CISA認(rèn)證是由信息系統(tǒng)審計與控制協(xié)會(ISACA)頒發(fā)的,針對信息系統(tǒng)審計、控制與安全領(lǐng)域的專業(yè)認(rèn)證。它表明持證人在評估和審計信息系統(tǒng)的安全性、可靠性和有效性方面具備專業(yè)知識和技能。CISA 認(rèn)證在信息技術(shù)和審計領(lǐng)域具有較高的認(rèn)可度。
中文名 CISA信息系統(tǒng)審計師認(rèn)證英文名 Certified Information Systems Auditor英文簡稱 CISA頒證機(jī)構(gòu) ISACA(國際信息系統(tǒng)審計與控制協(xié)會)證書類別 IT審計,IT運(yùn)維,信息安全同類認(rèn)證 CISM 、CRISC 01 做IT 審計,一開始就是通過和被審計公司具體系統(tǒng)或平臺的技術(shù)負(fù)責(zé)人、業(yè)務(wù)負(fù)責(zé)人調(diào)研訪談,去了解被審計公司(項目)的建設(shè)背景、需求、目的、實施運(yùn)行的情況和效果,還有技術(shù)實現(xiàn)辦法、功能架構(gòu)、技術(shù)架構(gòu)、業(yè)務(wù)架構(gòu)、安全架構(gòu)、部署架構(gòu)、容災(zāi)方案這些。
再去看看相關(guān)系統(tǒng)或平臺的設(shè)計文檔、運(yùn)行數(shù)據(jù)、日志記錄、功能實現(xiàn)、應(yīng)急預(yù)案等,來評估建設(shè)、運(yùn)行、維保階段費(fèi)用支出合不合理、有沒有效,還有項目運(yùn)行安不安全、可不可靠、穩(wěn)不穩(wěn)定、能不能擴(kuò)展等。
還有抽查一下公司業(yè)務(wù)(項目)的全生命周期里相關(guān)配套文檔全不全,建設(shè)過程有沒有完整的管理控制辦法,運(yùn)行期間數(shù)據(jù)完不完整、生產(chǎn)數(shù)據(jù)和消費(fèi)數(shù)據(jù)一不一樣這些。
通過對公司(項目)的調(diào)研數(shù)據(jù)的抽樣整理、問題分析歸納以及必要的穿行測試,總結(jié)出核心問題、差異問題和共性問題,_后提出能執(zhí)行的改進(jìn)建議。
IT審計要做的,大致就是這么些事情。
02 那么,審計的重點,應(yīng)該放在哪些地方呢?
1)評估業(yè)務(wù)流程的復(fù)雜程度
首先我們要把與財務(wù)相關(guān)的業(yè)務(wù)流程梳理出來,不同公司(項目)關(guān)注的重點不一樣 。比如說電商行業(yè)或者零售行業(yè)可能更會關(guān)注它的銷售流程;而制造業(yè)的話,相對來說更會關(guān)注它的生產(chǎn)流程;在舞弊可能發(fā)生較大的行業(yè),可能會更為關(guān)注采購流程。
對于不同項目,我們先得做基礎(chǔ)的判斷,明確這家公司哪些流程應(yīng)重點關(guān)注,接著針對梳理出的流程清單進(jìn)一步拆解,評估流程處理過程中是否涉及復(fù)雜公式或大量數(shù)據(jù)錄入,哪些是手工處理,哪些是自動化實現(xiàn),還要和財務(wù)審計團(tuán)隊緊密溝通,了解生成報告過程中對系統(tǒng)的依賴程度,是否依賴自動化控制等。
對于業(yè)務(wù)流程的檢查,主要是核查對業(yè)務(wù)流程以及費(fèi)用的控制 。
業(yè)務(wù)審核清單:
業(yè)務(wù)流程在信息系統(tǒng)中的實現(xiàn)情況。 業(yè)務(wù)系統(tǒng)對業(yè)務(wù)邏輯的支持和遵循程度。 業(yè)務(wù)數(shù)據(jù)在系統(tǒng)中的流轉(zhuǎn)和準(zhǔn)確性。 業(yè)務(wù)系統(tǒng)中關(guān)鍵業(yè)務(wù)節(jié)點的控制措施。 業(yè)務(wù)系統(tǒng)與相關(guān)業(yè)務(wù)系統(tǒng)的集成和協(xié)同效果。 業(yè)務(wù)系統(tǒng)的用戶體驗和對業(yè)務(wù)效率的影響。 業(yè)務(wù)系統(tǒng)中業(yè)務(wù)權(quán)限的分配合理性。 業(yè)務(wù)操作的痕跡和可追溯性。
費(fèi)用審核清單:
信息化項目費(fèi)用預(yù)算的合理性。 信息化項目費(fèi)用支出與預(yù)算的對比。 各項費(fèi)用明細(xì)的合規(guī)性。 硬件設(shè)備采購價格的合理性。 軟件授權(quán)費(fèi)用的準(zhǔn)確性。 服務(wù)費(fèi)用的計費(fèi)依據(jù)和標(biāo)準(zhǔn)。 費(fèi)用分?jǐn)偟暮侠硇浴?/li> 項目成本控制措施的有效性。 對費(fèi)用超支或節(jié)約情況的分析。 費(fèi)用報銷流程的規(guī)范性。
2)評估IT系統(tǒng)的復(fù)雜程度
先要了解IT系統(tǒng)是自研還是外購,功能的復(fù)雜程度、是否為標(biāo)準(zhǔn)商業(yè)軟件、系統(tǒng)實施和運(yùn)行的參數(shù)設(shè)置復(fù)雜與否、上次系統(tǒng)架構(gòu)或版本重大變更時間、對財務(wù)系統(tǒng)影響大小以及變更后運(yùn)行時長等綜合因素。
對于IT系統(tǒng)的審計,主要是抽樣核查IT系統(tǒng)的完備性以及安全性 。
完備性審查清單:
抽樣核查項目依賴的 IT 資產(chǎn)(如數(shù)據(jù)庫、操作系統(tǒng))及硬件資源(如服務(wù)器、網(wǎng)絡(luò)/存儲設(shè)備等)是否完備且合理有效; 核查核心與用戶數(shù)據(jù)的備份、還原機(jī)制、業(yè)務(wù)負(fù)載、監(jiān)控、容錯、冗余及業(yè)務(wù)持續(xù)服務(wù)能力支撐是否具備; 核查研發(fā)、測試、運(yùn)維、發(fā)布等環(huán)境在隔離、權(quán)責(zé)、安全、可靠性與穩(wěn)定性等方面的管理是否完整有效; 核查業(yè)務(wù)生產(chǎn)與監(jiān)控等數(shù)據(jù)在產(chǎn)生、傳輸、歸檔、銷毀全流程的管理和運(yùn)維是否可審計、可追溯; 核查項目建設(shè)與管理的規(guī)章制度及人員建設(shè),以防因 IT 管理制度與人員管理問題影響業(yè)務(wù)發(fā)展或造成不必要損害。
安全性審查清單:
所依賴軟硬件的供應(yīng)鏈安全
檢查信息化項目依賴的系統(tǒng)、軟件、中間件、硬件、單片機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、傳感設(shè)備、核心部件等關(guān)鍵資源的供應(yīng)商、型號、版本信息。 檢查是否有產(chǎn)品授權(quán)、知識產(chǎn)權(quán)、開源協(xié)議、他國出口管制技術(shù)等限制。 確認(rèn)產(chǎn)品服務(wù)商的服務(wù)協(xié)議、內(nèi)容及管理辦法是否符合供應(yīng)鏈安全防護(hù)要求。
所依賴環(huán)境的信息安全
核查業(yè)務(wù)數(shù)據(jù)備份、恢復(fù)與可用性機(jī)制,敏感數(shù)據(jù)脫敏、加密情況,數(shù)據(jù)防篡改、越權(quán)訪問、泄露是否完備。 檢查密鑰生成、分發(fā)、銷毀,密碼算法模式選擇與強(qiáng)度,以及數(shù)據(jù)生產(chǎn)、傳輸、存儲等環(huán)節(jié)安全防護(hù)。 查看物理機(jī)房設(shè)備安全、供電安全、物理接口控制安全、設(shè)備訪問控制安全等防護(hù)措施。 核實是否有防 APT 攻擊、防釣魚、防入侵、防病毒等設(shè)備和能力。 確認(rèn)是否有信息安全應(yīng)急響應(yīng)機(jī)制和突發(fā)應(yīng)急事件處理預(yù)案。 審查是否有完善的信息安全管理制度、信息安全培訓(xùn)機(jī)制和相應(yīng)保密教育措施。
盡管 IT 審計的內(nèi)容有點多,看起來也比較復(fù)雜,但這恰恰體現(xiàn)了其嚴(yán)謹(jǐn)所在。好了,以上就是關(guān)于IT審計重點的一些基礎(chǔ)介紹。如果你想要進(jìn)一步學(xué)習(xí)具體的IT審計方面的知識和方法,建議參加CISA信息系統(tǒng)審計師認(rèn)證培訓(xùn) 。