?一��、課程背景
根據(jù)多年的企業(yè)信息安全管理與控制經(jīng)驗�����,并結合國內知名信息系統(tǒng)審計師��、信息系統(tǒng)專業(yè)人員,為政府與企業(yè)設計了 “信息系統(tǒng)審計實務”培訓整體方案�,方案考慮到“信息系統(tǒng)審計”對國內企事業(yè)單位還是一個新生的事件,特別是信息技術從業(yè)人員對此還較為陌生��,培訓方案從內部審計的概念�、原理出發(fā)����,一步步引入信息系統(tǒng)審計的方法,從理念到實踐���,從靜態(tài)到動態(tài)��,從管理到技術���,從組織到制度,覆蓋整個組織的IT系統(tǒng)生命周期的風險控制����;本課程還將結合國內IT審計特點,從實務的角度介紹現(xiàn)場審計范圍����、檢查手段、報告編寫的要點及注意事項。
?
?
?
二����、課程目標
講解如何利用IT最佳實踐標準、方法和工具���,針對組織的IT系統(tǒng)進行審計����,以發(fā)現(xiàn)組織IT系統(tǒng)在IT治理���、安全�、運維�、開發(fā)及業(yè)務連續(xù)性等方面存在的技術脆弱性和管理薄弱環(huán)節(jié),以適宜的方式向管理當局報告所發(fā)現(xiàn)的風險�,并對風險進行持續(xù)的追蹤,不斷提高組織的IT風險控制水平���。
三���、課程內容:
(一)、IT審計基礎
1���、??IT的風險與控制
2���、??IT審計準則與指南
3�、??IT審計方法與步驟
4���、??IT審計組織架構
5、??信息系統(tǒng)審計師知識體系
6���、??CISA認證簡介
?(二)�����、IT審計標準
1�����、??IT治理框架
2�����、??COBIT的框架及其審計指南
3���、??信息安全管理體系標準ISO27001
4、??IT服務管理標準ISO20000
5、??IT適用的法律法規(guī)
6���、??各類標準在審計中的使用
(三)�、常用的IT審計方法
1��、??資料收集
2��、??現(xiàn)場訪談
3�、??問卷調查
4、??技術檢查
5����、??風險分析
6、??審計報告編寫
(四)�、IT審計的內容
1、??對IT治理的審計
l???對IT決策機制的審計
l???對IT與業(yè)務融合的審計
l???對IT投資管理的審計
l???對IT規(guī)劃與架構的審計
2���、??對IT基礎設施的審計
l???對網(wǎng)絡架構與基礎設施的審計要點
l???對主機系統(tǒng)的審計要點
l???對數(shù)據(jù)庫系統(tǒng)的安全評估
l???對技術體系的綜合審計
3���、??對信息安全的審計
l???對信息安全管理體系的審計
l???對物理環(huán)境的審計
l???對邏輯安全的審計
l???對網(wǎng)絡安全的審計
4、??對應用系統(tǒng)開發(fā)的審計
l???對應用系統(tǒng)開發(fā)項目的審計
l???對軟件開發(fā)文檔的審計
l???對應用系統(tǒng)開發(fā)安全的審計
l???對應用系統(tǒng)的綜合審計
5�����、??對運維保障體系的審計
l???對部件級及任務級運維管理的審計
l???對IT服務管理體系的審計
6、??其他審計
l???對數(shù)據(jù)管控的審計
l???對應急保障體系的審計
(五)����、案例及工具介紹
1、??IT審計案例介紹
2�����、??IT審計工具的介紹
