信息系統(tǒng)審計實務課程
? 一、課程背景
根據(jù)多年的企業(yè)信息安全管理與控制經(jīng)驗，并結合國內(nèi)知名信息系統(tǒng)審計師、信息系統(tǒng)專業(yè)人員，為政府與企業(yè)設計了 “信息系統(tǒng)審計實務”培訓整體方案，方案考慮到“信息系統(tǒng)審計”對國內(nèi)企事業(yè)單位還是一個新生的事件，特別是信息技術從業(yè)人員對此還較為陌生，培訓方案從內(nèi)部審計的概念、原理出發(fā)，一步步引入信息系統(tǒng)審計的方法，從理念到實踐，從靜態(tài)到動態(tài)，從管理到技術，從組織到制度，覆蓋整個組織的IT系統(tǒng)生命周期的風險控制；本課程還將結合國內(nèi)IT審計特點，從實務的角度介紹現(xiàn)場審計范圍、檢查手段、報告編寫的要點及注意事項。
?
?
?
二、課程目標
講解如何利用IT最佳實踐標準、方法和工具，針對組織的IT系統(tǒng)進行審計，以發(fā)現(xiàn)組織IT系統(tǒng)在IT治理、安全、運維、開發(fā)及業(yè)務連續(xù)性等方面存在的技術脆弱性和管理薄弱環(huán)節(jié)，以適宜的方式向管理當局報告所發(fā)現(xiàn)的風險，并對風險進行持續(xù)的追蹤，不斷提高組織的IT風險控制水平。
三、課程內(nèi)容：
(一)、IT審計基礎
1、??IT的風險與控制
2、??IT審計準則與指南
3、??IT審計方法與步驟
4、??IT審計組織架構
5、??信息系統(tǒng)審計師知識體系
6、??CISA認證簡介
? (二)、IT審計標準
1、??IT治理框架
2、??COBIT的框架及其審計指南
3、??信息安全管理體系標準ISO27001
4、??IT服務管理標準ISO20000
5、??IT適用的法律法規(guī)
6、??各類標準在審計中的使用
(三)、常用的IT審計方法
1、??資料收集
2、??現(xiàn)場訪談
3、??問卷調(diào)查
4、??技術檢查
5、??風險分析
6、??審計報告編寫
(四)、IT審計的內(nèi)容
1、??對IT治理的審計
l???對IT決策機制的審計
l???對IT與業(yè)務融合的審計
l???對IT投資管理的審計
l???對IT規(guī)劃與架構的審計
2、??對IT基礎設施的審計
l???對網(wǎng)絡架構與基礎設施的審計要點
l???對主機系統(tǒng)的審計要點
l???對數(shù)據(jù)庫系統(tǒng)的安全評估
l???對技術體系的綜合審計
3、??對信息安全的審計
l???對信息安全管理體系的審計
l???對物理環(huán)境的審計
l???對邏輯安全的審計
l???對網(wǎng)絡安全的審計
4、??對應用系統(tǒng)開發(fā)的審計
l???對應用系統(tǒng)開發(fā)項目的審計
l???對軟件開發(fā)文檔的審計
l???對應用系統(tǒng)開發(fā)安全的審計
l???對應用系統(tǒng)的綜合審計
5、??對運維保障體系的審計
l???對部件級及任務級運維管理的審計
l???對IT服務管理體系的審計
6、??其他審計
l???對數(shù)據(jù)管控的審計
l???對應急保障體系的審計
（五）、案例及工具介紹
1、??IT審計案例介紹
2、??IT審計工具的介紹
?
?
?
·

?

?
?

?

?

?

?

?

?

?

?
?

?

?