1、信息系统审计的概念,内容,流程?
答:(1)概念信息系统审计是指根据公认的标准和指导规范,对信息系统从规划、实施到运行维护各个环节进行审查评价,对信息系统及其业务的完整性、有效性、效率性、安全性等进行监测、评估和控制的过程,以确定预定的业务目标得以实现,斌提出一系列改进建议的管理活动。
(2)内容:主要包括内部控制系统审计、系统开发审计、应用程序审计、数据文件审计等。a.内部控制系统审计。信息系统的内部控制系统由两个子系统构成:一是一般控制系统,它是系统运行环境方面的控制,为应用程序的正常运行提供外围保障。另一子系统是应用控制系统,它是针对具体的应用系统和程序而设置的各种控制措施。
b.系统开发审计。是指对信息系统开发过程所进行的审计,这是一种事前审计。
c.应用程序审计。其决定了数据处理的合规性、正确性。对应用程序的审计,可以对程序直接进行审查,也可以通过数据在程序上的运行进行间接测试。
d.数据文件审计。在信息系统中,各种凭证、账簿及报表中的数据均以数据文件的形式存储在硬盘或软盘等存储介质中,对数据文件进行审计,可以将该文件打印出来进行检查,也可以在计算机内直接进行审查。
(3)流程:主要的分为准备阶段、实施阶段、终结阶段。
a.准备阶段:
1、明确审计任务。
2、组成信息系统审计小组。
3、了解被审计系统的基本情况。
4、制定信息系统审计方案;
b.实施方案:
1、对被审计系统的内部控制制度进行健全性调查和符合性测试。
2、对帐表单证或数据文件的实质性审查;
c.终结阶段:
1、整理归纳审计资料。
2、撰写审计报告。
3、发出审计结论和决定。
4、审计资料的归档和管理。
2、常见的IT治理标准有哪些,各自的作用是什么?
答:常见的IT治理标准有ITIL,COBIT,BS 7799,PRINCE2。
(1)ITIL(Information Technology Infrastructure Library),即信息技术基础构架库,一套被广泛承认的用于有效IT服务管理的时间准则。1980年以来,英国政府商务办公室为解决“IT服务质量不佳”的问题,逐步提出和完善了一整套对IT服务的质量进行评估的方法体系。
(2)COBIT,(Control Objectives for Information and related Technology):信息和相关技术的控制目标。它是由信息系统审计与控制协会,于1996年推出的用于IT审计的知识体系。作为IT治理的核心模型,其包括34个信息技术过程控制,并归集为IT规划和组织、系统获得和实施、交付与支持以及信息系统运行性能监控4个领域。目前COBIT是国际上公认的IT管理与控制标准。
(3)BS 7799(ISO/IEC17799):国际信息安全管理标准体系。该标准包括信息系统安全管理和安全认证两大部分,是参照英国国家标准BS 7799而来的。它是一个详细的安全标准,包括安全内容的所有准则,由10个独立的部分组成,每一节都覆盖了不同的主题和区域。该体系主要解决企业的信息安全管理上的问题,为企业提供了一个完整的管理框架,不断改进信息安全管理水平,使机构或企业的信息安全以最小代价达到需要的水准。
(4)PRINCE2(Projects In Controlled Environments)是一种对项目管理的某些特定方面提供支持的方法。PRINCE2描述了一个项目如何被切分成一些可供管理的阶段,以便高效地控制资源的使用和在整个项目周期执行常规的监督流程。PRINCE2的视野并不仅仅限于对具体项目的管理,还覆盖了在组织范围对项目的管理。
3、常见的信息系统开发方法,对其中的一到两种展开说明?
答:常见的信息系统开发方法有软件开发生命周期法、原型法、面向对象法、计算机辅助开发方法、基于组件的开发方法、基于Web应用开发方法。以下对软件开发生命周期法进行
说明。
软件开发生命周期法(Software Development Life Cycle,SDLC)是系统分析员和系统开发者常用的软件开发方法。软件开发生命周期法能够生产高质量的软件,满足业务和用户的需求,在开发进度和成本控制下进行软件开发生产,是一种有效保证成本,提高效益的软件开发方法。通过应用传统的SDLC方法,已经成功开发出了大量的业务应用系统。其各个阶段及其基本内容如下:
1、第一阶段——可行性研究。确定实施系统在提高生产效率或未来降低成本方面的战略利
益,确定和量化新系统可以节约的成本,评价新系统的成本回收期。
2、第二阶段——需求定义。一是定义需要解决的问题,二是定义所需的解决方案及方案应
当具有的功能和质量要求。该阶段还要确定是采用定制开发的方法还是供应商提供的软件包。
3、第三阶段A——系统设计(当决定自行开发软件时)。以需求定义为基础,建立一个系
统基线和子系统的规格说明,以描述系统功能如何实现,各个部分之间接口如何定义,系统如何使用已选择的硬件、软件和网络设施等。
4、第三阶段B——系统获取(当决定购买现成软件包时)。以需求定义为基础,向软件供
应商发出请求建议书(RFP)。商品软件的选择要从多方面进行考虑。
5、第四阶段A——系统开发(当决定自行开发软件时)。使用系统设计说明书来设计编程
和实现系统过程。在这个阶段,要进行各个层次的测试,以验证和确认开发的系统。
6、第四阶段B——系统配置(当决定购买现成软件包时)。如果决定选用商品化的软件包
时,需要按照企业的需求进行系统客户化工作,对系统进行剪裁。这种剪裁最好是通过配置系统参数来实现,而不是通过修改程序源代码。
7、第五阶段——系统实施。这个阶段是在最终用户验收测试完成、用户签署正式文件后进
行。系统还需要通过一些认证和鉴定过程,来评价应用系统的有效性。
8、第六阶段——实施后维护。随着一个新系统或彻底修改的系统的成功实施,应当建立正
式的程序来评估系统的充分性和评价成本效益或投资回报。这样可为后续的系统开发项目管理提供改进意见。
当一个项目的需求稳定、定义准确时,生命周期法使用起来最有效,改方法适用于在开发工作的早期建立总体的系统构架。
4、IT服务管理的定义,包括哪些内容?
答:(1)IT服务管理(IT Service Management,ITSM)有以下两种使用比较广泛的定义:
1、IT服务管理是一种以流程为导向、以客户为中心的方法。它通过整合IT服务于企业业
务,提高了企业的IT服务提供和服务支持的能力和水平。
2、IT服务管理是一套通过SLA(服务级别协议)来保证IT服务质量的协同流程。它融合
了系统管理、网络管理、系统开发管理等管理活动以及变更管理、资产管理、问题管理等许多流程理论和实践。
(2)ITIL主题框架包括6个主要模块,即服务管理、业务管理、ICT(信息与通信技术)基础设施管理、贯穿业务和IT基础设施的应用管理、IT服务管理实施规划和集中的安全管理。
08信息2班0804100229徐怡
