图书介绍

信息系统审计、控制与管理pdf电子书版本下载

信息系统审计、控制与管理
  • 陈耿,韩志耕,卢孙中编著 著
  • 出版社: 北京:清华大学出版社
  • ISBN:9787302338390
  • 出版时间:2014
  • 标注页数:435页
  • 文件大小:251MB
  • 文件页数:451页
  • 主题词:信息系统-审计-高等学校-教材

PDF下载


点此进入-本书在线PDF格式电子书下载【推荐-云解压-方便快捷】直接下载PDF格式图书。移动端-PC端通用
种子下载[BT下载速度快] 温馨提示:(请使用BT下载软件FDM进行下载)软件下载地址页 直链下载[便捷但速度慢]   [在线试读本书]   [在线获取解压码]

下载说明

信息系统审计、控制与管理PDF格式电子书版下载

下载的文件为RAR压缩包。需要使用解压软件进行解压得到PDF格式图书。

建议使用BT下载工具Free Download Manager进行下载,简称FDM(免费,没有广告,支持多平台)。本站资源全部打包为BT种子。所以需要使用专业的BT下载软件进行下载。如 BitComet qBittorrent uTorrent等BT下载工具。迅雷目前由于本站不是热门资源。不推荐使用!后期资源热门了。安装了迅雷也可以迅雷进行下载!

(文件页数 要大于 标注页数,上中下等多册电子书除外)

注意:本站所有压缩包均有解压码: 点击下载压缩包解压工具

图书目录

第一篇 总论 3

第1章 信息系统审计概述 3

1.1 信息系统审计的历史 3

1.1.1 早期的信息系统审计 3

1.1.2 现代信息系统审计的形成 3

1.2 信息系统审计的概念 6

1.2.1 信息系统审计定义 6

1.2.2 信息系统审计辨析 7

1.2.3 信息系统审计分类 9

1.2.4 信息系统审计目标 10

1.2.5 信息系统审计职能 12

1.2.6 信息系统审计过程 12

1.2.7 信息系统审计方法 14

1.2.8 信息系统审计依据 14

1.3 信息系统审计的规范 15

1.3.1 与信息系统审计相关的组织 15

1.3.2 ISACA的准则体系 15

1.3.3 审计师的职业准则 18

1.3.4 与IT服务管理相关的规范 20

1.3.5 与信息安全技术相关的标准 23

1.3.6 与计算机犯罪相关的法律 26

第2章 信息系统审计实施 27

2.1 管控审计风险 27

2.1.1 什么是审计风险 27

2.1.2 审计风险的特征 27

2.1.3 审计风险的模型 29

2.1.4 评估固有风险和控制风险 30

2.1.5 确定重要性水平 32

2.1.6 控制检查风险 33

2.2 制订审计计划 35

2.2.1 审计计划的作用 35

2.2.2 审计计划的规范 35

2.2.3 审计计划的内容 35

2.2.4 审计计划中风险评估的运用 36

2.3 收集审计证据 37

2.3.1 审计证据的属性 37

2.3.2 审计证据的种类 37

2.3.3 数字证据的特点 38

2.3.4 数字证据的形式 38

2.3.5 收集证据的充分性 39

2.3.6 收集证据的适当性 39

2.3.7 收集证据的可信性 40

2.4 编制工作底稿 40

2.4.1 工作底稿的作用 40

2.4.2 工作底稿的分类 41

2.4.3 编制工作底稿的注意事项 42

2.4.4 工作底稿的复核 42

2.4.5 工作底稿的管理 43

2.5 编写审计报告 43

2.5.1 审计报告的作用 43

2.5.2 审计报告的规范 44

2.5.3 审计报告的格式 44

2.5.4 编写审计报告的注意事项 45

第3章 信息系统审计方法 46

3.1 证据收集方法 46

3.1.1 证据收集方法概述 46

3.1.2 收集证据的方法 46

3.2 数字取证方法 50

3.2.1 数字取证的概念 50

3.2.2 数字取证的作用 50

3.2.3 数字取证的方法 51

3.2.4 数字取证的工具 52

3.2.5 数字取证的规范 53

3.3 数据库查询方法 54

3.3.1 数据库查询工具 54

3.3.2 对单个表的查询 55

3.3.3 对单个表的统计 56

3.3.4 生成审计中间表 57

3.3.5 对多个表的查询 58

3.3.6 应用实例 58

3.4 软件测试方法 59

3.4.1 概述 59

3.4.2 黑盒测试 60

3.4.3 白盒测试 61

3.4.4 基于故障的测试 63

3.4.5 基于模型的测试 64

案例1 安然公司破产——信息系统审计的转折点 66

第二篇 真实性审计 69

第4章 真实性审计概述 69

4.1 真实性审计概念 69

4.1.1 真实性审计的含义 69

4.1.2 真实性审计的内容 69

4.1.3 真实性审计的分类 70

4.1.4 业务流程审核 71

4.1.5 财务处理审核 72

4.1.6 交易活动审核 72

4.1.7 真实性审计的方法 72

4.2 管理信息系统 75

4.2.1 管理信息系统的定义 75

4.2.2 管理信息系统的特征 75

4.2.3 管理信息系统的发展 76

4.2.4 管理信息系统的概念结构 77

4.2.5 管理信息系统的层次结构 77

4.2.6 管理信息系统的系统结构 78

4.2.7 管理信息系统的硬件结构 80

4.3 系统流程审核 81

4.3.1 系统流程的审计目标 81

4.3.2 数据流图的概念 81

4.3.3 分析业务流程 83

4.3.4 画出数据流图 84

4.3.5 分析数据的逻辑关系 85

4.3.6 发现审计线索 86

第5章 财务数据的真实性 87

5.1 财务信息系统 87

5.1.1 财务信息系统的发展过程 87

5.1.2 财务信息系统的功能 88

5.1.3 销售与应收子系统 88

5.1.4 采购与应付子系统 90

5.1.5 工资管理子系统 91

5.1.6 固定资产子系统 92

5.1.7 财务信息系统对审计的影响 93

5.1.8 财务信息系统审计内容 93

5.2 账务处理的真实性 93

5.2.1 总账子系统的真实性问题 93

5.2.2 总账子系统的主要功能 94

5.2.3 总账子系统的处理流程 95

5.2.4 总账子系统的数据来源 95

5.2.5 系统的初始化 97

5.2.6 科目与账簿设置 97

5.2.7 自动转账凭证的设置 99

5.2.8 总账子系统的审计 100

5.3 财务报表的真实性 100

5.3.1 报表子系统的真实性问题 100

5.3.2 报表子系统的主要功能 100

5.3.3 报表子系统的处理流程 101

5.3.4 财务报表自动生成原理 102

5.3.5 报表子系统的审计 108

第6章 交易活动的真实性 109

6.1 电子商务 109

6.1.1 电子商务的概念 109

6.1.2 电子商务的功能 110

6.1.3 电子商务体系结构 111

6.1.4 电子商务工作流程 112

6.1.5 电子商务对审计的影响 113

6.1.6 电子商务审计 113

6.2 电子交易方的真实性 114

6.2.1 身份冒充问题 114

6.2.2 身份认证概述 114

6.2.3 单向认证 115

6.2.4 双向认证 117

6.2.5 可信中继认证 118

6.2.6 Kerberos系统 121

6.3 电子交易行为的真实性 124

6.3.1 交易欺诈问题 124

6.3.2 不可抵赖证据的构造 124

6.3.3 不可否认协议概述 125

6.3.4 不可否认协议安全性质 125

6.3.5 Zhou-Gollmann协议 127

6.3.6 安全电子支付协议 130

案例2 超市上演“无间道”——舞弊导致电子数据不真实 131

第三篇 安全性审计 137

第7章 安全性审计概述 137

7.1 安全性审计概念 137

7.1.1 安全性审计的含义 137

7.1.2 安全性审计的内容 137

7.1.3 调查了解系统情况 138

7.1.4 检查验证安全状况 138

7.1.5 安全性审计的方法 139

7.2 系统安全标准 143

7.2.1 可信计算机系统评价准则 143

7.2.2 信息技术安全评价通用准则 145

7.2.3 信息系统安全等级划分标准 148

7.3 物理安全标准 149

7.3.1 数据中心安全标准 149

7.3.2 存储设备安全标准 151

第8章 数据安全 156

8.1 数据的安全问题 156

8.1.1 数据的安全性 156

8.1.2 数据的保密性 156

8.1.3 数据的完整性 157

8.1.4 数据的可用性 157

8.1.5 数据安全审计 158

8.2 数据的加密技术 159

8.2.1 数据加密与安全的关系 159

8.2.2 对称加密算法 159

8.2.3 非对称加密算法 160

8.2.4 散列加密算法 162

8.3 数据的访问控制 163

8.3.1 访问控制与安全的关系 163

8.3.2 自主访问控制 164

8.3.3 强制访问控制 166

8.3.4 基于角色的访问控制 167

8.4 数据的完整性约束 167

8.4.1 完整性与安全的关系 167

8.4.2 数据完整性 168

8.4.3 完整性约束条件 168

8.4.4 完整性约束机制 170

8.4.5 完整性约束的语句 171

8.4.6 完整性约束的实现 171

第9章 操作系统安全 173

9.1 操作系统的安全问题 173

9.1.1 操作系统的概念 173

9.1.2 操作系统的种类 174

9.1.3 操作系统的结构 174

9.1.4 操作系统面临的威胁 174

9.1.5 操作系统的安全策略 175

9.1.6 操作系统安全等级的划分 175

9.1.7 操作系统的安全机制 176

9.1.8 操作系统安全性的测评 178

9.2 Windows安全机制 178

9.2.1 Windows安全机制概述 178

9.2.2 身份验证 179

9.2.3 访问控制 180

9.2.4 加密文件系统 181

9.2.5 入侵检测 181

9.2.6 事件审核 182

9.2.7 Windows日志管理 183

9.3 UNIX安全机制 184

9.3.1 UNIX安全机制概述 184

9.3.2 账户的安全控制 184

9.3.3 文件系统的安全控制 185

9.3.4 日志文件管理 186

9.3.5 密码强度审查 187

9.3.6 入侵检测 188

9.3.7 系统日志分析 188

第10章 数据库系统安全 190

10.1 数据库系统的安全问题 190

10.1.1 数据库系统的概念 190

10.1.2 数据库系统的组成 190

10.1.3 数据库系统的结构 191

10.1.4 数据库管理系统 192

10.1.5 数据库系统面临的威胁 194

10.1.6 数据库系统的安全需求 194

10.1.7 数据库系统安全等级划分 195

10.2 数据库系统安全机制 195

10.2.1 数据备份策略 195

10.2.2 数据库备份技术 196

10.2.3 数据库恢复技术 198

10.2.4 数据库审计功能 198

10.2.5 数据库访问安全 199

10.3 Oracle审计机制 201

10.3.1 Oracle审计功能 201

10.3.2 标准审计 202

10.3.3 细粒度的审计 204

10.3.4 审计相关的数据字典视图 206

10.4 SQL Server审计机制 206

10.4.1 SQL Server审计功能 206

10.4.2 服务器审计 207

10.4.3 数据库级的审计 208

10.4.4 审计级的审计 209

10.4.5 审计相关的数据字典视图 210

第11章 网络安全 212

11.1 网络的安全问题 212

11.1.1 计算机网络 212

11.1.2 网络的体系结构 213

11.1.3 网络协议的组成 215

11.1.4 网络面临的威胁 215

11.1.5 网络的安全问题 215

11.2 网络入侵的防范 216

11.2.1 网络入侵问题 216

11.2.2 网络入侵技术 217

11.2.3 网络入侵防范 220

11.3 网络攻击的防御 222

11.3.1 服务失效攻击与防御 222

11.3.2 欺骗攻击与防御 224

11.3.3 缓冲区溢出攻击与防御 229

11.3.4 SQL注入攻击与防御 231

11.3.5 组合型攻击与防御 232

案例3 联通盗窃案——信息资产安全的重要性 232

第四篇 绩效审计 237

第12章 IT绩效审计概述 237

12.1 绩效审计概念 237

12.1.1 绩效审计的出现 237

12.1.2 绩效审计的定义 237

12.1.3 绩效审计的目标 238

12.1.4 绩效审计的对象 238

12.1.5 绩效审计的分类 239

12.1.6 绩效审计的方法 240

12.1.7 绩效审计的评价标准 240

12.1.8 绩效审计的特点 241

12.2 IT绩效审计概念 242

12.2.1 IT绩效审计的必要性 242

12.2.2 IT绩效审计的含义 243

12.2.3 IT绩效审计的特点 244

12.2.4 IT绩效审计的评价标准 244

12.2.5 IT绩效审计的视角 245

12.2.6 IT绩效审计的阶段 246

12.2.7 IT绩效审计的方法 246

12.3 信息化评价指标 247

12.3.1 评价指标的提出 247

12.3.2 评价指标的内容 247

12.3.3 评价指标适用性 251

12.3.4 评价标准的层次 252

第13章 IT项目经济评价 254

13.1 资金等值计算 254

13.1.1 资金的时间价值 254

13.1.2 若干基本概念 254

13.1.3 资金等值计算 256

13.2 软件成本估算 262

13.2.1 软件估算方法 262

13.2.2 软件规模估算 262

13.2.3 软件工作量估算 265

13.2.4 软件成本估算 266

13.3 项目效益评价 269

13.3.1 效益评价方法 269

13.3.2 项目现金流分析 269

13.3.3 财务静态分析法 273

13.3.4 财务动态分析法 275

第14章 IT项目应用评价 282

14.1 IT应用评价的复杂性 282

14.1.1 企业信息化的作用 282

14.1.2 ERP投资陷阱 283

14.1.3 IT生产率悖论 284

14.1.4 IT应用评价的作用 285

14.2 IT评价理论的发展 285

14.2.1 IT评价的内涵 285

14.2.2 IT评价的发展历程 286

14.2.3 IT评价的种类 288

14.3 平衡计分卡技术 289

14.3.1 平衡计分卡的提出 289

14.3.2 平衡计分卡的作用 290

14.3.3 平衡计分卡的内容 290

14.3.4 平衡计分卡的使用 293

14.4 IT平衡计分卡构建 293

14.4.1 IT平衡计分卡 293

14.4.2 财务评价 294

14.4.3 用户体验评价 295

14.4.4 内部流程评价 295

14.4.5 创新能力评价 296

14.4.6 指标权重计算 297

案例4 许继公司ERP实施失败——绩效审计的作用 297

第五篇 内部控制 301

第15章 IT内部控制概述 301

15.1 IT内部控制的概念 301

15.1.1 内部控制观念 301

15.1.2 财务丑闻 302

15.1.3 IT内控重要性 304

15.1.4 IT内控的定义 305

15.1.5 IT内控的准则 306

15.2 IT内部控制的构成 312

15.2.1 IT内控的目标 312

15.2.2 IT内控的要素 312

15.2.3 IT内控的特征 313

15.2.4 IT内控的分类 314

15.3 IT内部控制的设计 314

15.3.1 控制设计原则 314

15.3.2 IT内控的作用 316

15.3.3 控制措施设计 316

15.3.4 控制涉及对象 317

15.3.5 控制的实施 318

第16章 IT内部控制应用 320

16.1 一般控制 320

16.1.1 概述 320

16.1.2 组织控制 321

16.1.3 人员控制 324

16.1.4 日常控制 328

16.2 应用控制 332

16.2.1 概述 332

16.2.2 输入控制 332

16.2.3 处理控制 336

16.2.4 输出控制 340

第17章 软件资产控制 342

17.1 概述 342

17.1.1 信息资产的含义 342

17.1.2 软件生命周期与过程控制 343

17.1.3 软件开发方法 345

17.1.4 软件开发方式与控制评价 347

17.2 软件全过程控制 348

17.2.1 总体规划阶段 348

17.2.2 需求分析阶段 349

17.2.3 系统设计阶段 349

17.2.4 系统实施阶段 349

17.2.5 系统运行与维护阶段 352

17.2.6 软件资产控制措施 354

17.2.7 软件资产变更控制措施 356

17.3 软件质量控制 357

17.3.1 软件质量标准 357

17.3.2 软件质量控制方法 359

17.3.3 软件质量控制措施 359

案例5 法国兴业银行事件——传统内控的终结 363

第六篇 风险管理 367

第18章 IT风险管理概述 367

18.1 IT风险 367

18.1.1 IT风险管理 367

18.1.2 IT风险评估 368

18.1.3 IT风险识别 369

18.1.4 IT风险计算 370

18.1.5 IT风险处理 374

18.1.6 IT风险控制 375

18.2 IT治理 375

18.2.1 IT治理的定义 375

18.2.2 IT治理的内容 376

18.2.3 IT战略制定 376

18.2.4 IT治理的目标 377

18.2.5 IT治理委员会 378

18.2.6 首席信息官 378

18.2.7 内部IT审计 380

18.3 IT管理 381

18.3.1 IT管理的定义 381

18.3.2 IT管理的目标 382

18.3.3 IT管理的资源 382

18.3.4 IT管理的内容 382

第19章 安全应急管理 387

19.1 概述 387

19.1.1 应急响应目标 387

19.1.2 组织及其标准 387

19.1.3 应急响应体系 390

19.2 应急准备 392

19.2.1 任务概述 392

19.2.2 应急响应计划准备 392

19.2.3 应急响应计划编制 393

19.2.4 应急响应计划测试 394

19.2.5 其他准备事项 395

19.3 启动响应 395

19.3.1 任务概述 395

19.3.2 信息安全事件分类 395

19.3.3 信息安全事件确定 399

19.3.4 信息安全事件分级 401

19.4 应急处置 404

19.4.1 任务概述 404

19.4.2 遏制、根除与恢复流程 405

19.4.3 处理示例 405

19.5 跟踪改进 408

19.5.1 任务概述 408

19.5.2 证据获取 408

19.5.3 证据分析 409

19.5.4 行为追踪 409

第20章 业务连续性管理 410

20.1 业务连续性计划 410

20.1.1 业务连续性的重要性 410

20.1.2 影响业务连续性的因素 411

20.1.3 业务连续性计划的制定 411

20.1.4 业务影响分析 412

20.1.5 业务连续性计划的更新 413

20.2 安全防范体系建设 414

20.2.1 网络安全防范原则 414

20.2.2 网络安全体系结构 415

20.2.3 IPSec安全体系建设 415

20.2.4 防火墙系统建设 418

20.3 灾难恢复体系建设 421

20.3.1 灾难恢复计划 421

20.3.2 灾难恢复能力划分 421

20.3.3 容灾能力评价 425

20.3.4 灾备中心的模型 426

20.3.5 灾备中心的解决方案 428

20.3.6 灾备中心的选址原则 429

20.3.7 制定灾备方案的要素 430

20.3.8 建立有效的灾备体系 430

案例6 9·11事件——IT风险对企业的影响 431

参考文献 433

精品推荐