信息系统审计和控制协会成立于1969年,总部设在
美国的芝加哥,是一个非盈利组织,拥有20000多名会员的跨国界、跨行业的专业机构,其前身为EDP审计师联合会。ISACA是全球公认的在IT的管理、控制和保证领域的权威。这个协会成立一项教育基金来开展大规模的研究工作,以拓展信息产业管理与控制领域的知识与价值。 ISACA目前在世界上100多个国家设有160多个分会,成员在100多个国家内生活和工作,并涵盖众多专业信息技术的相关职业,比如信息系统审计师、顾问、教导员、信息系统安全专家、管理者、首席信息官和内部审计师等。有些职业是本领域内新兴的,其他为中级管理人员,另外还有许多人担任最高级的职位。他们几乎遍及所有行业,包括财政金融、公共会计、政府与公共部门、公用事业和制造业。这种多元性使众多成员能够相互学习,并在许多专业问题上广泛交流彼此的观点。该特点一直被认为是ISACA的强势之一。
ISACA的另一个强势就是它的分会网络。ISACA的分会遍布世界60 多个国家,可提供成员教育、资源共享、支持、专业网络,以及其他由当地分会提供的诸多利益。
创立的三十年来,ISACA已成为一个为信息管理、控制、安全和审计专业设定规范的全球性组织。ISACA的信息系统审计和信息系统控制标准为全球执业者所遵从。ISACA的研究工作针对那些挑战其重要原则的疑难专业事项。ISACA的国际信息系统审计师(CISA)认证得到全球的公认,并有三万多名专业人员得到认证。ISACA最新推出的国际信息安全经理(CISM)认证特别针对信息安全管理的审计事务。ISACA出版了领先于信息控制领域的技术性期刊,即《信息系统控制期刊》(Information Systems Control Journal)。ISACA举办一系列国际性会议,并且把焦点集中于信息系统保障、控制、安全和信息技术管理专业的技术与管理主题上。ISACA与其附属的信息技术管理机构领导着信息技术控制界,并在不断变化的国际环境下为其执业者提供信息技术专业所需的要素,保证他们得到良好的服务。
ISACA的职责
(1)组织制定相关领域专业标准,其设定的标准目前被作为世界范围内IT审计、控制的指导方针;
(2)提供IS审计、控制、安全领域内国际上承认的认证项目,如信息系统审计师资格认证;
(3)研究关键的管理和技术主题的专业发展项目;
(4)提供包含最新的研究、案例学习、信息知识入门等在内的专业出版物;
(5)指导会员专业的活动和操行的职业道德准则。ISACA是目前唯一有权授予国际信息系统审计师资格的组织。
ISACA新的信息系统审计指南
国际信息系统审计与控制协会(ISACA)颁布了五项新的信息系统审计指南,新的指南有:
▪ 移动计算;
▪ 对虚拟专用网络的审核;
▪ 企业流程再造项目(BRP)的审核;
▪ 计算机取证技术;
▪ 业务连续性计划(BCP)的审核。
审计这些信息系统审计指南对有关信息系统审计期间强制性执行信息系统审计准则作出了规定。
一、审计移动计算
审计移动计算审计的新指南已于2004年9月 1日起生效。信息系统审计与控制协会认为,“移动技术应用的增长和带有因特网浏览功能的新型便携式装置的增加,扩大了组织有形边界的范围,这就要求信息系统审计师了解这种技术,以便于鉴别与其相关的各种风险。”
审计该指南旨在为审计师提供移动式计算安全性审计的指导。该指南对规划和实施该项审计,包括信息采集、风险分析、审计目标、审计工作计划、实施审计和报告审计结果进行了阐述。
审计根据新指南,对移动计算安全性的审计可包括以下的诸多领域:
▪ 通讯;
▪ 网络结构;
▪ 虚拟专用网络;
▪ 应用服务;
▪ 安全识别;
▪ 用户管理;
▪ 话路管理;
▪ 物理安全性;
▪ 关键性公共基础设施;
▪ 备份和恢复程序;
▪ 操作;
▪ 技术结构;
▪ 安全结构;
▪ 安全软件;
▪ 安全管理;
▪ 补救技术研发;
▪ 业务应急计划。
二、审计虚拟专用网络
审计虚拟专用网络(VPNs)审核的新指南于2 004年7月1日开始生效。该指南根据信息技术管理协会公布的《虚拟专用网络—一网络安全的新问题》认为,“虚拟专用网络就是通过诸如因特网或网络服务商提供的公共或共享网,进行搭载的专用通讯的虚拟网络线路。”新指南适用于对虚拟专用网络实施前、实施中和实施后进行审核。
审计该指南讨论的问题有:
• 各种虚拟专用网络的类型或模型;
• 公司使用虚拟专用网络的方法;
• 虚拟专用网络的结构;
• 虚拟专用网络的配置或布局;
• 与虚拟专用网络相关的风险;
• 制定和实施虚拟专用网络审计可能涉及的问题。
根据该指南的规定,与虚拟专用网络相关的风险包括安全性风险,第三方风险,商业风险,实施风险和操作风险。新指南对每种类型的风险作了详细的陈述,以便于信息系统审计师能在对虚拟专用网络进行审核之前,进行高水平的风险评估。
三、审计企业流程再造
审计企业流程再造项目(BPR)审核的新指南于2004年7月1日开始生效。信息系统审计与控制协会指出,“企业流程再造带来的变化是多方面的,不单单是业务处理,而且还涉及到管理和支持结构,人员和组织,技术与信息系统,政策和规章制度等。这意味着BPR项目对已实施企业流程再造的组织的控制系统具有强大的影响。显而易见,风险增大了,那就是为加速业务处理,一些基本控制被变更了,甚至脱离了业务过程。因此,信息系统审计师应当认识到并支持管理部门的控制措施,尽管这看上去是减慢了商务交易的处理过程,但控制是必要的,可以避免可能的或事实上的不易控制和评估的风险。该指南的目的旨在向信息系统审计师提供有关企业流程再造主要问题的框架,同时评估与企业流程再造项目有关的,在信息系统方面要特别关注的重点任务和风险。”
审计该指南讨论了有关企业流程再造项目各方面的问题,其中包括:
• 企业流程再造的重要结果;
• 企业流程再造的原则和活动;
• 企业流程再造的方法;
• 企业流程再造的工具;
• 信息系统在企业流程再造项目中的作用;
• 与企业流程再造项目有关的各种风险;
• 在规划和执行企业流程再造项目审计中所涉及的问题。
审计新指南指出,“从根本上改进业务流程可以比以前更好地满足客户的需要,而且能从根本上提高组织的经营成果。”“不管怎样,如果没有风险和高故障率,就不会有明显的改进。再造未必能在预期的时间内达到其效果。这就意味着在项目生命周期内,必须对BPR项目进行认真地监管。”审计该指南列示了许多与企业流程再造项目相关联的风险,其中包括设计风险,实施风险,以及运作和 扩大运作范围的风险。
四、审计计算机取证技术
审计计算机取证的新指南于2004年 9月 1日开始生效。在对新指南进行的必要解释中,信息系统审计与控制协会指出,“通常要求信息系统审计师对利用计算机或电信系统从事欺诈舞弊或违法行为(计算机犯罪)等问题提出咨询建议,并对组织是否遵守计算机相关法律或法规进行检查。因此,信息系统审计师必须对计算机取证技术有基本的了解,这样才能帮助组织检查或防止这类违法行为。计算机取证技术的首要目标是,利用直接捕捉到的数据确定某种特殊情况背后的真实性,识别攻击者和确定用于刑事诉讼的证据,以便于法律执行。该指南还可帮助组织保护其信息资产,防止未来的攻击并且有助于组织鉴别有关的攻击者及其攻击。”
审计该指南简要地阐述了如何运用计算机取证技术和必要的计算机调查。新指南对计算机取证技术的定义为“一个过程,即利用法庭认可的工具和技术,从计算机存储介质中获取信息和数据,同时证明计算机取证技术是确定所取得信息和数据作为证据的准确性和可靠性的最佳实务。”
审计该指南还对以下问题进行了讨论:
• 电子交易的法律效力;
• 鉴别所涉及的交易方和交易内容;
• 确定履行合同的地点;
• 防止舞弊;
• 因特网上信用卡的使用;
• 计算机取证技术所涉及的程序,包括数据保护程序、数据采集程序、成像程序、审问和报告程序等。
五、审计业务连续性计划审核
审计业务连续性计划审核的新指南于2004年9月 1日开始生效。该指南对业务连续性计划(BCP)的解释为:“开发制定各种事前的预案和程序,以便组织能够使其关键业务功能在预定的干扰或变化的情况下,作出反应,并能继续业务处理的过程。”简而言之,“业务连续性计划是主动制定战略方法的行为,其目的旨在阻止,如果可能的话,控制某种灾难的后果,或者限制其后果对某项业务活动所产生影响的程度。”
审计新指南规定,业务连续性计划应当解答以下各种问题:
• 为什么制定业务连续性计划?
• 应当如何制定业务连续性计划?
• 谁需要业务连续性计划?
• 制定业务连续性计划需要什么?
• 应当何时制定业务连续性计划?
• 应当在何地制定业务连续性计划?
• 利用什么方式?
• 限定在什么时间框架内?
• 使用什么资源?
• 政策、法规和准则的依据是什么?
• 谁能够改变这项计划和处于什么情况下改变这项计划?
• 在什么情况下宣布灾难“结束”了?
审计该指南既对业务连续性计划的各个组成部分和内容进行了讨论,又对制定和执行业务连续性计划项目审计所涉及的问题进行了讨论。这项审核可在公司的业务连续性计划测试后或某个实际事件之后实施。