系統審計

系統審計劃分成信息系統真實性審計、信息系統安全性審計和信息系統績效審計等三種基本類型 ^[1]  。

（1）真實性 是指信息系統中的數據要如實地反映企業的實際生產經營活動。通過一系列技術手段可以確保數據的真實性,如數字簽名、時間戳、不可否認協議、不可修改存儲裝置等。這種真實性的破壞可能來自企業高層的舞弊行為，例如通過財務軟件故意作假賬，通過電子商務系統虛構交易等，到達虛增或虛減利潤的目的；也可能來自企業的中層和基層員工的舞弊行為，例如通過非法訪問或修改信息等手段，達到非法牟利目的等；也可能來自企業外部，如黑客入侵、病毒破壞等，造成商業秘密外泄，刪改企業信息等目的 ^[1]  。

（2）完整性 是指信息系統中的數據不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。在信息系統中，數據與元數據是存放在不同地方的，數據的邏輯地址與物理地址也不一樣，因此設備故障、誤碼、人為攻擊、計算機病毒等都會破壞數據完整性。在信息系統中，數據完整性是數據真實性的基礎。 ^[1] 

（3）合法性 是指信息系統在購買、使用、開發、維護過程中，以及信息系統裏的數據在生產、加工、修改、轉移、刪除等處理中都必須符合相關法律、法規、準則、行規以及企業內部的規定等。

（4）安全性 是指信息系統在遭受各種人為因素破壞的情況下仍然能正常運行的概率。威脅信息系統安全性的因素可能來自信息系統和企業的外部，也可能來自企業和信息系統的內部。外部如黑客入侵、病毒攻擊、線路偵聽、木馬、非法用户訪問等，內部包括授權用户的越權訪問、修改、刪除等操作。 ^[1] 

（5）可靠性 是指信息系統在遭受非人為因素破壞或誤操作情況下仍然能正常運行的概率。威脅信息系統可靠性的因素包括自然災害對硬件和環境的破壞、誤操作對軟件和硬件的破壞、以及設備故障、軟件故障等。可靠性與安全性不同，可靠性所指的破壞因素是非人為的，安全性所指的破壞因素是人為的。

（6）保密性 是指防止信息系統中數據泄漏給非授權用户的特性。常用的保密技術包括防偵收、信息加密、物理隔離等措施。保密性與安全性不同，保密性是指信息系統中信息的外泄，安全性是指對信息系統的入侵。 ^[1] 

（7）可用性 也是信息系統安全性的一個重要指標，是指信息可被授權實體訪問並按需求使用的特性，即信息系統在提供服務時允許被使用的屬性，或者是信息系統在部分受損或需要降級使用時，仍能為用户提供有效服務的屬性。信息系統最基本的功能是提供服務，而用户的需求是信息系統的可用性。可用性還體現在身份識別與確認、遠程控制、數據跟蹤等方面。由於數據的訪問與數據存儲介質、顯示介質、軟件版本等有關，無法訪問的數據也無真實安全可言，因此可用性還體現在數據訪問方面。 ^[1] 

（8）效果性 是指信息系統在企業生產管理應用中產生的效果，即信息系統的應用使企業在生產、管理、產品、服務、財務、人力管理等方面的改善和提升。如減少了產生時間，提高的資金週轉，降低庫存，增加了服務質量，擴大了產品種類等。

（9）效率性 是指信息系統的應用以後對提高企業的勞動生產率所作的貢獻，如人均生產率，人均成本等。

（10）經濟性 是指信息系統的投入產出比，通過同行業類別等方法，核算信息系統的投入與產出的比率，得到信息系統的效益值。

系統審計具有審計，控制，管理等三大職能 ^[1]  。

審計職能。所謂審計職能，就是以相關規定、標準等為評價依據，評價被審計對象的信息資產和信息系統是否安全、可信，反映的財務收支和經濟活動的電子軌跡是否合法、合規、合理和有效，從而督促被審計對象遵紀守法，提高經濟效益。 ^[1] 

控制職能。內部信息系統審計人作為企業內部控制系統中一個重要組成部分，是企業內部控制的再控制，因其受企業主要負責人的直接領導，能夠站在企業發展的全局來分析和考慮問題，檢查信息系統運行是否得到有效控制，以及控制程度和效果，提出控制中存在的不足和問題，實現控制系統的最終目標。 ^[1] 

管理職能。信息系統審計師有義務和責任對企業的信息資產安全與信息系統運行狀況提供決策諮詢，確保IT發展與企業的戰略一致，在工作中發現問題，對制度、管理和控制等方面有針對性地提供諮詢服務，預防出現大的信息技術風險和管理漏洞，企業各管理層提供服務，不斷改進經營管理水平。 ^[1] 

關於審計方法概念的表達，歸納起來大致有兩種不同的觀點：一是狹義的審計方法，即認為審計方法是審計人員為取得充分有效審計證據而採取的一切技術手段；另一種是廣義的審計方法，即認為審計方法不應只是用來收集審計證據的技術，而應將整個審計過程中所運用的各種方式、方法、手段、技術都包括在審計方法的範疇之內。本書採用第二種觀點, 即審計方法(audit method)是指審計人員為了行使審計職能、完成審計任務、達到審計目標所採取的方式、手段和技術的總稱。審計方法貫穿於整個審計工作過程，而不只存於某一審計階段或某幾個環節。隨着信息系統審計實踐的豐富與信息系統審計理論的發展，信息系統審計除了運用傳統審計的方法外，還大量借鑑了計算機學科的一些方法為我所用，如軟件測試方法，電子取證方法等 ^[1]  。

與系統審計相關的法律法規龐雜，相互之間既有區別又有交叉，大致歸納起來主要有四大類，即與職業相關的準則，與技術相關的標準，與管理相關的規範，與行為相關的法律等 ^[1]  。

與職業相關的準則，如信息系統審計與控制協會的準則，我國也陸續有一些相關的準則，如內部審計具體準則第28號（信息系統審計），獨立審計具體準則第20號（計算機信息系統環境下的審計），企業內部控制基本規範, 商業銀行內部控制指引,商業銀行信息科技風險管理指引,證券公司內部控制指引,中央企業全面風險管理指引, 企業內部控制評價指引,企業內部控制審計指引,上海證券交易所上市公司內部控制指引,深圳證券交易所上市公司內部控制指引等。 ^[1] 

與技術相關的標準，主要包括信息系統安全保障評估框架，數據庫管理系統安全評估準則，操作系統安全評估準則，信息安全風險評估規範，信息系統災難恢復規範，信息安全事件分類分級指南，信息安全風險管理指南，信息安全應急響應計劃規範，信息系統物理安全技術要求等國家標準。 ^[1] 

與管理相關的規範，主要有COSO框架,COBIT, CMMI，ITIL,ISPL，BISL，ISO20000，ISO27001, PMBOK,PRINCE2，Six Sigma等。 ^[1] 

與行為相關的法律，《中華人民共和國計算機信息系統安全保護條例（國務院令第147號）》；1997年刑法中新增加了三條與計算機有關的犯罪行為。 ^[1] 

內容簡介本書圍繞現代信息系統審計的三大基本職能（審計、控制、管理）進行編寫，在審計職能方面，突出審計的目的與本質，按照真實性審計、安全性審計和績效審計等三個基本審計類型展開；在控制職能中，以IT安全為核心介紹了IT內部控制的方方面面；在管理職能中，以IT風險為導向，圍繞IT風險管理展開。本書結構新穎獨特，既具有教好的系統性和理論性，又具有很強的實戰性和可操作性。　全書每一篇均包含一個案例，可以圍繞案例組織教學，適用於高校信息管理類、會計、審計、財務管理、企業管理、計算機應用等專業本科生和研究生作為教材或參考書；書中還提供了大量實用表格等，為信息系統審計師、內部審計師、註冊會計師、管理諮詢師、企業管理人員等專業人士提供工作指導，是一本實用的工具書。　圖書目錄　第一篇總論　第1章信息系統審計概述　1.1信息系統審計的歷史　1.1.1早期的信息系統審計　1.1.2現代信息系統審計的形成　1.2信息系統審計的概念　1.2.1信息系統審計定義　1.2.2信息系統審計辨析　1.2.3信息系統審計分類　1.2.4信息系統審計目標　1.2.5信息系統審計職能　1.2.6信息系統審計過程　1.2.7信息系統審計方法　1.2.8信息系統審計依據　1.3信息系統審計的規範　1.3.1與信息系統審計相關的組織　1.3.2ISACA的準則體系　1.3.3審計師的職業準則　1.3.4與IT服務管理相關的規範　1.3.5與信息安全技術相關的標準　1.3.6與計算機犯罪相關的法律　第2章信息系統審計實施　2.1管控審計風險　2.1.1什麼是審計風險　2.1.2審計風險的特徵　2.1.3審計風險的模型　2.1.4評估固有風險和控制風險　2.1.5確定重要性水平　2.1.6控制檢查風險　2.2制定審計計劃　2.2.1審計計劃的作用　2.2.2審計計劃的規範　2.2.3審計計劃的內容　2.2.4審計計劃中風險評估的運用　2.3收集審計證據　2.3.1審計證據的屬性　2.3.2審計證據的種類　2.3.3數字證據的特點　2.3.4數字證據的形式　2.3.5收集證據的充分性　2.3.6收集證據的適當性　2.3.7收集證據的可信性　2.4編制工作底稿　2.4.1工作底稿的作用　2.4.2工作底稿的分類　2.4.3編制工作底稿的注意事項　2.4.4工作底稿的複核　2.4.5工作底稿的管理　2.5編寫審計報告　2.5.1審計報告的作用　2.5.2審計報告的規範　2.5.3審計報告的格式　2.5.4編寫審計報告的注意事項　第3章信息系統審計方法　3.1證據收集方法　3.1.1證據收集方法概述　3.1.2收集證據的方法　3.2數字取證方法　3.2.1數字取證的概念　3.2.2數字取證的作用　3.2.3數字取證的方法　3.2.4數字取證的工具　3.2.5數字取證的規範　3.3數據庫查詢方法　3.3.1數據庫查詢工具　3.3.2對單個表的查詢　3.3.3對單個表的統計　3.3.4生成審計中間表　3.3.5對多個表的查詢　3.3.6應用實例　3.4軟件測試方法　3.4.1概述　3.4.2黑盒測試　3.4.3白盒測試　3.4.4基於故障的測試　3.4.5基於模型的測試　案例1安然公司破產——信息系統審計的轉折點　第二篇真實性審計　第4章真實性審計概述　4.1真實性審計概念　4.1.1真實性審計的含義　4.1.2真實性審計的內容　4.1.3真實性審計的分類　4.1.4業務流程審核　4.1.5財務處理審核　4.1.6交易活動審核　4.1.7真實性審計的方法　4.2管理信息系統　4.2.1管理信息系統的定義　4.2.2管理信息系統的特徵　4.2.3管理信息系統的發展　4.2.4管理信息系統的概念結構　4.2.5管理信息系統的層次結構　4.2.6管理信息系統的系統結構　4.2.7管理信息系統的硬件結構　4.3系統流程審核　4.3.1系統流程的審計目標　4.3.2數據流圖的概念　4.3.3分析業務流程　4.3.4畫出數據流圖　4.3.5分析數據的邏輯關係　4.3.6發現審計線索　第5章財務數據的真實性　5.1財務信息系統　5.1.1財務信息系統的發展過程　5.1.2財務信息系統的功能　5.1.3銷售與應收子系統　5.1.4採購與應付子系統　5.1.5工資管理子系統　5.1.6固定資產子系統　5.1.7財務信息系統對審計的影響　5.1.8財務信息系統審計內容　5.2財務處理的真實性　5.2.1總賬子系統的真實性問題　5.2.2總賬子系統的主要功能　5.2.3總賬子系統的處理流程　5.2.4總賬子系統的數據來源　5.2.5系統的初始化　5.2.6科目與賬簿設置　5.2.7自動轉賬憑證的設置　5.2.8總賬子系統的審計　5.3財務報表的真實性　5.3.1報表子系統的真實性問題　5.3.2報表子系統的主要功能　5.3.3報表子系統的處理流程　5.3.4財務報表自動生成原理　5.3.5報表子系統的審計　第6章交易活動的真實性　6.1電子商務　6.1.1電子商務的概念　6.1.2電子商務的功能　6.1.3電子商務體系結構　6.1.4電子商務工作流程　6.1.5電子商務對審計的影響　6.1.6電子商務審計　6.2電子交易方的真實性　6.2.1身份冒充問題　6.2.2身份認證概述　6.2.3單向認證　6.2.4雙向認證　6.2.5可信中繼認證　6.2.6Kerberos系統　6.3電子交易行為的真實性　6.3.1交易欺詐問題　6.3.2不可抵賴證據的構造　6.3.3不可否認協議概述　6.3.4不可否認協議安全性質　6.3.5Zhou-Gollmann協議　6.3.6安全電子支付協議　案例2超市上演“無間道”——舞弊導致電子數據不真實　第三篇安全性審計　第7章安全性審計概述　7.1安全性審計概念　7.1.1安全性審計的含義　7.1.2安全性審計的內容　7.1.3調查瞭解系統情況　7.1.4檢查驗證安全狀況　7.1.5安全性審計的方法　7.2系統安全標準　7.2.1可信計算機系統評價準則　7.2.2信息技術安全評價通用準則　7.2.3信息系統安全等級劃分標準　7.3物理安全標準　7.3.1數據中心安全標準　7.3.2存儲設備安全標準　第8章數據安全　8.1數據的安全問題　8.1.1數據的安全性　8.1.2數據的保密性　8.1.3數據的完整性　8.1.4數據的可用性　8.1.5數據安全審計　8.2數據的加密技術　8.2.1數據加密與安全的關係　8.2.2對稱加密算法　8.2.3非對稱加密算法　8.2.4散列加密算法　8.3數據的訪問控制　8.3.1訪問控制與安全的關係　8.3.2自主訪問控制　8.3.3強制訪問控制　8.3.4基於角色的訪問控制　8.4數據的完整性約束　8.4.1完整性與安全的關係　8.4.2數據完整性　8.4.3完整性約束條件　8.4.4完整性約束機制　8.4.5完整性約束的語句　8.4.6完整性約束的實現　第9章操作系統安全　9.1操作系統的安全問題　9.1.1操作系統的概念　9.1.2操作系統的種類　9.1.3操作系統的結構　9.1.4操作系統面臨的威脅　9.1.5操作系統的安全策略　9.1.6操作系統安全等級的劃分　9.1.7操作系統的安全機制　9.1.8操作系統安全性的測評　9.2windows安全機制　9.2.1windows安全機制概述　9.2.2身份認證　9.2.3訪問控制　9.2.4加密文件系統　9.2.5入侵檢測　9.2.6事件審核　9.2.7Windows日誌管理　9.3UNIX安全機制　9.3.1UNIX安全機制概述　9.3.2賬户的安全控制　9.3.3文件系統的安全控制　9.3.4日誌文件管理　9.3.5密碼強度審查　9.3.6入侵檢測　9.3.7系統日誌分析　第10章數據庫系統安全　10.1數據庫系統的安全問題　10.1.1數據庫系統的概念　10.1.2數據庫系統的組成　10.1.3數據庫系統的結構　10.1.4數據庫管理系統　10.1.5數據庫系統面臨的威脅　10.1.6數據庫系統的安全需求　10.1.7數據庫系統安全等級劃分　10.2數據庫系統安全機制　10.2.1數據備份策略　10.2.2數據庫備份技術　10.2.3數據庫恢復技術　10.2.4數據庫審計功能　10.2.5數據庫訪問安全　10.3Oracle審計機制　10.3.1Oracle審計功能　10.3.2標準審計　10.3.3細粒度的審計　10.3.4審計相關的數據字典視圖　10.4SQLServer審計機制　10.4.1SQLServer審計功能　10.4.2服務器審計　10.4.3數據庫級的審計　10.4.4審計級的審計　10.4.5審計相關的數據字典視圖　第11章網絡安全　11.1網絡的安全問題　11.1.1計算機網絡　11.1.2網絡的體系結構　11.1.3網絡協議的組成　11.1.4網絡面臨的威脅　11.1.5網絡的安全問題　11.2網絡入侵的防範　11.2.1網絡入侵問題　11.2.2網絡入侵技術　11.2.3網絡入侵防範　11.3網絡攻擊的防禦　11.3.1服務失效攻擊與防禦　11.3.2欺騙攻擊與防禦　11.3.3緩衝區溢出攻擊與防禦　11.3.4SQL注入攻擊與防禦　11.3.5組合型攻擊與防禦　案例3聯通盜竊案——信息資產安全的重要性　第四篇績效審計　第12章IT績效審計概述　12.1績效審計概念　12.1.1績效審計的出現　12.1.2績效審計的定義　12.1.3績效審計的目標　12.1.4績效審計的對象　12.1.5績效審計的分類　12.1.6績效審計的方法　12.1.7績效審計的評價標準　12.1.8績效審計的特點　12.2IT績效審計概念　12.2.1IT績效審計的必要性　12.2.2IT績效審計的含義　12.2.3IT績效審計的特點　12.2.4IT績效審計的評價標準　12.2.5IT績效審計的視角　12.2.6IT績效審計的階段　12.2.7IT績效審計的方法　12.3信息化評價指標　12.3.1評價指標的提出　12.3.2評價指標的內容　12.3.3評價指標適用性　12.3.4評價指標的層次　第13章IT項目經濟評價　13.1資產等值計算　13.1.1資金的時間價值　13.1.2若干基本概念　13.1.3資金等值計算　13.2軟件成本估算　13.2.1軟件估算方法　13.2.2軟件規模估算　13.2.3軟件工作量估算　13.2.4軟件成本估算　13.3項目績效評價　13.3.1效益評價方法　13.3.2項目現金流分析　13.3.3財務靜態分析法　13.3.4財務動態分析法　第14章IT項目應用評價　14.1IT應用評價的複雜性　14.1.1企業信息化的作用　14.1.2ERP投資陷阱　14.1.3IT生產率悖論　14.1.4IT應用評價的作用　14.2IT評價理論的形成　14.2.1IT評價的內涵　14.2.2IT評價的發展歷程　14.2.3IT評價的種類　14.3平衡計分卡技術　14.3.1平衡計分卡的提出　14.3.2平衡計分卡的作用　14.3.3平衡計分卡的內容　14.3.4平衡計分卡的使用　14.4IT平衡計分卡構建　14.4.1IT平衡計分卡　14.4.2財務評價　14.4.3用户體驗評價　14.4.4內部流程評價　14.4.5創新能力評價　14.4.6指標權重評價　案例4許繼公司ERP實施失敗——績效審計的作用　第五篇內部控制　第15章IT內部控制概述　15.1IT內部控制的概念　15.1.1內部控制觀念　15.1.2財務醜聞　15.1.3IT內控重要性　15.1.4IT內控的定義　15.1.5IT內控的準則　15.2IT內部控制的構成　15.2.1IT內控的目標　15.2.2IT內控的要素　15.2.3IT內控的特徵　15.2.4IT內控的分類　15.3IT內部控制的設計　15.3.1控制設計原則　15.3.2IT內控的作用　15.3.3控制措施設計　15.3.4控制涉及對象　15.3.5控制的實施　第16章IT內部控制應用　16.1一般控制　16.1.1概述　16.1.2組織控制　16.1.3人員控制　16.1.4日常控制　16.2應用控制　16.2.1概述　16.2.2輸入控制　16.2.3處理控制　16.2.4輸出控制　第17章軟件資產管理　17.1概述　17.1.1信息資產的含義　17.1.2軟件生命週期與過程控制　17.1.3軟件開發方法　17.1.4軟件開發方式與控制評價　17.2軟件全過程控制　17.2.1總體規劃階段　17.2.2需求分析階段　17.2.3系統設計階段　17.2.4系統實施階段　17.2.5系統運行與維護階段　17.2.6軟件資產控制措施　17.2.7軟件資產變更控制措施　17.3軟件質量標準　17.3.1軟件質量標準　17.3.2軟件質量控制方法　17.3.3軟件質量控制措施　案例5法國興業銀行事件——傳統內控的終結　第六篇風險管理　第18章IT風險管理概述　18.1IT風險　18.1.1IT風險管理　18.1.2IT風險評估　18.1.3IT風險識別　18.1.4IT風險計算　18.1.5IT風險處理　18.1.6IT風險控制　18.2IT治理　18.2.1IT治理的定義　18.2.2IT治理的內容　18.2.3IT戰略制定　18.2.4IT治理的目標　18.2.5IT治理委員會　18.2.6首席信息官　18.2.7內部IT審計　18.3IT管理　18.3.1IT管理的定義　18.3.2IT管理的目標　18.3.3IT管理的資源　18.3.4IT管理的內容　第19章安全應急管理　19.1概述　19.1.1應急響應目標　19.1.2組織及其標準　19.1.3應急響應體系　19.2應急準備　19.2.1任務概述　19.2.2應急響應計劃準備　19.2.3應急響應計劃編制　19.2.4應急響應計劃測試　19.2.5其他準備事項　19.3啓動響應　19.3.1任務概述　19.3.2信息安全事件分類　19.3.3信息安全事件確定　19.3.4信息安全事件分級　19.4應急處理　19.4.1任務概述　19.4.2遏制、根除與恢復流程　19.4.3處理示例　19.5跟蹤改進　19.5.1任務概述　19.5.2證據獲取　19.5.3證據分析　19.5.4行為追蹤　第20章業務連續性管理　20.1業務連續性計劃　20.1.1業務連續性的重要性　20.1.2影響業務連續性的因素　20.1.3業務連續性計劃的制定　20.1.4業務影響分析　20.1.5業務連續性計劃的更新　20.2安全防範體系建設　20.2.1網絡安全防範原則　20.2.2網絡安全體系結構　20.2.3IPSec安全體系建設　20.2.4防火牆系統建設　20.3災難恢復體系建設　20.3.1災難恢復計劃　20.3.2災難恢復能力分析　20.3.3容災能力評價　20.3.4災備中心的模型　20.3.5災備中心的解決方案　20.3.6災備中心的選址原則　20.3.7制定災備方案的要素　20.3.8建立有效的災備體系　案例6911事件——IT風險對企業的影響　參考文獻