3
风险审计管理过程
第一步 第二步 第三步 第四步
确认信息 系统资产
潜在威胁 与影响
确认和评估 安全措施
获得具有成本效益 的控制对策
4
信息系统资产
信息和数据 硬件 软件 服务 文档 人员 另外还有一些需要考虑的传统资产包括：建筑物、存 货、资金和无形资产等。

5
信息的潜在威胁
综合控制是对组织各部门设计、安全、使用
计算机程序的总体上的控制。 应用控制是各个计算机应用程序中的特别的 控制。 综合控制是最低水平的控制。综合信息技术 控制形成了一个整体控制信息技术行为和确 保整体控制目标的框架。在此基础上可以进 一步增加应用控制。
17
综合控制与应用控制
信息技术控制框架 物理与环境控制 系统安全与内部审计 员工的选择、考评和培训 网络访问控制 操作系统控制 应用控制 输入 处理 输出 审计线索 固定数据

（2）环境风险 水灾或火灾破坏，以及其他自然灾 害的破坏； 电源掉电导致内存数据丢失； 电压不稳导致系统故障、处理错误 和设备部件的损坏； 由于温度、湿度恶劣导致系统故障； 炸弹破坏； 静电破坏敏感的电子部件； 其他诸如。照明设备停工，灰尘或 污垢聚集等。
信息系统审计 （信息系统风险管理和持续性计划）
1
主要内容：
信息系统的风险 信息系统运行的安全控制

物理控制与环境控制 逻辑访问控制 网络控制
持续性计划（灾难恢复计划） 信息系统的应用控制

2
1.信息系统的风险
风险的概念：风险是发生某种威胁使资产损失或破坏的 潜在可能。 风险的概念包括以下内容： 威胁、薄弱点、处理过程或资产； 对资产基于威胁和薄弱点的影响； 袭击的可能性。
错误
恶意破坏 欺诈 盗窃 软硬件故障
6
信息系统的薄弱点
用户缺乏知识
缺乏安全措施 口令缺少变化 未经测试的技术 无保护的数据传输
7
威胁一旦发生所造成的影响
直接的经济损失 违反法律 名誉声望受损 员工或客户受到威胁 信心受损 商业机会的损失 经营效率与性能的降低 商业经营中断。
11
控制的基本概念
控制是为实现企业目标，避免、检查、纠正
不受欢迎事件发生提供合理担保的政策、措 施和组织结构。 控制目标是通过实施控制过程要达到的目的 或结果。
12
一些信息系统控制目标：
到目前为止自动系统上 的数据一直被正确的处 理和保存，从而处于安 全状态。 每项操作都经过授权， 并且只处理一次。 所有的操作都有记录， 并且都是在正确的时间 段进行的。
21
物理与环境控制
物理控制：是用于阻止对IT设备未经授权访
问，防止其发生故障的机制和管理过程。 环境控制：是用于保护计算机软硬件，避免 其受到火灾、水灾、灰尘、电源事故伤害的 行为和过程。
22
与物理和环境控制相关的风险
（1）物理风险 员工 （IT雇员、清洁工、警 卫及其他人员）有意或无意 的破坏； 计算机或其零部件失窃； 电压波动导致设备损坏或数 据丢失或损坏； 存在绕过逻辑访问控制的旁 路； 复制或查阅敏感或机密的信 息。
18
信息系统的综合控制
综合信息技术控制主要关注企业的信息技术
基础，包括任何与信息技术相关的政策、过 程和工作实践。他们并不针对某一特别的交 易流或财务应用系统。大多数情况下，综合 控制的元素主要集中在信息技术部门或相似 部门。
19
ห้องสมุดไป่ตู้
综合控制主要包括以下几类：




组织和管理（高水平的信息技术政策和标准）； 职责分离； 物理控制（接触与环境控制）； 逻辑访问控制； 系统开发和程序修改； 对计算机人员（包括程序员、系统分析员和计算机操作人员） 的控制（包括内部和外部信息技术服务）； 确保计算机系统可用性的控制； 对最终用户计算的控制。

所有的拒绝操作都有报 告。 重复操作有报告 文件都经过充分备份， 以备正确的恢复。 对软件的所有变动都经 核实，并进行了测试。

13
预防性控制
作用： 检查发现未发生的问题； 监督操作和输入； 在问题发生之前及时预测和 调整； 避免错误、疏漏和欺诈行为 的发生。 信息系统中常见的预防性控制 只雇佣经过良好训练，具备 任职资格的人员； 职责分离； 对接触或访问各种物理设备 进行控制； 使用设计规范的文档； 建立适当的交接授权过程； 程序化的编辑检查； 使用访问控制软件，只有获 得授权的人员才能访问敏感 文件。
14
发现性控制
用于检测发生的错误、遗漏或者欺诈、作弊行为，并就当前状 态作出汇报。 信息系统中常见的发现性控制有： 哈西总数（hash totals）； 生产过程中的检测点（check points）； 远程通信中的回叫（echo）控制； 重复的计算检查； 定期报告各种变化和不一致； 内部审计职能。
15
纠正控制
纠正控制的作用包括： 降低威胁的影响； 对发现的问题进行补救； 确认问题的原因； 修正已发问题引起的错误； 修改处理系统，降低将来再 次发生问题的可能性。 信息系统中常见的纠正控制包 括： 意外事故计划； 备份过程； 系统重启过程。
16
综合控制与应用控制

8
整体风险
整体风险是对企业风险的整体评价，通常做法 是： ∑影响×可能性
9
剩余风险
剩余风险是采用控制以后所遗留的风 险水平。 管理人员使用剩余风险确认某些地方 是否需要更多的控制措施以进一步降低 风险。
10
2.信息系统运行的控制
控制的基本概念
物理控制与环境控制 逻辑访问控制 网络控制与互联网的使用
20
应用控制
应用控制特别针对某个应用系统，并对交易事务的处 理产生直接的影响。这些控制用于确保所有交易均 是合法的，经过授权，并被记录下来。由于应用控 制与交易流存在关系，因此通常包括： 交易（transactions）输入的控制； 处理控制； 输出控制； 固定数据（standing data）和主文件的控制。