《信息系统审计》PDF下载

第1章 导论 1

1.1 信息系统审计的发展演化 1

1.1.1 早期的信息系统审计 1

1.1.2 现代信息系统审计 2

1.2 信息系统审计的内涵 6

1.2.1 信息系统审计的定义 6

1.2.2 三类基本的信息系统审计 7

1.2.3 信息系统审计的目标 8

1.3 企业信息安全的管理 9

1.3.1 信息安全管理体系（ISMS） 9

1.3.2 PDCA模型 10

1.4 企业信息管理的规定 11

1.4.1 相关背景 11

1.4.2 企业：萨班斯法案 11

1.4.3 证券：美国证券交易委员会法案 11

1.4.4 医疗：健康保险便携性和责任法案 12

1.4.5 制药：美国食品与药物管理局法案 12

1.5 信息系统审计的专业建设 12

1.5.1 提出的背景与意义 12

1.5.2 专业建设 14

思考题1 15

第2章 信息系统审计的实施 16

2.1 信息系统审计流程 16

2.1.1 信息系统审计的程序 16

2.1.2 确定审计关系与责任 18

2.1.3 了解被审计企业的情况 19

2.1.4 评估审计风险 19

2.1.5 贯彻重要性原则 20

2.1.6 确定重要性水平 21

2.2 信息系统审计计划 22

2.2.1 审计计划的作用 22

2.2.2 审计计划的规范 22

2.2.3 审计计划的内容 23

2.2.4 审计计划中风险评估的运用 23

2.3 信息系统审计报告 24

2.3.1 审计报告的作用 24

2.3.2 审计报告的规范 25

2.3.3 审计报告的格式 25

2.3.4 编制报告的注意事项 26

2.4 职业规范准则 27

2.4.1 独立性 27

2.4.2 职业道德 27

2.4.3 专业能力 28

2.5 组织与准则体系 29

2.5.1 相关组织 29

2.5.2 准则体系 32

思考题2 35

第3章 审计证据收集与评价 36

3.1 审计证据概述 36

3.1.1 审计证据的含义 36

3.1.2 审计证据的种类 37

3.1.3 电子证据的特点 37

3.1.4 电子证据的形式 38

3.1.5 审计证据的充分性 38

3.1.6 审计证据的适当性 39

3.1.7 审计证据的可信性 39

3.2 审计证据收集方法 40

3.2.1 收集方法概述 40

3.2.2 观察法 41

3.2.3 查询法 41

3.2.4 函证法 41

3.2.5 复核法 41

3.2.6 黑盒法 42

3.2.7 白盒法 43

3.2.8 计算机取证技术 45

3.3 审计证据评价模型 46

3.3.1 审计风险的度量 46

3.3.2 证据与认定的似然度 47

3.3.3 证据理论 47

3.3.4 审计证据的分类 49

3.3.5 审计证据风险评估模型 49

思考题3 53

第4章 信息中心审计 54

4.1 业务持续能力审计 54

4.1.1 业务持续计划的含义 54

4.1.2 业务持续计划的实施 55

4.1.3 影响业务持续能力的因素 56

4.1.4 防火墙技术 56

4.1.5 防木马 58

4.1.6 防病毒 59

4.1.7 防黑客 60

4.1.8 业务持续能力审计 61

4.2 灾难恢复计划审计 62

4.2.1 灾难恢复计划的作用 62

4.2.2 容灾能力评价 62

4.2.3 灾备中心的模型 67

4.2.4 一个实际的灾备解决方案 69

4.2.5 灾备中心的选址原则 70

4.2.6 建立有效的灾备体系 70

4.2.7 审计内容 71

4.3 环境安全审计 72

4.3.1 信息中心安全 72

4.3.2 存储架构安全策略 73

4.3.3 存储设备安全策略 75

4.3.4 审计内容 77

思考题4 78

第5章 操作系统审计 79

5.1 操作系统概述 79

5.1.1 操作系统的概念 79

5.1.2 操作系统的历史 80

5.1.3 三种基本类型 83

5.1.4 操作系统的结构 85

5.1.5 审计线索 86

5.1.6 日志文件的特点 86

5.2 Windows审计 87

5.2.1 Windows家族概况 87

5.2.2 Windows的结构 88

5.2.3 Windows日志文件 89

5.2.4 审计内容 90

5.3 UNIX审计 91

5.3.1 UNIX简介 91

5.3.2 UNIX特点 92

5.3.3 UNIX的结构 92

5.3.4 UNIX日志文件 93

5.3.5 审计内容 95

5.4 操作系统安全审计 95

5.4.1 操作系统安全问题 95

5.4.2 审计内容 96

思考题5 97

第6章 管理软件系统审计 98

6.1 管理软件系统概述 98

6.1.1 信息与数据 98

6.1.2 管理软件系统 99

6.1.3 数据处理系统 100

6.1.4 管理信息系统 100

6.1.5 决策支持系统 100

6.1.6 企业资源规划 100

6.1.7 管理软件系统的体系架构 101

6.1.8 审计内容 102

6.2 访问控制审计 104

6.2.1 访问控制策略 104

6.2.2 自主访问控制 104

6.2.3 强制访问控制 106

6.2.4 基于角色的访问控制 107

6.2.5 审计内容 108

6.3 账务信息系统审计 109

6.3.1 账务信息系统的功能与结构 109

6.3.2 系统初始化 110

6.3.3 科目与账簿设置 111

6.3.4 期末业务处理 113

6.3.5 审计内容 114

6.4 财务报表管理系统审计 115

6.4.1 财务报表简述 115

6.4.2 报表生成原理 116

6.4.3 审计内容 121

思考题6 121

第7章 网络与数据传输审计 122

7.1 网络概述 122

7.1.1 计算机网络的概念 122

7.1.2 三类计算机网络 123

7.1.3 网络的拓扑结构 124

7.1.4 网络的体系结构 126

7.1.5 网络协议 128

7.1.6 互联网 128

7.2 网络安全审计 129

7.2.1 网络安全 129

7.2.2 虚拟专用网技术 129

7.2.3 隧道技术 130

7.2.4 审计内容 131

7.3 传输安全审计 133

7.3.1 传输安全 133

7.3.2 对称加密算法 133

7.3.3 非对称加密算法 135

7.3.4 散列加密算法 136

7.3.5 审计内容 137

思考题7 138

第8章 数据库审计 139

8.1 数据库概述 139

8.1.1 数据库的发展历史 139

8.1.2 人工管理 140

8.1.3 文件系统 140

8.1.4 数据库系统 141

8.2 关系型数据库 144

8.2.1 数据库管理系统 144

8.2.2 关系数据模型 146

8.2.3 关系数据库范式理论 148

8.3 数据库访问安全 150

8.3.1 数据库访问技术 150

8.3.2 数据库访问安全 153

8.3.3 审计内容 155

8.4 数据库备份与恢复 156

8.4.1 数据备份策略 156

8.4.2 数据库备份技术 157

8.4.3 数据库恢复技术 158

8.4.4 审计内容 159

8.5 数据库审计系统 160

8.5.1 数据库安全指标 160

8.5.2 数据库审计系统 161

思考题8 161

第9章 电子商务审计 162

9.1 电子商务概述 162

9.1.1 电子商务的定义 162

9.1.2 电子商务的形成 163

9.1.3 我国电子商务的发展 165

9.1.4 电子商务的类型 165

9.1.5 电子商务的体系架构 166

9.1.6 电子商务对审计的影响 167

9.2 电子商务安全审计 168

9.2.1 电子商务的安全问题 168

9.2.2 SSI协议 168

9.2.3 SET协议 170

9.2.4 其他电子商务信息安全协议 171

9.2.5 数字证书 171

9.2.6 PKI体系 172

9.2.7 审计内容 173

9.3 电子商务真实性审计 173

9.3.1 电子商务的支付过程 173

9.3.2 认证中心 174

9.3.3 电子支付方式 175

9.3.4 审计线索 176

9.3.5 审计内容 177

思考题9 178

第10章 系统开发与维护审计 179

10.1 系统开发过程 179

10.1.1 系统生命周期 179

10.1.2 总体规划阶段 180

10.1.3 需求分析阶段 181

10.1.4 系统设计阶段 181

10.1.5 系统实现与测试阶段 181

10.1.6 系统运行与维护阶段 182

10.2 系统开发审计 182

10.2.1 系统开发思想 182

10.2.2 系统开发控制 183

10.2.3 系统开发方式 185

10.2.4 审计内容 186

10.3 系统验收审计 186

10.3.1 系统验收流程 186

10.3.2 系统上线方式 188

10.3.3 审计内容 188

10.4 系统维护审计 190

10.4.1 系统维护的概念 190

10.4.2 系统维护的类型 190

10.4.3 审计线索 191

10.4.4 系统维护成本 192

10.4.5 审计内容 193

思考题10 193

第11章 IT内部控制 194

11.1 内部控制的思想 194

11.1.1 内部控制的定义 194

11.1.2 内部控制的作用 195

11.1.3 内部控制框架 196

11.1.4 内部控制的原则 197

11.2 COBIT模型 198

11.2.1 COBIT模型的由来 198

11.2.2 COBIT立方 198

11.2.3 领域与目标、资源的关系 201

11.3 COBIT模型的控制框架 203

11.3.1 领域1：计划和组织（PO） 203

11.3.2 领域2：获得和实施（AI） 205

11.3.3 领域3：转移和支持（DS） 205

11.3.4 领域4：监督和评价（ME） 207

思考题11 209

第12章 信息系统绩效审计 210

12.1 信息系统的绩效问题 210

12.1.1 索洛生产率悖论 210

12.1.2 ERP陷阱 211

12.1.3 如何评价信息化的成果 212

12.2 信息化构成要素模型 213

12.2.1 企业信息化构成要素的提出 213

12.2.2 构成要素的主要内容 214

12.2.3 构成要素的行业适用性 215

12.3 评价指标体系 216

12.4 信息化项目的成本构成 220

思考题12 223

参考文献 224