iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 7
0
Security

資訊系統安全稽核與 CISA 的簡單應用系列 第 7

[Day 07] 資訊系統稽核流程 (IS Audit and Assurance Standard )

  • 分享至 

  • xImage
  •  

前言

ISACA的資訊稽核和保證標準文件(IS Audit and Assurance Standard)
標準,分為三類:

  • 通用標準(1000 系列)—— 是資訊稽核和保證專業人員的工作指導原則。這些標準適用於所有任務的執行,並且涉及到資訊稽核和保證專業人員的道德、獨立性、客觀性和應有的審慎性,以及知識、職業能力和技能。
  • 績效標準(1200 系列)—— 涉及到任務執行,例如,規劃與監督、任務範圍、風險與重要性、資源調動、監督與任務管理、稽核與保證證據,以及專業判斷和應有的審慎性。
  • 報告標準(1400 系列)—— 涉及到報告類型、溝通方式以及傳達的資訊

準則,支援標準部分,同樣分為三類:

  • 通用準則(2000 系列)
  • 績效準則(2200 系列)
  • 報告準則(2400 系列)

工具和技術
為資訊稽核和保證專業人員提供附加指引,如白皮書、IS 稽核/保證計畫和 COBIT®5 產品系列

http://www.isaca.org/chinese-traditional-/Pages/default.aspx
https://ithelp.ithome.com.tw/upload/images/20190922/20077752WOr53nLVuD.png

資訊系統 (IS) 稽核和保證的專業性,以及完成此類工作所需的技術,需要專門適用於「資訊稽核和保證」的標準


檔案連結被刪了,可以去archive找看看...

ISACA - 資訊稽核和保證標準 1001 稽核規程

http://www.isaca.org/Knowledge-Center/Standards/Documents/1001_std_CT_1113.pdf
1.資訊稽核和保證職能部門應當在稽核規程中適當載明其稽核職能,並說明其目的、職責、職權與可歸責性。
2.資訊稽核和保證職能部門應當保證稽核規程在企業內部的適當層級獲得一致的認可和批准

ISACA - 資訊稽核和保證標準 1002 組織獨立性

http://www.isaca.org/Knowledge-Center/Standards/Documents/1002_std_CT_1113.pdf
1.資訊稽核和保證部門應當獨立於受稽核的領域或活動外,以能客觀完成稽核和保證作業。

資訊稽核和保證標準 1003 專業獨立性

http://www.isaca.org/Knowledge-Center/Standards/Documents/1003_std_CT_1113.pdf
1.資訊稽核和保證專業人員在涉及稽核和保證作業的所有事務中,都應當在態度和表現兩個面向上保持獨立和客觀。

資訊稽核和保證標準 1004 合理預期

http://www.isaca.org/Knowledge-Center/Standards/Documents/1004_std_CT_1113.pdf
1.資訊稽核和保證專業人員應當合理預期,根據資訊稽核和保證標準以及其他適用的專業或產業標準或適用的規章(在必要的情況下)完成稽核作業,並產生專業性的意見或結論。
2.資訊稽核和保證專業人員應當合理預期能夠憑藉稽核作業範圍得出有關主題的結論並解決任何限制(解決組織問題)
3.資訊稽核和保證專業人員應當合理預期,管理層理解其有關提供完成稽核作業需要的適當、相關和即時資訊的責任和義務。

資訊稽核和保證標準 1005 專業之謹慎注意責任

http://www.isaca.org/Knowledge-Center/Standards/Documents/1005_std_CT_1113.pdf
1.資訊稽核和保證專業人員應當履行專業之謹慎注意責任,包括在規劃、執行和報告稽核作業結果時遵守適用的專業稽核標準(遵守法規標準)

資訊稽核和保證標準 1006 技術專精

http://www.isaca.org/Knowledge-Center/Standards/Documents/1006_std_CT_1113.pdf
1.資訊稽核和保證專業人員以及協助完成任務的其他人,應當掌握足以完成資訊稽核和保證作業的技能和經驗,並在專業上有能力完成必要的工作(確保能勝任,不做超出能力)
2.資訊稽核和保證專業人員以及協助完成任務的其他人,應當足夠瞭解主題。
3.資訊稽核和保證專業人員應當透過適當的持續專業教育和培訓,保持其專業能力。

資訊稽核和保證標準 1007 聲明

http://www.isaca.org/Knowledge-Center/Standards/Documents/1007_std_CT_1113.pdf
1.資訊稽核和保證專業人員應當於審核評估主題時對照聲明,確定此類聲明能夠進行稽核,並且這些聲明是足夠、有效和相關的。

資訊稽核和保證標準 1008 衡量標準

http://www.isaca.org/Knowledge-Center/Standards/Documents/1008_std_CT_1113.pdf
1.資訊稽核和保證專業人員應當於選擇評估主題時,參考對照的衡量標準以客觀、完整、相關、可衡量、可理解、得到廣泛認可、權威性的,以及報告的所有讀者和使用者可以理解或得到的為主。
2.資訊稽核和保證專業人員應當考慮衡量標準的來源(例如參照ISO27001),並且在接受鮮為人知的標準之前,著重於相關權威機構發佈的標準。

資訊稽核和保證標準 1201 稽核作業規劃

http://www.isaca.org/Knowledge-Center/Standards/Documents/1201_std_CT_1113.pdf
1.資訊稽核和保證專業人員應當規劃每一項資訊稽核和保證作業,並闡明:

  • 目標、範圍、時限和交付成果
  • 遵循適用的法律和專業稽核標準
  • 在適當情形下,採用以風險為基礎的方法
  • 稽核作業特有的問題
  • 記錄和報告要求

2.資訊稽核和保證專業人員應當制定和記錄資訊稽核或保證作業的專案計畫,並在當中描述:

  • 稽核作業的性質、目標、時限和資源要求
  • 完成稽核作業的程序的時間和範圍

資訊稽核和保證標準 1202 規劃中的風險評估

http://www.isaca.org/Knowledge-Center/Standards/Documents/1202_std_CT_1113.pdf
1.資訊稽核和保證職能部門應當使用適當的風險評估方法和配套方法,制定總體 IS稽核計畫,並確定有效分配資訊稽核資源的優先順序。
2.資訊稽核和保證專業人員應當在規劃各個作業時,識別和評估與被審核領域的相關風險。
3.資訊稽核和保證專業人員應當考慮企業面臨的主要風險、稽核風險及相關暴露。

資訊稽核和保證標準 1203 執行和監督

http://www.isaca.org/Knowledge-Center/Standards/Documents/1203_std_CT_1113.pdf
1.資訊稽核和保證專業人員應當根據資訊稽核計畫展開工作,以在議定的時間表內涵蓋識別的風險。
2.資訊稽核和保證專業人員應當向對其負有監督責任的資訊稽核工作人員進行監督,以實現稽核目標和達到適用的專業稽核標準。
3.資訊稽核和保證專業人員應當只接受在其知識和技能範圍內的,或能夠合理預期在委任作業過程中獲得相關技能,或者在監督之下能夠完成任務的任務。
4.資訊稽核和保證專業人員應當獲得足夠和適當的證據以達到稽核目標。稽核結果和結論應有對應的證據分析及解釋作支持。
5.資訊稽核和保證專業人員應當記錄稽核過程,在其中描述支援結果和結論的稽核工作和稽核證據。
6.資訊稽核和保證專業人員應當識別結果並對其作出結論。

資訊稽核和保證標準 1204 重要性

http://www.isaca.org/Knowledge-Center/Standards/Documents/1204_std_CT_1113.pdf
1.資訊稽核和保證專業人員在規劃某個稽核作業時,應當考慮潛在的控制漏洞或缺失,以及此類控制漏洞或缺失是否會導致嚴重缺陷或重大缺失。
2.資訊稽核和保證專業人員在確定稽核程序的性質、時間安排和範圍時,應當考慮重要性及其與稽核風險之間的關係。
3.資訊稽核和保證專業人員應當考慮細微的控制缺陷或漏洞的累積效應,以及控制缺失是否會導致重要缺陷或重大漏洞。
4.資訊稽核和保證專業人員應當在報告中揭露以下事項:

  • 控制缺失或無效控制
  • 控制缺陷的嚴重性
  • 這些漏洞導致重要缺陷或重大缺失的可能性

資訊稽核和保證標準 1205 證據

http://www.isaca.org/Knowledge-Center/Standards/Documents/1205_std_CT_1113.pdf
1.資訊稽核和保證專業人員應當獲得足夠和適當的證據,為稽核作業結果提供合理的結論依據。
2.資訊稽核和保證專業人員應當評估所獲證據是否足以支持結論並實現稽核作業目標。

資訊稽核和保證標準 1206 使用其他專家的成果

http://www.isaca.org/Knowledge-Center/Standards/Documents/1206_std_CT_1113.pdf
1.資訊稽核和保證專業人員應當考慮視情形使用其他專家的成果完成稽核作業。
2.資訊稽核和保證專業人員應當在稽核作業前評估和批准其他專家的專業資格、能力、相關經驗、資源、獨立性和品質控制流程的具充分性。
3.資訊稽核和保證專業人員應對其他專家參與稽核作業進行評估、審核和評價,並記錄有關對其成果的使用和依賴程度。
4.資訊稽核和保證專業人員應當確定不屬於稽核作業團隊成員的其他專家的成果是否足夠和完整,可以得出有關當前既定目標的結論,並明確記錄結論。
5.資訊稽核和保證專業人員應當決定是否將直接依賴和整合其他專家的成果,亦或在報告中單獨引述。
6.如果其他專家的成果無法提供足夠和適當的證據,資訊稽核和保證專業人員應當執行額外的程序來獲取足夠和適當的證據。
7.如果無法透過額外的測試程序獲取必要的證據,資訊稽核和保證專業人員應當提供適當的稽核意見或結論,以及其範圍限制。

資訊稽核和保證標準 1401 稽核報告

http://www.isaca.org/Knowledge-Center/Standards/Documents/1401_std_CT_1113.pdf
1.資訊稽核和保證專業人員應當提供稽核報告,以溝通作業完成的結果,其中包括:

  • 企業的身份、預期的受理人以及對內容和流通的任何限制
  • 範圍、作業目標、覆蓋期間以及執行工作的性質、時間和程度
  • 結果、結論和建議
  • 資訊稽核和保證專業人員有關稽核作業範圍方面的任何資格或限制
  • 符合稽核規章或稽核作業書條款的簽章、日期和分發

2.資訊稽核和保證專業人員應當保證稽核報告中的結果有足夠與適當的證據支持。

資訊稽核和保證標準 1402 後續追蹤

http://www.isaca.org/Knowledge-Center/Standards/Documents/1402_std_CT_1113.pdf
1.資訊稽核和保護專業人員應當監測相關資訊,以得出有關管理階層是否已規劃/採取適當、即時的措施處理已陳報的稽核結果和建議的結論。


上一篇
[Day 06] 資訊系統稽核流程 (Planning)
下一篇
[Day 08] 業務流程應用與控制 (E-Commerce)
系列文
資訊系統安全稽核與 CISA 的簡單應用30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言