天下武功2016
随着企业信息化工作从初期的关注系统建设到目前关注信息化效益,由“功能驱动”转向“价值驱动”,IT系统、制度和流程等日常的执行和管控已经日益重要起来,并正在成为企业信息化工作的主要内容。在这种情形下,建立一套有效的IT内部审计体系以完善组织整体信息化体系,并确保信息化体系的有效运行尤为显得更有意义。
那么到底何为IT审计?IT审计的对象范围有哪些?作为企业,建立一个完善的IT审计制度需要怎么做?针对诸多疑问,IT审计专家时代新威来为您解答!IT审计就是信息系统审计,也称IT监查,是独立于信息系统本身、信息系统相关开发、使用人员的第三方-IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。 IT审计的出处源自60年代IBM出版的《Audit encounters Electronic Data Processing》等有关在EDI环境下进行审核和组织的论述。不久后有关该方面的研究结果不断涌现, IT审计的雏形初步形成。但是由于信息系统在社会上尚未得到较为广泛的应用,因此IT审计并未在社会上形成意识。
IT审计-对象范围
IT审计设计整个信息系统的生命周期,IT审计不是单纯强调对软硬件的审计。它的审计对象涵盖整个信息系统所有活动和中间产物,并包括信息系统实施相关的外部环境。一般来说,对企业实施IT审计的对象有:本企业内的IT审计师、外部IT审计事务所委托审计师和国家审计机构。IT审计按照信息系统的生命周期分为业务计划审计,业务开发审计、业务执行审计和业务维护审计以及涵盖整个信息系统周期的共通业务审计。1、业务计划审计主要面向信息系统的企划,对信息系统的投资可行性,系统规划与公司战略的相关性,系统开发计划的可行性以及系统需求的完整性和正确性进行审核和验证。2、业务开发审计对信息系统开发的各个阶段的相关人员的活动、信息、中间产物进行审核,确认这些活动、信息和中间产物的规范性、有效性和对于信息系统目标的针对性。3、业务执行审计确认与信息系统运行相关的数据、软硬件、安装环境等是否符合信息系统的运营要求,同时对信息系统的功能、性能、易用度、可操作性等进行评估。4、业务维护审计对信息系统的维护活动和维护结果实施审核和评价。发现在维护中可能出现的各种漏洞和信息系统维护中急待改善的问题。5、共通业务审计涉及文档管理、进度管理、人员管理、采购管理、风险管理等,检查这些过程的规范性和有效性,并提出改良建议。
IT审计-审计制度
作为企业,建立一个完善的IT审计制度需要做到以下几点:(1)IT审计师是跨信息技术和审计技术的复合型人才,要实施企业的IT审计制度,必须重视和培养合格的IT审计师;(2)企业应该建立相应的IT审计部门或审计岗位,确定其部门和岗位职责,并将之置于企业经营者的直接管理之内;(3)企业应该制定相应的IT审计准则、实施报表、报告等进行IT审计所必须的凭据;只得一提的是,企业在建立IT审计制度时应当遵循国家相关IT审计的法规并结合本企业的业务实际进行。企业的IT审计制度不是一成不变的,根据具体企业的营运情况可以在每个审计年度终结后新的审计年度开始前做相应的修改和增删。
IT审计-注意事项
作为企业,建立一个完善的IT审计制度需要做到以下几点:(1)IT审计师是跨信息技术和审计技术的复合型人才,要实施企业的IT审计制度,必须重视和培养合格的IT审计师;(2)企业应该建立相应的IT审计部门或审计岗位,确定其部门和岗位职责,并将之置于企业经营者的直接管理之内;(3)企业应该制定相应的IT审计准则、实施报表、报告等进行IT审计所必须的凭据;企业在建立IT审计制度时应当遵循国家相关IT审计的法规并结合本企业的业务实际进行。企业的IT审计制度不是一成不变的,根据具体企业的营运情况可以在每个审计年度终结后新的审计年度开始前做相应的修改和增删。IT审计作为企业信息化过程中的重要环节,可以高效管理与企业信息系统开发、运行、维护及在整个生命周期中共同业务的相关风险,从而确保信息系统的安全。企业信息系统进行IT审计,客观评价系统实现其目标的完成程度和企业的收益程度,并对系统的实施和风险加以控制。IT审计对企业信息系统整体效能提升影响显着,是企业信息化的可靠保证。
放牧死亡
给你简答说下吧1、CISA:国际注册信息系统审计师CISA(Certified Information System Auditor),自1978年起,由国际信息系统审计和控制协会(ISACA)开始实施注册。CISA认证已经成为持证人在信息系统审计、控制与安全等专业领域中取得成绩的象征,并逐步发展成全球公认的标准。中国获得CISA认证的审计师在信息安全与控制领域内发挥着重要的作用,信息系统审计也越来越被国内企业认可,截至2008年4月世界范围内获得认证的有47,145人,中国大陆获得认证的人数仅有666人。此外,它还会带来相当数量的职业与个人收益。学习对象一般为:1 信息系统审计咨询顾问2 传统的审计专业人员3 企业内部负责信息系统审计的从业人员4 企业内部负责信息系统安全管理和规划等工作的从业人员5 IT经理,信息安全经理 6 CISA应试者cissp:国际注册信息系统安全专家 CISSP是(Certification forInformation System Security Pro Fessional信息系统安全认证专家)的缩写,一种反映信息系统安全从业人员水平的证书,CISSP可以证明证书持有者具备了符合国际标准要求的信息安全知识和经验能力,目前已经得到了全世界广泛的认可,CISSP(Certified Information System Security Professional信息系统安全认证专业人员)是一种反映信息系统安全从业人员资质水平的证书,它可为从事信息安全领域工作的人士提高专业资历提供新的机会和更大便利。CISSP认证考试由(ISC)2组织与管理,参加CISSP认证的人员需要遵守CISSP 道德规范(Code of Ethics),同时要有在信息系统安全通用知识框架(CBK)的十个领域之中的至少两个以上领域中具有最少5年的直接工作经验。两者都是国际认证,英文证书。cisa有中英文考试、cissp只有英文考试相对而言,cissp难一些,比较难考。你一定要说那个高级的话,cissp高级些...cisa偏审计,cissp是国际上最权威、最认可的信息安全认证,是第一个通过iso17024:2003标准的 认证,其认证对象主要为:企业中高层或高级安全工程师的信息安全专家。不晓得你还要知道哪些..想了解的再问....【下面部分手打。。。。】
微笑面对一
IT审计的主要对象?
通常认为,信息系统审计的主要对象是一个组织的信息科技部门。其实,除信息科技部门外,信息系统的所有用户部门及相关方都应考虑在内,因为许多信息系统的控制措施要在这些部门完成。确定被审计对象,可考虑:
一个组织的全部,即所有业务和所有部门
一个组织的局部,即部分业务或部分部门
组织的相关方,如组织的供方,顾客等
根据审计方式的不同,信息系统审计还分为现场审计和非现场审计。非现场审计以非现场审计系统为主要审计工具。
想了解更多内容,请百度搜索时代新威
优质审计师问答知识库
