?一、課程背景

根據多年的企業信息安全管理與控制經驗，并結合國內知名信息系統審計師、信息系統專業人員，為政府與企業設計了 “信息系統審計實務”培訓整體方案，方案考慮到“信息系統審計”對國內企事業單位還是一個新生的事件，特別是信息技術從業人員對此還較為陌生，培訓方案從內部審計的概念、原理出發，一步步引入信息系統審計的方法，從理念到實踐，從靜態到動態，從管理到技術，從組織到制度，覆蓋整個組織的IT系統生命周期的風險控制；本課程還將結合國內IT審計特點，從實務的角度介紹現場審計范圍、檢查手段、報告編寫的要點及注意事項。

?

?

?

二、課程目標

講解如何利用IT最佳實踐標準、方法和工具，針對組織的IT系統進行審計，以發現組織IT系統在IT治理、安全、運維、開發及業務連續性等方面存在的技術脆弱性和管理薄弱環節，以適宜的方式向管理當局報告所發現的風險，并對風險進行持續的追蹤，不斷提高組織的IT風險控制水平。

三、課程內容：

(一)、IT審計基礎

1、??IT的風險與控制

2、??IT審計準則與指南

3、??IT審計方法與步驟

4、??IT審計組織架構

5、??信息系統審計師知識體系

6、??CISA認證簡介

?(二)、IT審計標準

1、??IT治理框架

2、??COBIT的框架及其審計指南

3、??信息安全管理體系標準ISO27001

4、??IT服務管理標準ISO20000

5、??IT適用的法律法規

6、??各類標準在審計中的使用

(三)、常用的IT審計方法

1、??資料收集

2、??現場訪談

3、??問卷調查

4、??技術檢查

5、??風險分析

6、??審計報告編寫

(四)、IT審計的內容

1、??對IT治理的審計

l???對IT決策機制的審計

l???對IT與業務融合的審計

l???對IT投資管理的審計

l???對IT規劃與架構的審計

2、??對IT基礎設施的審計

l???對網絡架構與基礎設施的審計要點

l???對主機系統的審計要點

l???對數據庫系統的安全評估

l???對技術體系的綜合審計

3、??對信息安全的審計

l???對信息安全管理體系的審計

l???對物理環境的審計

l???對邏輯安全的審計

l???對網絡安全的審計

4、??對應用系統開發的審計

l???對應用系統開發項目的審計

l???對軟件開發文檔的審計

l???對應用系統開發安全的審計

l???對應用系統的綜合審計

5、??對運維保障體系的審計

l???對部件級及任務級運維管理的審計

l???對IT服務管理體系的審計

6、??其他審計

l???對數據管控的審計

l???對應急保障體系的審計

（五）、案例及工具介紹

1、??IT審計案例介紹

2、??IT審計工具的介紹