一个通过获取并评估证据,以判断信息系统是否保护了组织的资产,有效率地利用组织的资源,
保障数据的安全性和一致性,以及有效地达到组织的业务目标的过程。
最高审计机关国际组织INTOSAI
(the Inter-national Organization of Supreme Audit Institutions)
一个通过获取并评估证据,以判断信息系统是否保护了组织的资产,有效率地利用组织的资源,
保障数据的安全性和一致性,以及有效地达到组织的业务目标的过程。
最高审计机关国际组织INTOSAI
(the Inter-national Organization of Supreme Audit Institutions)
安全性包括信息系统项目建设、基础设施、数据管理、运行维护和相关
可靠性包括信息系统硬件、系统软件、应用软件、网络环境和数据等方面的可靠性
经济性包括信息系统建设、应用和运维等方面的经济、效率和效果
合法性包括信息系统生命周期、业务流程及内部控制等方面的合法性
保障信息系统正常运行的稳定性、有效性、安全性等方面的控制。
· IT治理
· IT组织模式、架构、岗位职责
· IT供应商管理、版权与知识产权
· 非核心业务服务水平的保障
· 机房环境与防灾
· 主机、通讯网络、存储、访问控制
· 资产、风险、威胁、策略和保障措施
· 业务连续性对IT连续性的要求、备份与恢复
· 开发与获取过程的质量、安全
· 变更管理
· 网路配置、日志检查
· 漏洞扫描、渗透测试
保障信息系统产生的数据的真实性、完整性、可靠性等方面的控制。
· 用户问题跟踪
· 功能测试、代码分析、场景模拟或者跟踪
· 输入控制
· 输出控制
· 可用性
· 可靠性
· 业务数据、日志
· 真实性、一致性、准确性
· 安全性、规范性
· 流程逻辑性、后门
· 业务流程与线下活动
· 接口与数据
沟通交流
合同签订
确定范围
明确依据
组建小组
现场审计
问题确认
编写报告
跟踪服务
INSTITUTE OF SAFETY
返回
顶部