第3章一般控制.ppt

纲要信息系统审计概论IT治理信息系统一般控制及审计信息系统应用控制及审计……*:一个单位在信息系统环境下,为了保证业务活动的有效进行,保护资产的安全与完整,防止、发现、纠正错误与舞弊,确保信息系统提供信息的真实、合法、完整,而制定和实施的一系列政策与程序措施。*物理环境通信平台软件平台硬件平台网络平台应用平台管理维护部门、人员、管理物理环境(场地、机房等)系统硬件系统软件(操作系统、数据库管理系统等)网络和通信应用程序与信息系统的建立、运行维护、管理和业务处理有关的部门、人员和活动等。信息系统内部控制的对象*从信息系统对象范围角度分为:一般控制对信息系统环境的控制应用控制work/PhysicalITControlTechnicalLayerApplicationCtlITMgmt*IT控制的分类依据控制的预定意图分为:预防性控制(事前控制)检查性控制(事中控制)纠正性控制(事后控制)依据控制的领域分为:治理控制管理控制技术控制*信息系统一般控制范围:应用于一个单位信息系统全部或较大范围的内部控制。对象:应为除信息系统应用程序以外的其他部分。基本目标: 保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外情况下的持续运行等。*信息系统一般控制一般控制的测评内容:单位整体范围安全计划和管理、应用软件开发和变更控制、系统软件控制、职能分离控制、访问控制、服务持续性控制。一般控制主要涉及:管理控制(包括部门管理、人员管理等)系统基础设施控制(包括物理环境、系统硬件、系统软件等)系统访问控制(包括系统通信控制等)系统网络架构控制;灾难恢复控制(即服务持续性控制)*IS一般控制与应用控制的关系良好的一般控制是应用控制的基础。如果一般控制审计结果很差,应用控制审计就没有进行的必要。*