有真正从事信息安全审计工作的吗，以后多交流

4dmin

国内的信息化程度不算高，信息安全审计的需求应该也不是很多。我做了4年的专业安全服务了，基本都集中在网络、系统、数据库等技术层面，一般的服务也就风险评估，系统加固，紧急响应，安全管理维护等等，基本没碰到安全审计的需求，不知道其他公司在国内有没有实际的经验。\r\n\r\n我对安全审计也不太了解，与风险评估应该有类似的地方，但角度不一样，大家有实际经验的吗，能否交流交流，cisa的学习对实际工作的帮助大吗？而且我觉得安全审计并不能解决安全风险，应该从风险控制的角度来看待安全审计。\r\n\r\nbtw：我去年过了cissp，以后大家有什么关于cissp的问题也可以多交流。

bluesun

l楼主也要多发点你的经验啊

wangjian55

最初由 4dmin 发布\r\n[B]国内的信息化程度不算高，信息安全审计的需求应该也不是很多。我做了4年的专业安全服务了，基本都集中在网络、系统、数据库等技术层面，一般的服务也就风险评估，系统加固，紧急响应，安全管理维护等等，基本没碰到安全审计的需求，不知道其他公司在国内有没有实际的经验。\r\n\r\n我对安全审计也不太了解，与风险评估应该有类似的地方，但角度不一样，大家有实际经验的吗，能否交流交流，cisa的学习对实际工作的帮助大吗？而且我觉得安全审计并不能解决安全风险，应该从风险控制的角度来看待安全审计。\r\n\r\nbtw：我去年过了cissp，以后大家有什么关于cissp的问题也可以多交流。 [/B]

\r\n\r\n\r\n我曾经从事过企业年度报表和企业内部流程的审计工作，这些和信息系统的安全审计有联系吗？我发现信息系统安全审计大都在信息保护方面，也就是说还是在计算机、通信、加密等技术方面，与审计好象关系不是很大嘛！\r\n有谁知道“安全审计”的“审计”二字如何理解？:p :p :p :p :p

valiancy

从Review-->Recommendation过程来讲，Financial Audit 与IS Audit是没有很大的区别。

wangjian55

最初由 valiancy 发布\r\n[B]从Review-->Recommendation过程来讲，Financial Audit 与IS Audit是没有很大的区别。 [/B]

\r\n\r\n财务审计和内部控制审计主要包括报表审计、业务流程审计，比如组织架构的合理性、岗位职责的相互牵制作用，作业流程的执行顺序，以及执行过程的记录的审查等等。\r\nIS审计似乎更多的是网络传输安全性、加密技术的可靠性、数据库信息存取的安全性等等，更多涉及计算机和网络技术。\r\n二者共性不多呀。有财务审计经验的很难做IS审计工作，反之亦然！\r\n\r\n是不是这样？哪位大师有高见？

wangjian55

最初由 valiancy 发布\r\n[B]从Review-->Recommendation过程来讲，Financial Audit 与IS Audit是没有很大的区别。 [/B]

\r\n\r\n财务审计和内部控制审计主要包括报表审计、业务流程审计，比如组织架构的合理性、岗位职责的相互牵制作用，作业流程的执行顺序，以及执行过程的记录的审查等等。\r\nIS审计似乎更多的是网络传输安全性、加密技术的可靠性、数据库信息存取的安全性等等，更多涉及计算机和网络技术。\r\n二者共性不多呀。有财务审计经验的很难做IS审计工作，反之亦然！\r\n\r\n是不是这样？哪位大师有高见？

wangjian55

最初由 valiancy 发布\r\n[B]从Review-->Recommendation过程来讲，Financial Audit 与IS Audit是没有很大的区别。 [/B]

\r\n\r\n财务审计和内部控制审计主要包括报表审计、业务流程审计，比如组织架构的合理性、岗位职责的相互牵制作用，作业流程的执行顺序，以及执行过程的记录的审查等等。\r\nIS审计似乎更多的是网络传输安全性、加密技术的可靠性、数据库信息存取的安全性等等，更多涉及计算机和网络技术。\r\n二者共性不多呀。有财务审计经验的很难做IS审计工作，反之亦然！\r\n\r\n是不是这样？哪位大师有高见？

Mathew

Financial Audit vs. IS Audit\r\n\r\nFinancial Audit & IS Audit apply the same auditing methodology and similar auditing techniques. Actually a lot of auditors hold the CPA & CISA simultaneously. so I think there must be a lot of similar things between them.\r\n\r\nObviously, the big difference is that they\'re working on different objects. However, sometimes these two objects go together such as accounting information system.\r\n\r\nI just wonder how great impact IS audit will have on information system such as ERP? A lot of companies in China have already got ERP system for their business operation. Why they don\'t need a CISA to look after the system, while they usually have an internal auditor... a bit confused.

wangjian55

审计信息系统的战略规划与组织\r\n孙强 郝晓玲 孟秀转 \r\n　　信息系统的规划不当、组织结构设计不当、组织的分工不明确等因素会给信息系统的实施带来很大风险，本文主要介绍了信息系统审计师应该重点从哪些方面对信息系统的规划进行审计，以及对组织结构和职责分工进行审计。\r\n规划审计\r\n　　信息系统的规划对后续信息系统的开发和设计工作影响至关重要，因此需要引起高度的重视。如果规划不当，很可能会产生以下一些潜在的问题：\r\n　　* 最终用户不满意\r\n　　* 过度费用\r\n　　* 计划超支\r\n　　* 项目拖延\r\n　　* 高层人员调整\r\n　　* 缺少经验的员工\r\n　　* 频繁的软硬件错误\r\n　　* 用户请求积压\r\n　　* 计算机响应时间长\r\n　　* 大量流产或搁置的开发项目\r\n　　* 未经验证的或未授权的软硬件购买\r\n　　* 软硬件频繁升级\r\n　　* 过多的异常报告\r\n　　* 未对异常报告进行追踪\r\n　　* 不良动机\r\n　　* 缺少持续规划\r\n　　* 依赖一两个关键人员\r\n　　因此，信息系统审计师需要对组织规划进行全面的审计，在审计过程中应该着重审查以下几个方面：\r\n　　* 信息技术战略、规划和预算所提供的规划和管理控制信息系统环境的证据；\r\n　　* 安全策略文档是否辨别谁负责保护公司资产，包括程序和数据。它还应该声明所有安全风险所对应的职位，声明预防违规的防范措施和保护活动，鉴于这个原因，安全策略文档应该列为机密文档；\r\n　　* 组织章程应该给信息系统审计师提供理解特定部门的汇报关系，描述部门的责任划分，给出组织内部职务分离程度；\r\n　　* 信息化领导小组的报告应该提供关于新系统项目的文档化信息。这些报告应由高层领导审阅，分发给各种业务部门；\r\n组织审计\r\n　　在对组织的职责进行审计时，信息系统审计师需要关注以下方面：\r\n　　* 工作描述定义组织全部职位的责任与功能。提供给组织为相同工作划分成组的能力，同时确保符合工作强度的薪水。\r\n　　* 组织内部职务分离程度，识别有冲突的职位。\r\n　　* 确信汇报水平建立在正确概念基础上，不违背职务分工原则；\r\n　　*系统开发和程序变更流程提供了进行系统开发和程序变更的框架；\r\n　　* 员工操作是否符合操作规程描述，是否遵守组织章程，是否理解组织的标准和规程；\r\n　　* 员工安全、好的防范实务和保护公司资产方法的理解程度以及安全意识；\r\n　　信息系统审计师在进行规划和组织的审计时，主要采取两种方式：\r\n　　* 审查文档。文档的审查需要管理层授权，具有目的性并且要及时更新。通过审查工作描述的文档可以识别这些员工所要汇报的对象的职位。\r\n　　* 观察。观察是最好的考察形式，通过与信息处理人员和管理者面谈等方式进行观察，确认员工是否履行该项工作所必需的技能，是否具备安全意识等。\r\n外包合同审计\r\n　　在采用IT外包战略过程中，一个良好的平衡服务协议作为控制的机制，对于保证质量和未来各方合作而言十分重要。与外包提供方签订的协议内容包括：信息系统服务、产品，质量控制以及方法、过程、结构等方面的描述。这些协议的正确执行取决于双方之间的协调以及负责人的要求等。\r\n　　信息系统审计师必须认识不同形式的外包和相关风险。并要注意到计算机软件、硬件、信息系统服务合同中不同阶段的风险，包括：\r\n　　* 合同需求开发\r\n　　* 合同招标过程\r\n　　* 合同评选过程\r\n　　* 合同承兑\r\n　　* 合同维护\r\n　　* 合同执行\r\n　　以上每个阶段都要具有法律效应的文档支持，并得到管理者授权。信息系统审计师需要证实管理者是否参与合同过程，并且在适当水平上进行了一致性评价。信息系统审计师可以通过对合同抽样审查独立客观的合同履行情况。　　作者交流地址：sun6869@21cn.com

running1977

最初由 wangjian55 发布\r\n[B]\r\n\r\n财务审计和内部控制审计主要包括报表审计、业务流程审计，比如组织架构的合理性、岗位职责的相互牵制作用，作业流程的执行顺序，以及执行过程的记录的审查等等。\r\nIS审计似乎更多的是网络传输安全性、加密技术的可靠性、数据库信息存取的安全性等等，更多涉及计算机和网络技术。\r\n二者共性不多呀。有财务审计经验的很难做IS审计工作，反之亦然！\r\n\r\n是不是这样？哪位大师有高见？ [/B]

\r\n\r\n本人对上述论点有点不同看法:\r\nWangjian兄应该也是栖身于一个accounting firm吧.\r\n我们就拿Financial audit来说, 法定审计主要目的是对财务报表进行审计并发表审计意见.financial auditor一般要对企业的内控进行review & testing (也即compliance testing), 进而确定实质性测试的力度. 而在这两个阶段(compliance testing\' 和substantive testing), IS auditor都要有所涉足(一般是企业的信息化程度比较高的case), IS auditor 能给于 financial auditor 的support:\r\nCompliance testing phase:\r\nIS auditor 能深入到ERP系统中去了解和testing financial auditor要做的测试; 比如: IS auditor会进入SAP系统去复核revenue cycle, Expenditure cycle , Inventory cycle等流程, duty of segregation, intergration between different module (如SDmodule 与FImodule, 去看SD中的一个仓库出库如何产生一个借cost of sale, 贷Inventory), 已经系统中的审批流程等等. 一个IS auditor 必须非常了解fiancial audit 的方式和目的等等, 二者相关性很大.\r\nsubstantive testing phase:\r\nIS auditor可以support financial auditor做一些Reperformance的工作,如FA depreciation reperformance, interst reperformance等等,效果均要好域一般的financial auditor的匡算. 还有如一个企业的成本核算非常复杂,也可以借助IS auditor来做一个彻底的Costing walk in through testing等等.\r\n所以,一个IS auditor必须对financial auditor有非常深入的了解和实践.\r\n象网络传输安全性、加密技术的可靠性、数据库信息存取的安全性等等，更多涉及计算机和网络技术这类的东西, 应该是IT auditor的范围, 主要在于帮助financial auditor了解一个General 的Computer control environment, 可作为 IS auditor 的辅助.