审计重点：通讯网络控制，设计、标准和规范，选择网络是否考虑成本/效益原则，以太网的数据传输量比电话线大，软件初始化不正确，可能造成网络反映迟缓
　　4.语音通讯：（PBX）通过电话交换机进行语音沟通，主要承载：PSTN/ISDN/IP/无线移动
　　语音黑客通过专用分组（交换机）PBX攻击调制解调器和访问数据网，如果防止语音邮件舞弊控制也带来系统功能降低
　　5.系统安全
　　系统控制：一般控制，通用的控制手段和技术，是基础控制，有效性不受应用控制的影响，审计应首先确认已建立完善的一般控制，包括：管理控制、运行控制（计算机运行控制、系统实施控制、软件控制、硬件控制、访问控制、物理设备控制）
　　应用控制，特定为保障应用程序正确运行而设定的控制，如输入、处理、输出控制，包括：输入控制、处理控制、输出控制）
　　工作站脚本：建立终端运行环境，登录时起作用
　　自动注销不活动用户可使攻击者失去获得合法用户的机会
　　批量总额检查测试有利于输入的完整性和正确性
　　6.应急计划：灾难后果处理，计划包括减少破坏事件的后果，及时恢复、增强数据中心灵活性和可用性（移植、升级，不中断业务）
　　审计内容：计划的标准和法律实效适用性
　　测试灾难发生后恢复有效性
　　异地存储的适当性（远离现场的保存较好）
　　员工灾难发生时的反映能力（培训、救助能力）
　　7.数据库：层次型数据库：树状结构
　　网状型数据库：网络中的元素之间通过指针进行连接
　　关系型数据库：以表的形式表示，每个记录用字段表示
　　数据库管理系统（DBMS）
　　审计要点：设计：图表描述业务与其是否一致
　　访问：访问被适当控制
　　管理：访问级别设置、灾难恢复管理、处理过程一致和完整
　　界面：信息保密性、可靠性及完整性
　　便利性：只要有可能应用结构化查询语言SQL
　　数据库规范化：目标是减少数据沉余，保证关系型数据库的二维表特征
　　8.数据中心运行：负责软硬件日常工作
　　审计要点：网络操作控制（职能部门管理）、信息系统操作（事件日志）、紧急状态操作（电压调整器：防止电力浪涌，保证硬件设备安全）、问题处理报告（提供防止病毒服务）
　　9.网络基础设施：运行在操作系统平台上的网络服务器和应用服务器
　　审计要点：提供网络服务器和应用服务器的性能和可靠性
　　检查迅速排除故障的能力
　　检查时时性能状态监控，保证提供历史报告和公共数据输入
　　SSL安全协议：提供数据加密、服务器身份验证、消息完整性和客户身份验证功能，网上通过安装一个数字证书数字被加密传输，加密在后台，不需要用户交互操作（如网上银行下载密码证书）
　　小程序：从WWW服务器下载到客户机上，威胁最大的是从客户机建立与网络连接的小程序
　　10.软件许可：使用盗版软件的风险、建立防止非法软件的管理制度、发现非法软件使用
　　降低盗版法律风险方法：保存购置记录
　　对计算机使用的软件进行鉴别
　　建立软件使用政策
　　（提供正版安装）
　　正版拷贝备份为合法，拷贝多人使用为非法
　　上千台计算机工作站遵守软件许可调查起点，是看软件安装是否集中管理
　　2、实施咨询业务
　　内部控制培训：审计对相关人员在内控方面的培训
　　经营过程检查（BPR）：对组织的业务流程和程序进行检查（电话费用控制方法的制定）
　　基准比较法：与最优（标杆企业）比较，组织内部也有最优情况
　　信息技术与系统开发
　　业绩测评系统的设计
　　实施咨询业务的原则：
　　a委托业务更适合保证业务，就应当做保证业务
　　b章程中含有此项业务，并制定相应政策和程序
　　c一人从事咨询业务一年内，不能作保证业务，处理方法：派另一人、建立独立监督机制、阐明结果、披露认定的损害，要管理层明白
　　d避免不必要的超出业务范围和脱离原定的目标管理责任
　　职业谨慎：了解咨询动机和原因，确定范围，工作技巧，潜在影响，组织从中获什么益处
　　如何处理目标：审计目标优于管理人员特殊要求，如何协调：
　　将额外目标纳入咨询业务中
　　记录额外目标，最后沟通时，报告观察结果
　　将额外目标纳入后续保证业务中
　　咨询计划：包括业务目标、范围、完成目标的技术手段
　　结果沟通：要求清楚的报告业务性质、存在的局限性、引起主意的地方。越过服务对象，直接于上级沟通的情况：重大风险漏洞和控制弱点
　　报告使用：董事会、审计委员会、其他政府部门，在包括其他审计活动时进行披露
　　其他沟通：这种方式不具体，但可描述业务类型和重要建议，这是审计职责

上一页  [1] [2] 

责任编辑：虫虫