全球信息系统审计指南 下2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

全球信息系统审计指南 下PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

6 IT薄弱点的管理与审计1

6.1　执行摘要2

6.2　介绍3

6.2.1　如何识别脆弱的弱点管理3

6.2.2　改进弱点管理3

6.2.3　内部审计师的作用4

6.2.4　薄弱点管理如何驱动IT基础设施的变化4

6.3　薄弱点管理的生命周期6

6.3.1　识别与确认6

6.3.2　风险评估和分级8

6.3.3　修复8

6.3.4　持续改进9

6.4　组织的成熟度11

6.4.1　低效表现11

6.4.2　高效表现13

6.5　附录15

6.5.1　衡量指标（metric）15

6.5.2　CAE关于事件管理方面应该了解的十大问题16

6.5.3　关于弱点和风险管理的词汇18

6.5.4　内部审计师可用的弱点管理有关资源19

6.5.5　术语表21

6.5.6　参考文献23

7 信息技术外包25

7.1　执行摘要26

7.2　介绍28

7.3　IT外包的类型31

7.3.1　应用程序管理31

7.3.2　基础设施管理34

7.3.3　帮助台服务34

7.3.4　独立测试和验证服务34

7.3.5　数据中心管理35

7.3.6　系统集成36

7.3.7　研究和开发服务36

7.3.8　安全服务管理37

7.4　外包控制的关键要素考虑——客户方面38

7.4.1　治理外包框架39

7.4.2　联盟和可行性40

7.4.3　交易40

7.4.4　转移管理45

7.4.5　变更管理46

7.4.6　转换及优化47

7.4.7　项目和风险管理49

7.5　外包控制的关键考虑因素51

7.5.1　控制环境51

7.5.2　安全方面的考虑53

7.5.3　SDLC控制58

7.5.4　变更管理控制的考虑59

7.5.5　人力资源政策和程序59

7.5.6　内部审计的考虑因素59

7.6　其他可供参考的控制框架和指南60

7.7　外包的当前现状和未来趋势67

7.8　词汇表68

7.9　作者70

7.10　贡献者和审核人71

7.11　GTAG8预览 应用控制审计72

7.12　后记73

8 应用控制审计75

8.1　执行摘要76

8.2　介绍78

8.2.1　应用控制的定义78

8.2.2　应用控制与IT的一般控制79

8.2.3　复杂与非复杂的IT环境80

8.2.4　依靠应用程序控制的益处81

8.2.5　内部审计人员的角色83

8.3　风险评估86

8.3.1　评估风险86

8.3.2　应用控制：风险评估方法87

8.4　应用控制审计范围89

8.4.1　业务流程方法89

8.4.2　单一应用程序方法90

8.4.3　访问控制90

8.5　应用程序审计方法和需要考虑的事项91

8.5.1　计划91

8.5.2　对专项审计资源的需求92

8.5.3　业务流程方法93

8.5.4　文件技术94

8.5.5　测试96

8.5.6　计算机辅助审计技术97

8.6 附录105

附录A　通用的应用控制和测试建议105

附录B　审计方案样本109

8.7　词汇表112

8.8　参考文献114

9 身份和访问管理115

9.1　执行摘要116

9.2　介绍117

9.2.1　业务驱动118

9.2.2　身份和访问管理概念121

9.2.3　存在的风险121

9.3　关键概念的定义122

9.3.1　身份管理和权限管理124

9.3.2　身份和访问管理125

9.3.3　访问权和权限125

9.3.4　配置过程127

9.3.5　身份和访问权过程的管理129

9.3.6　执行进程132

9.3.7　IAM中的技术使用133

9.4　内部审计师的角色135

9.4.1　当前的IAM进程135

9.4.2　审核IAM138

9.5 附录A：IAM审核清单142

9.6　附录B：补充信息146

9.7　词汇表146

10　业务持续性管理149

10.1　执行摘要150

10.2　介绍152

10.2.1　业务持续性管理的定义152

10.2.2　危机管理计划153

10.2.3　IT的灾难恢复153

10.3　建立一个商业案例153

10.4　商业风险155

10.4.1　常见的灾难情形155

10.4.2　常见灾害的影响157

10.5　业务持续性管理的要求158

10.5.1　管理层的支持158

10.5.2　风险评估和风险降低160

10.5.3　业务影响分析163

10.5.4　业务恢复和持续性战略165

10.5.5　IT灾难恢复167

10.5.6　意识和培训170

10.5.7　业务持续性管理程序的维护172

10.5.8　业务持续性演习172

10.5.9　危机沟通176

10.5.10　与外部机构的协调177

10.6　应急反应178

10.7　危机管理179

10.8　结论180

10.9　附录181

10.9.1　业务持续性计划审计指南样本181

10.9.2　业务连续性管理标准和指南182

10.9.3　业务连续性管理能力成熟度模型182

10.10　词汇190

10.11　关于作者191

11 制订IT审计计划193

11.1　执行摘要194

11.2　介绍195

11.3　理解业务198

11.3.1　组织特性199

11.3.2　业务操作环境199

11.3.3　IT环境因素200

11.4　定义IT审计范围204

11.4.1　检查商业模式205

11.4.2　支持技术的角色205

11.4.3　年度业务计划205

11.4.4　集中和分布式的IT功能206

11.4.5　IT支持过程207

11.4.6　合规性207

11.4.7　定义审计主体区域207

11.4.8　商业应用209

11.4.9　风险评估209

11.5　执行风险评估209

11.5.1　风险评估过程210

11.5.2　风险分级211

11.5.3　领先的IT治理框架214

11.6　正式形成IT审计计划216

11.6.1　审计计划背景216

11.6.2　利益相关者的要求217

11.6.3　审计频率218

11.6.4　审计计划的原则219

11.6.5　IT审计计划的内容220

11.6.6　IT审计计划的整合221

11.6.7　确认审计计划222

11.6.8　IT审计计划的动态特点222

11.6.9　沟通得到执行支持，以及获得计划批准224

11.7　附录：假想的公司实例225

11.7.1　关于该公司225

11.7.2　IT审计计划226

11.8　词汇表231

11.9　缩略语233

11.10　关于作者234

12　IT审计项目237

12.1　执行摘要239

12.2　介绍241

12.2.1　什么是IT项目241

12.2.2　理解IT项目的影响241

12.2.3　失败的IT项目示例242

12.2.4　关于IT项目成功与失败的历史数据242

12.2.5　IT项目成功的10个关键因素244

12.2.6　内部审计介入的目的和好处245

12.3　项目审计重点关注的五个领域245

12.3.1　业务和IT联盟245

12.3.2　项目管理247

12.3.3　IT方案准备252

12.3.4　组织与过程变更管理254

12.3.5　后期实施255

12.4　项目审计计划256

12.4.1　IT项目和年度内部审计计划257

12.4.2　内部审计的角色257

12.4.3　项目审计类型258

12.4.4　外部审计师的考虑事项260

12.5　附录A　项目管理261

12.6　附录B　IT项目利益相关者263

12.7　附录C　PMO's的结构、角色和职责264

12.8　附录D　成熟度模型265

12.9　附录E　一般项目管理最佳实务266

12.10　附录F　内部审计人员在审核IT项目过程中的疑问269

12.11　全球技术审计指南——关于作者278