1.信息技术服务1.1.供方为需方提供如何开发、应用信息技术的服务,以及供方以信息技术为手段提供支持需方业务活动的服务1.2.信息技术咨询服务、设计与开发服务、信息系统集成服务、数据处理和运营服务及其他信息技术服务2.信息系统审计2.1.收集并评估证据以决定一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源2.2.目的2.2.1.【21上选10】2.2.1.1.【22下选09】2.2.2.评估并提供反馈、保证及建议2.2.2.1.可用性2.2.2.2.保密性2.2.2.3.完整性2.3.产生动因2.3.1.会计审计发展到计算机审计再发展到信息系统审计2.3.2.大型信息系统的建设是一项庞大的系统工程,它投资大、周期长、高技术、高风险,在系统的建设过程中,对工程进行严格、规范的管理和控制至关重要2.4.EDI审计2.5.计算机辅助审计技术(CAATs)2.6.系统审计(SYSTEM AUDIT)2.6.1.电子数据处理审计协会(EDPAA后更名为ISACA)2.6.2.IT控制的开放式标准COBIT(Control Objectives for Information and Related Technology)2.7.一门边缘性学科,跨越多学科领域2.8.理论基础2.8.1.传统审计理论2.8.1.1.用谨慎的眼光审视信息系统在保护资产安全、保证信息完整,并能有效地实现企业目标的能力2.8.2.信息系统管理理论2.8.2.1.一门关于如何更好地管理信息系统的开发与运行过程的理论2.8.3.行为科学理论2.8.3.1.人是信息系统安全最薄弱的环节2.8.4.计算机科学2.9.基本业务2.9.1.系统开发审计2.9.1.1.包括开发过程的审计、开发方法的审计,为IT规划指导委员会及变革控制委员会提供咨询服务2.9.2.主要数据中心、网络、通信设施的结构审计2.9.3.支持其他审计人员的工作2.9.4.为组织提供增值服务,为管理信息系统人员提供技术、控制与安全指导;推动风险自评估程序的执行2.9.5.软件及硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符审计2.9.6.灾难恢复和业务持续计划审计2.9.7.对系统运营效能、投资回报率及应用开发测试审计2.9.8.系统的安全审计2.9.9.网站的信誉审计2.9.10.全面控制审计2.10.主要组成部分2.10.1.信息系统的管理、规划与组织2.10.2.信息系统技术基础设施与操作实务2.10.3.资产的保护2.10.4.灾难恢复与业务持续计划2.10.5.应用系统开发、获得、实施与维护2.10.6.业务流程评价与风险管理2.11.依据2.11.1.一般公认信息系统审计准则2.11.1.1.包括职业准则、ISACA公告和职业道德规范2.11.1.2.信息系统审计认证(Certified Information System Auditor,CISA)2.11.2.信息系统的控制目标2.11.2.1.COBIT(Control Objectives for Information and related Technology,信息及相关技术控制目标)2.11.2.1.1.面向业务是COBIT的主题2.11.2.1.2.满足利益相关者需求2.11.2.1.3.端到端覆盖企业2.11.2.1.4.采用单一集成框架2.11.2.1.5.启用一种综合的方法2.11.2.1.6.区分治理和管理2.11.3.其他法律及规定2.12.审计从基于控制(Control-Based)演变为基于风险(Risk-Based)的方法2.13.步骤2.13.1.【19上选11】2.13.2.编制组织使用的信息系统清单并对其进行分类2.13.3.决定哪些系统影响关键功能和资产2.13.4.评估哪些风险影响这些系统及对商业运作的冲击2.13.5.在上述评估的基础上对系统分级,决定审计优先值、资源、进度和频率