫描报告。
5. 对系统账户的密码策略进行审查,检测弱口令的存在。
6. 对IT系统的配置进行审查,发现潜在的安全风险。
7. 审查系统的日志记录和事件报告,分析和解读安全事件。
8. 根据审计结果,提供整改措施和建议。
9. 编写审计报告,并向企业相关部门进行汇报。
IT审计
概述:
IT审计是分为:信息技术一般控制审计(ITGC)和应用层面控制审计(ITAC)1,ITAC(支持财审做对一些对具体余额的认定进行审计)
ITAC即针对某一个应用软件的控制,例如对于银行来说,就有银行利息的计算
软件。那么审计这个计算过程对不对,就是ITAC了。IT审计员会在系统中查看
这个程序的源代码,看看利息是不是用借款乘以利率算出来的,另外,也会在系
统中生成一个存款,然后看看系统计算的对不对。2,ITGC(IT一般控制)
但是我们知道,我们只能在一年中某已一个点来测试ITAC,如何保证在过去的
一个财年内这个软件计算过程都是对的呢?这就需要ITGC是不是有效的,如果
这个程序没有被乱篡改,所有的程序变更都事先得到了许可和授权,这个程序出
问题的时候可以得到及时有效的解决,也就是ITGC有效的情况下,IT审计员就
可以得出这个利率计算过程是有效的。ITGC内容(可以先不看):
(1)ELC(entitylevelcontrol)控制。
就是看看客户在IT治理方面的相关组织架构是否合理,书面的管理制度是不是健全,具
体的审计程序就是获取客户的组织结构图,及一些比较虚的总纲类的书面管理制度如《IT
管理制度》等等。
(2)系统开发和变更。
就是关注系统开发和系统后续小变更中的一些控制,具体的审计程序就是获取系统开发及变
更相关的管理制度典型的如《系统开发制度》《系统变更管理制度》等来看一看,再看系统开发是否经过了需求提出、可行性研究、领导层审批,系统上线之前是不是经过了充分的测
试,获取一些内控痕迹和表单,如《××系统需求报告》、《××系统可行性报告》、《××系
统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审
批单》,然后变更方面比较重要的就是《变更审批单》,这个一般来说还要进行抽样,而上
面的开发流程一般来说做一两个穿行测试就行了。
(3)操作系统及数据库控制。
这一块呢具体就是看操作系统和数据库登录是不是要密码,然后把登录界面截个屏作为审计