# 信息系统审计

> **一、审计原则与方法**<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:green;">了解</span>信息系统审计职能、流程、内部控制及审计标准。
>
> **二、审计技术控制**<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:green;">了解</span>脆弱性措施、渗透测试等审计技术控制措施。
>
> **三、审计管理控制**<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:green;">了解</span>账户管理、备份验证等审计管理控制措施。
>
> **四、审计报告**<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:green;">了解</span>信息系统审计报告标准SAS70和S0C。

### 一、审计原则与方法

#### 1、信息系统审计的定义

- 国家审计署的定义
  - 信息系统审计是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督活动。
- 国际信息系统和控制协会（ISACA）
  - 是一个获取并评价证据以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。

#### 2、信息系统审计的<span style="color:red;">作用</span>

- 从审计<span style="color:red;">目标</span>看，信息系统审计主要是检查和促进被审计单位信息系统及其内部控制的真实性、正确性、完整性、安全性、可靠性和经济性等各类目标要素。
- 审计<span style="color:red;">内容</span>看，信息系统审计中的一般控制审计包括信息安全<span style="color:red;">技术控制审计</span>和信息安全<span style="color:red;">管理控制审计</span>。

> 审计是对管理的管理。

#### 3、信息系统审计<span style="color:red;">工作流程</span>

- 计划：确定审计的目标和范围
- 现场工作和文件：收集数据并进行访问以帮助分析潜在风险
- 问题发现和验证：潜在问题清单并验证
- 开发解决方案：与客户合作制定解决每个问题的行动计划
- 报告起草和执行
- 问题跟踪

![image-20240922095412833](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240922095412833.png) 

### 二、审计技术控制

- 脆弱性测试
- 渗透测试
- 其他漏洞类型
- 日志
- 合成交易
- 滥用案例测试
- 代码审查
- 接口测试

### 三、审计管理控制

- 账户管理
- 备份验证
- 灾难恢复和业务连续性
- 安全培训和安全意识培训
- 关键绩效和风险指标

### 四、审计报告

- 专业人员了解信息系统安全在更广泛的业务环境中的作用，并能够将其传达给技术和非技术观众。
- SAS70
  - 由美国注册会计师协会（AICPA）制定的用于处理服务机构的审计标准；
  - 提供了一套基于服务组织（如提供IT服务的服务组织）标准可以展示其内部控制的有效性。
- SOC<span style="color:blue;">（服务组织控制）</span>
  - 取代SAS70并解决更广泛的特定用户需求，例如解决安全性，隐私和可用性问题。