审计重点:通讯网络控制,设计、标准和规范,选择网络是否考虑成本/效益原则,以太网的数据传输量比电话线大,软件初始化不正确,可能造成网络反映迟缓
4.语音通讯:(PBX)通过电话交换机进行语音沟通,主要承载:PSTN/ISDN/IP/无线移动
语音黑客通过专用分组(交换机)PBX攻击调制解调器和访问数据网,如果防止语音邮件舞弊控制也带来系统功能降低
5.系统安全
系统控制:一般控制,通用的控制手段和技术,是基础控制,有效性不受应用控制的影响,审计应首先确认已建立完善的一般控制,包括:管理控制、运行控制(计算机运行控制、系统实施控制、软件控制、硬件控制、访问控制、物理设备控制)
应用控制,特定为保障应用程序正确运行而设定的控制,如输入、处理、输出控制,包括:输入控制、处理控制、输出控制)
工作站脚本:建立终端运行环境,登录时起作用
自动注销不活动用户可使攻击者失去获得合法用户的机会
批量总额检查测试有利于输入的完整性和正确性
6.应急计划:灾难后果处理,计划包括减少破坏事件的后果,及时恢复、增强数据中心灵活性和可用性(移植、升级,不中断业务)
审计内容:计划的标准和法律实效适用性
测试灾难发生后恢复有效性
异地存储的适当性(远离现场的保存较好)
员工灾难发生时的反映能力(培训、救助能力)
7.数据库:层次型数据库:树状结构
网状型数据库:网络中的元素之间通过指针进行连接
关系型数据库:以表的形式表示,每个记录用字段表示
数据库管理系统(DBMS)
审计要点:设计:图表描述业务与其是否一致
访问:访问被适当控制
管理:访问级别设置、灾难恢复管理、处理过程一致和完整
界面:信息保密性、可靠性及完整性
便利性:只要有可能应用结构化查询语言SQL
数据库规范化:目标是减少数据沉余,保证关系型数据库的二维表特征
8.数据中心运行:负责软硬件日常工作
审计要点:网络操作控制(职能部门管理)、信息系统操作(事件日志)、紧急状态操作(电压调整器:防止电力浪涌,保证硬件设备安全)、问题处理报告(提供防止病毒服务)
9.网络基础设施:运行在操作系统平台上的网络服务器和应用服务器
审计要点:提供网络服务器和应用服务器的性能和可靠性
检查迅速排除故障的能力
检查时时性能状态监控,保证提供历史报告和公共数据输入
SSL安全协议:提供数据加密、服务器身份验证、消息完整性和客户身份验证功能,网上通过安装一个数字证书数字被加密传输,加密在后台,不需要用户交互操作(如网上银行下载密码证书)
小程序:从WWW服务器下载到客户机上,威胁最大的是从客户机建立与网络连接的小程序
10.软件许可:使用盗版软件的风险、建立防止非法软件的管理制度、发现非法软件使用
降低盗版法律风险方法:保存购置记录
对计算机使用的软件进行鉴别
建立软件使用政策
(提供正版安装)
正版拷贝备份为合法,拷贝多人使用为非法
上千台计算机工作站遵守软件许可调查起点,是看软件安装是否集中管理
2、实施咨询业务
内部控制培训:审计对相关人员在内控方面的培训
经营过程检查(BPR):对组织的业务流程和程序进行检查(电话费用控制方法的制定)
基准比较法:与最优(标杆企业)比较,组织内部也有最优情况
信息技术与系统开发
业绩测评系统的设计
实施咨询业务的原则:
a委托业务更适合保证业务,就应当做保证业务
b章程中含有此项业务,并制定相应政策和程序
c一人从事咨询业务一年内,不能作保证业务,处理方法:派另一人、建立独立监督机制、阐明结果、披露认定的损害,要管理层明白
d避免不必要的超出业务范围和脱离原定的目标管理责任
职业谨慎:了解咨询动机和原因,确定范围,工作技巧,潜在影响,组织从中获什么益处
如何处理目标:审计目标优于管理人员特殊要求,如何协调:
将额外目标纳入咨询业务中
记录额外目标,最后沟通时,报告观察结果
将额外目标纳入后续保证业务中
咨询计划:包括业务目标、范围、完成目标的技术手段
结果沟通:要求清楚的报告业务性质、存在的局限性、引起主意的地方。越过服务对象,直接于上级沟通的情况:重大风险漏洞和控制弱点
报告使用:董事会、审计委员会、其他政府部门,在包括其他审计活动时进行披露
其他沟通:这种方式不具体,但可描述业务类型和重要建议,这是审计职责
责任编辑:虫虫