教材級別:普通高等教育“十壹五”國家級規劃教材、中國高等學校信息管理與信息系統專業規劃教材
體系類別:根據教育部管理科學與工程類學科專業教學指導委員會主持鑒定的《中國高等院校信息系統學科課程體系》組織編寫;與美國ACM和IEEE/CS Computing Curricula 2005同步書名:信息系統審計、控制與管理
編著人:陳耿、韓誌耕、盧孫中
出版社:清華大學出版社
出版時間:2014
開本:16 定價:44.50元內容簡介本書圍繞現代信息系統審計的鄂三大基本職能(審計、控制、管理)進行編寫,在審計職能方面,突出審計的目的與本質,按照真實性審計、安全性審計和績效審計等三個基本審計類型展開;在控制職能中,以IT安全為核心介紹了IT內部控制的方方面面;在管理職能中,以IT風險為導向,圍繞IT風險管理展開。本書結構新穎獨特,既具有教好的系統性和理論性,又具有很強的實戰性和可操作性。 全書每壹篇均包含壹個案例,可以圍繞案例組織教學,適用於高校信息管理類、會計、審計、財務管理、企業管理、計算機應用等專業本科生和研究生作為教材或參考書;書中還提供了大量實用表格等,為信息系統審計師、內部審計師、註冊會計師、管理咨詢師、企業管理人員等專業人士提供工作指導,是壹本實用的工具書。 圖書目錄 第壹篇總論 第1章信息系統審計概述 1.1信息系統審計的歷史 1.1.1早期的信息系統審計 1.1.2現代信息系統審計的形成 1.2信息系統審計的概念 1.2.1信息系統審計定義 1.2.2信息系統審計辨析 1.2.3信息系統審計分類 1.2.4信息系統審計目標 1.2.5信息系統審計職能 1.2.6信息系統審計過程 1.2.7信息系統審計方法 1.2.8信息系統審計依據 1.3信息系統審計的規範 1.3.1與信息系統審計相關的組織 1.3.2ISACA的準則體系 1.3.3審計師的職業準則 1.3.4與IT服務管理相關的規範 1.3.5與信息安全技術相關的標準 1.3.6與計算機犯罪相關的法律 第2章信息系統審計實施 2.1管控審計風險 2.1.1什麽是審計風險 2.1.2審計風險的特征 2.1.3審計風險的模型 2.1.4評估固有風險和控制風險 2.1.5確定重要性水平 2.1.6控制檢查風險 2.2制定審計計劃 2.2.1審計計劃的作用 2.2.2審計計劃的規範 2.2.3審計計劃的內容 2.2.4審計計劃中風險評估的運用 2.3收集審計證據 2.3.1審計證據的屬性 2.3.2審計證據的種類 2.3.3數字證據的特點 2.3.4數字證據的形式 2.3.5收集證據的充分性 2.3.6收集證據的適當性 2.3.7收集證據的可信性 2.4編制工作底稿 2.4.1工作底稿的作用 2.4.2工作底稿的分類 2.4.3編制工作底稿的註意事項 2.4.4工作底稿的復核 2.4.5工作底稿的管理 2.5編寫審計報告 2.5.1審計報告的作用 2.5.2審計報告的規範 2.5.3審計報告的格式 2.5.4編寫審計報告的註意事項 第3章信息系統審計方法 3.1證據收集方法 3.1.1證據收集方法概述 3.1.2收集證據的方法 3.2數字取證方法 3.2.1數字取證的概念 3.2.2數字取證的作用 3.2.3數字取證的方法 3.2.4數字取證的工具 3.2.5數字取證的規範 3.3數據庫查詢方法 3.3.1數據庫查詢工具 3.3.2對單個表的查詢 3.3.3對單個表的統計 3.3.4生成審計中間表 3.3.5對多個表的查詢 3.3.6應用實例 3.4軟件測試方法 3.4.1概述 3.4.2黑盒測試 3.4.3白盒測試 3.4.4基於故障的測試 3.4.5基於模型的測試 案例1安然公司破產——信息系統審計的轉折點 第二篇真實性審計 第4章真實性審計概述 4.1真實性審計概念 4.1.1真實性審計的含義 4.1.2真實性審計的內容 4.1.3真實性審計的分類 4.1.4業務流程審核 4.1.5財務處理審核 4.1.6交易活動審核 4.1.7真實性審計的方法 4.2管理信息系統 4.2.1管理信息系統的定義 4.2.2管理信息系統的特征 4.2.3管理信息系統的發展 4.2.4管理信息系統的概念結構 4.2.5管理信息系統的層次結構 4.2.6管理信息系統的系統結構 4.2.7管理信息系統的硬件結構 4.3系統流程審核 4.3.1系統流程的審計目標 4.3.2數據流圖的概念 4.3.3分析業務流程 4.3.4畫出數據流圖 4.3.5分析數據的邏輯關系 4.3.6發現審計線索 第5章財務數據的真實性 5.1財務信息系統 5.1.1財務信息系統的發展過程 5.1.2財務信息系統的功能 5.1.3銷售與應收子系統 5.1.4采購與應付子系統 5.1.5工資管理子系統 5.1.6固定資產子系統 5.1.7財務信息系統對審計的影響 5.1.8財務信息系統審計內容 5.2財務處理的真實性 5.2.1總賬子系統的真實性問題 5.2.2總賬子系統的主要功能 5.2.3總賬子系統的處理流程 5.2.4總賬子系統的數據來源 5.2.5系統的初始化 5.2.6科目與賬簿設置 5.2.7自動轉賬憑證的設置 5.2.8總賬子系統的審計 5.3財務報表的真實性 5.3.1報表子系統的真實性問題 5.3.2報表子系統的主要功能 5.3.3報表子系統的處理流程 5.3.4財務報表自動生成原理 5.3.5報表子系統的審計 第6章交易活動的真實性 6.1電子商務 6.1.1電子商務的概念 6.1.2電子商務的功能 6.1.3電子商務體系結構 6.1.4電子商務工作流程 6.1.5電子商務對審計的影響 6.1.6電子商務審計 6.2電子交易方的真實性 6.2.1身份冒充問題 6.2.2身份認證概述 6.2.3單向認證 6.2.4雙向認證 6.2.5可信中繼認證 6.2.6Kerberos系統 6.3電子交易行為的真實性 6.3.1交易欺詐問題 6.3.2不可抵賴證據的構造 6.3.3不可否認協議概述 6.3.4不可否認協議安全性質 6.3.5Zhou-Gollmann協議 6.3.6安全電子支付協議 案例2超市上演“無間道”——舞弊導致電子數據不真實 第三篇安全性審計 第7章安全性審計概述 7.1安全性審計概念 7.1.1安全性審計的含義 7.1.2安全性審計的內容 7.1.3調查了解系統情況 7.1.4檢查驗證安全狀況 7.1.5安全性審計的方法 7.2系統安全標準 7.2.1可信計算機系統評價準則 7.2.2信息技術安全評價通用準則 7.2.3信息系統安全等級劃分標準 7.3物理安全標準 7.3.1數據中心安全標準 7.3.2存儲設備安全標準 第8章數據安全 8.1數據的安全問題 8.1.1數據的安全性 8.1.2數據的保密性 8.1.3數據的完整性 8.1.4數據的可用性 8.1.5數據安全審計 8.2數據的加密技術 8.2.1數據加密與安全的關系 8.2.2對稱加密算法 8.2.3非對稱加密算法 8.2.4散列加密算法 8.3數據的訪問控制 8.3.1訪問控制與安全的關系 8.3.2自主訪問控制 8.3.3強制訪問控制 8.3.4基於角色的訪問控制 8.4數據的完整性約束 8.4.1完整性與安全的關系 8.4.2數據完整性 8.4.3完整性約束條件 8.4.4完整性約束機制 8.4.5完整性約束的語句 8.4.6完整性約束的實現 第9章操作系統安全 9.1操作系統的安全問題 9.1.1操作系統的概念 9.1.2操作系統的種類 9.1.3操作系統的結構 9.1.4操作系統面臨的威脅 9.1.5操作系統的安全策略 9.1.6操作系統安全等級的劃分 9.1.7操作系統的安全機制 9.1.8操作系統安全性的測評 9.2windows安全機制 9.2.1windows安全機制概述 9.2.2身份認證 9.2.3訪問控制 9.2.4加密文件系統 9.2.5入侵檢測 9.2.6事件審核 9.2.7Windows日誌管理 9.3UNIX安全機制 9.3.1UNIX安全機制概述 9.3.2賬戶的安全控制 9.3.3文件系統的安全控制 9.3.4日誌文件管理 9.3.5密碼強度審查 9.3.6入侵檢測 9.3.7系統日誌分析 第10章數據庫系統安全 10.1數據庫系統的安全問題 10.1.1數據庫系統的概念 10.1.2數據庫系統的組成 10.1.3數據庫系統的結構 10.1.4數據庫管理系統 10.1.5數據庫系統面臨的威脅 10.1.6數據庫系統的安全需求 10.1.7數據庫系統安全等級劃分 10.2數據庫系統安全機制 10.2.1數據備份策略 10.2.2數據庫備份技術 10.2.3數據庫恢復技術 10.2.4數據庫審計功能 10.2.5數據庫訪問安全 10.3Oracle審計機制 10.3.1Oracle審計功能 10.3.2標準審計 10.3.3細粒度的審計 10.3.4審計相關的數據字典視圖 10.4SQLServer審計機制 10.4.1SQLServer審計功能 10.4.2服務器審計 10.4.3數據庫級的審計 10.4.4審計級的審計 10.4.5審計相關的數據字典視圖 第11章網絡安全 11.1網絡的安全問題 11.1.1計算機網絡 11.1.2網絡的體系結構 11.1.3網絡協議的組成 11.1.4網絡面臨的威脅 11.1.5網絡的安全問題 11.2網絡入侵的防範 11.2.1網絡入侵問題 11.2.2網絡入侵技術 11.2.3網絡入侵防範 11.3網絡攻擊的防禦 11.3.1服務失效攻擊與防禦 11.3.2欺騙攻擊與防禦 11.3.3緩沖區溢出攻擊與防禦 11.3.4SQL註入攻擊與防禦 11.3.5組合型攻擊與防禦 案例3聯通盜竊案——信息資產安全的重要性 第四篇績效審計 第12章IT績效審計概述 12.1績效審計概念 12.1.1績效審計的出現 12.1.2績效審計的定義 12.1.3績效審計的目標 12.1.4績效審計的對象 12.1.5績效審計的分類 12.1.6績效審計的方法 12.1.7績效審計的評價標準 12.1.8績效審計的特點 12.2IT績效審計概念 12.2.1IT績效審計的必要性 12.2.2IT績效審計的含義 12.2.3IT績效審計的特點 12.2.4IT績效審計的評價標準 12.2.5IT績效審計的視角 12.2.6IT績效審計的階段 12.2.7IT績效審計的方法 12.3信息化評價指標 12.3.1評價指標的提出 12.3.2評價指標的內容 12.3.3評價指標適用性 12.3.4評價指標的層次 第13章IT項目經濟評價 13.1資產等值計算 13.1.1資金的時間價值 13.1.2若幹基本概念 13.1.3資金等值計算 13.2軟件成本估算 13.2.1軟件估算方法 13.2.2軟件規模估算 13.2.3軟件工作量估算 13.2.4軟件成本估算 13.3項目績效評價 13.3.1效益評價方法 13.3.2項目現金流分析 13.3.3財務靜態分析法 13.3.4財務動態分析法 第14章IT項目應用評價 14.1IT應用評價的復雜性 14.1.1企業信息化的作用 14.1.2ERP投資陷阱 14.1.3IT生產率悖論 14.1.4IT應用評價的作用 14.2IT評價理論的形成 14.2.1IT評價的內涵 14.2.2IT評價的發展歷程 14.2.3IT評價的種類 14.3平衡計分卡技術 14.3.1平衡計分卡的提出 14.3.2平衡計分卡的作用 14.3.3平衡計分卡的內容 14.3.4平衡計分卡的使用 14.4IT平衡計分卡構建 14.4.1IT平衡計分卡 14.4.2財務評價 14.4.3用戶體驗評價 14.4.4內部流程評價 14.4.5創新能力評價 14.4.6指標權重評價 案例4許繼公司ERP實施失敗——績效審計的作用 第五篇內部控制 第15章IT內部控制概述 15.1IT內部控制的概念 15.1.1內部控制觀念 15.1.2財務醜聞 15.1.3IT內控重要性 15.1.4IT內控的定義 15.1.5IT內控的準則 15.2IT內部控制的構成 15.2.1IT內控的目標 15.2.2IT內控的要素 15.2.3IT內控的特征 15.2.4IT內控的分類 15.3IT內部控制的設計 15.3.1控制設計原則 15.3.2IT內控的作用 15.3.3控制措施設計 15.3.4控制涉及對象 15.3.5控制的實施 第16章IT內部控制應用 16.1壹般控制 16.1.1概述 16.1.2組織控制 16.1.3人員控制 16.1.4日常控制 16.2應用控制 16.2.1概述 16.2.2輸入控制 16.2.3處理控制 16.2.4輸出控制 第17章軟件資產管理 17.1概述 17.1.1信息資產的含義 17.1.2軟件生命周期與過程控制 17.1.3軟件開發方法 17.1.4軟件開發方式與控制評價 17.2軟件全過程控制 17.2.1總體規劃階段 17.2.2需求分析階段 17.2.3系統設計階段 17.2.4系統實施階段 17.2.5系統運行與維護階段 17.2.6軟件資產控制措施 17.2.7軟件資產變更控制措施 17.3軟件質量標準 17.3.1軟件質量標準 17.3.2軟件質量控制方法 17.3.3軟件質量控制措施 案例5法國興業銀行事件——傳統內控的終結 第六篇風險管理 第18章IT風險管理概述 18.1IT風險 18.1.1IT風險管理 18.1.2IT風險評估 18.1.3IT風險識別 18.1.4IT風險計算 18.1.5IT風險處理 18.1.6IT風險控制 18.2IT治理 18.2.1IT治理的定義 18.2.2IT治理的內容 18.2.3IT戰略制定 18.2.4IT治理的目標 18.2.5IT治理委員會 18.2.6首席信息官 18.2.7內部IT審計 18.3IT管理 18.3.1IT管理的定義 18.3.2IT管理的目標 18.3.3IT管理的資源 18.3.4IT管理的內容 第19章安全應急管理 19.1概述 19.1.1應急響應目標 19.1.2組織及其標準 19.1.3應急響應體系 19.2應急準備 19.2.1任務概述 19.2.2應急響應計劃準備 19.2.3應急響應計劃編制 19.2.4應急響應計劃測試 19.2.5其他準備事項 19.3啟動響應 19.3.1任務概述 19.3.2信息安全事件分類 19.3.3信息安全事件確定 19.3.4信息安全事件分級 19.4應急處理 19.4.1任務概述 19.4.2遏制、根除與恢復流程 19.4.3處理示例 19.5跟蹤改進 19.5.1任務概述 19.5.2證據獲取 19.5.3證據分析 19.5.4行為追蹤 第20章業務連續性管理 20.1業務連續性計劃 20.1.1業務連續性的重要性 20.1.2影響業務連續性的因素 20.1.3業務連續性計劃的制定 20.1.4業務影響分析 20.1.5業務連續性計劃的更新 20.2安全防範體系建設 20.2.1網絡安全防範原則 20.2.2網絡安全體系結構 20.2.3IPSec安全體系建設 20.2.4防火墻系統建設 20.3災難恢復體系建設 20.3.1災難恢復計劃 20.3.2災難恢復能力分析 20.3.3容災能力評價 20.3.4災備中心的模型 20.3.5災備中心的解決方案 20.3.6災備中心的選址原則 20.3.7制定災備方案的要素 20.3.8建立有效的災備體系 案例6911事件——IT風險對企業的影響 參考文獻