出版时间:2007-1 出版社:中国时代经济出版社 作者:钱啸森 页数:355
Tag标签:无
内容概要
《国外信息系统审计案例》较全面地反映了信息系统审计的各个层面,通过分析丰富的案例,既通俗易懂,又有很强的可操作性。
书籍目录
序前言第一部分 国外信息系统审计案例一、信息系统计划组织与技术构架【案例1】澳大利亚审计署对退役军人事务部IT服务外包合同管理的审计【案例2】澳大利亚审计署对Centrelink信息技术管理的审计【案例3】澳大利亚联邦政府互联网安全的审计二、信息安全保护与灾难恢复【案例4】对加拿大多伦多市政府ORACLE数据库安全审计【案例5】TALLAHASSEE市审计局对本市局域网进行的逻辑安全审计【案例6】美国审计署对联邦存款保险计算机病毒保护程序的审计【案例7】澳大利亚审计署关于政府中心网络商业永续和危机管理的审计三、运用软件系统开发、获得、实施及维护【案例8】对加拿大电子通用信息管理系统(eCIMS)开发的审计【案例9】美国审计署对联邦存款保险公司时间和出勤处理系统开发项目审计【案例10】加拿大伯克利市审计局对该市财政系统变更的审计四、商业流程评估及风险管理与综合案例【案例11】对GIAC公司Unix系统的审计【案例12】美国审计署关于SBA财务管理信息安全的审计【案例13】澳大利亚卫生与老龄人口部信息技术审计【案例14】加拿大审计署对政府信息技术安全的审计第二部分 信息系统审计准则、指南和程序一、美国信息系统审计与控制协会(ISACA)的信息系统审计准则、指南和程序摘要一、国际最高审计组织的信息系统安全检查方法——对政府机构信息系统安全进行检查指南二、美国系统网络安全协会(SANS)信息安全管理审计检查(清单)四、美国信息系统审计与控制协会(ISACA)的COBIT框架简介第三部分 国际注册信息系统审计师(简称CISA)考试及模拟题一、国际注册信息系统审计师一、习题汇编二、习题答案
章节摘录
分析员 T:如果分析师在系统设计中出现错误,系统的准确性和可用性将受损。 C:设计资料中应包含用户可以理解的详细说明。设计流程的每个阶段用户都应签字认可。可以考虑采用原型法,因为原型法是一种有效的、进行全面功能开发前最终确定用户需求的方法。 T:分析师比程序员对信息系统的交互理解全面,他们可能利用自身对系统的认识绕过控制。 C:分析师不应有对源代码的修改权限,也不应该有对编译器或汇编程序的接触权,以防止其开发应用程序。分析师也不应有权发起或者批准敏感交易。 系统支持人员 T:系统支持人员负责管理非自身所有的信息,存在对信息或程序修改或未经授权输出的风险。 C:支持人员不应有权使用编译器或汇编语言以防止其开发应用程序,不应有权接触应用信息系统的源代码。 操作系统供货商通常能提供强大的修改工具直接修改程序和数据。通过向供货商寻求修改工具的使用方法或建议,支持人员可以绕过系统控制、离线存储敏感信息。因此对系统修改工具的使用应该要求输入密码,该密码应仅限当班主管知道。媒介资料员应该记录何时限制使用的修改工具被签字使用。所有限制使用的工具都应在日誌登记其使用情况,内审人员和系统审计人员负责查阅操作管理员和媒介资料员保存的日誌。 如果操作系统登录控制包非常复杂,能够对上述所有设备的登录、复制和执行操作进行控制,这套机制就比离线使用的设备更能依赖。采用此套流程,内部审计/系统审计人员应该定期检查权限管理,确保已授权用户定期更改密码。通常,每使用一次系统变更工具,就应该修改一次执行密码。 ……
图书封面
图书标签Tags
无
评论、评分、阅读与下载