信息系统审计、控制与管理PDF|Epub|txt|kindle电子书版本网盘下载

信息系统审计、控制与管理PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第一篇 总论3

第1章 信息系统审计概述3

1.1 信息系统审计的历史3

1.1.1 早期的信息系统审计3

1.1.2 现代信息系统审计的形成3

1.2 信息系统审计的概念6

1.2.1 信息系统审计定义6

1.2.2 信息系统审计辨析7

1.2.3 信息系统审计分类9

1.2.4 信息系统审计目标10

1.2.5 信息系统审计职能12

1.2.6 信息系统审计过程12

1.2.7 信息系统审计方法14

1.2.8 信息系统审计依据14

1.3 信息系统审计的规范15

1.3.1 与信息系统审计相关的组织15

1.3.2 ISACA的准则体系15

1.3.3 审计师的职业准则18

1.3.4 与IT服务管理相关的规范20

1.3.5 与信息安全技术相关的标准23

1.3.6 与计算机犯罪相关的法律26

第2章 信息系统审计实施27

2.1 管控审计风险27

2.1.1 什么是审计风险27

2.1.2 审计风险的特征27

2.1.3 审计风险的模型29

2.1.4 评估固有风险和控制风险30

2.1.5 确定重要性水平32

2.1.6 控制检查风险33

2.2 制订审计计划35

2.2.1 审计计划的作用35

2.2.2 审计计划的规范35

2.2.3 审计计划的内容35

2.2.4 审计计划中风险评估的运用36

2.3 收集审计证据37

2.3.1 审计证据的属性37

2.3.2 审计证据的种类37

2.3.3 数字证据的特点38

2.3.4 数字证据的形式38

2.3.5 收集证据的充分性39

2.3.6 收集证据的适当性39

2.3.7 收集证据的可信性40

2.4 编制工作底稿40

2.4.1 工作底稿的作用40

2.4.2 工作底稿的分类41

2.4.3 编制工作底稿的注意事项42

2.4.4 工作底稿的复核42

2.4.5 工作底稿的管理43

2.5 编写审计报告43

2.5.1 审计报告的作用43

2.5.2 审计报告的规范44

2.5.3 审计报告的格式44

2.5.4 编写审计报告的注意事项45

第3章 信息系统审计方法46

3.1 证据收集方法46

3.1.1 证据收集方法概述46

3.1.2 收集证据的方法46

3.2 数字取证方法50

3.2.1 数字取证的概念50

3.2.2 数字取证的作用50

3.2.3 数字取证的方法51

3.2.4 数字取证的工具52

3.2.5 数字取证的规范53

3.3 数据库查询方法54

3.3.1 数据库查询工具54

3.3.2 对单个表的查询55

3.3.3 对单个表的统计56

3.3.4 生成审计中间表57

3.3.5 对多个表的查询58

3.3.6 应用实例58

3.4 软件测试方法59

3.4.1 概述59

3.4.2 黑盒测试60

3.4.3 白盒测试61

3.4.4 基于故障的测试63

3.4.5 基于模型的测试64

案例1 安然公司破产——信息系统审计的转折点66

第二篇 真实性审计69

第4章 真实性审计概述69

4.1 真实性审计概念69

4.1.1 真实性审计的含义69

4.1.2 真实性审计的内容69

4.1.3 真实性审计的分类70

4.1.4 业务流程审核71

4.1.5 财务处理审核72

4.1.6 交易活动审核72

4.1.7 真实性审计的方法72

4.2 管理信息系统75

4.2.1 管理信息系统的定义75

4.2.2 管理信息系统的特征75

4.2.3 管理信息系统的发展76

4.2.4 管理信息系统的概念结构77

4.2.5 管理信息系统的层次结构77

4.2.6 管理信息系统的系统结构78

4.2.7 管理信息系统的硬件结构80

4.3 系统流程审核81

4.3.1 系统流程的审计目标81

4.3.2 数据流图的概念81

4.3.3 分析业务流程83

4.3.4 画出数据流图84

4.3.5 分析数据的逻辑关系85

4.3.6 发现审计线索86

第5章 财务数据的真实性87

5.1 财务信息系统87

5.1.1 财务信息系统的发展过程87

5.1.2 财务信息系统的功能88

5.1.3 销售与应收子系统88

5.1.4 采购与应付子系统90

5.1.5 工资管理子系统91

5.1.6 固定资产子系统92

5.1.7 财务信息系统对审计的影响93

5.1.8 财务信息系统审计内容93

5.2 账务处理的真实性93

5.2.1 总账子系统的真实性问题93

5.2.2 总账子系统的主要功能94

5.2.3 总账子系统的处理流程95

5.2.4 总账子系统的数据来源95

5.2.5 系统的初始化97

5.2.6 科目与账簿设置97

5.2.7 自动转账凭证的设置99

5.2.8 总账子系统的审计100

5.3 财务报表的真实性100

5.3.1 报表子系统的真实性问题100

5.3.2 报表子系统的主要功能100

5.3.3 报表子系统的处理流程101

5.3.4 财务报表自动生成原理102

5.3.5 报表子系统的审计108

第6章 交易活动的真实性109

6.1 电子商务109

6.1.1 电子商务的概念109

6.1.2 电子商务的功能110

6.1.3 电子商务体系结构111

6.1.4 电子商务工作流程112

6.1.5 电子商务对审计的影响113

6.1.6 电子商务审计113

6.2 电子交易方的真实性114

6.2.1 身份冒充问题114

6.2.2 身份认证概述114

6.2.3 单向认证115

6.2.4 双向认证117

6.2.5 可信中继认证118

6.2.6 Kerberos系统121

6.3 电子交易行为的真实性124

6.3.1 交易欺诈问题124

6.3.2 不可抵赖证据的构造124

6.3.3 不可否认协议概述125

6.3.4 不可否认协议安全性质125

6.3.5 Zhou-Gollmann协议127

6.3.6 安全电子支付协议130

案例2 超市上演“无间道”——舞弊导致电子数据不真实131

第三篇 安全性审计137

第7章 安全性审计概述137

7.1 安全性审计概念137

7.1.1 安全性审计的含义137

7.1.2 安全性审计的内容137

7.1.3 调查了解系统情况138

7.1.4 检查验证安全状况138

7.1.5 安全性审计的方法139

7.2 系统安全标准143

7.2.1 可信计算机系统评价准则143

7.2.2 信息技术安全评价通用准则145

7.2.3 信息系统安全等级划分标准148

7.3 物理安全标准149

7.3.1 数据中心安全标准149

7.3.2 存储设备安全标准151

第8章 数据安全156

8.1 数据的安全问题156

8.1.1 数据的安全性156

8.1.2 数据的保密性156

8.1.3 数据的完整性157

8.1.4 数据的可用性157

8.1.5 数据安全审计158

8.2 数据的加密技术159

8.2.1 数据加密与安全的关系159

8.2.2 对称加密算法159

8.2.3 非对称加密算法160

8.2.4 散列加密算法162

8.3 数据的访问控制163

8.3.1 访问控制与安全的关系163

8.3.2 自主访问控制164

8.3.3 强制访问控制166

8.3.4 基于角色的访问控制167

8.4 数据的完整性约束167

8.4.1 完整性与安全的关系167

8.4.2 数据完整性168

8.4.3 完整性约束条件168

8.4.4 完整性约束机制170

8.4.5 完整性约束的语句171

8.4.6 完整性约束的实现171

第9章 操作系统安全173

9.1 操作系统的安全问题173

9.1.1 操作系统的概念173

9.1.2 操作系统的种类174

9.1.3 操作系统的结构174

9.1.4 操作系统面临的威胁174

9.1.5 操作系统的安全策略175

9.1.6 操作系统安全等级的划分175

9.1.7 操作系统的安全机制176

9.1.8 操作系统安全性的测评178

9.2 Windows安全机制178

9.2.1 Windows安全机制概述178

9.2.2 身份验证179

9.2.3 访问控制180

9.2.4 加密文件系统181

9.2.5 入侵检测181

9.2.6 事件审核182

9.2.7 Windows日志管理183

9.3 UNIX安全机制184

9.3.1 UNIX安全机制概述184

9.3.2 账户的安全控制184

9.3.3 文件系统的安全控制185

9.3.4 日志文件管理186

9.3.5 密码强度审查187

9.3.6 入侵检测188

9.3.7 系统日志分析188

第10章 数据库系统安全190

10.1 数据库系统的安全问题190

10.1.1 数据库系统的概念190

10.1.2 数据库系统的组成190

10.1.3 数据库系统的结构191

10.1.4 数据库管理系统192

10.1.5 数据库系统面临的威胁194

10.1.6 数据库系统的安全需求194

10.1.7 数据库系统安全等级划分195

10.2 数据库系统安全机制195

10.2.1 数据备份策略195

10.2.2 数据库备份技术196

10.2.3 数据库恢复技术198

10.2.4 数据库审计功能198

10.2.5 数据库访问安全199

10.3 Oracle审计机制201

10.3.1 Oracle审计功能201

10.3.2 标准审计202

10.3.3 细粒度的审计204

10.3.4 审计相关的数据字典视图206

10.4 SQL Server审计机制206

10.4.1 SQL Server审计功能206

10.4.2 服务器审计207

10.4.3 数据库级的审计208

10.4.4 审计级的审计209

10.4.5 审计相关的数据字典视图210

第11章 网络安全212

11.1 网络的安全问题212

11.1.1 计算机网络212

11.1.2 网络的体系结构213

11.1.3 网络协议的组成215

11.1.4 网络面临的威胁215

11.1.5 网络的安全问题215

11.2 网络入侵的防范216

11.2.1 网络入侵问题216

11.2.2 网络入侵技术217

11.2.3 网络入侵防范220

11.3 网络攻击的防御222

11.3.1 服务失效攻击与防御222

11.3.2 欺骗攻击与防御224

11.3.3 缓冲区溢出攻击与防御229

11.3.4 SQL注入攻击与防御231

11.3.5 组合型攻击与防御232

案例3 联通盗窃案——信息资产安全的重要性232

第四篇 绩效审计237

第12章 IT绩效审计概述237

12.1 绩效审计概念237

12.1.1 绩效审计的出现237

12.1.2 绩效审计的定义237

12.1.3 绩效审计的目标238

12.1.4 绩效审计的对象238

12.1.5 绩效审计的分类239

12.1.6 绩效审计的方法240

12.1.7 绩效审计的评价标准240

12.1.8 绩效审计的特点241

12.2 IT绩效审计概念242

12.2.1 IT绩效审计的必要性242

12.2.2 IT绩效审计的含义243

12.2.3 IT绩效审计的特点244

12.2.4 IT绩效审计的评价标准244

12.2.5 IT绩效审计的视角245

12.2.6 IT绩效审计的阶段246

12.2.7 IT绩效审计的方法246

12.3 信息化评价指标247

12.3.1 评价指标的提出247

12.3.2 评价指标的内容247

12.3.3 评价指标适用性251

12.3.4 评价标准的层次252

第13章 IT项目经济评价254

13.1 资金等值计算254

13.1.1 资金的时间价值254

13.1.2 若干基本概念254

13.1.3 资金等值计算256

13.2 软件成本估算262

13.2.1 软件估算方法262

13.2.2 软件规模估算262

13.2.3 软件工作量估算265

13.2.4 软件成本估算266

13.3 项目效益评价269

13.3.1 效益评价方法269

13.3.2 项目现金流分析269

13.3.3 财务静态分析法273

13.3.4 财务动态分析法275

第14章 IT项目应用评价282

14.1 IT应用评价的复杂性282

14.1.1 企业信息化的作用282

14.1.2 ERP投资陷阱283

14.1.3 IT生产率悖论284

14.1.4 IT应用评价的作用285

14.2 IT评价理论的发展285

14.2.1 IT评价的内涵285

14.2.2 IT评价的发展历程286

14.2.3 IT评价的种类288

14.3 平衡计分卡技术289

14.3.1 平衡计分卡的提出289

14.3.2 平衡计分卡的作用290

14.3.3 平衡计分卡的内容290

14.3.4 平衡计分卡的使用293

14.4 IT平衡计分卡构建293

14.4.1 IT平衡计分卡293

14.4.2 财务评价294

14.4.3 用户体验评价295

14.4.4 内部流程评价295

14.4.5 创新能力评价296

14.4.6 指标权重计算297

案例4 许继公司ERP实施失败——绩效审计的作用297

第五篇 内部控制301

第15章 IT内部控制概述301

15.1 IT内部控制的概念301

15.1.1 内部控制观念301

15.1.2 财务丑闻302

15.1.3 IT内控重要性304

15.1.4 IT内控的定义305

15.1.5 IT内控的准则306

15.2 IT内部控制的构成312

15.2.1 IT内控的目标312

15.2.2 IT内控的要素312

15.2.3 IT内控的特征313

15.2.4 IT内控的分类314

15.3 IT内部控制的设计314

15.3.1 控制设计原则314

15.3.2 IT内控的作用316

15.3.3 控制措施设计316

15.3.4 控制涉及对象317

15.3.5 控制的实施318

第16章 IT内部控制应用320

16.1 一般控制320

16.1.1 概述320

16.1.2 组织控制321

16.1.3 人员控制324

16.1.4 日常控制328

16.2 应用控制332

16.2.1 概述332

16.2.2 输入控制332

16.2.3 处理控制336

16.2.4 输出控制340

第17章 软件资产控制342

17.1 概述342

17.1.1 信息资产的含义342

17.1.2 软件生命周期与过程控制343

17.1.3 软件开发方法345

17.1.4 软件开发方式与控制评价347

17.2 软件全过程控制348

17.2.1 总体规划阶段348

17.2.2 需求分析阶段349

17.2.3 系统设计阶段349

17.2.4 系统实施阶段349

17.2.5 系统运行与维护阶段352

17.2.6 软件资产控制措施354

17.2.7 软件资产变更控制措施356

17.3 软件质量控制357

17.3.1 软件质量标准357

17.3.2 软件质量控制方法359

17.3.3 软件质量控制措施359

案例5 法国兴业银行事件——传统内控的终结363

第六篇 风险管理367

第18章 IT风险管理概述367

18.1 IT风险367

18.1.1 IT风险管理367

18.1.2 IT风险评估368

18.1.3 IT风险识别369

18.1.4 IT风险计算370

18.1.5 IT风险处理374

18.1.6 IT风险控制375

18.2 IT治理375

18.2.1 IT治理的定义375

18.2.2 IT治理的内容376

18.2.3 IT战略制定376

18.2.4 IT治理的目标377

18.2.5 IT治理委员会378

18.2.6 首席信息官378

18.2.7 内部IT审计380

18.3 IT管理381

18.3.1 IT管理的定义381

18.3.2 IT管理的目标382

18.3.3 IT管理的资源382

18.3.4 IT管理的内容382

第19章 安全应急管理387

19.1 概述387

19.1.1 应急响应目标387

19.1.2 组织及其标准387

19.1.3 应急响应体系390

19.2 应急准备392

19.2.1 任务概述392

19.2.2 应急响应计划准备392

19.2.3 应急响应计划编制393

19.2.4 应急响应计划测试394

19.2.5 其他准备事项395

19.3 启动响应395

19.3.1 任务概述395

19.3.2 信息安全事件分类395

19.3.3 信息安全事件确定399

19.3.4 信息安全事件分级401

19.4 应急处置404

19.4.1 任务概述404

19.4.2 遏制、根除与恢复流程405

19.4.3 处理示例405

19.5 跟踪改进408

19.5.1 任务概述408

19.5.2 证据获取408

19.5.3 证据分析409

19.5.4 行为追踪409

第20章 业务连续性管理410

20.1 业务连续性计划410

20.1.1 业务连续性的重要性410

20.1.2 影响业务连续性的因素411

20.1.3 业务连续性计划的制定411

20.1.4 业务影响分析412

20.1.5 业务连续性计划的更新413

20.2 安全防范体系建设414

20.2.1 网络安全防范原则414

20.2.2 网络安全体系结构415

20.2.3 IPSec安全体系建设415

20.2.4 防火墙系统建设418

20.3 灾难恢复体系建设421

20.3.1 灾难恢复计划421

20.3.2 灾难恢复能力划分421

20.3.3 容灾能力评价425

20.3.4 灾备中心的模型426

20.3.5 灾备中心的解决方案428

20.3.6 灾备中心的选址原则429

20.3.7 制定灾备方案的要素430

20.3.8 建立有效的灾备体系430

案例6 9·11事件——IT风险对企业的影响431

参考文献433