全球信息系统审计指南 上【2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载】

全球信息系统审计指南 上PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

1 信息技术控制1

1.1　主席的信2

1.2　执行摘要4

1.2.1　IT控制的介绍4

1.2.2　理解IT控制4

1.2.3　IT控制的重要性5

1.2.4　IT的角色和职责6

1.2.5　分析风险6

1.2.6　监督和技术6

1.2.7　IT控制评估6

1.3　介绍6

1.4　评估IT控制——概述7

1.5　理解IT控制9

1.5.1　控制分类9

1.5.2　治理 管理 技术11

1.5.3　IT控制——期望目标12

1.5.4　信息安全20

1.5.5　IT控制框架20

1.6　IT控制的重要性21

1.7　组织中IT的角色22

1.7.1　董事会／理事机构23

1.7.2　管理25

1.7.3　审计28

1.8　分析风险29

1.8.1　风险决定的反应29

1.8.2　决定IT控制充分性的风险因素30

1.8.3　风险缓解策略33

1.8.4　考虑控制的特性33

1.8.5　基线IT控制34

1.9　监控（Monitoring）与技术（Techniques）35

1.9.1　选择一个控制框架35

1.9.2　监督IT控制37

1.10　评估38

1.10.1　可以使用哪些审计方法38

1.10.2　测试IT控制和持续鉴证39

1.10.3　审计委员会／管理层／审计接口40

1.11　结论42

1.12　附录A——信息安全计划要素42

1.13 附录B——法律和条例的遵守以及相关执行情况的指导44

1.14 附录C——内部审计人员IT知识的三个类别50

1.15　附录D——遵守框架52

1.16 用COSO评估IT控制64

1.16.1　COSO内部控制定义65

1.16.2　COSO内部控制整体框架66

1.17　ITGI的信息和相关技术控制目标CobiT67

1.18　审计委员会考虑到IT控制度量70

1.18.1　董事会／董事的度量71

1.18.2　管理层的度量72

1.19　CAE的检查表74

1.20　参考文献76

1.20.1　治理76

1.20.2　管理77

1.20.3　Technieal Issues技术问题78

1.20.4　IT审计78

1.21　词汇表79

1.22　关于全球技术审计指南81

GTAG计划的合作方81

1.23　GTAT合作者和全球项目组81

1.23.1　IT控制咨询理事会82

1.23.2　合作组织82

1.23.3　项目审评小组82

1.23.4　IIA国际分支机构85

1.23.5　其他国际组织85

1.23.6　IIA国际先进技术委员会85

1.23.7　撰写组86

1.23.8　IIA总部员工产品组86

2 变更和补丁管理控制：组织成功的关键89

2.1　执行摘要90

2.1.1　为什么控制变更和补丁管理中一定要有首席审计执行官90

2.1.2　快速识别不良的变更管理91

2.1.3　理解怎样有效管理IT变更92

2.1.4　降低IT变更风险的五大步骤93

2.1.5　内部审计人员的作用94

2.2　介绍94

2.2.1　为什么IT变更和补丁管理重要95

2.2.2　IT变更和补丁管理如何帮助控制IT风险和成本95

2.2.3　什么可行和什么不可行96

2.2.4　如何确定IT变更和补丁管理是否正常发挥作用96

2.2.5　内部审计人员应该做什么98

2.2.6　CIO和CAE之间的启发性对话99

2.3　为什么应该关注组织变更管理的方法103

2.3.1 变更产生风险：为什么必须把补丁作为一种变更104

2.3.2　我们已经有变更管理流程——差别在哪里105

2.3.3　稳健的变更管理流程如何发挥作用106

2.4　定义IT变更管理110

2.4.1　什么是变更管理的范围110

2.4.2　无效的变更管理看起来是怎样的112

2.4.3　有效的变更管理看起来是怎样的114

2.4.4　变更管理度量和指标117

2.4.5　把补丁管理整合到变更管理中120

2.4.6　指南的原则：如何决定是否需要实施变更、何时变更、如何变更121

2.5　我应该就变更和补丁管理提什么问题124

2.6　三个月之后：Sydney的故事总结125

2.7　内部审计师应该从哪里开始130

2.8　从哪里我能学到更多134

2.9　附录A——信息技术变更管理审计程序135

2.10 附录B——可视操作方法论142

2.11 附录C——变更管理的商业案例样例143

2.12　附录D——变更管理工具和供应商145

2.13　参考文献146

2.14　关于作者147

2.15　赞助商概况149

3 连续审计：对保证、监控和风险评估的意义151

3.1　执行摘要152

3.2　介绍155

3.3　关键的概念和术语：明确定义的必要性161

3.4　连续审计与连续鉴证及连续监督的关系164

3.5　连续审计的应用领域167

3.6　执行连续审计177

3.7　结论193

3.8　全球技术审计指南：附录A——应付账款应用连续审计的例子194

3.9　全球技术审计指南：附录B——相关标准198

3.10　全球技术审计指南：附录C——连续审计的自我评估199

3.11　关于作者／项目组201

3.12　参考文献203

4 IT审计管理207

4.1　执行摘要208

4.2　介绍209

4.3　定义IT210

4.3.1　IT管理212

4.3.2　技术基础设施213

4.3.3　应用214

4.3.4　外部连接214

4.4　IT相关风险215

4.4.1　雪花理论215

4.4.2　风险演变216

4.4.3 IT相关风险扩散217

4.4.4 IT相关风险的类型218

4.4.5 IT风险评估218

4.5 定义IT审计的范围221

4.5.1　给首席审计执行官的建议222

4.5.2　IT审计预算223

4.6　执行IT审计224

4.6.1　框架和标准224

4.6.2　IT审计资源管理228

4.7　IT审计加速器231

4.7.1　方便审计过程的工具232

4.7.2　测试加速器233

4.8　CAE需要考虑的相关问题236

4.9　附录A——出现的问题237

A.1　无线网络237

A.2　移动设备238

A.3　接口239

A.4　数据管理240

A.5　隐私241

A.6　职责分工242

A.7　管理访问243

A.8　配置控制244

A.9　盗版245

4.10　其他来源246

5　管理和审计隐私风险249

5.1　执行摘要251

5.2　介绍253

5.2.1　什么是隐私253

5.2.2　隐私风险管理256

5.3　隐私原则和框架259

5.3.1　隐私原则259

5.3.2　隐私框架261

5.4　隐私和行业266

5.4.1　隐私影响266

5.4.2　隐私风险模型266

5.4.3　部门和行业问题269

5.4.4　隐私控制框架274

5.4.5　区分好的和坏的做法276

5.5　隐私审计278

5.5.1　内部审计在隐私框架中的角色278

5.5.2　行动计划279

5.5.3　数据分类和分级280

5.5.4　评估风险280

5.5.5　准备计划283

5.5.6　执行评估287

5.5.7　沟通并跟踪审计结果289

5.5.8　隐私和审计管理290

5.6　首席审计执行官应该询问的十大与隐私相关的问题291

5.7　附录291

5.7.1　IIA的专业实务框架291

5.7.2　其他审计标准和方法293

5.7.3　所选择的专题296

5.7.4　全球和区域政府资源296

5.7.5　地区和国家资源297

5.7.6　职业和非营利组织298

5.7.7　更多网络资源299

5.7.8　术语表301

5.7.9　首字母缩写术语表304

5.7.10　作者、投稿人、审稿人306