全球信息系统审计指南 下PDF电子书下载

6 IT薄弱点的管理与审计 1

6.1　执行摘要 2

6.2　介绍 3

6.2.1　如何识别脆弱的弱点管理 3

6.2.2　改进弱点管理 3

6.2.3　内部审计师的作用 4

6.2.4　薄弱点管理如何驱动IT基础设施的变化 4

6.3　薄弱点管理的生命周期 6

6.3.1　识别与确认 6

6.3.2　风险评估和分级 8

6.3.3　修复 8

6.3.4　持续改进 9

6.4　组织的成熟度 11

6.4.1　低效表现 11

6.4.2　高效表现 13

6.5　附录 15

6.5.1　衡量指标（metric） 15

6.5.2　CAE关于事件管理方面应该了解的十大问题 16

6.5.3　关于弱点和风险管理的词汇 18

6.5.4　内部审计师可用的弱点管理有关资源 19

6.5.5　术语表 21

6.5.6　参考文献 23

7 信息技术外包 25

7.1　执行摘要 26

7.2　介绍 28

7.3　IT外包的类型 31

7.3.1　应用程序管理 31

7.3.2　基础设施管理 34

7.3.3　帮助台服务 34

7.3.4　独立测试和验证服务 34

7.3.5　数据中心管理 35

7.3.6　系统集成 36

7.3.7　研究和开发服务 36

7.3.8　安全服务管理 37

7.4　外包控制的关键要素考虑——客户方面 38

7.4.1　治理外包框架 39

7.4.2　联盟和可行性 40

7.4.3　交易 40

7.4.4　转移管理 45

7.4.5　变更管理 46

7.4.6　转换及优化 47

7.4.7　项目和风险管理 49

7.5　外包控制的关键考虑因素 51

7.5.1　控制环境 51

7.5.2　安全方面的考虑 53

7.5.3　SDLC控制 58

7.5.4　变更管理控制的考虑 59

7.5.5　人力资源政策和程序 59

7.5.6　内部审计的考虑因素 59

7.6　其他可供参考的控制框架和指南 60

7.7　外包的当前现状和未来趋势 67

7.8　词汇表 68

7.9　作者 70

7.10　贡献者和审核人 71

7.11　GTAG8预览 应用控制审计 72

7.12　后记 73

8 应用控制审计 75

8.1　执行摘要 76

8.2　介绍 78

8.2.1　应用控制的定义 78

8.2.2　应用控制与IT的一般控制 79

8.2.3　复杂与非复杂的IT环境 80

8.2.4　依靠应用程序控制的益处 81

8.2.5　内部审计人员的角色 83

8.3　风险评估 86

8.3.1　评估风险 86

8.3.2　应用控制：风险评估方法 87

8.4　应用控制审计范围 89

8.4.1　业务流程方法 89

8.4.2　单一应用程序方法 90

8.4.3　访问控制 90

8.5　应用程序审计方法和需要考虑的事项 91

8.5.1　计划 91

8.5.2　对专项审计资源的需求 92

8.5.3　业务流程方法 93

8.5.4　文件技术 94

8.5.5　测试 96

8.5.6　计算机辅助审计技术 97

8.6 附录 105

附录A　通用的应用控制和测试建议 105

附录B　审计方案样本 109

8.7　词汇表 112

8.8　参考文献 114

9 身份和访问管理 115

9.1　执行摘要 116

9.2　介绍 117

9.2.1　业务驱动 118

9.2.2　身份和访问管理概念 121

9.2.3　存在的风险 121

9.3　关键概念的定义 122

9.3.1　身份管理和权限管理 124

9.3.2　身份和访问管理 125

9.3.3　访问权和权限 125

9.3.4　配置过程 127

9.3.5　身份和访问权过程的管理 129

9.3.6　执行进程 132

9.3.7　IAM中的技术使用 133

9.4　内部审计师的角色 135

9.4.1　当前的IAM进程 135

9.4.2　审核IAM 138

9.5 附录A：IAM审核清单 142

9.6　附录B：补充信息 146

9.7　词汇表 146

10　业务持续性管理 149

10.1　执行摘要 150

10.2　介绍 152

10.2.1　业务持续性管理的定义 152

10.2.2　危机管理计划 153

10.2.3　IT的灾难恢复 153

10.3　建立一个商业案例 153

10.4　商业风险 155

10.4.1　常见的灾难情形 155

10.4.2　常见灾害的影响 157

10.5　业务持续性管理的要求 158

10.5.1　管理层的支持 158

10.5.2　风险评估和风险降低 160

10.5.3　业务影响分析 163

10.5.4　业务恢复和持续性战略 165

10.5.5　IT灾难恢复 167

10.5.6　意识和培训 170

10.5.7　业务持续性管理程序的维护 172

10.5.8　业务持续性演习 172

10.5.9　危机沟通 176

10.5.10　与外部机构的协调 177

10.6　应急反应 178

10.7　危机管理 179

10.8　结论 180

10.9　附录 181

10.9.1　业务持续性计划审计指南样本 181

10.9.2　业务连续性管理标准和指南 182

10.9.3　业务连续性管理能力成熟度模型 182

10.10　词汇 190

10.11　关于作者 191

11 制订IT审计计划 193

11.1　执行摘要 194

11.2　介绍 195

11.3　理解业务 198

11.3.1　组织特性 199

11.3.2　业务操作环境 199

11.3.3　IT环境因素 200

11.4　定义IT审计范围 204

11.4.1　检查商业模式 205

11.4.2　支持技术的角色 205

11.4.3　年度业务计划 205

11.4.4　集中和分布式的IT功能 206

11.4.5　IT支持过程 207

11.4.6　合规性 207

11.4.7　定义审计主体区域 207

11.4.8　商业应用 209

11.4.9　风险评估 209

11.5　执行风险评估 209

11.5.1　风险评估过程 210

11.5.2　风险分级 211

11.5.3　领先的IT治理框架 214

11.6　正式形成IT审计计划 216

11.6.1　审计计划背景 216

11.6.2　利益相关者的要求 217

11.6.3　审计频率 218

11.6.4　审计计划的原则 219

11.6.5　IT审计计划的内容 220

11.6.6　IT审计计划的整合 221

11.6.7　确认审计计划 222

11.6.8　IT审计计划的动态特点 222

11.6.9　沟通得到执行支持，以及获得计划批准 224

11.7　附录：假想的公司实例 225

11.7.1　关于该公司 225

11.7.2　IT审计计划 226

11.8　词汇表 231

11.9　缩略语 233

11.10　关于作者 234

12　IT审计项目 237

12.1　执行摘要 239

12.2　介绍 241

12.2.1　什么是IT项目 241

12.2.2　理解IT项目的影响 241

12.2.3　失败的IT项目示例 242

12.2.4　关于IT项目成功与失败的历史数据 242

12.2.5　IT项目成功的10个关键因素 244

12.2.6　内部审计介入的目的和好处 245

12.3　项目审计重点关注的五个领域 245

12.3.1　业务和IT联盟 245

12.3.2　项目管理 247

12.3.3　IT方案准备 252

12.3.4　组织与过程变更管理 254

12.3.5　后期实施 255

12.4　项目审计计划 256

12.4.1　IT项目和年度内部审计计划 257

12.4.2　内部审计的角色 257

12.4.3　项目审计类型 258

12.4.4　外部审计师的考虑事项 260

12.5　附录A　项目管理 261

12.6　附录B　IT项目利益相关者 263

12.7　附录C　PMO's的结构、角色和职责 264

12.8　附录D　成熟度模型 265

12.9　附录E　一般项目管理最佳实务 266

12.10　附录F　内部审计人员在审核IT项目过程中的疑问 269

12.11　全球技术审计指南——关于作者 278