?一、課程背景

根據(jù)多年的企業(yè)信息安全管理與控制經(jīng)驗(yàn)，并結(jié)合國內(nèi)知名信息系統(tǒng)審計師、信息系統(tǒng)專業(yè)人員，為政府與企業(yè)設(shè)計了 “信息系統(tǒng)審計實(shí)務(wù)”培訓(xùn)整體方案，方案考慮到“信息系統(tǒng)審計”對國內(nèi)企事業(yè)單位還是一個新生的事件，特別是信息技術(shù)從業(yè)人員對此還較為陌生，培訓(xùn)方案從內(nèi)部審計的概念、原理出發(fā)，一步步引入信息系統(tǒng)審計的方法，從理念到實(shí)踐，從靜態(tài)到動態(tài)，從管理到技術(shù)，從組織到制度，覆蓋整個組織的IT系統(tǒng)生命周期的風(fēng)險控制；本課程還將結(jié)合國內(nèi)IT審計特點(diǎn)，從實(shí)務(wù)的角度介紹現(xiàn)場審計范圍、檢查手段、報告編寫的要點(diǎn)及注意事項(xiàng)。

?

?

?

二、課程目標(biāo)

講解如何利用IT最佳實(shí)踐標(biāo)準(zhǔn)、方法和工具，針對組織的IT系統(tǒng)進(jìn)行審計，以發(fā)現(xiàn)組織IT系統(tǒng)在IT治理、安全、運(yùn)維、開發(fā)及業(yè)務(wù)連續(xù)性等方面存在的技術(shù)脆弱性和管理薄弱環(huán)節(jié)，以適宜的方式向管理當(dāng)局報告所發(fā)現(xiàn)的風(fēng)險，并對風(fēng)險進(jìn)行持續(xù)的追蹤，不斷提高組織的IT風(fēng)險控制水平。

三、課程內(nèi)容：

(一)、IT審計基礎(chǔ)

1、??IT的風(fēng)險與控制

2、??IT審計準(zhǔn)則與指南

3、??IT審計方法與步驟

4、??IT審計組織架構(gòu)

5、??信息系統(tǒng)審計師知識體系

6、??CISA認(rèn)證簡介

?(二)、IT審計標(biāo)準(zhǔn)

1、??IT治理框架

2、??COBIT的框架及其審計指南

3、??信息安全管理體系標(biāo)準(zhǔn)ISO27001

4、??IT服務(wù)管理標(biāo)準(zhǔn)ISO20000

5、??IT適用的法律法規(guī)

6、??各類標(biāo)準(zhǔn)在審計中的使用

(三)、常用的IT審計方法

1、??資料收集

2、??現(xiàn)場訪談

3、??問卷調(diào)查

4、??技術(shù)檢查

5、??風(fēng)險分析

6、??審計報告編寫

(四)、IT審計的內(nèi)容

1、??對IT治理的審計

l???對IT決策機(jī)制的審計

l???對IT與業(yè)務(wù)融合的審計

l???對IT投資管理的審計

l???對IT規(guī)劃與架構(gòu)的審計

2、??對IT基礎(chǔ)設(shè)施的審計

l???對網(wǎng)絡(luò)架構(gòu)與基礎(chǔ)設(shè)施的審計要點(diǎn)

l???對主機(jī)系統(tǒng)的審計要點(diǎn)

l???對數(shù)據(jù)庫系統(tǒng)的安全評估

l???對技術(shù)體系的綜合審計

3、??對信息安全的審計

l???對信息安全管理體系的審計

l???對物理環(huán)境的審計

l???對邏輯安全的審計

l???對網(wǎng)絡(luò)安全的審計

4、??對應(yīng)用系統(tǒng)開發(fā)的審計

l???對應(yīng)用系統(tǒng)開發(fā)項(xiàng)目的審計

l???對軟件開發(fā)文檔的審計

l???對應(yīng)用系統(tǒng)開發(fā)安全的審計

l???對應(yīng)用系統(tǒng)的綜合審計

5、??對運(yùn)維保障體系的審計

l???對部件級及任務(wù)級運(yùn)維管理的審計

l???對IT服務(wù)管理體系的審計

6、??其他審計

l???對數(shù)據(jù)管控的審計

l???對應(yīng)急保障體系的審計

（五）、案例及工具介紹

1、??IT審計案例介紹

2、??IT審計工具的介紹