系统审计画分成信息系统真实性审计、信息系统安全性审计和信息系统绩效审计等三种基本类型。

（1）真实性 是指信息系统中的数据要如实地反映企业的实际生产经营活动。通过一系列技术手段可以确保数据的真实性,如数字签名、时间戳、不可否认协定、不可修改存储装置等。这种真实性的破坏可能来自企业高层的舞弊行为，例如通过财务软体故意作假账，通过电子商务系统虚构交易等，到达虚增或虚减利润的目的；也可能来自企业的中层和基层员工的舞弊行为，例如通过非法访问或修改信息等手段，达到非法牟利目的等；也可能来自企业外部，如黑客入侵、病毒破坏等，造成商业秘密外泄，删改企业信息等目的。

（2）完整性 是指信息系统中的数据不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。在信息系统中，数据与元数据是存放在不同地方的，数据的逻辑地址与物理地址也不一样，因此设备故障、误码、人为攻击、计算机病毒等都会破坏数据完整性。在信息系统中，数据完整性是数据真实性的基础。

（3）合法性 是指信息系统在购买、使用、开发、维护过程中，以及信息系统里的数据在生产、加工、修改、转移、删除等处理中都必须符合相关法律、法规、準则、行规以及企业内部的规定等。

（4）安全性 是指信息系统在遭受各种人为因素破坏的情况下仍然能正常运行的机率。威胁信息系统安全性的因素可能来自信息系统和企业的外部，也可能来自企业和信息系统的内部。外部如黑客入侵、病毒攻击、线路侦听、木马、非法用户访问等，内部包括授权用户的越权访问、修改、删除等操作。

（5）可靠性是指信息系统在遭受非人为因素破坏或误操作情况下仍然能正常运行的机率。威胁信息系统可靠性的因素包括自然灾害对硬体和环境的破坏、误操作对软体和硬体的破坏、以及设备故障、软体故障等。可靠性与安全性不同，可靠性所指的破坏因素是非人为的，安全性所指的破坏因素是人为的。

（6）保密性 是指防止信息系统中数据泄漏给非授权用户的特性。常用的保密技术包括防侦收、信息加密、物理隔离等措施。保密性与安全性不同，保密性是指信息系统中信息的外泄，安全性是指对信息系统的入侵。

（7）可用性 也是信息系统安全性的一个重要指标，是指信息可被授权实体访问并按需求使用的特性，即信息系统在提供服务时允许被使用的属性，或者是信息系统在部分受损或需要降级使用时，仍能为用户提供有效服务的属性。信息系统最基本的功能是提供服务，而用户的需求是信息系统的可用性。可用性还体现在身份识别与确认、远程控制、数据跟蹤等方面。由于数据的访问与数据存储介质、显示介质、软体版本等有关，无法访问的数据也无真实安全可言，因此可用性还体现在数据访问方面。

（8）效果性 是指信息系统在企业生产管理套用中产生的效果，即信息系统的套用使企业在生产、管理、产品、服务、财务、人力管理等方面的改善和提升。如减少了产生时间，提高的资金周转，降低库存，增加了服务质量，扩大了产品种类等。

（9）效率性 是指信息系统的套用以后对提高企业的劳动生产率所作的贡献，如人均生产率，人均成本等。

（10）经济性 是指信息系统的投入产出比，通过同行业类别等方法，核算信息系统的投入与产出的比率，得到信息系统的效益值。

系统审计具有审计，控制，管理等三大职能。

审计职能。所谓审计职能，就是以相关规定、标準等为评价依据，评价被审计对象的信息资产和信息系统是否安全、可信，反映的财务收支和经济活动的电子轨迹是否合法、合规、合理和有效，从而督促被审计对象遵纪守法，提高经济效益。

控制职能。内部信息系统审计人作为企业内部控制系统中一个重要组成部分，是企业内部控制的再控制，因其受企业主要负责人的直接领导，能够站在企业发展的全局来分析和考虑问题，检查信息系统运行是否得到有效控制，以及控制程度和效果，提出控制中存在的不足和问题，实现控制系统的最终目标。

管理职能。信息系统审计师有义务和责任对企业的信息资产安全与信息系统运行状况提供决策谘询，确保IT发展与企业的战略一致，在工作中发现问题，对制度、管理和控制等方面有针对性地提供谘询服务，预防出现大的信息技术风险和管理漏洞，企业各管理层提供服务，不断改进经营管理水平。

关于审计方法概念的表达，归纳起来大致有两种不同的观点：一是狭义的审计方法，即认为审计方法是审计人员为取得充分有效审计证据而採取的一切技术手段；另一种是广义的审计方法，即认为审计方法不应只是用来收集审计证据的技术，而应将整个审计过程中所运用的各种方式、方法、手段、技术都包括在审计方法的範畴之内。本书採用第二种观点, 即审计方法(audit method)是指审计人员为了行使审计职能、完成审计任务、达到审计目标所採取的方式、手段和技术的总称。审计方法贯穿于整个审计工作过程，而不只存于某一审计阶段或某几个环节。随着信息系统审计实践的丰富与信息系统审计理论的发展，信息系统审计除了运用传统审计的方法外，还大量借鉴了计算机学科的一些方法为我所用，如软体测试方法，电子取证方法等。

与系统审计相关的法律法规庞杂，相互之间既有区别又有交叉，大致归纳起来主要有四大类，即与职业相关的準则，与技术相关的标準，与管理相关的规範，与行为相关的法律等。

与职业相关的準则，如信息系统审计与控制协会的準则，我国也陆续有一些相关的準则，如内部审计具体準则第28号（信息系统审计），独立审计具体準则第20号（计算机信息系统环境下的审计），企业内部控制基本规範, 商业银行内部控制指引,商业银行信息科技风险管理指引,证券公司内部控制指引,中央企业全面风险管理指引, 企业内部控制评价指引,企业内部控制审计指引,上海证券交易所上市公司内部控制指引,深圳证券交易所上市公司内部控制指引等。

与技术相关的标準，主要包括信息系统安全保障评估框架，资料库管理系统安全评估準则，作业系统安全评估準则，信息安全风险评估规範，信息系统灾难恢复规範，信息安全事件分类分级指南，信息安全风险管理指南，信息安全应急回响计画规範，信息系统物理安全技术要求等国家标準。

与管理相关的规範，主要有COSO框架,COBIT, CMMI，ITIL,ISPL，BISL，ISO20000，ISO27001, PMBOK,PRINCE2，Six Sigma等。

与行为相关的法律，《中华人民共和国计算机信息系统安全保护条例（国务院令第147号）》；1997年刑法中新增加了三条与计算机有关的犯罪行为。

内容简介本书围绕现代信息系统审计的三大基本职能（审计、控制、管理）进行编写，在审计职能方面，突出审计的目的与本质，按照真实性审计、安全性审计和绩效审计等三个基本审计类型展开；在控制职能中，以IT安全为核心介绍了IT内部控制的方方面面；在管理职能中，以IT风险为导向，围绕IT风险管理展开。本书结构新颖独特，既具有教好的系统性和理论性，又具有很强的实战性和可操作性。　全书每一篇均包含一个案例，可以围绕案例组织教学，适用于高校信息管理类、会计、审计、财务管理、企业管理、计算机套用等专业本科生和研究生作为教材或参考书；书中还提供了大量实用表格等，为信息系统审计师、内部审计师、注册会计师、管理谘询师、企业管理人员等专业人士提供工作指导，是一本实用的工具书。　图书目录　第一篇总论　第1章信息系统审计概述　1.1信息系统审计的历史　1.1.1早期的信息系统审计　1.1.2现代信息系统审计的形成　1.2信息系统审计的概念　1.2.1信息系统审计定义　1.2.2信息系统审计辨析　1.2.3信息系统审计分类　1.2.4信息系统审计目标　1.2.5信息系统审计职能　1.2.6信息系统审计过程　1.2.7信息系统审计方法　1.2.8信息系统审计依据　1.3信息系统审计的规範　1.3.1与信息系统审计相关的组织　1.3.2ISACA的準则体系　1.3.3审计师的职业準则　1.3.4与IT服务管理相关的规範　1.3.5与信息安全技术相关的标準　1.3.6与计算机犯罪相关的法律　第2章信息系统审计实施　2.1管控审计风险　2.1.1什幺是审计风险　2.1.2审计风险的特徵　2.1.3审计风险的模型　2.1.4评估固有风险和控制风险　2.1.5确定重要性水平　2.1.6控制检查风险　2.2制定审计计画　2.2.1审计计画的作用　2.2.2审计计画的规範　2.2.3审计计画的内容　2.2.4审计计画中风险评估的运用　2.3收集审计证据　2.3.1审计证据的属性　2.3.2审计证据的种类　2.3.3数字证据的特点　2.3.4数字证据的形式　2.3.5收集证据的充分性　2.3.6收集证据的适当性　2.3.7收集证据的可信性　2.4编制工作底稿　2.4.1工作底稿的作用　2.4.2工作底稿的分类　2.4.3编制工作底稿的注意事项　2.4.4工作底稿的覆核　2.4.5工作底稿的管理　2.5编写审计报告　2.5.1审计报告的作用　2.5.2审计报告的规範　2.5.3审计报告的格式　2.5.4编写审计报告的注意事项　第3章信息系统审计方法　3.1证据收集方法　3.1.1证据收集方法概述　3.1.2收集证据的方法　3.2数字取证方法　3.2.1数字取证的概念　3.2.2数字取证的作用　3.2.3数字取证的方法　3.2.4数字取证的工具　3.2.5数字取证的规範　3.3资料库查询方法　3.3.1资料库查询工具　3.3.2对单个表的查询　3.3.3对单个表的统计　3.3.4生成审计中间表　3.3.5对多个表的查询　3.3.6套用实例　3.4软体测试方法　3.4.1概述　3.4.2黑盒测试　3.4.3白盒测试　3.4.4基于故障的测试　3.4.5基于模型的测试　案例1安然公司破产——信息系统审计的转折点　第二篇真实性审计　第4章真实性审计概述　4.1真实性审计概念　4.1.1真实性审计的含义　4.1.2真实性审计的内容　4.1.3真实性审计的分类　4.1.4业务流程审核　4.1.5财务处理审核　4.1.6交易活动审核　4.1.7真实性审计的方法　4.2管理信息系统　4.2.1管理信息系统的定义　4.2.2管理信息系统的特徵　4.2.3管理信息系统的发展　4.2.4管理信息系统的概念结构　4.2.5管理信息系统的层次结构　4.2.6管理信息系统的系统结构　4.2.7管理信息系统的硬体结构　4.3系统流程审核　4.3.1系统流程的审计目标　4.3.2数据流图的概念　4.3.3分析业务流程　4.3.4画出数据流图　4.3.5分析数据的逻辑关係　4.3.6发现审计线索　第5章财务数据的真实性　5.1财务信息系统　5.1.1财务信息系统的发展过程　5.1.2财务信息系统的功能　5.1.3销售与应收子系统　5.1.4採购与应付子系统　5.1.5工资管理子系统　5.1.6固定资产子系统　5.1.7财务信息系统对审计的影响　5.1.8财务信息系统审计内容　5.2财务处理的真实性　5.2.1总账子系统的真实性问题　5.2.2总账子系统的主要功能　5.2.3总账子系统的处理流程　5.2.4总账子系统的数据来源　5.2.5系统的初始化　5.2.6科目与账簿设定　5.2.7自动转账凭证的设定　5.2.8总账子系统的审计　5.3财务报表的真实性　5.3.1报表子系统的真实性问题　5.3.2报表子系统的主要功能　5.3.3报表子系统的处理流程　5.3.4财务报表自动生成原理　5.3.5报表子系统的审计　第6章交易活动的真实性　6.1电子商务　6.1.1电子商务的概念　6.1.2电子商务的功能　6.1.3电子商务体系结构　6.1.4电子商务工作流程　6.1.5电子商务对审计的影响　6.1.6电子商务审计　6.2电子交易方的真实性　6.2.1身份冒充问题　6.2.2身份认证概述　6.2.3单向认证　6.2.4双向认证　6.2.5可信中继认证　6.2.6Kerberos系统　6.3电子交易行为的真实性　6.3.1交易欺诈问题　6.3.2不可抵赖证据的构造　6.3.3不可否认协定概述　6.3.4不可否认协定安全性质　6.3.5Zhou-Gollmann协定　6.3.6安全电子支付协定　案例2超市上演“无间道”——舞弊导致电子数据不真实　第三篇安全性审计　第7章安全性审计概述　7.1安全性审计概念　7.1.1安全性审计的含义　7.1.2安全性审计的内容　7.1.3调查了解系统情况　7.1.4检查验证安全状况　7.1.5安全性审计的方法　7.2系统安全标準　7.2.1可信计算机系统评价準则　7.2.2信息技术安全评价通用準则　7.2.3信息系统安全等级划分标準　7.3物理安全标準　7.3.1数据中心安全标準　7.3.2存储设备安全标準　第8章数据安全　8.1数据的安全问题　8.1.1数据的安全性　8.1.2数据的保密性　8.1.3数据的完整性　8.1.4数据的可用性　8.1.5数据安全审计　8.2数据的加密技术　8.2.1数据加密与安全的关係　8.2.2对称加密算法　8.2.3非对称加密算法　8.2.4散列加密算法　8.3数据的访问控制　8.3.1访问控制与安全的关係　8.3.2自主访问控制　8.3.3强制访问控制　8.3.4基于角色的访问控制　8.4数据的完整性约束　8.4.1完整性与安全的关係　8.4.2数据完整性　8.4.3完整性约束条件　8.4.4完整性约束机制　8.4.5完整性约束的语句　8.4.6完整性约束的实现　第9章作业系统安全　9.1作业系统的安全问题　9.1.1作业系统的概念　9.1.2作业系统的种类　9.1.3作业系统的结构　9.1.4作业系统面临的威胁　9.1.5作业系统的安全策略　9.1.6作业系统安全等级的划分　9.1.7作业系统的安全机制　9.1.8作业系统安全性的测评　9.2windows安全机制　9.2.1windows安全机制概述　9.2.2身份认证　9.2.3访问控制　9.2.4加密档案系统　9.2.5入侵检测　9.2.6事件审核　9.2.7Windows日誌管理　9.3UNIX安全机制　9.3.1UNIX安全机制概述　9.3.2账户的安全控制　9.3.3档案系统的安全控制　9.3.4日誌档案管理　9.3.5密码强度审查　9.3.6入侵检测　9.3.7系统日誌分析　第10章资料库系统安全　10.1资料库系统的安全问题　10.1.1资料库系统的概念　10.1.2资料库系统的组成　10.1.3资料库系统的结构　10.1.4资料库管理系统　10.1.5资料库系统面临的威胁　10.1.6资料库系统的安全需求　10.1.7资料库系统安全等级划分　10.2资料库系统安全机制　10.2.1数据备份策略　10.2.2资料库备份技术　10.2.3资料库恢复技术　10.2.4资料库审计功能　10.2.5资料库访问安全　10.3Oracle审计机制　10.3.1Oracle审计功能　10.3.2标準审计　10.3.3细粒度的审计　10.3.4审计相关的数据字典视图　10.4SQLServer审计机制　10.4.1SQLServer审计功能　10.4.2伺服器审计　10.4.3资料库级的审计　10.4.4审计级的审计　10.4.5审计相关的数据字典视图　第11章网路安全　11.1网路的安全问题　11.1.1计算机网路　11.1.2网路的体系结构　11.1.3网路协定的组成　11.1.4网路面临的威胁　11.1.5网路的安全问题　11.2网路入侵的防範　11.2.1网路入侵问题　11.2.2网路入侵技术　11.2.3网路入侵防範　11.3网路攻击的防御　11.3.1服务失效攻击与防御　11.3.2欺骗攻击与防御　11.3.3缓冲区溢出攻击与防御　11.3.4SQL注入攻击与防御　11.3.5组合型攻击与防御　案例3联通盗窃案——信息资产安全的重要性　第四篇绩效审计　第12章IT绩效审计概述　12.1绩效审计概念　12.1.1绩效审计的出现　12.1.2绩效审计的定义　12.1.3绩效审计的目标　12.1.4绩效审计的对象　12.1.5绩效审计的分类　12.1.6绩效审计的方法　12.1.7绩效审计的评价标準　12.1.8绩效审计的特点　12.2IT绩效审计概念　12.2.1IT绩效审计的必要性　12.2.2IT绩效审计的含义　12.2.3IT绩效审计的特点　12.2.4IT绩效审计的评价标準　12.2.5IT绩效审计的视角　12.2.6IT绩效审计的阶段　12.2.7IT绩效审计的方法　12.3信息化评价指标　12.3.1评价指标的提出　12.3.2评价指标的内容　12.3.3评价指标适用性　12.3.4评价指标的层次　第13章IT项目经济评价　13.1资产等值计算　13.1.1资金的时间价值　13.1.2若干基本概念　13.1.3资金等值计算　13.2软体成本估算　13.2.1软体估算方法　13.2.2软体规模估算　13.2.3软体工作量估算　13.2.4软体成本估算　13.3项目绩效评价　13.3.1效益评价方法　13.3.2项目现金流分析　13.3.3财务静态分析法　13.3.4财务动态分析法　第14章IT项目套用评价　14.1IT套用评价的複杂性　14.1.1企业信息化的作用　14.1.2ERP投资陷阱　14.1.3IT生产率悖论　14.1.4IT套用评价的作用　14.2IT评价理论的形成　14.2.1IT评价的内涵　14.2.2IT评价的发展历程　14.2.3IT评价的种类　14.3平衡计分卡技术　14.3.1平衡计分卡的提出　14.3.2平衡计分卡的作用　14.3.3平衡计分卡的内容　14.3.4平衡计分卡的使用　14.4IT平衡计分卡构建　14.4.1IT平衡计分卡　14.4.2财务评价　14.4.3用户体验评价　14.4.4内部流程评价　14.4.5创新能力评价　14.4.6指标权重评价　案例4许继公司ERP实施失败——绩效审计的作用　第五篇内部控制　第15章IT内部控制概述　15.1IT内部控制的概念　15.1.1内部控制观念　15.1.2财务丑闻　15.1.3IT内控重要性　15.1.4IT内控的定义　15.1.5IT内控的準则　15.2IT内部控制的构成　15.2.1IT内控的目标　15.2.2IT内控的要素　15.2.3IT内控的特徵　15.2.4IT内控的分类　15.3IT内部控制的设计　15.3.1控制设计原则　15.3.2IT内控的作用　15.3.3控制措施设计　15.3.4控制涉及对象　15.3.5控制的实施　第16章IT内部控制套用　16.1一般控制　16.1.1概述　16.1.2组织控制　16.1.3人员控制　16.1.4日常控制　16.2套用控制　16.2.1概述　16.2.2输入控制　16.2.3处理控制　16.2.4输出控制　第17章软体资产管理　17.1概述　17.1.1信息资产的含义　17.1.2软体生命周期与过程控制　17.1.3软体开发方法　17.1.4软体开发方式与控制评价　17.2软体全过程控制　17.2.1总体规划阶段　17.2.2需求分析阶段　17.2.3系统设计阶段　17.2.4系统实施阶段　17.2.5系统运行与维护阶段　17.2.6软体资产控制措施　17.2.7软体资产变更控制措施　17.3软体质量标準　17.3.1软体质量标準　17.3.2软体质量控制方法　17.3.3软体质量控制措施　案例5法国兴业银行事件——传统内控的终结　第六篇风险管理　第18章IT风险管理概述　18.1IT风险　18.1.1IT风险管理　18.1.2IT风险评估　18.1.3IT风险识别　18.1.4IT风险计算　18.1.5IT风险处理　18.1.6IT风险控制　18.2IT治理　18.2.1IT治理的定义　18.2.2IT治理的内容　18.2.3IT战略制定　18.2.4IT治理的目标　18.2.5IT治理委员会　18.2.6首席信息官　18.2.7内部IT审计　18.3IT管理　18.3.1IT管理的定义　18.3.2IT管理的目标　18.3.3IT管理的资源　18.3.4IT管理的内容　第19章安全应急管理　19.1概述　19.1.1应急回响目标　19.1.2组织及其标準　19.1.3应急回响体系　19.2应急準备　19.2.1任务概述　19.2.2应急回响计画準备　19.2.3应急回响计画编制　19.2.4应急回响计画测试　19.2.5其他準备事项　19.3启动回响　19.3.1任务概述　19.3.2信息安全事件分类　19.3.3信息安全事件确定　19.3.4信息安全事件分级　19.4应急处理　19.4.1任务概述　19.4.2遏制、根除与恢複流程　19.4.3处理示例　19.5跟蹤改进　19.5.1任务概述　19.5.2证据获取　19.5.3证据分析　19.5.4行为追蹤　第20章业务连续性管理　20.1业务连续性计画　20.1.1业务连续性的重要性　20.1.2影响业务连续性的因素　20.1.3业务连续性计画的制定　20.1.4业务影响分析　20.1.5业务连续性计画的更新　20.2安全防範体系建设　20.2.1网路安全防範原则　20.2.2网路安全体系结构　20.2.3IPSec安全体系建设　20.2.4防火墙系统建设　20.3灾难恢复体系建设　20.3.1灾难恢复计画　20.3.2灾难恢复能力分析　20.3.3容灾能力评价　20.3.4灾备中心的模型　20.3.5灾备中心的解决方案　20.3.6灾备中心的选址原则　20.3.7制定灾备方案的要素　20.3.8建立有效的灾备体系　案例6911事件——IT风险对企业的影响　参考文献