- 1、本文档共58页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
实施后评审 新系统在日常作业环境中稳定下来之后,需要进行实施后评审。在评审之前,重要的一点是有充分的时间在生产环境下使系统稳定,这种方式可以使任何主要问题有一个机会浮现出来。 ﹡确定系统的目标和需求是否已经达到。在实施评审中,必须特别注意终端用户的使用情况及对系统的总体满意度,这些是系统目标和需求是否已达到的指标; ﹡确定可行性研究中的成本收益是否已经衡量、分析并报告给管理层; ﹡审查已执行的程序变更需求,评估系统变更的类型。从变更的类型可以看出在设计、编程等方面的问题或进一步理解用户需求; ﹡审查系统内建的控制机制,确定它们在按设计耍求运作。如果系统中已嵌入审计模块,则使用该模块去测试关键作业; ﹡审查操作人员的错误日志,决定系统是否存在固有的操作或者资源问题。日志可指出在安装前系统不适当的设计或测试程序; ﹡审查输入及输出的余额并进行报告,证实系统准确地处理了数据; 3、IT服务的交付与支持审计 操作系统 审查 调度 审核 问题管理报告 审核 数据库 审核 硬件 审查 IT服务的交付与支持审计 (1)硬件审查 硬件审查应包括: ﹡审查硬件的能力管理程序和性能评估程序 ﹡审查硬件获取计划、审查微机(或PC)获取标准 ﹡审查变更管理控制。 (2)操作系统审查 操作系统审查方法包括: ﹡会见技术服务和其他人员 ﹡审查系统软件选择程序、可行性研究和选择流程 ﹡审查系统软件程序的成本效益分析 ﹡审查对变更后系统软件的安装的控制 ﹡审查系统软件维护活动、变更控制 ﹡特别审查系统文档的安装控制语句和参数表以及活动日志 (3)数据库审核 ﹡设计 ----确认存在数据库模型 ;审核逻辑模式;审核物理模式。 ﹡访问 ----对数据库以及存储过程、触发器的重要访问应进行分析。 ﹡管理 ----所有用户的安全级别和角色应在数据库中加以标识。所有用户或用户组的访问权限应有正当的理由。 ﹡接口 ----验证数据导入导出程序以保证数据的完整性和私密性。 ﹡可移植性 ----应尽量使用结构化查询语言(SQL)。 数据库审核包括: (4)问题管理报告审核 在执行问题管理报告的审计时,内部审计人员应保证己经制定了符合管理层意图和授权的充分的书面程序,以指导信息系统运行人员及时地记录、分析、解决和上报问题。 内部审计人员应执行程序来保证问题管理机制正在得到适当维护,并且重要问题得到了充分重视和及时解决: ﹡审查性能记录,确定问题是否在处理期间存在; ﹡审查应用程序处理延迟的原因,确定它们是否正当; ﹡确定IS运行部门标出的所有问题均得到记录,以便进一步查证和定位; ﹡审查问题报告系统生成的IS管理层报告,确认这些报告经过了管理层审查。 (5)调度审核 审计步骤: ﹡获得一个定期调度的应用列表及相关信息。 ﹡审查控制台日志,确定调度的作业是否按计划完成。 ﹡审查调度安排,确定是否为每个应用分配了处理优先级。 ﹡确定急需/重新运行作业的调度是否和分配给它们的优先级一致 ﹡确定是否已对关键应用进行了标识。 ﹡保证日常作业计划为计算机操作员的轮换规定了要完成的工作、程序运行的顺序以及执行低优先级任务的时间等。 4、信息资产安全审计 (1)逻辑访问审计 内部审计人员在评价逻辑访问控制时,要着重注意以下各个方面: ﹡通过审核相关文档、询问相关人员等方法,获得对组织信息安全风险的整体了解。 ﹡通过审核系统软硬件的安全功能和识别系统中存在的缺陷,记录和评价系统中已有访问路径的控制是否充分有效。 ﹡对访问路径的各种控制进行测试,以判断它们是否正常起作用。 ﹡通过分析测试结果和其他审计证据,评价访问控制环境,以判断其是否达到了控制目标。 ﹡通过审核组织的书面政策,现场观察安全实践与程序,对比其他组织的安全标准与实践等方法,来评价安全环境并评估其充分性。 与系统人员会谈 为了管理及维护在计算机信息访问过程中的各项软硬件设施,组织需要精通各种设施的技术专家,这些专家是内部审计人员了解安全管理过程的重要信息来源。通常这些技术专家包括安全管理员、网络控制负责人、应用系统开发负责人等。内部审计人员应当与信息部门经理会谈,并检查部门组织图及相关人员工作职责。 内部审计人员应当选择一些员工进行面谈,以评价员工对组织安全政策与程序的了解程度。 审核访问控制软件的相关报告 访问控制软件提供的记录与报告可以帮助安全管理员有效监控计算机使用情况,并判断与组织安全政策的符合性情况。通过检查这些记录及报告,内部审计人员可以评估是否存在足够的数据,以支持对安全事件的调查,以及评估安全管理员日常是否对这些记录及报告进行了检查。不成功的访问企图
文档评论(0)