6 IT薄弱点的管理与审计 1
6.1 执行摘要 2
6.2 介绍 3
6.2.1 如何识别脆弱的弱点管理 3
6.2.2 改进弱点管理 3
6.2.3 内部审计师的作用 4
6.2.4 薄弱点管理如何驱动IT基础设施的变化 4
6.3 薄弱点管理的生命周期 6
6.3.1 识别与确认 6
6.3.2 风险评估和分级 8
6.3.3 修复 8
6.3.4 持续改进 9
6.4 组织的成熟度 11
6.4.1 低效表现 11
6.4.2 高效表现 13
6.5 附录 15
6.5.1 衡量指标(metric) 15
6.5.2 CAE关于事件管理方面应该了解的十大问题 16
6.5.3 关于弱点和风险管理的词汇 18
6.5.4 内部审计师可用的弱点管理有关资源 19
6.5.5 术语表 21
6.5.6 参考文献 23
7 信息技术外包 25
7.1 执行摘要 26
7.2 介绍 28
7.3 IT外包的类型 31
7.3.1 应用程序管理 31
7.3.2 基础设施管理 34
7.3.3 帮助台服务 34
7.3.4 独立测试和验证服务 34
7.3.5 数据中心管理 35
7.3.6 系统集成 36
7.3.7 研究和开发服务 36
7.3.8 安全服务管理 37
7.4 外包控制的关键要素考虑——客户方面 38
7.4.1 治理外包框架 39
7.4.2 联盟和可行性 40
7.4.3 交易 40
7.4.4 转移管理 45
7.4.5 变更管理 46
7.4.6 转换及优化 47
7.4.7 项目和风险管理 49
7.5 外包控制的关键考虑因素 51
7.5.1 控制环境 51
7.5.2 安全方面的考虑 53
7.5.3 SDLC控制 58
7.5.4 变更管理控制的考虑 59
7.5.5 人力资源政策和程序 59
7.5.6 内部审计的考虑因素 59
7.6 其他可供参考的控制框架和指南 60
7.7 外包的当前现状和未来趋势 67
7.8 词汇表 68
7.9 作者 70
7.10 贡献者和审核人 71
7.11 GTAG8预览 应用控制审计 72
7.12 后记 73
8 应用控制审计 75
8.1 执行摘要 76
8.2 介绍 78
8.2.1 应用控制的定义 78
8.2.2 应用控制与IT的一般控制 79
8.2.3 复杂与非复杂的IT环境 80
8.2.4 依靠应用程序控制的益处 81
8.2.5 内部审计人员的角色 83
8.3 风险评估 86
8.3.1 评估风险 86
8.3.2 应用控制:风险评估方法 87
8.4 应用控制审计范围 89
8.4.1 业务流程方法 89
8.4.2 单一应用程序方法 90
8.4.3 访问控制 90
8.5 应用程序审计方法和需要考虑的事项 91
8.5.1 计划 91
8.5.2 对专项审计资源的需求 92
8.5.3 业务流程方法 93
8.5.4 文件技术 94
8.5.5 测试 96
8.5.6 计算机辅助审计技术 97
8.6 附录 105
附录A 通用的应用控制和测试建议 105
附录B 审计方案样本 109
8.7 词汇表 112
8.8 参考文献 114
9 身份和访问管理 115
9.1 执行摘要 116
9.2 介绍 117
9.2.1 业务驱动 118
9.2.2 身份和访问管理概念 121
9.2.3 存在的风险 121
9.3 关键概念的定义 122
9.3.1 身份管理和权限管理 124
9.3.2 身份和访问管理 125
9.3.3 访问权和权限 125
9.3.4 配置过程 127
9.3.5 身份和访问权过程的管理 129
9.3.6 执行进程 132
9.3.7 IAM中的技术使用 133
9.4 内部审计师的角色 135
9.4.1 当前的IAM进程 135
9.4.2 审核IAM 138
9.5 附录A:IAM审核清单 142
9.6 附录B:补充信息 146
9.7 词汇表 146
10 业务持续性管理 149
10.1 执行摘要 150
10.2 介绍 152
10.2.1 业务持续性管理的定义 152
10.2.2 危机管理计划 153
10.2.3 IT的灾难恢复 153
10.3 建立一个商业案例 153
10.4 商业风险 155
10.4.1 常见的灾难情形 155
10.4.2 常见灾害的影响 157
10.5 业务持续性管理的要求 158
10.5.1 管理层的支持 158
10.5.2 风险评估和风险降低 160
10.5.3 业务影响分析 163
10.5.4 业务恢复和持续性战略 165
10.5.5 IT灾难恢复 167
10.5.6 意识和培训 170
10.5.7 业务持续性管理程序的维护 172
10.5.8 业务持续性演习 172
10.5.9 危机沟通 176
10.5.10 与外部机构的协调 177
10.6 应急反应 178
10.7 危机管理 179
10.8 结论 180
10.9 附录 181
10.9.1 业务持续性计划审计指南样本 181
10.9.2 业务连续性管理标准和指南 182
10.9.3 业务连续性管理能力成熟度模型 182
10.10 词汇 190
10.11 关于作者 191
11 制订IT审计计划 193
11.1 执行摘要 194
11.2 介绍 195
11.3 理解业务 198
11.3.1 组织特性 199
11.3.2 业务操作环境 199
11.3.3 IT环境因素 200
11.4 定义IT审计范围 204
11.4.1 检查商业模式 205
11.4.2 支持技术的角色 205
11.4.3 年度业务计划 205
11.4.4 集中和分布式的IT功能 206
11.4.5 IT支持过程 207
11.4.6 合规性 207
11.4.7 定义审计主体区域 207
11.4.8 商业应用 209
11.4.9 风险评估 209
11.5 执行风险评估 209
11.5.1 风险评估过程 210
11.5.2 风险分级 211
11.5.3 领先的IT治理框架 214
11.6 正式形成IT审计计划 216
11.6.1 审计计划背景 216
11.6.2 利益相关者的要求 217
11.6.3 审计频率 218
11.6.4 审计计划的原则 219
11.6.5 IT审计计划的内容 220
11.6.6 IT审计计划的整合 221
11.6.7 确认审计计划 222
11.6.8 IT审计计划的动态特点 222
11.6.9 沟通得到执行支持,以及获得计划批准 224
11.7 附录:假想的公司实例 225
11.7.1 关于该公司 225
11.7.2 IT审计计划 226
11.8 词汇表 231
11.9 缩略语 233
11.10 关于作者 234
12 IT审计项目 237
12.1 执行摘要 239
12.2 介绍 241
12.2.1 什么是IT项目 241
12.2.2 理解IT项目的影响 241
12.2.3 失败的IT项目示例 242
12.2.4 关于IT项目成功与失败的历史数据 242
12.2.5 IT项目成功的10个关键因素 244
12.2.6 内部审计介入的目的和好处 245
12.3 项目审计重点关注的五个领域 245
12.3.1 业务和IT联盟 245
12.3.2 项目管理 247
12.3.3 IT方案准备 252
12.3.4 组织与过程变更管理 254
12.3.5 后期实施 255
12.4 项目审计计划 256
12.4.1 IT项目和年度内部审计计划 257
12.4.2 内部审计的角色 257
12.4.3 项目审计类型 258
12.4.4 外部审计师的考虑事项 260
12.5 附录A 项目管理 261
12.6 附录B IT项目利益相关者 263
12.7 附录C PMO's的结构、角色和职责 264
12.8 附录D 成熟度模型 265
12.9 附录E 一般项目管理最佳实务 266
12.10 附录F 内部审计人员在审核IT项目过程中的疑问 269
12.11 全球技术审计指南——关于作者 278