第一章 信息系统审计流程
BPR业务流程再造主要关注效率。
何时进行外部审计:缺乏能力、综合审计(涉及的范围较多)。
业务约定书(外部审计)
审计师没有义务向监管机构汇报,仅向高级管理层、审计委员会汇报。
电子商务:在公共网络(互联网)和组织内部网络之间设立防火墙机制。
交易授权是最大的EDI风险。
电子邮件如何防范泄露公司敏感信息:
1、加密;2、分类并安装DLP;3、安全教育培训
IT审计师审查电子商务网站的安全性,第一步是物理安全再逻辑安全
审查电子商务的安全体系架构时第一步审查防火墙的配置。
使用其他审计师和专家的服务(外部审计):
外部审计不能与受审方有利益冲突。审计报告的发现和结论需经过管理层的批准。
无论是什么控制类型目标都是满足业务目标。
检测性控制:哈希汇总(散列总计);定期报告、内部审计功能。
审计章程-审计规划(短期规划是基于风险的、长期规划是基于组织的战略目标、业务发展、IT目标和组织的业务目标关联起来)
审计规划:企业业务蓝图中的所有相关流程均应包含在审计范围之内。要参考业务流程所有者的意见。
根据审计规划的长短,首先要确定审计范围和要纳入的业务流程。
风险评估不能忽略业务流程所有者的风险意见。
总体审计风险:存在固有风险、检测风险、控制风险和残余风险的组合。审计师应重点关注固有,检测和控制风险。
检测风险是针对审计师而言的。
审计目标通常侧重于证实存在能使业务风险降至最低的内部控制,并且这些控制按预期发挥作用。IT资源的机密性、完整性、可靠性和可用性。
符合性测试(是否遵循了控制程序、可确定控制措施的应用方式是否符合管理政策和程序、是否落实了定义的流程及其有效性;有没有符合一致性)
实质性测试(评估单个交易、数据或其他信息的完整性,可用于证实实际处理的完整性。)
符合性测试基于属性抽样,停-走抽样,发现抽样。
实质性测试(数量、数字的大小、完整性、分层)
抽样旨在根据样本的特征推断出整体的特征。
统计抽样(比较客观);非统计抽样(判断抽样,主观性较大);都需要审计师在定义总体特征时进行判断,因此具有一定的风险,即审计师可能会从样本中得出错误的结论(抽样风险)。
属性抽样(估计一个或一组相关控制属性的发生概率,主要是用来测试控制的;用于估算总体中特定性质的发生率、百分比;一般用于合格性测试)
发现抽样(找出可能存在的欺诈和违规行为)
分层单位均值(样本量大,如市场调查统计,区间)
计算机辅助审计技术(CAAT)提高审计效率、检测非法行为。
持续性审计成功的前提:高度自动化的业务处理、一旦控制失败,自动触发报警。实施高度自动化的审计工具、要求IS审计师参与设置工具参数和配置。
第二章 IT治理与管理
IT治理是董事会和高级管理层的责任。IT向业务交付价值,由IT与业务的战略一致驱动。问责制。
信息安全治理:满足业务目标及发展要求最核心。
IT指导委员会:高等级目标、监督重大项目的进度和资源分配、不决定具体技术细节、存在是企业IT治理的重要措施、对信息系统项目进行审查,一般不设计日常运营。
补偿控制措施:审计轨迹、对账、异常报告、审查交易日志。
要实现有效地风险管理,首先要清楚了解组织的风险偏好。
风险管理流程:1、识别资产(分类、确定相应的保护措施),2、评估威胁和漏洞,3、影响的评估,4、风险计算,5、风险评估和响应。
IT组合管理:与战略、投资、优先级相关必须与业务目标保持一致、持续改进;调整投资方面的灵活性。
平衡积分卡:向董事会汇报;先有KPI再有BSC。实现IT与业务保持一致的最有效方法。就IT战略目标在关键利益相关方之间达成一致,证实IT的效果与价值,沟通IT绩效、风险和能力。
不管什么项目在外包之前必须进行业务案例,就是商业论证。
云计算外包最大的风险是数据泄露。
IT战略发展规划(容量):此活动必须反映长期和短期业务计划,必须在预算流程中予以考虑。容量变化应当反映底层基础设施以及可支持组织的员工数量的变化。
长期的容量规划:业务容量(长期)、服务容量(中期考虑人)、组件容量(基础设施)。
评估安全政策有效性:表现为报告信息安全事件的数量增加。
IT指导委员会:落实公司IT战略;
IT战略委员会:确保IT目标与业务战略/目标/需求一致;
财务部门如不能指责分离,应该采取的补偿控制为个人ID并进行监督。
SaaS合同,公司应该保留访问控制权。
BSC可以实现IT目标和业务目标的一致性。
项目组合管理的目的:优化投资组合,确保IT项目的投资最有效。
第三章 信息系统的购置、开发和实施
一、输入输出
二、项目管理
三、实施后审查
项目指导委员会:对所有的交付成果、项目成本和时间表负最终责任。
SDLC软件开发生命周期。
关键路径法CPM:必须的最长路径。
挣值管理EVM
PERT项目评审技术:贝塔分布、三角分布
时间盒管理(敏捷):一种项目管理新技术;应用前提是一个不可变更的短期开发时间(时间不可变);适合于原型法或快速应用开发,但不适合传统的SDLC;可以防止时间和经费的超支。
功能点分析FPA:广泛应用于大型业务应用程序开发的复杂程度;有助于评估软件规模和系统开发任务量。
传统SDLC(瀑布开发)阶段分为:可行性分析(业务案例)-需求定义(用户必须参与)-软件选择与购置-开发(重点是测试)-最终测试和实施-实施后审查(系统是否满足用户要求、是否实现业务目标)
RFP要求建议书:评估条件和方法的描述。
自下而上测试:单元测试-集成测试-系统测试-验收测试;能及早发现模块错误。
自上而下测试:提早发现界面(借口)错误,可以确保主要功能的测试及早执行。
软件开发方法:原型法(也称为启发式或进化式开发,通过受控制的反复试错程序创建系统,从而降低系统开发的风险等级)、快速应用开发(严格限制开发时间框架并重复使用现有组件)、敏捷开发(自组织自管理、项目经理发生了变化)。
BPR业务流程再造:消除业务流程中不必要的控制,提高效率、消除浪费(等待时间)、增值活动。主要关切问题在于关键控制可能是在业务流程之外再造的。IS审计师的任务是识别现有的关键控制并评估撤销这些控制的影响,评估是否满足业务目标。
输入/来源控制:输入的信息必须经过授权、准确的、完整的。
数据对账:控制是否正确记录和处理接受的所有数据。
数据验证和编辑:是一种预防性控制,在处理数据前在程序中使用。
有效性检查、重复检查(不会重复付款)
单元测试:测试单个程序或模块;
集中测试:硬件与软件的测试;
系统测试:一系列的测试,旨在确保新系统或改良系统中经修改的程序、对象、数据库模式等运行正常。在非生产测试/开发环境中执行此类测试程序。
用户验收测试UAT:由用户小组来执行;用虚拟数据进行测试(脱敏数据)。
回归测试:以确保相关改进或纠正措施未引入新的错误。因此系统修改常常使用回归测试。
并行测试:结果反映了能否满足用户的需求。
社交性测试:新系统能否在目标环境下运行,且不会对现有系统产生不利影响。
并行转换:风险最小
分阶段转换:
一次性转换:风险最大
实施后审查:
虚拟化和云计算环境:根据标准对管理程序和客户机镜像进行安全配置。镜像问题要有统一模板,安全配置要相同,安全基线。虚拟管理服务器存在较高的风险,物理机单点故障。
控制台可以操作所有的模拟机,所以控制台须有相应的权限管理。
电子邮件安全问题:只有通过安全意识培训才能解决,社会工程学问题。
DLP数据防泄漏保护软件。
变更管理流程概述:从出现授权变更开始。开发环境、测试环境、生产环境需要隔离。开发人员不应具有写入、修改或删除访问生产数据的权限。
如果是小公司的话:临时ID、特权ID并监控
紧急变更:专门的ID、记录ID、日志审核;仍需要授权;自动记录的更改日志是最重要的控制措施。
配置管理:所有的变更都是配置项的变更。为问题管理,变更管理和发布管理奠定基础。识别受拟议变更影响的项目,以协助进行影响评估(功能、运营和安全性)
在线审计技术:审计钩(可以在应用程序系统中嵌入钩,以起到危险警示的作用。从而促使信息系统安全和审计师及早采取行动,防范错误或违规情况失控;监控工具)
第四章 信息系统的操作、维护与服务管理
RFID 主要关注隐私泄露。
最终用户计算EUC:最终用户,利用计算机软件产品来设计并实施自己的应用程序或信息系统的能力。组织需要管理和控制EUC,IS审计师应确保制定有关的政策以及此类应用程序的清单,并对那些被认定足够关键的应用程序实施与任何其他应用程序相同的控制。
信息系统硬件信息的保护:首选物理损坏、然后消磁,化学销毁不环保。
公司如果没有针对私人设备的可接受使用政策将成为审计师的最大担忧。
容量管理:可以确保能以更具经济效益的方式提供相关业务要求所有当前和未来容量以及性能水平。(业务容量、组件容量)
事故和问题管理:尽快恢复服务并将影响降低最低;找出事故的根本原因root cause;
支持和服务部门:
变更管理流程:减少变更可能带来的负面影响。应用程序访问建立可靠的用户授权过程最能够确保该系统已存在有效地变更管理。变更管理是缓解未经授权的代码跨环境相关风险的最佳方式。
补丁管理:本质为变更管理;
IT服务管理:ITIL、ISO20000必须通过SLA去约束。OLA是统一组织内,不同部门签署。
服务等级管理:信息系统审计师应确保管理层如何保证第三方的控制设计适当并且运行有效。目的是保持和提高客户的满意度以及改进交付给客户的服务。
质量保证QA:QA人员根据公司的变更和发布管理政策验证系统变更在引入生产环境之前是否受控的方式进行授权、测试和实施。
数据库管理系统:正规化(减少数据冗余);参照完整性(任何外键都应有一个空值,或者拥有一个可链接到其他表的现有值);充足数据库为了提高访问和检索效率;正规化减少了冗余,逆正规化破坏数据完整性。
软件许可问题:
共享license;计量软件,在LAN中安装计量软件;执行明文规定的政策和程序,要求用户签署不会再未经管理层授权以及未获得软件许可协议的情况下安装软件的协议。
审计师发现用户下载若干个未经允许的软件,第一步先查看总体的软件许可清单有没有。
没有license容易引入病毒、恶意代码、恶意软件。
操作审查:在执行当中,所有的操作需符合要求,要确保安全参数、参数设置,例如新服务器的安装,防火墙的配置、路由器等。
信息系统的基础设施:
调制解调器可绕过防火墙。WPA2提供最佳的无线安全性。
FTP协议不安全,匿名FTP服务器的缺陷:未经认证的用户对所有主机系统文件具有完全的访问权限。
瘦身客户机:thin client,无硬盘,有ROM,所有的工作都保护在服务器上。
BCP业务连续性计划:
核心是组织为避免关键业务功能中断,减少业务风险而建立的一个控制过程。它包括了对支持组织关键功能的人力、物理需求和关键功能所需的最小级别服务水平的连续性保证。执行必要的测试,才能保证业务连续性计划的有效性。
BCP生命周期(顺序):风险评估与分析---BIA---策略制定---计划制定---意识培训---计划测试、监控维护和更新。
业务影响分析BIA:重要输出有关键业务功能清单、业务恢复的优先级、RTO和RPO。根据其中断的影响来判断是否为关键业务。
应从组织中负责关键流程/应用程序的人员处收集BIA的相关信息,OWNER说了算。
制定BCP:基于BIA的结果,制定BCP或DRP。需要业务人员积极参与。
BCP的更新和维护:公司合并时,维护与更新关键资源的持续运营计划尤为重要。
业务连续性的审计:评审BCP并与相关的标准或法规进行比较,以确定BCP的充分性和是否及时更新;
准备情况测试:通常是完整测试的本地版本,测试时会模拟系统崩溃以及耗费的实际资源。
全面运行测试:模拟真实的服务中断,在进行全面运行测试之前,组织必须做好充分的纸上测试和准备情况测试,直接进行全面运行测试可能发生灾难。
灾难恢复——BIA:进行业务影响分析时,将使用运行当前业务的成本收益分析数据。
灾难恢复计划:DRP;如果灾难恢复计划没有定期更新和审查时最大的风险,但是还得看场景。需要关注有没有确定宣布灾难的职责。
恢复策略:热战没有测试是最严重的问题;镜像是实时性业务的最佳选择,如7*24;冷备中心,很难再备份中心测试关键应用程序;集群,重要的应用Clust;
互惠协议:软硬件不兼容问题最大。
紧急事件的响应团队:整个BCM的6R模型;reduce、respond、recover、resume、restore、return。
数据备份:在审查数据备份流程时,未进行恢复测试是最大的审计发现。电子异地链接能够降低运输过程中介质意外丢失的风险;备份资料的存储环境需要考虑温湿物理安全;完全备份;增量备份;差异备份。
第五章 信息资产的保护
信息安全管理的角色和职责
流程负责人确保相应的安全措施符合组织政策并得到维护。
资产所有者或数据所有者承担所有权责任,为数据指定重要级别。
信息资产的分类
创建资产清单——分类;应根据组织的数据分类和处理政策确定适当的分类。
数据分类
数据分类是根据按需执行和按需知密原则来定义访问规则。数据所有者负责定义访问规则。
信息资产所有者和数据所有者决定信息资产的数据分类标准,并提供相应级别的控制措施来保护数据机密性、完整性与可用性。
系统访问权限
1、所知必须、最小授权原则、职责分离要确保。
2、基于角色的访问控制;
3、在信息系统审计期间,审计师发现,在向新员工授予计算机访问权限方面出现明显延迟,应首先审查当前工作流模型来确定根本原因。
4、执行权限是最大的风险。
基于角色的访问控制
如果很多员工需要访问不同级别的若干类型数据,将分类和用户角色映射是信息系统维护数据访问权限控制的最佳方法。
隐私保护
需要对云供应商进行隐私泄露和数据可能不当使用的审计。
安全意识培训和教育
时刻都需要
安全事故处理和响应
将安全事故的危害降低到最小并尽快从事故中恢复过来。
用户识别和身份认证
生物识别
错误拒绝率FRR:第一类错误;
错误接受率FAR:第二类错误;
相等错误率EER:生物识别系统中速度和精度的平衡称为相等错误率。
精确是生物特征识别系统的最主要的特征。
FAR最重要;其次是EER。
生物识别最大的风险在于生物特征没有妥善保管。
指纹:存的是特征点。虹膜:最安全。
授权问题
读取、查询和复制;写入、创建、更新或删除;执行。VPN远程访问;
互联网威胁和安全
防火墙:屏蔽子网防火墙最安全;防火墙最近考得比较多。