CISA资料-基础 CISA培训前言.pdfVIP

CISA认证培训 前言 北京谷安天下科技有限公司 1 一、当前企业面临的IT风险  IT风险的定义  IT风险是指任何因为信息技术应用对业务运营造成负面影响的风 险，包括信息系统的规划、研发、建设、运行、维护、使用、监 控及退出等过程中由于IT 流程缺陷、系统的业务需求/流程控制 缺陷、信息系统脆弱性、操作人员无意/蓄意失误、外部事件等 因素直接导致业务操作风险并间接导致信用、市场、法律、声誉 等企业界风险。 1  IT风险管理在企业风险管理中的位置 IT风险管理在企业风险管理中的位置  对IT风险的控制 控制IT风险 控制企业风险 高层控制 应用控制 一般控制 IT控制框架 COSO控制框架 IT审计师的关注点 -4- 2  IT审计的定义  信息系统审计是一个获取并评价证据，以判断计算机系统是否存在充分 的控制，以保证资产的安全、数据的完整以及有效率地利用组织的资源 并有效果地实现组织目标的过程。  控制：随时将计划的执行结果与标准进行比较，若发有超过计划容许范 围的偏差时，则及时采取必要的纠正措施，以使系统的动趋于相对稳定， 实现组织的既定目标。 控制器 被控对象 反馈装置 信息系统审计是判断IT控制 Control ! 是否有效的一种保证机制。 IT 审计与IT检查的区别？ -5-  建 完善IT治理结构 立 IT风险高层控制 业务需求识别 IT 企业战略规划 业务流程优化 业 业务建模 务 风 调 查 险 绩效评估体系 数据标准化 组织结构调整 否 IT规划 反 控 IT相关？ 是 与架构设计 馈 制 业务效益分析 信息安全管理 IT服务管理 框 IT 价值治理 IT 调 价 风 整 值 险 计