全球信息系统审计指南 上PDF电子书下载

1 信息技术控制 1

1.1　主席的信 2

1.2　执行摘要 4

1.2.1　IT控制的介绍 4

1.2.2　理解IT控制 4

1.2.3　IT控制的重要性 5

1.2.4　IT的角色和职责 6

1.2.5　分析风险 6

1.2.6　监督和技术 6

1.2.7　IT控制评估 6

1.3　介绍 6

1.4　评估IT控制——概述 7

1.5　理解IT控制 9

1.5.1　控制分类 9

1.5.2　治理 管理 技术 11

1.5.3　IT控制——期望目标 12

1.5.4　信息安全 20

1.5.5　IT控制框架 20

1.6　IT控制的重要性 21

1.7　组织中IT的角色 22

1.7.1　董事会／理事机构 23

1.7.2　管理 25

1.7.3　审计 28

1.8　分析风险 29

1.8.1　风险决定的反应 29

1.8.2　决定IT控制充分性的风险因素 30

1.8.3　风险缓解策略 33

1.8.4　考虑控制的特性 33

1.8.5　基线IT控制 34

1.9　监控（Monitoring）与技术（Techniques） 35

1.9.1　选择一个控制框架 35

1.9.2　监督IT控制 37

1.10　评估 38

1.10.1　可以使用哪些审计方法 38

1.10.2　测试IT控制和持续鉴证 39

1.10.3　审计委员会／管理层／审计接口 40

1.11　结论 42

1.12　附录A——信息安全计划要素 42

1.13 附录B——法律和条例的遵守以及相关执行情况的指导 44

1.14 附录C——内部审计人员IT知识的三个类别 50

1.15　附录D——遵守框架 52

1.16 用COSO评估IT控制 64

1.16.1　COSO内部控制定义 65

1.16.2　COSO内部控制整体框架 66

1.17　ITGI的信息和相关技术控制目标CobiT 67

1.18　审计委员会考虑到IT控制度量 70

1.18.1　董事会／董事的度量 71

1.18.2　管理层的度量 72

1.19　CAE的检查表 74

1.20　参考文献 76

1.20.1　治理 76

1.20.2　管理 77

1.20.3　Technieal Issues技术问题 78

1.20.4　IT审计 78

1.21　词汇表 79

1.22　关于全球技术审计指南 81

GTAG计划的合作方 81

1.23　GTAT合作者和全球项目组 81

1.23.1　IT控制咨询理事会 82

1.23.2　合作组织 82

1.23.3　项目审评小组 82

1.23.4　IIA国际分支机构 85

1.23.5　其他国际组织 85

1.23.6　IIA国际先进技术委员会 85

1.23.7　撰写组 86

1.23.8　IIA总部员工产品组 86

2 变更和补丁管理控制：组织成功的关键 89

2.1　执行摘要 90

2.1.1　为什么控制变更和补丁管理中一定要有首席审计执行官 90

2.1.2　快速识别不良的变更管理 91

2.1.3　理解怎样有效管理IT变更 92

2.1.4　降低IT变更风险的五大步骤 93

2.1.5　内部审计人员的作用 94

2.2　介绍 94

2.2.1　为什么IT变更和补丁管理重要 95

2.2.2　IT变更和补丁管理如何帮助控制IT风险和成本 95

2.2.3　什么可行和什么不可行 96

2.2.4　如何确定IT变更和补丁管理是否正常发挥作用 96

2.2.5　内部审计人员应该做什么 98

2.2.6　CIO和CAE之间的启发性对话 99

2.3　为什么应该关注组织变更管理的方法 103

2.3.1 变更产生风险：为什么必须把补丁作为一种变更 104

2.3.2　我们已经有变更管理流程——差别在哪里 105

2.3.3　稳健的变更管理流程如何发挥作用 106

2.4　定义IT变更管理 110

2.4.1　什么是变更管理的范围 110

2.4.2　无效的变更管理看起来是怎样的 112

2.4.3　有效的变更管理看起来是怎样的 114

2.4.4　变更管理度量和指标 117

2.4.5　把补丁管理整合到变更管理中 120

2.4.6　指南的原则：如何决定是否需要实施变更、何时变更、如何变更 121

2.5　我应该就变更和补丁管理提什么问题 124

2.6　三个月之后：Sydney的故事总结 125

2.7　内部审计师应该从哪里开始 130

2.8　从哪里我能学到更多 134

2.9　附录A——信息技术变更管理审计程序 135

2.10 附录B——可视操作方法论 142

2.11 附录C——变更管理的商业案例样例 143

2.12　附录D——变更管理工具和供应商 145

2.13　参考文献 146

2.14　关于作者 147

2.15　赞助商概况 149

3 连续审计：对保证、监控和风险评估的意义 151

3.1　执行摘要 152

3.2　介绍 155

3.3　关键的概念和术语：明确定义的必要性 161

3.4　连续审计与连续鉴证及连续监督的关系 164

3.5　连续审计的应用领域 167

3.6　执行连续审计 177

3.7　结论 193

3.8　全球技术审计指南：附录A——应付账款应用连续审计的例子 194

3.9　全球技术审计指南：附录B——相关标准 198

3.10　全球技术审计指南：附录C——连续审计的自我评估 199

3.11　关于作者／项目组 201

3.12　参考文献 203

4 IT审计管理 207

4.1　执行摘要 208

4.2　介绍 209

4.3　定义IT 210

4.3.1　IT管理 212

4.3.2　技术基础设施 213

4.3.3　应用 214

4.3.4　外部连接 214

4.4　IT相关风险 215

4.4.1　雪花理论 215

4.4.2　风险演变 216

4.4.3 IT相关风险扩散 217

4.4.4 IT相关风险的类型 218

4.4.5 IT风险评估 218

4.5 定义IT审计的范围 221

4.5.1　给首席审计执行官的建议 222

4.5.2　IT审计预算 223

4.6　执行IT审计 224

4.6.1　框架和标准 224

4.6.2　IT审计资源管理 228

4.7　IT审计加速器 231

4.7.1　方便审计过程的工具 232

4.7.2　测试加速器 233

4.8　CAE需要考虑的相关问题 236

4.9　附录A——出现的问题 237

A.1　无线网络 237

A.2　移动设备 238

A.3　接口 239

A.4　数据管理 240

A.5　隐私 241

A.6　职责分工 242

A.7　管理访问 243

A.8　配置控制 244

A.9　盗版 245

4.10　其他来源 246

5　管理和审计隐私风险 249

5.1　执行摘要 251

5.2　介绍 253

5.2.1　什么是隐私 253

5.2.2　隐私风险管理 256

5.3　隐私原则和框架 259

5.3.1　隐私原则 259

5.3.2　隐私框架 261

5.4　隐私和行业 266

5.4.1　隐私影响 266

5.4.2　隐私风险模型 266

5.4.3　部门和行业问题 269

5.4.4　隐私控制框架 274

5.4.5　区分好的和坏的做法 276

5.5　隐私审计 278

5.5.1　内部审计在隐私框架中的角色 278

5.5.2　行动计划 279

5.5.3　数据分类和分级 280

5.5.4　评估风险 280

5.5.5　准备计划 283

5.5.6　执行评估 287

5.5.7　沟通并跟踪审计结果 289

5.5.8　隐私和审计管理 290

5.6　首席审计执行官应该询问的十大与隐私相关的问题 291

5.7　附录 291

5.7.1　IIA的专业实务框架 291

5.7.2　其他审计标准和方法 293

5.7.3　所选择的专题 296

5.7.4　全球和区域政府资源 296

5.7.5　地区和国家资源 297

5.7.6　职业和非营利组织 298

5.7.7　更多网络资源 299

5.7.8　术语表 301

5.7.9　首字母缩写术语表 304

5.7.10　作者、投稿人、审稿人 306