a@yycisa@
杨洋，yycisa@
5.渗透测试
模拟攻击行为，发现漏洞
关键：
实施风险分析 全面备份与恢复计划 委托专业机构
Feb, 2008
杨洋， yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋，yycisa@
整体概况
+ 概况1
您的内容打在这里，或者通过复制您的文本后。
概况2
+ 您的内容打在这里，或者通过复制您的文本后。
概况3
+ 您的内容打在这里，或者通过复制您的文本后。
杨洋，yycisa@
一、 常用审计方法概述
杨洋，yycisa@
1.文档复核
理解目标背景 理解风险点与内控 理解系统目标与期望业务输出 理解系统架构 发现异常与违规
Feb, 2008
杨洋， yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
1.文档复核
2. 面询与问卷设计 3. 比对技术 4. 业务观察与穿行测试 5. 渗透测试 6. 数据测试 7. 数据采集与分析
Feb, 2008
杨洋， yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
a@yycisa@
3.比对技术
源代码比对 目标代码比对 特征值比对
杨洋，yycisa@
Feb, 2008
杨洋， yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
1. 对组织管理架构的审计
2. 对IT外包的审计
3. 对IT基础设施与环境的审计
4. 对备份和业务持续性的审计
5. 对开发和获取过程的审计
6. 对系统变更过程的审计
Feb, 2008
杨洋， yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
2.面询与问卷卷对象：专业性与客观性 答案的明确性
如何避免答案失真
杨洋，yycisa@
Feb, 2008
杨洋， yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋，yycisa@
杨洋，yycisa@
1998），CISA（2002）, SCJP，IBM电子商务咨询师，IBM WSAD Developer
目前为同济大学电信学院博士后，主要研究领域：基于移动计 算的安全接入关键技术
Feb, 2008
杨洋， yycisa@yycisa@yy cisa@yycisa@yycis
杨洋，yycisa@
2.面询与问卷设计
面谈准备：
背景研究 确定对象 内容、时间和地点
面谈实施：
时间控制 气氛把握 记录方式 确认 后续分析
Feb, 2008
杨洋， yycisa@yycisa@yy cisa@yycisa@yycis
杨洋， yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋，yycisa@
6. 数据测试
测试类型
ITF(生产环境中用测试用例）
输入标记 消除影响
平行模拟(SQL,EXCEL+VBA)
杨洋，yycisa@
4.业务观察与穿行测试
实际岗位分工与制度是否一致
穿行测试（walk－through）：实际流程是 否一致
安全意识
汇报路线：权责是否一致
Feb, 2008
杨洋， yycisa@yycisa@yy cisa@yycisa@yycis
工具的选择：
功能与易用性 使用习惯与方便获取
Feb, 2008
杨洋， yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋，yycisa@
二、 一般控制审计实务
a@yycisa@
杨洋，yycisa@
6. 数据测试
测试
选择重要模块
数据设计
覆盖各种情况：数据类型、编码违规、违反逻辑 条件、数据文件不一致……
来源：实际业务数据、用户测试数据、审计师测 试数据、自动生成数据
一般方式：
黑盒 白盒
Feb, 2008
分析性复核
Feb, 2008
杨洋， yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋，yycisa@
7. 数据采集与分析
GAAT：
ACL、IDEA ACCESS 、SQL Server SPSS、EXCEL
开发原型 新旧系统交接
Feb, 2008
杨洋， yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋，yycisa@
7. 数据采集与分析
直接获取系统数据，特别是业务输 入与业务输出