IT审计 管好信息资产 第2版PDF电子书下载

引言 1

第一部分 审计综述 3

第一章 建立有效的IT内部审计职能 3

我们为什么在这里——内部审计部门的使命 3

独立性：一个待商榷的概念 5

咨询和早期参与 8

咨询和早期参与的四种方法 10

早期参与 10

非正式审计 13

知识共享 16

自我评估 19

小结 20

建立关系：协作与监督 20

学会构建协作关系 22

IT审计小组的作用 25

应用系统审计人员 26

数据提取与分析专家 27

IT审计人员 28

建立和保持有效的IT审计团队 29

职业IT审计人员 30

IT专业人员 31

职业IT审计人员与IT专业人员的比较 33

合作审计（cosourcing） 35

保持专业技能 36

学习的来源 36

与外部审计人员的关系 39

总结 39

第二章 审计流程 41

内部控制 41

内部控制的类型 42

内部控制实例 43

确定审计内容 44

确定审计范围 44

审计项目排序 47

确定审计内容 49

审计的各个阶段 50

规划 50

现场工作和文件编制 53

发现问题和验证 54

制定解决方案 55

编写并发布报告 61

跟踪问题 66

审计标准 67

总结 68

第二部分 审计方法 73

第三章 实体层控制审计 73

背景 73

实体层控制审计的测试步骤 75

知识库 93

审计检查清单 93

实体层控制审计 93

第四章 数据中心和容灾审计 95

背景 95

数据中心审计要素 95

物理安全和环境控制 97

系统和站点弹性 98

数据中心的运营 99

防灾准备 100

数据中心审计的测试步骤 100

邻近和外部风险因素 101

物理访问控制 104

环境控制 110

动力和电力 111

消防措施 114

数据中心的运营 118

系统弹性 123

数据备份和恢复 125

灾难恢复规划 126

知识库 128

审计检查清单 129

数据中心审计 129

第五章 路由器、交换机和防火墙审计 131

背景 131

网络审计要素 132

协议 133

OSI模型 133

路由器和交换机 134

防火墙 137

路由器、交换机和防火墙审计 138

总体网络设备审计步骤 139

其他交换机控制：第2层 146

其他路由器控制：第3层 149

其他防火墙控制 152

工具和技术 154

知识库 154

审计检查清单 155

总体网络设备审计步骤 155

审计第2层设备：交换机的额外控制 155

审计第3层设备：路由器的额外控制 156

审计防火墙：额外控制 156

第六章 Windows操作系统审计 157

背景 157

Windows审计要素 158

命令行窍门 159

基本的命令行工具 159

常用命令行工具 161

服务器管理工具 162

实施审计 162

Windows审计的测试步骤 163

设置和其他通用控制 163

审核服务、安装的应用程序以及计划的任务 167

账户管理和密码控制 170

审核用户权限和安全选项 174

网络安全和控制措施 175

网络漏洞扫描和入侵防御 179

Windows客户端简化审计 181

工具和技术 186

知识库 186

审计检查清单 187

Windows服务器审计 187

Windows客户端审计 188

第七章 Unix和Linux操作系统审计 189

背景 189

Unix和Linux审计要素 191

主要概念 191

文件系统布局和导航 192

文件系统权限 194

用户和验证 195

网络服务 198

Unix和Linux系统审计的测试步骤 198

账户管理和密码控制 199

文件安全和控制措施 211

网络安全和控制措施 218

审计日志 230

安全监控和一般控制措施 233

工具和技术 235

Nessus 236

NMAP 236

Chkrootkit 236

Crack和John the Ripper 237

Tiger和TARA 237

Shell/Awk/etc 237

知识库 238

审计检查清单 239

账户管理和密码控制措施审计 239

文件安全和控制措施审计 240

网络安全和控制措施审计 240

审计日志审计 241

安全监控和一般控制措施审计 241

第八章 Web服务器和Web应用程序审计 242

背景 242

Web审计要素 242

一次审计多个组成部分 243

第1部分：主机操作系统审计的测试步骤 244

第2部分：Web服务器审计的测试步骤 244

第3部分：Web应用程序审计的测试步骤 248

Web应用程序审计的其他步骤 258

工具和技术 259

知识库 260

审计检查清单 261

Web服务器审计 261

Web应用程序审计 262

第九章 数据库审计 263

背景 263

数据库审计要素 264

常见数据库厂商 265

数据库架构 268

数据库审计的测试步骤 273

设置和一般控制措施 274

操作系统安全 276

账户和权限管理 278

数据加密 284

监控和管理 285

工具和技术 288

审计工具 288

监控工具 288

知识库 290

审计检查清单 292

数据库审计 292

第十章 存储审计 294

背景 294

存储审计要素 295

关键存储组成部件 295

关键存储概念 299

存储审计的测试步骤 301

设置和一般控制措施 301

账户管理 303

存储管理 304

额外安全控制措施 306

知识库 308

审计检查清单 309

第十一章 虚拟环境审计 310

背景 310

商业项目和开源项目 311

虚拟审计要素 312

虚拟审计的测试步骤 313

设置和一般控制 314

账户管理及资源配置与解除 315

虚拟环境管理 317

其他安全控制 320

知识库 325

管理程序 325

工具 326

审计检查清单 326

第十二章 无线局域网和移动设备审计 328

背景 328

WLAN背景 329

具有数据功能的移动设备背景说明 331

无线局域网和移动设备审计要素 332

无线局域网审计的测试步骤 333

第1部分：无线局域网技术审计 333

第2部分：无线局域网运行审计 339

移动设备审计的测试步骤 341

第1部分：移动设备技术审计 342

第2部分：移动设备运行审计 344

其他考虑因素 346

工具和技术 347

知识库 347

总清单 348

无线局域网审计 348

移动设备审计 348

第十三章 应用程序审计 349

背景 349

应用程序审计要素 350

一般性框架 351

最佳实践 354

应用程序审计的测试步骤 356

输入控制 356

接口控制 358

审计线索 360

访问控制 361

软件变更控制 365

备份和恢复 367

数据保存和分类以及用户参与 369

操作系统、数据库以及其他基础设施的控制措施 370

审计检查清单 370

应用程序最佳实践 370

应用程序审计 371

第十四章 云计算和外包审计 372

背景 372

IT系统和基础设施外包 373

IT服务外包 379

IT服务外包的其他考虑因素 379

SAS 70报告 380

云计算和外包审计的测试步骤 381

准备工作与概述 382

供应商选择与合同 385

数据安全 388

运营 395

法律问题和法规遵从 399

知识库 401

审计检查清单 402

云计算和外包审计 402

第十五章 公司项目审计 404

背景 405

项目审计要素 405

项目审计的高级目标 405

项目审计的基本方法 406

项目审计的七大主要部分 407

公司项目审计的测试步骤 408

项目总体管理 409

项目启动：需求收集和初步设计 413

详细设计和系统开发 417

测试 419

实施 422

培训 424

项目总结 425

知识库 425

审计检查清单 426

总体项目管理审计 426

项目启动审计 426

详细设计和系统开发审计 427

测试审计 427

实施审计 427

培训审计 427

项目总结审计 428

第三部分 框架、标准和法规 431

第十六章 框架和标准 431

内部IT控制措施、框架和标准介绍 431

COSO 432

COSO内部控制定义 433

内部控制的关键概念 433

内部控制——整合框架 433

企业风险管理——整体框架 436

内部控制与企业风险管理出版物之间的关系 439

COBIT 440

COBIT框架 440

IT治理 444

IT治理成熟度模型 445

ITIL 447

ITIL概念 448

ISO 27001 448

ISO 27001概念 449

美国国家安全局信息安全评估方法 450

美国国家安全局信息安全评估方法的概念 450

事先评估阶段 451

现场活动阶段 451

事后评估阶段 452

框架和标准的趋势 452

相关文献 453

第十七章 法规 454

与内部控制有关的立法介绍 454

法规对IT审计的影响 455

企业金融监管的历史 456

2002年《萨班斯－奥克斯利法案》 457

《萨班斯－奥克斯利法案》对公共公司的影响 457

《萨班斯－奥克斯利法案》的核心点 458

《萨班斯－奥克斯利法案》对IT部门的影响 460

拥有多个经营场所的企业在《萨班斯－奥克斯利法案》方面的考虑因素 461

第三方服务对于《萨班斯－奥克斯利法案》合规的影响 461

《萨班斯－奥克斯利法案》合规要求的特定IT控制措施 462

《萨班斯－奥克斯利法案》合规对企业的财务影响 466

《格雷姆－里奇－比利雷法》 467

《金融服务现代化法案》的要求 467

联邦金融机构检查委员会 469

隐私法规 469

加利福尼亚州《SB 1386法案》 470

国际隐私法律 470

隐私法律的趋势 471

1996年《健康保险隐私与责任法案》 472

《HIPAA隐私规则》和《HIPAA安全规则》 473

《HITECH法案》 475

《HIPAA法案》对范围内实体的影响 475

欧盟委员会和《新巴塞尔资本协定》 476

《新巴塞尔资本协定》 476

支付卡行业（PCI）数据安全标准 477

支付卡行业标准对支付卡行业的影响 478

其他立法趋势 479

相关文献 479

第十八章 风险管理 482

风险管理的益处 482

执行官眼中的风险管理 482

风险应对 483

定量和定性风险分析 484

定量风险分析 484

风险要素 484

实用应用程序 485

实践中的定量风险分析 487

不准确的常见原因 487

定性风险分析 489

IT风险管理生命周期 490

第1阶段：识别信息资产 490

第2阶段：威胁的量化和定性 494

第3阶段：脆弱性评估 499

第4阶段：改进控制差距 501

第5阶段：管理剩余风险 503

公式汇总 503

主审的话 504

院长寄语 506