IT审计（第2版）

　　为了确保信息系统的安全、可靠和有效，需要开展由独立的具有资格的IT审计师对以计算机为核心的信息系统进行的IT审计。本书全面透彻地介绍了IT审计的基本概念、目标、理论方法及技术；深入浅出地介绍了IT审计准则的框架、基本要求及与此相关的知识。力求做到既有理论深度，又有较强的实务性。这是国内第一本有关IT审计的书籍，由国家经贸委信息中心资深专家审校，本书将指导IT审计人员系统准确地把握IT审计的思想，正确有效地运用IT审计的方法与技术。本书又在第二版中增加了大量案例并回答了读者关心的问题。本书可作为IT审计师的培训教材，也可作为信息系统主管的参考手册，还可作为信息管理专业或信息安全专业的本科生及研究生的教科书或参考书。《IT审计》第一版面市后，引起IT界的强烈反响。如何控制信息化过程各个环节的风险，如何管理好信息与信息资源？如何保护好信息与信息平台，如何确保赖以生存的信息系统的安全、可靠与有效？如何发挥信息技术的最大正面效应，如何让全社会都充分享受到信息化变革带来的利益？本书对这些问题的解答越来越受到国内政府部门、企业与社会各界的重视。本书以其较高的理论深度与较强的务实性，指导系统审计师有效地实施系统审计以及参加CISA考试等特色而深受读者的欢迎。图书出版后，作者收到数百封读者来信。为了更好地满足读者的需求，并不断地与国际上最新的、权威的信息系统审计标准接轨，作者决定再版。第二版新增了以下内容：1.第8章新增了信息系统审计与控制基金会ISACF与IT治理研究所共同研究与开发的一套信息及其相关技术的控制目标COBIT。2.每章后面都新增案例，有国内与国际的案例，并给出了启示。3.更新第8章国际信息系统审计与控制协会颁布的IT审计标准。4.在附录中新增摘录读者来信和解答读者关心的问题。由于本书的选题较新，涉及内容较多，时间紧迫，而且作者的经验与水平有限，难免存在不足之处，希望广大读者批评指正。同时希望本书的再版能满足读者的需求，吸引各界同仁共同研究与探讨信息系统审计在我国的发展与实践。本书的再版得到了电子工业出版社的大力支持，在此表示诚挚的感谢！

　　胡克瑾，同济大学教授，管理科学与工程专业博士生导师；同济天安信息系统监查实验室主任。曾在日本系统开发研究所从事软件工程与软件开发技术的研究；在美国Hewlett-parkard（惠普）公司参与项目的研究与开发多年，任系统分析与设计工程师和项目经理。主要研究方向：信息管理、信息系统质量控制和IT审计。长期从事信息系统质量控制技术的研究与开发，先后负责完成过许多大型的信息系统的设计与开发，在系统分析与设计、大型网络结构与系统质量控制等方面有较强的能力与丰富的经验。曾多次获得市科学技术进步奖，国防科工委部委级奖等奖项。先后完成论文与著作五十余篇，某些论文被ISTP收录。

第1章 概论
1. 1 IT审计的发展史
1. 1. 1 20世纪60年代--IT审计萌芽期
1. 1. 2 20世纪70年代--IT审计发展期
1. 1. 3 20世纪80年代--IT审计成熟期
1. 1. 4 20世纪90年代--IT审计普及期
1. 2 IT审计的背景. 意义. 目的
1. 2. 1 IT审计的社会背景
1. 2. 2 企业变革与IT审计
1. 2. 3 IT审计定义
1. 2. 4 IT审计的意义. 目的
1. 3 IT审计的范围
1. 3. 1 IT审计的对象
1. 3. 2 IT审计的业务内容
1. 3. 3 IT审计师职责与权限
1. 4 IT审计制度的确定
1. 4. 1 IT审计制度
1. 4. 2 IT内部审计部门的组织
1. 4. 3 IT审计准则. 手册. 工具的配备
1. 4. 4 相关部门的关系
1. 5 IT审计的实施
1. 5. 1 IT审计计划的制定
1. 5. 2 IT审计的实施
1. 5. 3 IT审计方法与工具
1. 6 IT审计结果与报告
1. 6. 1 确立汀审计报告制度
1. 6. 2 IT审计报告
1. 6. 3 IT审计跟踪
1. 6. 4 年度报告
小结
第2章 信息系统开发过程的审计
2. 1 系统规划的审计
2. 1. 1 系统规划审计概述
2. 1. 2 系统目标的确定
2. 1. 3 可行性分析
2. 1. 4 系统规划的审计要点
2. 2 系统分析的审计
2. 2. 1 系统分析审计概述
2. 2. 2 分析已有系统
2. 2. 3 需求分析
2. 2. 4 制定系统方案和设计策略
2. 2. 5 定义信息结构
2. 2. 6 决定技术方向
2. 2. 7 系统分析的审计要点
2. 3 系统设计的审计
2. 3. 1 总体设计
2. 3. 2 详细设计
2. 3. 3 系统设计的审计要点
2. 4 编码的审计
2. 4. 1 编程语言选择
2. 4. 2 编程风格
2. 4. 3 编码
2. 4. 4 编码的审计要点
2. 5 测试的审计
2. 5. 1 单元测试
2. 5. 2 集成测试
2. 5. 3 总体测试
2. 5. 4 系统测试的审计要点
2. 6 试运行的审计
2. 6. 1 系统的试运行
2. 6. 2 系统转换方式
2. 6. 3 试运行的审计要点
小结
第3章 信息系统运行维护过程的审计
3. 1 信息系统运行过程的审计
3. 1. 1 系统输入审计
3. 1. 2 通信系统审计
3. 1. 3 处理过程审计
3. 1. 4 数据库审计
3. 1. 5 系统输出审计
3. 1. 6 运行管理审计
3. 2 信息系统维护过程的审计
3. 2. 1 维护组织审计
3. 2. 2 维护顺序审计
3. 2. 3 维护计划审计
3. 2. 4 维护实施审计
3. 2. 5 维护确认的审计
3. 2. 6 改良系统的试运行审计
3. 2. 7 旧信息系统的废除审计
小结
第4章 信息系统生命周期共同业务的审计
4. 1 文档审计
4. 1. 1 文档制作审计
4. 1. 2 文档管理的审计
4. 2 进度审计
4. 2. 1 进度的描述
4. 2. 2 进度计划的审计
4. 2. 3 进度控制的审计
4. 2. 4 进度调整的审计
4. 3 人员管理审计
4. 3. 1 职责权限审计
4. 3. 2 业务分配审计
4. 3. 3 教育培训审计
4. 3. 4 健康管理审计
4. 4 外部委托业务审计
4. 4. 1 委托业务的特点分析
4. 4. 2 委托业务审计要点
4. 5 灾难对策审计
4. 5. 1 风险分析审计
4. 5. 2 灾难应急计划审计
4. 5. 3 备份审计
4. 5. 4 替代处理审计
小结
第5章 肝审计方法. 技术与工具
5. 1 常规的审计方法. 技术与工具
5. 1. 1 面谈法
5. 1. 2 问卷调查法
5. 1. 3 系统评审会
5. 1. 4 流程图检查
5. 1. 5 程序代码检查
5. 1. 6 程序代码比较
5. 1. 7 测试
5. 2 计算机辅助审计的技术与工具
5. 2. 1 计算机辅助审计技术
5. 2. 2 审计软件
5. 2. 3 性能度量工具
小结
第6章 IT审计中的评价技术
6. 1 信息系统安全性及其评价
6. 1. 1 系统安全性要素的评价
6. 1. 2 安全性评价技术
6. 2 信息系统可靠性及其评价
6. 2. 1 可靠性的基本概念
6. 2. 2 软件可靠性
6. 2. 3 可靠性模型
6. 3 信息系统有效性及其评价
6. 3. 1 有效性评价过程
6. 3. 2 性能指标
6. 3. 3 负荷模型
6. 3. 4 系统模型
6. 3. 5 负荷模型和系统模型之间的相关性
6. 4 信息系统综合评价
6. 4. 1 综合评价的过程
6. 4. 2 综合评价模型
6. 4. 3 综合评价的内容
小结
第7章 信息系统安全与风险管理
7. 1 信息系统安全概要
7. 1. 1 威胁与脆弱性
7. 1. 2 信息系统的脆弱性
7. 1. 3 信息系统的威胁
7. 2 信息系统的安全审计与控制
7. 2. 1 安全审计与控制的概念
7. 2. 2 系统安全周期
7. 2. 3 系统控制的分类
7. 3 风险管理与风险分析
7. 3. 1 风险管理概要
7. 3. 2 风险管理的步骤
7. 3. 3 风险分析
7. 3. 4 风险管理与生存力
7. 4 安全系统的构建
7. 4. 1 安全系统构建的要点
7. 4. 2 控制设计的前提条件
7. 4. 3 识别控制点
7. 4. 4 安全控制方案设计
7. 4. 5 安全控制方案的评价
7. 5 安全控制成本估算
7. 5. 1 控制成本估算
7. 5. 2 控制效果的测定
7. 5. 3 决定控制方案及方案的评价
7. 5. 4 安全控制评价实例
小结
第8章 IT审计标准与相关IT标准
8. 1 国际信息系统审计与控制协会ISACA简介
8. 2 COBIT一信息及相关技术的控制目标
8. 3 IT审计标准与相关IT标准的关系
8. 4 IT审计标准
8. 4. 1 IT审计标准概貌
8. 4. 2 IT审计基本标准
8. 4. 3 IT审计具体准则
8. 5 相关IT标准目录
附录 读者来信与回信摘录