基本信息
内容简介
书籍
经济管理学书籍
为了确保信息系统的安全、可靠和有效,需要开展由独立的具有资格的IT审计师对以计算机为核心的信息系统进行的IT审计。本书全面透彻地介绍了IT审计的基本概念、目标、理论方法及技术;深入浅出地介绍了IT审计准则的框架、基本要求及与此相关的知识。力求做到既有理论深度,又有较强的实务性。这是国内第一本有关IT审计的书籍,由国家经贸委信息中心资深专家审校,本书将指导IT审计人员系统准确地把握IT审计的思想,正确有效地运用IT审计的方法与技术。本书又在第二版中增加了大量案例并回答了读者关心的问题。本书可作为IT审计师的培训教材,也可作为信息系统主管的参考手册,还可作为信息管理专业或信息安全专业的本科生及研究生的教科书或参考书。
经济管理学书籍
为了确保信息系统的安全、可靠和有效,需要开展由独立的具有资格的IT审计师对以计算机为核心的信息系统进行的IT审计。本书全面透彻地介绍了IT审计的基本概念、目标、理论方法及技术;深入浅出地介绍了IT审计准则的框架、基本要求及与此相关的知识。力求做到既有理论深度,又有较强的实务性。这是国内第一本有关IT审计的书籍,由国家经贸委信息中心资深专家审校,本书将指导IT审计人员系统准确地把握IT审计的思想,正确有效地运用IT审计的方法与技术。本书又在第二版中增加了大量案例并回答了读者关心的问题。本书可作为IT审计师的培训教材,也可作为信息系统主管的参考手册,还可作为信息管理专业或信息安全专业的本科生及研究生的教科书或参考书。
作译者
胡克瑾,同济大学教授、管理科学与工程专业博士生导师;同济天安信息系统监查实验室主任。曾在日本系统开发研究所从事软件工程与软件开发技术的研究;在美国Hewlett-Parkard(惠普)公司参与项目的研究与开发多年,任系统分析与设计工程师和项目经理。主要研究方向:信息管理、信息系统质量控制和IT审计。长期从事信息系统质量控制技术的研究与开发,先后负责完成过许多大型的信息系统的设计与开发,在系统分析与设计、大型网络结构与系统质量控制等方面有较强的能力与丰富的经验。曾多次获得市科学技术进步奖、国防科工委部委级奖等奖项。
先后完成论文与著作五十余篇,某些论文被ISTP收录。
先后完成论文与著作五十余篇,某些论文被ISTP收录。
目录
第1章 概论
1.1 IT审计的发展史
1.1.1 20世纪60年代--IT审计萌芽期
1.1.2 20世纪70年代--IT审计发展期
1.1.3 20世纪80年代--IT审计成熟期
1.1.4 20世纪90年代--IT审计普及期
1.2 IT审计的背景、意义、目的
1.2.1 IT审计的社会背景
1.2.2 企业变革与IT审计
1.2.3 IT审计定义
1.2.4 IT审计的意义、目的
1.3 IT审计的范围
1.3.1 IT审计的对象
1.3.2 IT审计的业务内容
1.3.3 IT审计师职责与权限
1.4 IT审计制度的确定
1.4.1 IT审计制度
1.4.2 IT内部审计部门的组织
1.4.3 IT审计准则、手册、工具的配备
1.4.4 相关部门的关系
1.1 IT审计的发展史
1.1.1 20世纪60年代--IT审计萌芽期
1.1.2 20世纪70年代--IT审计发展期
1.1.3 20世纪80年代--IT审计成熟期
1.1.4 20世纪90年代--IT审计普及期
1.2 IT审计的背景、意义、目的
1.2.1 IT审计的社会背景
1.2.2 企业变革与IT审计
1.2.3 IT审计定义
1.2.4 IT审计的意义、目的
1.3 IT审计的范围
1.3.1 IT审计的对象
1.3.2 IT审计的业务内容
1.3.3 IT审计师职责与权限
1.4 IT审计制度的确定
1.4.1 IT审计制度
1.4.2 IT内部审计部门的组织
1.4.3 IT审计准则、手册、工具的配备
1.4.4 相关部门的关系
前言
《IT审计》第一版面市后,引起IT界的强烈反响。如何控制信息化过程各个环节的风险,如何管理好信息与信息资源?如何保护好信息与信息平台,如何确保赖以生存的信息系统的安全、可靠与有效?如何发挥信息技术的最大正面效应,如何让全社会都充分享受到信息化变革带来的利益?本书对这些问题的解答越来越受到国内政府部门、企业与社会各界的重视。本书以其较高的理论深度与较强的务实性,指导系统审计师有效地实施系统审计以及参加CISA考试等特色而深受读者的欢迎。图书出版后,作者收到数百封读者来信。
为了更好地满足读者的需求,并。不断地与国际上最新的、权威的信息系统审计标准接轨,作者决定再版。第二版新增了以下内容:
1.第8章新增了信息系统审计与控制基金会ISACF与IT治理研究所共同研究与开发的一套信息及其相关技术的控制目标COBIT。
2.每章后面都新增案例,有国内与国际的案例,并给出了启示。
3.更新第8章国际信息系统审计与控制协会颁布的IT审计标准。
4.在附录中新增摘录读者来信和解答读者关心的问题。
由于本书的选题较新,涉及内容较多,时间紧迫,而且作者的经验与水平有限,难免存在不足之处,希望广大读者批评指正。同时希望本书的再版能满足读者的需求,吸引各界同仁共同研究与探讨信息系统审计在我国的发展与实践。
本书的再版得到了电子工业出版社的大力支持,在此表示诚挚的感谢!
胡克瑾
2004年8月于同济大学
随着社会信息化程度的不断提高,我们正逐步向信息化社会迈进。信息将是维持社会的重要基础性资源,信息系统广泛深入地渗透到社会的各个领域,成为政治、经济、军事、文化乃至社会一切领域的基础,其结果导致了整个社会对信息系统的极大依赖性。一方面,信息系统变革着经济、生活、文化等诸多方面的结构和运行模式,改变着人们的思维方式,人类社会正享受着信息化给予的方便与效益;而另一方面,由于信息系统的负面效应及控制不当,导致信息化过程、信息系统及其业务应用产生风险,即当信息系统发生故障、停止运行或发生错误而丧失其有效功能时,该领域的业务活动就失去了支撑和保障,甚至还要影响到社会生活等其他许多方面。
那么,如何控制信息化过程各个环节的风险,管理好信息与信息资源?如何保护好信息与信息系统平台,确保赖以生存的信息系统的安全、可靠与有效?如何发挥信息系统的最大正面效应,让全社会都充分享受到信息化变革带来的利益?
这些问题越来越受到国际国内政府部门、企业与社会各界人士的广泛关注,特别是美国等发达国家很早就开展了由独立的具有资格的第三方进行的IT审计,建立了完善的IT审计制度。事实表明,IT审计能有效地控制信息与信息系统的风险,是信息化的基础,是更好地进入信息化社会的可靠保证。
美国等先进国家开展IT审计始于20世纪60年代,对以计算机为核心的信息系统从计划开始,到设计、编程、测试、运行、维护直至淘汰的全生命周期实施IT审计。国际上惟一的信息系统控制与审计协会ISACA(Information System Audit and Control Association)总部设在美国,目前已经在世界上100多个国家设立了160多个分会,现有会员两万多人。该协会通过制定和颁布信息系统审计准则和实务指南等来规范和指导IT审计师工作。ISACA还在许多国家举办一年一度的注册IT审计师CISA(Certifide Information System Auditor)考试,考试合格并获得执业资格者可在全世界范围内开展IT审计工作。
近年来,Internet、电子商务与电子政务等的兴起,更是为IT审计业务的发展带来了无限机会,如防火墙审计、安全审计、信息技术论证以及ERP等相关的新型业务正不断涌现。目前IT审计师已经成为全世界范围最抢手的高级人才,这些人才必须具备全面扎实的计算机软硬件知识与审计实务能力,对网络、信息系统及其业务应用有独特的敏感性。
本书力求把国外先进的IT审计与控制思想引入国内,并结合国内实际情况,力求理论与实践相结合。中国加入WTO后,如何保证我国在加入世贸组织之后经济社会与科技方面的稳步发展,IT审计是必不可少的。信息系统的安全与经济安全、社会安全、国家安全紧密相连,是我国信息化进程中具有重大战略意义的问题,因此IT审计已势在必行,应尽早纳入我国信息化发展的规划之中。因此本书的出版对促进我国更好地进入信息社会,保障信息安全将具有十分重要的意义。目前围内还没有这方面的书籍,希望本书的出版能推进我国的IT审计,培养IT审计师队伍,促使信息系统更加安全、可靠与有效。这将会产生极大的社会与经济效益。
本书全面翔实地介绍IT审计的基本概念、目标、理论方法与技术:IT审计准则的框架及基本要求,全面、系统、深入浅出地介绍了IT审计及与此相关的知识,指导IT审计人员系统准确地把握IT审计的思想,正确有效地运用汀审计的方法与技术。本书力求做到既有理论深度,又有较强的实务性。
本书分5大部分,共8章。
第一部分 IT审计概念
第1章 概论
为了更好地满足读者的需求,并。不断地与国际上最新的、权威的信息系统审计标准接轨,作者决定再版。第二版新增了以下内容:
1.第8章新增了信息系统审计与控制基金会ISACF与IT治理研究所共同研究与开发的一套信息及其相关技术的控制目标COBIT。
2.每章后面都新增案例,有国内与国际的案例,并给出了启示。
3.更新第8章国际信息系统审计与控制协会颁布的IT审计标准。
4.在附录中新增摘录读者来信和解答读者关心的问题。
由于本书的选题较新,涉及内容较多,时间紧迫,而且作者的经验与水平有限,难免存在不足之处,希望广大读者批评指正。同时希望本书的再版能满足读者的需求,吸引各界同仁共同研究与探讨信息系统审计在我国的发展与实践。
本书的再版得到了电子工业出版社的大力支持,在此表示诚挚的感谢!
胡克瑾
2004年8月于同济大学
随着社会信息化程度的不断提高,我们正逐步向信息化社会迈进。信息将是维持社会的重要基础性资源,信息系统广泛深入地渗透到社会的各个领域,成为政治、经济、军事、文化乃至社会一切领域的基础,其结果导致了整个社会对信息系统的极大依赖性。一方面,信息系统变革着经济、生活、文化等诸多方面的结构和运行模式,改变着人们的思维方式,人类社会正享受着信息化给予的方便与效益;而另一方面,由于信息系统的负面效应及控制不当,导致信息化过程、信息系统及其业务应用产生风险,即当信息系统发生故障、停止运行或发生错误而丧失其有效功能时,该领域的业务活动就失去了支撑和保障,甚至还要影响到社会生活等其他许多方面。
那么,如何控制信息化过程各个环节的风险,管理好信息与信息资源?如何保护好信息与信息系统平台,确保赖以生存的信息系统的安全、可靠与有效?如何发挥信息系统的最大正面效应,让全社会都充分享受到信息化变革带来的利益?
这些问题越来越受到国际国内政府部门、企业与社会各界人士的广泛关注,特别是美国等发达国家很早就开展了由独立的具有资格的第三方进行的IT审计,建立了完善的IT审计制度。事实表明,IT审计能有效地控制信息与信息系统的风险,是信息化的基础,是更好地进入信息化社会的可靠保证。
美国等先进国家开展IT审计始于20世纪60年代,对以计算机为核心的信息系统从计划开始,到设计、编程、测试、运行、维护直至淘汰的全生命周期实施IT审计。国际上惟一的信息系统控制与审计协会ISACA(Information System Audit and Control Association)总部设在美国,目前已经在世界上100多个国家设立了160多个分会,现有会员两万多人。该协会通过制定和颁布信息系统审计准则和实务指南等来规范和指导IT审计师工作。ISACA还在许多国家举办一年一度的注册IT审计师CISA(Certifide Information System Auditor)考试,考试合格并获得执业资格者可在全世界范围内开展IT审计工作。
近年来,Internet、电子商务与电子政务等的兴起,更是为IT审计业务的发展带来了无限机会,如防火墙审计、安全审计、信息技术论证以及ERP等相关的新型业务正不断涌现。目前IT审计师已经成为全世界范围最抢手的高级人才,这些人才必须具备全面扎实的计算机软硬件知识与审计实务能力,对网络、信息系统及其业务应用有独特的敏感性。
本书力求把国外先进的IT审计与控制思想引入国内,并结合国内实际情况,力求理论与实践相结合。中国加入WTO后,如何保证我国在加入世贸组织之后经济社会与科技方面的稳步发展,IT审计是必不可少的。信息系统的安全与经济安全、社会安全、国家安全紧密相连,是我国信息化进程中具有重大战略意义的问题,因此IT审计已势在必行,应尽早纳入我国信息化发展的规划之中。因此本书的出版对促进我国更好地进入信息社会,保障信息安全将具有十分重要的意义。目前围内还没有这方面的书籍,希望本书的出版能推进我国的IT审计,培养IT审计师队伍,促使信息系统更加安全、可靠与有效。这将会产生极大的社会与经济效益。
本书全面翔实地介绍IT审计的基本概念、目标、理论方法与技术:IT审计准则的框架及基本要求,全面、系统、深入浅出地介绍了IT审计及与此相关的知识,指导IT审计人员系统准确地把握IT审计的思想,正确有效地运用汀审计的方法与技术。本书力求做到既有理论深度,又有较强的实务性。
本书分5大部分,共8章。
第一部分 IT审计概念
第1章 概论
序言
信息系统(IT)审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以确保预定的业务目标得以实现。按照科学的、符合实际的决策原则,一项信息系统要经历规划阶段、实施阶段以及运行维护阶段的审计。
审计不仅是项目完成时验收的需要,而且在信息系统运行、维护过程中更为更要,因为任何一项信息系统不可能在规划和实施阶段就十全十美,又一成不变。这就要求定期或不定期地进行审计,发现问题,解决问题,以适应新的环境变化和业务需求。信息系统审计的目的是保证信息化过程每个环节经常处在可控之中。
信息系统审计的必要性是基于这样一种认识:信息化是有风险的。信息系统规模越大,功能越复杂,风险也就越大。这是从实践中总结出来的。20世纪80年代美国企业信息系统的失败率达50%以上;90年代美国电子政务的信息系统完全成功率仅28%。这充分说明,信息系统的建设较之传统工业工程项目失败的风险更加突出。
国际上信息系统审计的概念起始于20世纪60年代,那时称之为计算机审计(Computer Audit)。主要对计算机的性能和效益进行监测和评估。20世纪90年代以来,随着信息网络的广泛应用,信息系统日趋复杂,尤其是对关键业务应用的可靠性、可用性要求十分苛刻,人们对信息系统审计制度的作用更加重视。目前,国际上一些知名的咨询公司在承担信息系统审计委托时,均采用国际上通行的标准、规范,聘用经过认证的注册IT审计师进行。
按国际上通行的规范,信息系统审计有6个方面的主要内容。
1.评估信息系统计划、管理及组织架构的战略、政策、标准及相应的实践过程:
2.评估技术基础设施及运行实践的效能和效率:
3.评估信息资源在逻辑访问、运行环境以及IT基础设施等方面的安全性;
4.评估系统灾难恢复及保证业务连续性的能力;
5.评估业务应用系统开发、实施与维护的方法和过程;
6.评估业务流程的风险管理水平。
由此可见,信息系统审计是全面的:不仅对技术基础设施,也涉及业务应用系统;不仅是IT系统本身,也包括其组织结构保证,而且特别突出系统的安全性和灾难恢复能力。为了实施审计,专业人员必须具备相当广泛的知识基础。
为了确保审计工作的公正性和客观性,必须具备两个前捉:其一是有一批专业化的第三方审计机构以及经过资格认证的注册IT审计师队伍;其二,必须有一套公认的审计标准、过程规范及职业操守,并有相应的非赢利行业协会负责制定及监督执行。
当前,我国信息化事业已发展到一个新的阶段。各级政府正在推进"电子政务",并认真落实"以信息化带动工业化"的战略。广大企业也开始着手整合与升级各自的信息化应用系统。可以预计,全国将有更多、更大的信息系统上马。但是,据我们了解,在信息化推进过程中,至今不同程度上存在着一些问题,主要表现在规划制定不够深思熟虑;项目管理不够严格;系统运行效益不够明显。导致相当一部分信息化项目失败,浪费了大量资源。究其根源是相当普遍地对信息化风险认识不足,规避风险的措施不力。中央领导同志在国家信息化领导小组会议中特别强调:信息化一定要讲求效益,不能搞花架子。我们认为,建立并逐步完善我国信息系统审计制度是落实上级会议精神的一项重要措施。
为了在我国培育一支高素质的信息系统审计师专业队伍,也为了普及有关信息系统审计的知识,电子工业出版社组织专家出版本书是有现实意义的。这是国内第一本有关IT审计的书籍,本书将指导IT审计人员系统准确地把握汀审计的思想,正确有效地运用IT审计的方法与技术。本书可作为IT审计师的培训教材,也可作为信息系统主管的参考手册,希望读者从此书能获取更多的有益知识。也希望本书的出版为我国更快、更好地进入信息化社会起到促进与保障作用。
我国信息化的实践经验证明,对信息系统进行严格规范的审计与控制是至关重要的。
全国信息系统与网络的发展正改变着经济、社会和文化的结构与运行方式,改变着人们的思维方式,其广度与深度都是以往任何一次产业革命所无法比拟的。正因为如此,我们才十分关注信息资源的合理、经济和正确的使用问题与信息系统和网络安全的风险问题。
我国信息网络化的实践证明,要建设一个有效、安全和可靠的信息系统,必须对信息系统开发和运行进行严格的审计和控制。
美国等发达国家早就开展了由独立的具有资格的第三方进行的丌审计,对信息系统从计划开始,到设计、编程、测试、运行、维护直至淘汰的整个生命周期都实施IT审计。信息系统审计与控制协会ISACA(Information System Audit and Control Association)已在世界上100多个国家设立了160多个分会,制定和颁布IT审计准则、实务指南等,来规范与指导IT审计师的工作。该协会还举办一年一度的注册IT审计师的考试CISA(Certified Information System Auditor),由通过该资格考试的人员(即IT审计师)按照IT审计准则、实务指南等来进行IT审计。IT审计作为信息社会的安全对策,能有效地管理与IT相关的风险,从而确保信息系统的安全性、可靠性和有效性。
为了推进我国信息化事业,保护信息化建设成果,IT审计是必不可少的。信息系统的安全与经济安全、社会安全、国家安全紧密相连,是我国信息化进程中具有重大战略意义的问题。本书是国内第一本有关IT审计的书籍,介绍国外先进的IT审计与控制的思想与方法,对促进我国更好地进入信息化社会,保障信息安全是很有意义的。希望本书的出版能推进我国的IT审计工作,有助于培养IT审计师队伍,从而为我国信息化建设做出一份贡献。
审计不仅是项目完成时验收的需要,而且在信息系统运行、维护过程中更为更要,因为任何一项信息系统不可能在规划和实施阶段就十全十美,又一成不变。这就要求定期或不定期地进行审计,发现问题,解决问题,以适应新的环境变化和业务需求。信息系统审计的目的是保证信息化过程每个环节经常处在可控之中。
信息系统审计的必要性是基于这样一种认识:信息化是有风险的。信息系统规模越大,功能越复杂,风险也就越大。这是从实践中总结出来的。20世纪80年代美国企业信息系统的失败率达50%以上;90年代美国电子政务的信息系统完全成功率仅28%。这充分说明,信息系统的建设较之传统工业工程项目失败的风险更加突出。
国际上信息系统审计的概念起始于20世纪60年代,那时称之为计算机审计(Computer Audit)。主要对计算机的性能和效益进行监测和评估。20世纪90年代以来,随着信息网络的广泛应用,信息系统日趋复杂,尤其是对关键业务应用的可靠性、可用性要求十分苛刻,人们对信息系统审计制度的作用更加重视。目前,国际上一些知名的咨询公司在承担信息系统审计委托时,均采用国际上通行的标准、规范,聘用经过认证的注册IT审计师进行。
按国际上通行的规范,信息系统审计有6个方面的主要内容。
1.评估信息系统计划、管理及组织架构的战略、政策、标准及相应的实践过程:
2.评估技术基础设施及运行实践的效能和效率:
3.评估信息资源在逻辑访问、运行环境以及IT基础设施等方面的安全性;
4.评估系统灾难恢复及保证业务连续性的能力;
5.评估业务应用系统开发、实施与维护的方法和过程;
6.评估业务流程的风险管理水平。
由此可见,信息系统审计是全面的:不仅对技术基础设施,也涉及业务应用系统;不仅是IT系统本身,也包括其组织结构保证,而且特别突出系统的安全性和灾难恢复能力。为了实施审计,专业人员必须具备相当广泛的知识基础。
为了确保审计工作的公正性和客观性,必须具备两个前捉:其一是有一批专业化的第三方审计机构以及经过资格认证的注册IT审计师队伍;其二,必须有一套公认的审计标准、过程规范及职业操守,并有相应的非赢利行业协会负责制定及监督执行。
当前,我国信息化事业已发展到一个新的阶段。各级政府正在推进"电子政务",并认真落实"以信息化带动工业化"的战略。广大企业也开始着手整合与升级各自的信息化应用系统。可以预计,全国将有更多、更大的信息系统上马。但是,据我们了解,在信息化推进过程中,至今不同程度上存在着一些问题,主要表现在规划制定不够深思熟虑;项目管理不够严格;系统运行效益不够明显。导致相当一部分信息化项目失败,浪费了大量资源。究其根源是相当普遍地对信息化风险认识不足,规避风险的措施不力。中央领导同志在国家信息化领导小组会议中特别强调:信息化一定要讲求效益,不能搞花架子。我们认为,建立并逐步完善我国信息系统审计制度是落实上级会议精神的一项重要措施。
为了在我国培育一支高素质的信息系统审计师专业队伍,也为了普及有关信息系统审计的知识,电子工业出版社组织专家出版本书是有现实意义的。这是国内第一本有关IT审计的书籍,本书将指导IT审计人员系统准确地把握汀审计的思想,正确有效地运用IT审计的方法与技术。本书可作为IT审计师的培训教材,也可作为信息系统主管的参考手册,希望读者从此书能获取更多的有益知识。也希望本书的出版为我国更快、更好地进入信息化社会起到促进与保障作用。
我国信息化的实践经验证明,对信息系统进行严格规范的审计与控制是至关重要的。
全国信息系统与网络的发展正改变着经济、社会和文化的结构与运行方式,改变着人们的思维方式,其广度与深度都是以往任何一次产业革命所无法比拟的。正因为如此,我们才十分关注信息资源的合理、经济和正确的使用问题与信息系统和网络安全的风险问题。
我国信息网络化的实践证明,要建设一个有效、安全和可靠的信息系统,必须对信息系统开发和运行进行严格的审计和控制。
美国等发达国家早就开展了由独立的具有资格的第三方进行的丌审计,对信息系统从计划开始,到设计、编程、测试、运行、维护直至淘汰的整个生命周期都实施IT审计。信息系统审计与控制协会ISACA(Information System Audit and Control Association)已在世界上100多个国家设立了160多个分会,制定和颁布IT审计准则、实务指南等,来规范与指导IT审计师的工作。该协会还举办一年一度的注册IT审计师的考试CISA(Certified Information System Auditor),由通过该资格考试的人员(即IT审计师)按照IT审计准则、实务指南等来进行IT审计。IT审计作为信息社会的安全对策,能有效地管理与IT相关的风险,从而确保信息系统的安全性、可靠性和有效性。
为了推进我国信息化事业,保护信息化建设成果,IT审计是必不可少的。信息系统的安全与经济安全、社会安全、国家安全紧密相连,是我国信息化进程中具有重大战略意义的问题。本书是国内第一本有关IT审计的书籍,介绍国外先进的IT审计与控制的思想与方法,对促进我国更好地进入信息化社会,保障信息安全是很有意义的。希望本书的出版能推进我国的IT审计工作,有助于培养IT审计师队伍,从而为我国信息化建设做出一份贡献。
