信息系统审计
信息系统审计
电子数据处理系统发展分为三阶段:数据的单项处理阶段(1953-1965)、数据的综合处理阶段(1965-1970)、数据的系统处理阶段(1970年以后),对传统审计产生了巨大的影响,主要表现在(1)对审计线索的影响:传统的审计线索缺失;EDP下:数据处理、存储电子化,不可见,难辨真伪。(2)对审计方法和技术的影响:技术方法复杂化;EDP下:利用计算机——审计技术变得复杂化(3)对审计人员的影响:知识构成要求发生变化;EDP下:会计、审计、计算机等知识和技能(4)对审计准则的影响:信息化下审计准则与标准的缺失;EDP下:在原有审计准则的基础上,建立一系列新的准则(5)对内部控制的影响:内部控制方式发生改变:传统方式下:强调对业务活动及会计活动使用授权批准和职责分工等控制程序来保证。EDP下:数据处理根据既定的指令程序自动进行,信息的处理和存储高度集中于计算机,控制依赖于计算机信息系统,控制方式发生改变。
2、信息系统审计的定义:指根据公认的标准和指导规范,对信息系统从计划、研发、实施到运行维护各个环节进行审查评价,对信息系统及其业务应用的完整、效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现,并提出一系列改进建议的管理活动。
3、信息系统审计的特点(1)审计范围的广泛性(2)审计线索的隐蔽性、易逝性(3)审计取证的动态性(4)审计技术的复杂性:首先,由于不同被审单位的信息系统所配备的计算机设备各式各样,各个机器的功能各异,所配备的系统软件也各不相同。审计人员在审计过程中,必然要和计算机的硬件和系统软件打交道,各种机型功能不一,配备的系统软件各异,必然增加了审计技术的复杂性,其次,由于不同被审单位的业务规模和性质不同,所采用的数据处理及存储方式也不同,不同的数据处理,存储方式,审计所采用的方法、技术也不同。此外,不同被审单位其应用软甲你的开发方式、软件开发的程序设计语言也不尽相同,不同开发方式以及用不同的程序设计语言开发的应用软件,其审计方法与技术也不一样。
4、信息系统审计的目标:(1)保护资产的完整性:信息系统的资产包括硬件、软件、设备、人员、数据文件、系统档案等;(2)保证数据的准确性:数据准确性是指数据能满足规定的条件,防止粗无信息的输入和输出,一级非授权状态下的修改信息所造成的无效操作和错误后果;(3)提高系统的有效性:系统的有效性表明系统能否获得预期的目标;(4)提高系统的效率性:系统效率是指系统达到预定目标所消耗的资源,一个效率高的信息系统能够以尽量少的资源达到需要的目标;(5)保证信息系统的合规性合法性:信息系统及其运用必须遵守有关法律、法规和规章制度。
5、信息系统审计的主要内容:内部控制系统审计内部控制系统包括一般控制系统(包含组织控制、系统开发控制、系统安全控制、硬件和系统软件控制等方面)应用控制系统(输入、处理、输出);系统开发审计;应用程序审计(决定了数据处理的合规性、正确性目的:一是测试应用控制系统的符合性;二是通过检查程序运行和逻辑的正确性达到实质性测试目的。测试应用控制的符合性是指对嵌入应用程序中的控制措施进行测试,看它们是否按设计要求在运行和起作用);数据文件审计(目的:一是数据文件进行实质性测试;而是通过数据文件的审计,测试一般控制或应用控制的复合型,但数据文件审计主要是为了实质性测试)
6、基本方法:绕过信息系统审计:基于黑箱(Black box)原理,审计人员不审查系统内的程序和文件,只审查I/O数据及其管理制度。优点:审计技术简单、较少干扰被审系统。缺点:审计结果不太可靠、要求I/O联系紧密
通过信息系统审计:基于黑箱(Black box)原理,审计人员不审查系统内的程序和文件,只审查I/O数据及其管理制度。优点:审计技术简单、较少干扰被审系统。缺点:审计结果不太可靠、要求I/O联系紧密。
7、步骤:准备阶段(明确审计任务、组成信息系统小组、了解被审系统的基本情况、制定
信息系统审计方案、发出审计通知书);实施阶段(对被审计系统的内部控制制度进行健全性调查和符合性测试、对张单证或数据文件的实质性审查);终结阶段(整理归纳审计资料、撰写审计报告(审计报告主要是对信息系统审计结果的综合归纳,由审计小组撰写)、发出审计结论和决定、审计资料的归档和档案)
8、国际信息系统审计原则:审计标准(是整个信息系统准则体系的总纲,是制定审计指南和作业程序的基础和依据);审计指南(为审计标准的应用提供了指引,信息系统审计师在审计过程中应考虑如何应用指南以实现审计标准的要求,在应用过程中应灵活运用专业判断并纠正任何偏离准则的行为);作业程序(提供了信息系统审计师在审计过程中可能遇到的审计程序的示例)
9、审计师应具备的素质:(1)应具备的理论知识:传统审计理论、信息系统管理理论、计算机科学、行为科学理论(2)应具有的实践技能:参加过不同类别的工作培训,尤其是在组织采用和实施新技术时,此外也参加过组织内部计划的制定等;参与专业的机构或厂商组织的研讨会,动态掌握信息技术的新发展对审计时间的影响;具有理解信息处理活动的各种技术,尤其是影响组织财务活动的技术,能够与来自各领域的管理者、用户、技术专家进行交流;理解并熟悉操作环境,评估内部控制的有效性;理解现有与未来系统的技术复杂性,以及它们对各级操作与决策的影响;能使用技术的方法去识别技术的完整性;要参与评估与使用信息技术相关的有效性、效率、风险等;能够提供审计集成服务并对审计员工提供指导,与财务审计师一起对公司财务状况作出声明;具备系统开发方法论、安全控制设计、实施后评估等;掌握网络相关的安全事件、信息安全服务、灾难恢复与业务持续计划、异步传输模式等通信技术。
10、IT治理德勤定义:IT治理是是一个含义广泛的概念,包括信息系统、技术、通信、商业、所有利益相关者、合法性和其他问题。其主要任务是保持IT与业务目标一致推动业务发展,促使收益最大化,合理利用IT 资源,IT相关风险的适当管理。
11、共同点:
(1)IT治理必须与企业战略目标一致,IT对于企业非常关键,也是战略规划的组成,影响战略竞争。
(2)IT治理保护利益相关者的权益,使风险透明化,知道和控制IT投资、机遇、利益、风险。
(3)IT治理和其他治理主题一样,是管理执行人员和利益相关者的责任(以董事会为代表)(4)IT治理包括管理层、组织结构、过程,以确保IT维持和拓展组织战略目标
(5)应该合理利用企业的信息资源,有效地进程与协调。
(6)确保IT战略及时按照目标交付,有合适的功能和期望的收益,是一个一致性和价值传递的基本构建模块,有明确的期望值和衡量手段。
(7)引导IT战略平衡系统的投资,支持企业,变革企业,或者创建一个信息基础构架,保证业务增长,并在一个新的领域竞争。
(8)对于核心IT资源做出合理的决策,进入新的市场,驱动竞争策略,创造总的收入增长,改善客户满意度,维系客户关系。
12、IT管理是公司的信息及信息系统的运营,确定IT目标以及实现此目标所采取的行动。IT治理是指最高管理层(董事会)利用它来监督管理层在IT战略上的过程、结构和联系,以确保这种运营处于正确的轨道之上。IT治理规定了整个企业IT运行的基本框架,IT管理则是在这个既定的框架下驾驭企业奔向目标。
13、公司治理和IT治理:公司治理关注利益相关者权益和管理,驱动和调整IT治理。IT 能够提供关键的输入,形成战略计划的一个重要组成部分,是公司治理的重要功能。
14、ITIL:信息技术基础构架库;COBIT:信息和相关技术的控制目标;BS 7799:国际安全管理标准体系;PRINCE2是一种对项目管理的某些特定方面提供支持的方法。
15、IT治理成熟度模型:不存在(0级)、初始级(1级)、可重复级(2级)、已定义级(3级)、已管理级(4级)、优化级(5级)作用:IT治理成熟度模型制定了一个基准,组织可能根据上面的指标确定自己的等级,从而了解自身的境界。在此基础上确定组织的关键成功因素,通过关键绩效指标进行监控,并衡量组织是否能达到关键目标指标中所设定的目标。
16、信息系统内部控制:一个单位在信息系统环境下,为了保证业务活动的有效进行,保护资产的安全与完整,防止、发现、纠正错误与舞弊,确保信息系统提供信息的真实、合法、完整,而制定和实施的一系列政策与程序措施。
17、一般控制系统:范围:应用于一个单位信息系统全部或较大范围的内部控制。对象:应为除信息系统应用程序以外的其他部分。基本目标:保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外情况下的持续运行等。
18、良好的一般控制是应用控制的基础。如果一般控制审计结果很差,应用控制审计就没有进行的必要。
19、审计逻辑访问安全策略:此策略应当为逻辑访问建立“知所必需”的原则,并合理评估在访问过程中暴露的风险。
20、审查离职员工的访问控制:一般来说,员工离职的情况主要有请辞、聘用合同期满和非自愿离职三种。对于非自愿离职的员工,组织应当在接触其职务之前,及时收回或严格限制其对组织信息资源的访问权,使其不能继续访问组织的机密信息,或使其不能破坏组织有价值的信息资产。如果对于这类员工还需要保留一部分访问权,必须得到相关管理层批准,并对其进行严格的监督。对其他两种离职的员工,由管理层批准是否保留他们的访问权,这取决于每一种人所处的特定环境、员工所访问IT资产的敏感程度以及组织的信息安全策略、标准和程序的要求。
21、系统访问:通过某种途径允许或限制对网络资源(软件和硬件)和数据(存储的和通信的)的访问能力及范围。逻辑访问控制:通过一定的技术方法控制用户可以利用什么样的信息,可以运行什么程序与事务,可以修改什么信息与数据。物理访问控制:限制人员进出敏感区域。对极端及信息的物理访问与逻辑访问应当建立在“知所必需”的基础上,按照最小授权原则和职责分离原则来分配系统访问权限,并把这些访问规则与访问授权通过正式书面文件记录下来,作为信息安全的重要文件加以妥善管理。
22、身份识别与验证:(账号与口令,令牌设备,生物测定技术与行为测定技术)“只有你知道的事情”——账号与口令,账号的控制、口令的控制;“只有你拥有的东西”——令牌设备,发送许可权的特殊消息或一次性口令的设备;“只有你具有的特征”——生物/行为测定,指纹、虹膜等和签名等。
23、逻辑访问授权:一般情况下,逻辑访问控制基于最小授权原则,只对因工作需要访问信息系统的人员进行必要的授权,当用户在组织变换工作角色时,在赋予他们新访问权限时,一般没有及时取消旧的访问权限,这回产生访问控制上的风险。所以当员工职位有变动时,信息系统审计是要及时审核访问控制列表是否做了有效变更。
24、BCP一般包括业务持续性计划(BCP)、业务恢复计划(BRP)、连续作业计划(COOP)、持续支持计划/IT应急计划、危机通信计划、事件响应计划、灾难恢复计划(DRP)、场所应急计划(OEP)
25、数据备份:完全备份、增量备份、差分备份等
26、信息系统审计针对灾难恢复与业务连续性计划,其主要任务是理解预评价组织的业务连续性策略,及其与组织业务目标的符合性;参考相应的标准和法律法规,评估该计划的充分性和实效性;审核信息系统及终端用户对计划所做测试的结果,验证计划的有效性;审核异
地存储设施及其内容、安全和环境控制,以评估异地存储站点的适当性;通过审核应急措施、员工培训、测试结果,评估信息系统及其终端用户在紧急情况下的有效反应能力;确认组织对业务持续性计划的维护措施存在并有效。
27、应用控制市委适应各种数据处理的特殊控制要求,保证数据处理完整、准确地完成而建立的内部控制。可将应用控制划分为输入控制、处理控制和输出控制。应用控制也是由手工控制和程序化控制构成,但以程序化控制为主。
28、信息系统开发审计是对信息系统开发过程进行的审计,审计的目的一是要检查开发的方法、程序是否科学,是否含有恰当的控制;二是要检查开发过程中产生的系统文档资料室否规范。
29、系统开发过程审计:遵守标准与流程;有效的操作;使系统合乎法律要求;必要的控制,预防可能的损失及严重错误;为管理层、信息系统审计师、操作人员提供必要的审计轨迹;系统文档,便于系统维护与审计。
30、软件维护的种类:纠错性维护、适应性维护、完善性维护、预防性维护
31、ITIL:六个主要模块:服务管理(service management)、业务管理(business management)、信息与通信技术基础设施管理(ICT infrastructure)、应用管理(application management)、IT 服务管理实施规划、安全管理(security management)
32、服务管理模块:面向IT基础设施管理的服务支持和面向业务管理的服务提供。IT服务提供流程主要面对付费的机构和个人客户,负责为客户提供高质量、低成本的IT服务。它的任务是根据组织的业务需求,对服务能力、持续性、可用性等服务级别目标进行规划和设计,同时,还必须考到这些服务目标所需要好费电成本。IT 服务主要包括服务水平管理、IT服务财务管理、能力管理、IT 服务持续性管理和可用性管理五个服务管理流程。IT服务支持的服务支持流程主要面向终端用户,责任确保IT服务的稳定性与灵活性,用于确保终端用户得到适当的服务,以支持组织的业务功能。服务支持流程包括体现服务接触和沟通的服务台职能和五个运作层次的流程,即配置管理、事故管理、问题管理、变更管理和发布管理等。
33、应用程序审计的内容:审查程序控制是否健全有效:程序中输入控制、处理控制、输出控制的审计;审查程序编码的合法性:是否含有为了舞弊目的而设计的非法编码;审查程序编码的正确性:是否编码有错误、目标和任务不明确,系统设计、程序设计错误;审查程序的有效性:是否有无效编码、是否有效率较差的编码
34、应用程序审计方法:手工审计方法与计算机辅助审计方法相结合。
35、程序编码检查法:逐条审查被审程序,验证程序的合法性、完整性和逻辑的正确性。
36、检测数据法:审计人员把一批预先设计好的检测数据,利用被审程序加以处理,并把处理的结果与预期的结果做比较,以确定被审程序的控制与处理功能是否恰当、有效的一种方法。
37、平行模拟法是指审计人员自己或请计算机专业人员编写的具有和被审程序相同处理和控制功能的模拟程序,用这种程序处理档期的实际数据,并已处理的结果与被审计程序的处理结果进行比较,已评价被审程序的处理和控制功能是否可靠的一种方法。
38、嵌入审计程序法是指被审信息系统的设计和开发阶段,在被审的应用程序中嵌入未执行特定的审计功能而设计的程序段,这些程序段可以用来收集审计人员感兴趣的资料,并且建立一个审计控制文件,用来存储这些资料,审计人员通过这些资料的审核来确定被审程序的处理和控制功能的可靠性。
39、程序追踪法是一种对给定的业务,跟踪被审程序处理步骤的审查技术。一般可由追踪软件来完成,也可利用某些高级语言或数据库管理系统中的跟踪指令跟踪被审程序的处理。
涉密计算机信息系统的安全审计
涉密计算机信息系统的安全审计 来源:CIO时代网 一、引言 随着网络的发展,网络信息的安全越来越引起世界各国的重视,防病毒产品、防火墙、入侵检测、漏洞扫描等安全产品都得到了广泛的应用,但是这些信息安全产品都是为了防御外部的入侵和窃取。随着对网络安全的认识和技术的发展,发现由于内部人员造成的泄密或入侵事件占了很大的比例,所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到重视,要做到这点就需要在网络中实现对网络资源的使用进行审计。 在当今的网络中各种审计系统已经有了初步的应用,例如:数据库审计、应用程序审计以及网络信息审计等,但是,随着网络规模的不断扩大,功能相对单一的审计产品有一定的局限性,并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一,跨地区、跨网段、集中管理才是综合审计系统最终的发展目标。 本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后的发展方向做出了讨论。 二、什么是安全审计 国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖),简称“五性”。安全审计是这“五性”的重要保障之一,它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进行安全审计,记录所有发生的事件,提供给系统管理员作为系统维护以及安全防范的依据。安全审计如同银行的监控系统,不论是什么人进出银行,都进行如实登记,并且每个人在银行中的行动,乃至一个茶杯的挪动都被如实的记录,一旦有突发事件可以快速的查阅进出记录和行为记录,确定问题所在,以便采取相应的处理措施。 近几年,涉密系统规模不断扩大,系统中使用的设备也逐渐增多,每种设备都带有自己的审计模块,另外还有专门针对某一种网络应用设计的审计系统,如:操作系统的审计、数据库审计系统、网络安全审计系统、应用程序审计系统等,但是都无法做到对计算机信息系统全面的安全审计,另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况,就需要对每种设备的审计模块熟练操作,并且结合多种专用审计产品才能够做到。 为了能够方便地对整个计算机信息系统进行审计,就需要设计综合的安全审计系统。它的目标是通过数据挖掘和数据仓库等技术,实现在不同网络环境中对网络设备、终端、数据资源等进行监控和管理,在必要时通过多种途径向管理员发出警告或自动采取排错措施,并且能够对历史审计数据进行分析、处理和追踪。主要作用有以下几个方面: 1. 对潜在的攻击者起到震慑和警告的作用; 2. 对于已经发生的系统破坏行为提供有效的追究证据; 3. 为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞; 4. 为系统管理员提供系统的统计日志,使系统管理员能够发现系统性能上的不足或需要改进和加强的地方。 三、涉密信息系统安全审计包括的内容 《中华人民共和国计算机信息系统安全保护条例》中定义的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。涉密计算机信息系统(以下简称“涉密信息系统”)在《计算机信息系统保密管理暂行规定》中定义为:采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。所以针对涉密信息系统的安全审计的内容就应该
信息系统审计中需要注意的环节-2019年文档
信息系统审计中需要注意的环节 信息系统审计,是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。审计的主要目标是通过检查和评价被审计单位信息系统的安全性、可靠性和经济性,揭示信息系统存在的问题,提出完善信息系统控制的审计意见和建议,促进被审计单位信息系统实现组织目标;同时,通过检查和评价信息系统产生数据的真实性、完整性和正确性,防范和控制审计风险。本人就近几年参与信息化系统审计的经历,对审计过程中需要注意的环节做一些探讨。 一、信息系统项目的选择 对信息系统项目的选择一般要考虑到几点:信息系统作为一个独立的项目来开展审计还是把信息系统作为一个子项目来审计;信息系统项目是被审计单位的核心业务,信息系统审计与常规审计的目标一致或相关,两者关联密切,能够相互补充,如医院的收费业务系统、企业的ERP系统等;项目已完工结算正常运行,这样便于对项目进行整体的审计评价;项目涉及资金量较大,涉及部门和人员较多,内部控制存在问题;信息系统项目为本地区公益民生项目,例如“金保”工程、天网工程等。 二、做好审前调查,确定审计重点 审前调查是审计的重要组成部分,直接关系到审计方案如何制定、如何安排审计人员以及审计风险是否可控。审前调查的内
容一般应包含:(1)调查了解被审计单位相关经济业务活动所依赖信息系统的业务内容、业务流程、业务规模、资金流和信息流等;(2)调查了解信息系统的总体框架、技术架构、业务实现流程、数据运行流程、系统功能结构、系统网络结构和应用部署模式等;(3)调查了解信息系统建设的项目管理、投资管理、绩效评估情况和文档资料;(4)调查了解被审计单位信息化项目建设规划和标准、基本管理制度和单位绩效目标。 在调查了解的基础上,深入分析被审计单位信息部门在该单位的职责地位以及部门人员的具体分工;项目中如何划定信息人员、管理人员和财务使用人员之间的职责分工;被审计单位业务流程与信息化的耦合度如何;信息系统业务流程涉及的主要部门,权限分配如何;检查被审计单位信息机房设备是否符合标准要求,数据库等软件的国产化程度和程序数据接口标准;单位系统和数据安全评估等级;被审计单位在财务上如何与业务数据进行对接,是否数据上保持一致;数据恢复和备份情况等。通过以上分析,关注信息系统中的一些关键环节、容易忽略的地方,把握整体,抓住主要问题,避免审计风险。例如审计医院的业务系统,应该关注医院各个部门的工作职责、整个的药品流程、医疗项目收费流程和处方流程等。 三、审计内容和方法 信息系统审计的内容一般有应用控制、一般控制和项目管理审计。审计当中要看具体情况,内容的侧重点由被审计单位信息
审计管理信息系统解决方案
审计管理信息系统解决方案
一、企业目前在审计管理上面临的问题 随着集团型企业的不断发展,内部审计已成为现代企业管理的重要组成部分,对完善企业内部自我约束机制,深化企业改革,建立现代企业制度作出了巨大贡献。但是,目前很多企业的内部审计从机构设置、工作重点、审计范围、规范管理等方面还存在一些问题,主要表如下: 资源压力,效率低下 目前,大多数集团型企业面临多种审计需求,工作量巨大,审计工作面临多组织、多地域问题,难以组织协调,无法兴盛统一的资源和计划管理。 标准、方法不一致 集团型企业分子公司、分支机构审计方式不统一,存在一个组织,多种方法的问题。审计标准不统一,风险难以被有效控制。业务的不断变化,而审计业务没有创新和改变,难以应对变化。 审计能力不能持续提升 审计过程中,不能有效地获取、积累、沉淀知识,各组织审计知识不能有效共享,导致审计人员能力不能得到很好的提升。 审计绩效及监督体制不完善 企业没有有效的审计绩效考核方案,审计发现问题后,没有有效的监督整改机制。 风险意识薄弱
审计方式以事后审计为主,大多为“补救式”管理,审计质量提升不明显,导致没有有效的进行风险预警。 二、审计管理信息系统的概述 北京慧点科技开发有限公司(以下简称:慧点科技)的审计管理信息系统,为集团型企业的审计部门借助信息化手段,助力内部审计业务和管理全面提升提供了保障。慧点科技的审计管理信息系统可以帮助审计部门更好地履行内部审计职能,并且在实施审计项目、进行审计管理的过程中,对相关的审计业务操作与各类管理信息进行过程留痕,使客户能够更加方便的对审计过程中的各类信息进行统计分析,实现审计知识的积累,为审计项目实施和审计工作流程管理提供支持工具。 慧点审计管理信息系统按照集团型企业审计工作特点量身定制,建立了审计计划管理、审计资源管理、审计作业管理、审计业务分析等功能模块,功能和整合能力达到国际领先水平,不仅实现了集团型企业信息化的跨越式发展,为审计业务发展所需要的“治理结构”、“人力资源”、“工作实务”、“绩效评估及质量保证”、“技术”、“沟通和汇报”、“知识管理”等七个要素的发展提供了技术支撑。 三、审计管理信息系统架构说明 慧点管理信息系统分为多个层次,包括信息门户与展现层、业务系统应用层、应用支撑与工具层、基础设施层等4个层面,身份和授权管理贯穿于各个层面, 如下图所示:
管理系统信息系统期末考试试题库
管理信息系统试题库 一、单项选择题 1.当计算机在管理中的应用主要在于日常业务与事务的处理、定期提供系统的 业务信息时,计算机的应用处于()。 A. 管理信息系统阶段 B. 决策支持系统阶段 C. 电子数据处理阶段 D. 数据综合处理阶段 2.下面关于DSS的描述中正确的是()。 A.DSS是解决结构化和半结构化问题的信息系统 B.DSS中要求有与MIS中相同的数据库及其管理系统 C.DSS不仅支持决策者而且能代替决策者进行决策 D.DSS与决策者的工作方式等社会因素关系密切 3.ES的特点不包括()。 A.掌握丰富的知识,有专家水平的专门知识与经验 B.有通过学习或在运行中增长和扩大知识的能力 C.自动识别例外情况 D.有判别和推理的功能 4.管理系统中计算机应用的基本条件包括科学的管理基础、领导的支持与参与 及()。 A. 报表文件统一 B. 数据代码化 C. 建立组织机构 D. 建立专业人员队伍和培训 5.在因特网中用E-mail发送邮件,实现的实体间联系是()。 A. 1:1 B. 1:n C. n:1 D. m:n 6.为了解决数据的物理独立性,应提供某两种结构之间的映像,这两种结构为 ()。 A. 物理结构与用户结构 B. 逻辑结构与物理结构 C. 逻辑结构与用户结构 D. 概念结构与逻辑结构 7.系统结构化分析和设计的要点是()。 A. 由顶向下 B. 由底向上 C. 集中 D. 分散平等 8.在各种系统开发方法中,系统可重用性、扩充性、维护性最好的开发方法是
()。 A. 原型法 B. 生命周期法 C. 面向对象的方法 D. 增长法 9.在诺兰模型中,开始对计算机的使用进行规划与控制是在()。 A. 集成阶段 B. 成熟阶段 C. 控制阶段 D. 数据管理阶段 10.企业系统规划法的基本概念是:()地进行系统规划和()地付诸实 施。 A. 自上而下,自下而上 B. 自下而上,自上而下 C. 自上而下,由总到分 D. 由总到分,自上而下 11.从管理系统中计算机应用的功能来看,计算机在管理系统中应用的发展依次 为()。 A. EDP、DSS、MIS、EIS B. DSS、EDP、MIS、EIS C. MIS、EDP、DSS、EIS D. EDP、MIS、DSS、EIS 12.DSS的工作方式主要是()。 A. 人机对话方式 B. 键盘操作方式 C. 交互会话方式 D. 非交互会话方式 13.专家系统有两个核心组成部分,即知识库和()。 A. 数据库 B. 推理机 C. 方法库 D. 决策模型 14.处理功能分析常用的方法有:决策树、决策表和()。 A. 结构化语言 B. 数据字典 C. 数据功能格栅图 D. E-R图 15.在医院,患者与医生的关系是属于()。 A. 1:1 B. 1:n C. n:1 D. m:n 16.系统开发中强调系统的整体性,它采用先确定()模型,再设计() 模型的思路。 A. 实体,用户 B. 用户,实体 C. 逻辑,物理 D. 物理,逻辑 17.生命周期法的主要缺点是难以准确定义用户需求,及()。 A.阶段不明确
简述信息系统审计的主要内容--(出自第七单元)
第1页(共3页) 管理学作业答题纸 管理信息系统作业02(第5-8单元)答题纸 学籍号:姓名:分数: 学习中心:专业:____________ 本次作业满分为100分。请将每道题的答案写在对应题目下方的横线上。 题目1 [50 分] 答:内部控制制度审计:为了保证信息系统能够安全可靠地运行,严格内部控制 制度十分必要,它可以保证数据功能所产生的信息具有正确性、完整性、及时性 和有效性。 应用程序审计:计算机应用程序审计是信息系统审计的重要内容,这是因为企业 处理经济业务的目的、原则和方法都体现在计算机程序之中,他们是否执行国家 的方针政策,是否执行财经纪律和制度也往往在应用程序中体现出来。 数据文件审计:数据文件审计包括由打印机打印出来的数据文件和存储在各种介 质之上的数据文件的审计,包括会计凭证、会计帐本和会计报表,需要通过信息 技术进行测试。主要包括三个方面: 测试信息系统数据文件安全控制的有效性; 测试信息系统数据文件安全控制的可靠性; 测试信息系统数据文件安全控制的真实性和准确性。 处理系统综合审计:对信息系统中的硬件功能、输入数据、程序和文件4个因素 进行综合的审计,以确定其可靠性和准确性。 系统开发审计: 指对信息系统开发过程进行审计。包括两个目的:一是要检查开发的方法和程序 是否科学合理,是否受到恰当的控制;
第2页(共3页)二是要检查开发过程中产生的系统资料和凭证是否符合规范。 题目2 [50 分] 答:(1) 模块 通常是指用一个名字就可以调用的一段程序语句为物理模块。 在模块结构图中,用长方形框表示一个模块,长方形中间标上能反映模块处理功 能的模块名字。 模块名通常由一个动词和一个作为宾语的名词组成。 (2) 调用 模块间用箭头线联接,箭尾表示调用模块,箭头表示被调用模块。箭尾菱形表示 有条件调用,弧形箭头表示循环调用。 调用关系有:直接调用、条件调用(判断调用)和循环调用(重复调用)。(3) 数据 模块之间数据的传递,使用与调用箭头平行的带空心圆的箭头表示,并在旁边标 上数据名。箭头方向表示数据传送方向。 (4) 控制信息 为了指导程序下一步的执行,模块间有时还必须传送某些控制信息,例如,数据 输入完成后给出的结束标志。 控制信息与数据的主要区别是前者只反映数据的某种状态,不必进行处理。在模 块结构图中,用带实心圆点的箭头表示控制信息。 其中专业理论知识内容包括:保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括:岗位操作指引、勤务技能、消防技能、军事技能。 二.培训的及要求培训目的 安全生产目标责任书
管理信息系统期末考试试题库
管理信息系统试题库 一、单项选择题(每小题2分,共计20分,把你认为正确答案的代码填入括号内) 1.当计算机在管理中的应用主要在于日常业务与事务的处理、定期提供系统的 业务信息时,计算机的应用处于()。 A. 管理信息系统阶段 B. 决策支持系统阶段 C. 电子数据处理阶段 D. 数据综合处理阶段 2.下面关于DSS的描述中正确的是()。 A.DSS是解决结构化和半结构化问题的信息系统 B.DSS中要求有与MIS中相同的数据库及其管理系统 C.DSS不仅支持决策者而且能代替决策者进行决策 D.DSS与决策者的工作方式等社会因素关系密切 3.ES的特点不包括()。 A.掌握丰富的知识,有专家水平的专门知识与经验 B.有通过学习或在运行中增长和扩大知识的能力 C.自动识别例外情况 D.有判别和推理的功能 4.管理系统中计算机应用的基本条件包括科学的管理基础、领导的支持与参与 及()。 A. 报表文件统一 B. 数据代码化 C. 建立组织机构 D. 建立专业人员队伍和培训 5.在因特网中用E-mail发送邮件,实现的实体间联系是()。 A. 1:1 B. 1:n C. n:1 D. m:n 6.为了解决数据的物理独立性,应提供某两种结构之间的映像,这两种结构为 ()。 A. 物理结构与用户结构 B. 逻辑结构与物理结构 C. 逻辑结构与用户结构 D. 概念结构与逻辑结构 7.系统结构化分析和设计的要点是()。
A. 由顶向下 B. 由底向上 C. 集中 D. 分散平等 8.在各种系统开发方法中,系统可重用性、扩充性、维护性最好的开发方法是 ()。 A. 原型法 B. 生命周期法 C. 面向对象的方法 D. 增长法 9.在诺兰模型中,开始对计算机的使用进行规划与控制是在()。 A. 集成阶段 B. 成熟阶段 C. 控制阶段 D. 数据管理阶段 10.企业系统规划法的基本概念是:()地进行系统规划和()地付诸实 施。 A. 自上而下,自下而上 B. 自下而上,自上而下 C. 自上而下,由总到分 D. 由总到分,自上而下 11.从管理系统中计算机应用的功能来看,计算机在管理系统中应用的发展依次 为()。 A. EDP、DSS、MIS、EIS B. DSS、EDP、MIS、EIS C. MIS、EDP、DSS、EIS D. EDP、MIS、DSS、EIS 12.DSS的工作方式主要是()。 A. 人机对话方式 B. 键盘操作方式 C. 交互会话方式 D. 非交互会话方式 13.专家系统有两个核心组成部分,即知识库和()。 A. 数据库 B. 推理机 C. 方法库 D. 决策模型 14.处理功能分析常用的方法有:决策树、决策表和()。 A. 结构化语言 B. 数据字典 C. 数据功能格栅图 D. E-R图 15.在医院,患者与医生的关系是属于()。 A. 1:1 B. 1:n C. n:1 D. m:n 16.系统开发中强调系统的整体性,它采用先确定()模型,再设计() 模型的思路。 A. 实体,用户 B. 用户,实体 C. 逻辑,物理 D. 物理,逻辑
信息系统安全审计管理制度
信息系统安全审计管理制度 第一章工作职责安排 第一条安全审计员职责 1.制定信息安全审计的范围和曰程; 2.管理详尽的审计过程; 3.分析审计结果并提出对信息安全管理体系的改进意见; 4.召开审计启动会议和审计总结会议; 5.向主管领导汇报审计的结果及建议; 6.为相关人员提供审计培训。 第二条评审员甶审计负责人指派,协助主评审员进行评审,其职责是: 1.准备审计清单; 2.实施审计过程; 3.完成审计拫告; 4.提交纠正和预防措施建议; 5.审查纠正和预防措施的执行情况。 第三条受审员来自相关部门 1.配合评审员的审计工作; 2.落实纠正和预防措施; 3.提交纠正和预防措施的实施报告。 第二章审计计划的制订 第四条审计计划应包括以下内容:
1.审计的目的; 2.审计的范围; 3.审计的准则; 4.审计的时间; 5.主要参与人员及分工情况。 第五条制定审计计划应考虑以下因素: 1.每年应进行至少一次涵盖所有部门的审计; 2.当进行巨大变更后(如架抅、业务方向等),需要进行一次涵盖所有部门的审计。 第三草安全审计实施 第六条审计的准备 1 .评审员需事先了解审计范围相关的安全策略、标准和程序; 2.准备审计清单,其内容主要包括: (1)需要访问的人员和调查的问题; (2)需要查看的文档和记录(包括日志); (3)需要现场查看的安全控制措施。 第七条在进行实际审计前,召开启动会议,其内容主要包括: 1,评审员与受审员一起确认审计计划和所采用的审计方式,如在审计的内容上有异议,受审员应提出声明(例如:限制可访问的人员、可调查的系统等); 2.向受审员说明审计通过抽查的方式来进行。
信息系统审计国内研究综述
信息系统审计国内研究综述
信息系统审计国内研究综述 摘要:系统地回顾了1999年―2011年国内关于信息系统审计相关文献,并从国外信息系统审计的理论与发展、信息系统审计基础理论研究、信息系统审计应用研究这三个方面对信息系统审计文献进行了述评,最后在文献综述的基础上,提出了对我国信息系统审计研究的启示。 关键词:信息系统;信息系统审计;文献综述 中图分类号: F49 文献标识码:A 文章编号:1672-3198(2011)16-0048-02 我国对信息系统审计的研究是随着审计事业的恢复而逐步发展起来的。早在20世纪90年代,学术界就开始了这一领域的探索和研究,并取得了一批研究成果。就研究内容来说,国内对于信息系统审计的研究大致可以分为研究国外信息系统审计的理论与发展、信息系统审计基础理论研究、信息系统审计应用研究三类。 1 研究国外信息系统审计的理论与发展 我国的信息系统审计研究相对于国外起步较晚,最初阶
段主要是翻译和介绍国外的研究,并对我国的信息系统审计建设作一些指导性的建议。其中比较有代表性的有以下成果: 胡晓明等(2006)系统地研究了COBIT4.0标准产生的背景、整体框架以及核心内容,并把它与COBIT3rd版本进行了简要对比,就如何以COBIT4.0为蓝本,整合商业目标与IT目标,指导IT治理实践作了一定的分析。他认为实施COBIT标准,从IT治理的角度为企业管理层提供了一个新的视角,有助于实现IT治理目标与商业目标的战略统一。 胡克瑾等(2008)建立了COBIT4.1中IT过程的通用描述模型,再分别定量考察过程模型的五个元素,得出过程的成熟度。通过对成熟度的汇总分析,得出对组织IT治理总体现状的认识,并明确了改进方向;再通过敏感性分析和回溯分析。帮助管理层选择IT治理改进方案,细化行动细则。 王会金,刘国城(2009)在阐述COBIT模型的基础上,分析了其在中观经济主体信息系统重大错报风险评估中的 应用,并从规范审计行为的角度研究了其在完善当前我国信息系统审计准则方面的指导作用。 2 信息系统审计基础理论研究 2.1 关于信息系统审计、计算机审计
审计部管理信息系统——项目概要
审计部管理信息系统—— 项目概要 The document was prepared on January 2, 2021
项目概要 项目名称:审计管理信息系统 1. 项目背景 全行审计系统拥有八个审计分部、38个总审计室和123个审计办事处,审计人员3300余名,每年完成审计项目近4000个。但是,长期以来,审计工作成果包括审计底稿、审计中发现的问题、审计报告等一直都以纸介质形式分散保存在各级审计机构,对于审计项目、审计人员、审计机构的管理也没有相应科技手段的支持,不利于审计整体优势的发挥、审计成果的有效再利用。为改变这种局面,我部提出开发“审计管理信息系统”。目前,我部正在会同信息技术管理部进行该项目可行性研究工作,计划明年3月份进入项目的正式立项与开发实施。 2. 项目目标 加强审计工作信息化管理,充分利用现代科技手段,实现全行审计人员、审计机构、审计项目、审计成果等信息的综合管理和利用。 3. 需求概述 系统功能需求覆盖了大部分审计日常管理业务和部分现场审计业务,系统主要包括七个子功能:底稿及问题台帐录入、审计机构
管理、审计人员管理、审计项目管理、审计成果管理、查询及分析、系统管理。 4. 与相关系统关系 无。 5. 设备配置概述 初步计划,38个一级分行各安装一台PC服务器,总行两台PC服务器。 6. 投资概算 资本性支出-固定资产:750万,费用230万。 7. 项目计划概述 可行性研究阶段:年月日完成可行性研究报告,进行专家论证,申请立项。 系统开发阶段年月日完成系统开发。 系统测试阶段:年月日完成系统测试。 系统试运行阶段:年月日完成试运行及推广。 系统验收阶段:年月日完成验收。
会计信息系统期末考试案例题
业务流程和案例题 案例题 某集团 销售事业部冰箱事业部彩电事业部集团财务采购中心 北京公司上 海 公 司 广 州 公 司 海 滨 彩 电 泰 山 彩 电 西 北 彩 电 内 蒙 彩 电 1、集团财务 (1)集团财务主要负责对集团总部的日常报销 (2)集中采购,即各产品公司将采购信息发给集团,由集团统一进行采购,采购的物料直接到当地的公司的仓库 (3)负责整个集团的全面预算管理,集团统一制定预算体系,并对下属公司进行预算控制。 (4)各行业定期进行财务状况和经营成果的分析 2、销售事业部与其下属成员 (1)销售事业部是管理中心,对其在全国各地的销售公司进行管理。要求实时掌控各地销售公司的财务状况和经营成果,并进行横向对比分析 (2)各地的销售公司主要销售集团的各种产品,当地有仓库,进行统一存货核算。 3、彩电事业部与其下属成员 (1)彩电事业部是管理中心,对其在全国各地的生产彩电的公司进行管理。要求实时掌控各地生产型公司的财务状况和经营成果,并进行横向对比分析 (2)各地的生产型公司主要从事彩电生产,其采购申请提交给集团采购中心有材料仓库进行存货核算,其生产的产品销售给销售事业部,每月人产成品仓库。 要求: (1)集团财务会计信息系统应该具备哪些功能? (2)销售事业部和销售公司的会计信息系统应该具备那些功能? (3)彩电事业及其下属成员的会计信息系统应该具备哪些功能? 答:(1)这要根据企业集团类型和对分公司的管理要求来决定,这家企业集团是产业型企业集团,这种类型的企业集团对财务集中管理的要求比较高,往往对整个集团下属成员实行分散经营、集中管理,因此,会计信息系统从功能上讲,集团与成员单位的交集是最大的,集团总部应该涵盖所有功能模块或子系统,如总账、采购与付款管理、存货核算与管理、销与应收管理、生产、报告、继续评价等功能模型与子系统),做到集团与成员单位信息共享、单据在成员单位之间实时协同、预算体系和指标统一制定和共享、资金集中管理、集团能够利用信息评价整个集团成员的绩效等。 (2)销售事业部和销售公司会计信息系统应该具备功能。 销售事业部主要任务是完成销售核算与管理任务,销售公司是具体实现销售业务的经营单元,因此这两个层级的组织都应该选择与销售业务有关的功能模块或者子系统(如总账、销售与收款、存货、报表、绩效评价等模块)。 3. 彩电事业部与其下属成员会计信息系统应该具备功能。 彩电事业部主要任务是完成生产核算与管理任务,其下属成员是具体从事生产活动的单元,因此这两个层次的组织都应该选择与生产核算与管理有关的功能模型或者子系统(如总账、生产、存货、报表、绩效评价等模块)。
信息系统审计(IT审计)操作流程(精)资料
信息系统审计(IT审计操作流程 一、审计计划阶段 计划阶段是整个审计过程的起点。其主要工作包括: (1了解被审系统基本情况 了解被审系统基本情况是实施任何信息系统审计的必经程序,对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进行审计,明确审计的难度,所需时间以及人员配备情况等。 了解了基本情况,审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点,以决定是否对其进行审计。 (2初步评价被审单位系统的内部控制及外部控制 传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。随着信息技术特别是以Internet为代表的网络技术的发展和应用,企业信息系统进一步向深层次发展,这些变革无疑给企业带来了巨大的效益,但同时也给内部控制带来了新的问题和挑战。加强内部控制制度是信息系统安全可靠运行的有力保证。依据控制对象的范围和环境,信息系统内控制度的审计内容包括一般控制和应用控制两类。 一般控制是系统运行环境方而的控制,指对信息系统构成要素(人、机器、文件的控制。它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用控制的强弱。主要包括:组织控制、操作控制、硬件及系统软件控制和系统安全控制。 应用控制是对信息系统中具体的数据处理活动所进行的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制具有特殊性,不同的应用系
统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制。 通过对信息系统组织机构控制,系统开发与维护控制,安全性控制,硬件、软件资源控制,输入控制,处理控制,输出控制等方而的审计分析,建立内部控制强弱评价的指标系统及评价模型,审计人员通过交互式人机对话,输入各评价指标的评分,内控制审计评价系统则可以进行多级综合审计评价。通过内控制度的审计,实现对系统的预防性控制,检测性控制和纠正性控制。 (3识别重要性 为了有效实现审计目标,合理使用审计资源,在制定审计计划时,信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业判断。考虑重要性水平时要根据审计人员的职业判断或公用标准,系统的服务对象及业务性质,内控的初评结果。重要性的判断离不开特定环境,审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统,就越需要获取充分的审计证据,以支持审计结论或意见。 (4编制审计计划 经过以上程序,为编制审计计划提供了良好准备,审计人员就可以据以编制总体及具体审计计划。 总体计划包括:被审单位基本情况;审计目的、审计范围及策略;重要问题及重要审计领域;工作进度及时间;审计小组成员分工;重要性确定及风险评估等。 具体计划包括:具体审计目标;审计程序;执行人员及时间限制等。 二、审计实施阶段 做好上诉材料的充分的准备,便可进行审计实施,具体包括以下内容: (1对信息系统计划开发阶段的审计
审计管理系统(OA)常见使用问题解答
审计管理系统(OA)常见使用问题解答 (2006-5-18) Ⅰ.审计人员 1)问:点击公文标题后,页面显示“正在打开公文”,然后一会就消失了, 没有反应是什么原因? 答:可能本地电脑上安装了“上网助手”之类的工具,把弹出的公文窗口阻止了,请关闭该工具,重试。 2)问:审计管理系统无法打开公文,总是弹出错误提示窗口 “Error?number?…”请问遇到这类问题怎么解决? 答: 这种情况需要注意下列原因: (1)客户端IE浏览器的设置是否正确; (2)windows操作系统登录的用户不能为中文,否则有可能导致无法正常打开公文; (3)建议使用office 2000版本, 查看本机是否存在一些上网助手。3)问:为什么在公文办理时,点击打开一个Word文件(或接着再打开另 外一个本地Word文件),Word的菜单项或工具栏内容少了很多? 答:是因为审计管理系统在使用Word时,对其进行了二次开发以便各种控制需要,把部分不允许使用的功能禁止了。但不对正常的使用产生影响,如在没有打开OA系统内的公文时打开了Word程序,则菜单和工具栏都恢复了原样。在极个别情况下,如果没有恢复,请咨询热线电话,服务人员会很快协助解决此问题。 4)问:公文处理单上的各个区域与公文有什么关系? 答:公文处理单的区域与公文的各类要素是一一对应的,公文程序通过读取处理单上的各个区域内容,在公文套模版的时候把公文各要素(公文标题、发文字号等)填充到正文的相应位置,所以处理单上正文不应该包括公文各基本要素,而只需要正文内容,否则在套模版的时候就会有重复项。
5)问:当某公文不想阅读时,怎么让其不再在待阅列表中出现? 答:在待阅公文界面中有个控件按钮“免读”,选择某个待阅公文,点击免读即可。 6)问:在出差期间,需要本人办理的公文怎么处理? 答:有两种方法:个人办文权限转移和通过委托部门文书管理员 (1)个人办文权限转移 选择“办文权限转移”,选择被委托人和委托开始时间以及委托结束时间,点击“保存”完成个人授权。点击“高级”会弹出如下页面,可以在整个机关选择被委托人员,选择人员后点击“保存”来完成办文权限转移。 提示:委托办理功能的范围为本人所在的部门。 (2)部门文书管理员 以部门文书管理员的身份登录系统,在审计管理区—〉部门文书管理—〉办文权限转移?,出现本部门所有人员列表:选择委托人和被委托人,填写委托开始时间和委托结束时间,然后点击“保存”来完成部门内人员办文权限的转移。 7)问:待阅公文很多,如何让其分类保存? 答:待阅公文(列表)是已入库公文中,由机关文书分发给你的必需看的文件集合。每个用户在公文管理中都有一个“个人文件夹”,用户根据个人需要在个人文件夹中新建类别组,在已阅公文界面中,选择某个公文点击复制,然后选择要把该公文放在哪个分组里即可,以后可以按照个人分类进行查找已阅过的公文。 8)问:为什么公文列表中点击标题后,不能打开相应公文,同时弹出对话 框错误信息? 答:一般情况下先确认是否满足如下条件:? (1)操作系统登录时,登录名不能是中文字,必须是英文或拼音,且最好有密码。如果是中文名称,需要新建一个英文用户,建议以后就用此新建的用户登录。 (2)在“internet选项”中,确认“受信任站点”和“安全站点”的列表中是否有您的OA系统的域名或IP。
信息系统审计指南(COBIT-中文版)
COBIT信息技术审计指南(34个控制目标) 计划和组织(选择3/6/11) 1 定义战略性的信息技术规划(PO1)PO域 控制的IT过程: 定义战略性的IT规划 满足的业务需求: 既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成 实现路线: 在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划 需要考虑的事项: 企业的业务发展战略 IT如何支持业务目标的明确定义 技术解决方案和当前基础设施的详细清单 追踪技术市场 适时的可行性研究和现实性检查 已有系统的评估 在风险、进入市场的时机、质量方面,企业所处的位置 需要高级管理层出钱、支持和必不可少的检查 信息规范 IT资源 P 效果 * 人员 S 效率 * 应用 保密 * 技术 完整 * 设施 可用 * 数据 遵从 可靠 1.1 作为机构长期和短期计划一部分的IT 高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。在这一方面,高级管理层应 确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中。IT的长期、短期 计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合。 1.2 IT 长期计划 IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。计划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制。相应地,管理层应执行一个长期计划的编制过程,
采用一种结构化的方法,并建立一个标准的计划结构。 1.3 IT 长期计划编制——方法与结构 对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法。这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。IT计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。计划编制期间,需要考虑和充分投入的方面包括:机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。已做出选择的好处应被明确地确定下来。IT 长期和短期计划应使绩效指标和目标合并在一起。计划本身还应参考其它的计划,比如机构的质量计划和信息风险管理计划。 1.4 IT 长期计划的变更 IT管理层和业务过程所有者应确保及时、准确地修改IT长期计划的过程的到位,以适应机构长期计划的变化和IT环境的变化。管理层应建立一个IT长期和短期计划开发和维护所需要的政策。 1.5 IT 功能的短期计划编制 IT管理层和业务过程的所有者应确保IT长期计划有规律地转换成IT短期计划。这样的短期计划应确保适当的IT功能资源以与IT长期计划内容相一致的基础上来分配。短期计划应定期地进行再评估,并被作为适应正在变化的业务和IT环境所必须的事项而改进。可行性研究的及时执行应确保短期计划的实行是被充分地启动的。 1.6 IT 计划的交流 管理层应确保IT长期和短期计划同业务过程所有者以及跨越机构的其他相关部门人员的充分沟通。 1.7 IT 计划的监控和评估 管理层应建立一个流程,获取和报告来自业务过程所有者和用户有关长期和短期计划的质量及有效性的反馈。获取的反馈应予以评估,并在将来的IT计划编制中加以考虑。 1.8 现有系统的评估 在开发或变更战略规划或长期计划、IT计划之前,IT管理层应按照业务自动化的程度、功能性、稳定性、复杂性、成本、优势和劣势,评估现有信息系统,以确定现有系统支持机构业务需求的程度。 对高级和详细的控制目标进行审计: 获得了解: 访谈:
信息系统开发与管理期末复习试题
信息系统开发与管理期末试题第1套(共5套) 一、单项选择题(本大题共15小题,每小题2分,共30分) 在每小题列出的四个备选项中只有一个是符合题目要求的,请将其代码填写在题后的括号内。错选、多选或未选均无分。 1.运动状态本身(例如观察到的事实、现象)是( ) A.一次信息 B.二次信息 C.间接信息 D.三次信息 2.系统的______是指系统具有同构和同态的性质,体现在系统结构、存在方式等具有共同性。( ) A.稳定性 B.相似性 C.相关性 D.开放性 3.决策支持系统的英文缩写是( ) A.ERP B.CRM C.SCM D.DSS 4.作业级的数据主要来源于企业( ) A.外部 B.内部 C.内部和外部 D.管理层 5.______是国民经济信息化的基础。( ) A.产品信息化 B.企业信息化 C.产业信息化 D.社会信息化 6.企业转变为学习型组织属于IMM中的( ) 感谢下载载
A.第一级 B.第二级 C.第四级 D.第五级 7.系统分析的任务是( ) A.完成新系统的逻辑设计 B.完成新系统的物理设计 C.完成原系统的逻辑设计 D.完成原系统的物理设计 8.程序设计是在( ) A.系统分析阶段 B.系统设计阶段 C.系统实施阶段 D.系统规划阶段 9.______属于系统规划阶段的内容。( ) A.模块划分、程序设计、人员培训 B.选择计算机设备、输出设计、程序调试 C.可行性分析、需求分析 D.程序设计、设备购买、数据准备与录入 10.在数据字典中,不属于数据流定义的是( ) A.数据流的来源 B.数据流的去处 C.数据流的存储 D.数据流的组成 11.关键成功因素法的主要步骤是( ) A.分析信息需求→识别关键因素→了解企业的战略目标 B.了解企业的战略目标→确定规划进度→识别关键因素 C.成立规划领导小组→了解企业的战略目标→识别关键因素 D.了解企业的战略目标→识别关键因素→分析信息需求 感谢下载载
《审计信息管理系统》使用介绍
《审计信息管理系统》使用说明 第一章概述 欢迎使用《审计信息管理系统》,本文介绍《审计信息管理系统》的使用方法。本系统是针对XXX市审计局日常行政办公、信息管理和设计的应用系统,充分考虑了XXX市审计局的办公内容、行文流程、组织结构等相关内容,给用户提供丰富、完整、方便的功能,正确处理企业日常工作中的各种常规事务,如收文、发文、信息管理、信访管理、档案管理等,通过对各种办公过程的流程化分析、图形表示、自动控制行文流转过程,提高办公效率,保证日常工作高效、规范的进行,实现无纸化办公。 本系统主要以审计项目的实施与管理为核心,同时提供人事管理和各科室之间的信息交换功能,方便领导和各科室成员迅速掌握当前工作的内容和工作进度。 本系统使用了高度安全的Lotus Notes/Domino R5作为开发平台,能适应用户在不同环境和条件下的需求,有着极为可靠的安全性。本系统有广泛的适用性。它是标准的工作流办公自动化软件,稍加改进即可与其他企事业单位自身组织机构相配置,用户单位无需更改现有组织机构,可快速部署整个系统,迅速从中获得效率提升。 第二章主界面 一、启动审计信息管理系统 办公自动化系统的启动,操作员单击[开始]→[程序]→[Lotus 应用程序]→[Lotus Notes],系统会出现一对话框(如图2-1),输入正确的口令,系统就会进入审计信息管理系统主界面。 图2-1
如果操作员要选择其它的人员的ID(即以其他人员的身份登录,前提是直到其他人员的密码),操作员可单击[取消],系统会弹出(如图2-2)的对话框,操作员从中挑选需要的ID,再输入正确的口令,系统就以他的身份进入审计信息管理系统主界面。 图2-2 二、主界面的操作 打开Lotus Notes,《审计信息管理系统》的主界面(如图2-3)自动作为缺省首页出现。主界面上有8个标题,分别是打开以下8个功能模块的链接:人事管理、文件审批、审批进度、审计档案、综合查询、流转定稿、电子邮件和文档模板。 图2-3 退出办公自动化系统,用户只需单[退出]即可。
信息安全审计报告
涉密计算机安全保密审计报告 审计对象:xx计算机审计日期:xxxx年xx月xx日审计小组人员组成:姓名:xx 部门:xxx 姓名:xxx 部门:xxx 审计主要内容清单: 1. 安全策略检查 2. 外部环境检查 3. 管理人员检查 审计记录 篇二:审计报告格式 审计报告格式 一、引言 随着网络的发展,网络信息的安全越来越引起世界各国的重视,防病毒产品、防火墙、 入侵检测、漏洞扫描等安全产品都得到了广泛的应用,但是这些信息安全产品都是为了防御 外部的入侵和窃取。随着对网络安全的认识和技术的发展,发现由于内部人员造成的泄密或 入侵事件占了很大的比例,所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到 重视,要做到这点就需要在网络中实现对网络资源的使用进行审计。 在当今的网络中各种审计系统已经有了初步的应用,例如:数据库审计、应用程序审计 以及网络信息审计等,但是,随着网络规模的不断扩大,功能相对单一的审计产品有一定的 局限性,并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一,跨地 区、跨网段、集中管理才是综合审计系统最终的发展目标。 本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后 的发展方向做出了讨论。 二、什么是安全审计 国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、 可控性、可用性和不可否认性(抗抵赖),简称“五性”。安全审计是这“五性”的重要保障之 一,它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进 行安全审计,记录所有发生的事件,提供给系统管理员作为系统维护以及安全防范的依据。 安全审计如同银行的监控系统,不论是什么人进出银行,都进行如实登记,并且每个人在银 行中的行动,乃至一个茶杯的挪动都被如实的记录,一旦有突发事件可以快速的查阅进出记 录和行为记录,确定问题所在,以便采取相应的处理措施。 近几年,涉密系统规模不断扩大,系统中使用的设备也逐渐增多,每种设备都带有自己 的审计模块,另外还有专门针对某一种网络应用设计的审计系统,如:操作系统的审计、数 据库审计系统、网络安全审计系统、应用程序审计系统等,但是都无法做到对计算机信息系 统全面的安全审计,另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面 综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况, 就需要对每种设备的审计模块熟练操作,并且结合多种专用审计产品才能够做到。 为了能够方便地对整个计算机信息系统进行审计,就需要设计综合的安全审计系统。它 的目标是通过数据挖掘和数据仓库等技术,实现在不同网络环境中对网络设备、终端、数据 资源等进行监控和管理,在必要时通过多种途径向管理员发 出警告或自动采取排错措施,并且能够对历史审计数据进行分析、处理和追踪。主要作 用有以下几个方面: 1. 对潜在的攻击者起到震慑和警告的作用; 2. 对于已经发生的系统破坏行为提供有效的追究证据; 3. 为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行 为或潜在的系统漏洞; 4. 为系统管理员提供系统的统计日志,使系统管理员能够发现系统性能上的不足或需要 改进和加强的地方。