本书全面、系统地阐述了基于互联网环境下的现代信息系统审计知识体系，突破了传统的基于信息孤岛状态下的信息系统审计概念，对提高信息系统审计师等一系列新型职业人才的专业素质具有很强的针对性和可操作性。内容包括： 信息系统导论、信息系统审计的实施、审计证据收集与评价、信息中心审计、操作系统审计、管理软件系统审计、网络与数据传输审计、数据库审计、电子商务审计、系统开发与维护审计、IT内部控制以及信息系统绩效审计等。本书提供了大量近年发生的典型案例，供教学和自学参考。

本书结构合理，内容系统，观点新颖，针对性强，可以作为高校计算机应用、管理信息系统、管理工程、审计、会计、企业管理等专业高年级本科生和研究生的教材，也可作为信息系统审计师、企业中高级管理人员、政府机关和企业信息中心管理人员、内部审计师、注册会计师、系统分析师及IT咨询顾问等专业人士的参考书。

本书的电子课件可从清华大学出版社网站（http://www.tup.com.cn）下载。

信

息化与工业化（以下简称“两化” ）是人类文明进程中两个重要的发展阶段。信息化高潮开始于20世纪中叶的西方发达国家，建立在高度的工业化基础之上，是工业化和科技进步到一定程度的结果。信息化是信息资源、信息技术及其产业在国民经济和社会中的作用不断加强的过程，发达国家经济增长中的60％～80％是由信息技术贡献的，信息已经成为经济发展的重要战略资源。2000年，中共中央第十五届五中全会正式提出了“以信息化带动工业化，发挥后发优势，实现社会生产力的跨越式发展”，到中国共产党第十六次全国代表大会又提出“信息化带动工业化，工业化促进信息化”的发展战略。目前，信息化和工业化正处于相互促进、相互影响、相互融合的过程中。

就企业而言，信息化对企业的经营发展带来了革命性变化。一些企业已经成长为“信息系统依赖型”企业和“信息资产密集型”企业。电子数据、计算机、网络和软件等，已经成为企业除资金、人力资源以外的第三种资产，成为企业核心竞争力的重要来源之一。

水能载舟，也能覆舟。任何事物的发展都具有两面性，信息化对企业发展也是一把“双刃剑”。企业对信息技术的依赖度越高，信息系统给企业乃至整个经济造成伤害的严重性也越高。安然公司利用信息系统创造“发展神话”，但最终酿成整个社会的信用危机； 法国兴业银行的“内鬼”利用信息系统几乎导致百年企业的破产。这些无不说明了企业与信息技术之间的关系也越来越复杂。企业的内部人员利用信息技术的种种舞弊行为动摇了以财务会计为基础的信用体系，需要信息系统审计师对企业信息系统提供鉴证服务，保护企业投资者、债权人、经营者等的合法利益，维护信息时代的市场经济秩序，保护资本市场的有序发展。这是社会需求对信息系统审计起到拉动作用的结果。

另一方面，信息技术的飞速发展也推动着信息系统审计的理论、技术、方法的发展变化。特别是自从20世纪90年代以来，信息化又以网络化为主要标志，对企业的影响越来越深入，作用越来越明显，形式越来越多样，速度也越来越快。美国著名未来学家阿尔温·托夫勒认为： “计算机网络的建立和普及将彻底改变人类生存及生活的模式，控制与掌握网络的人就是未来命运的主宰。谁掌握了信息，控制了网络，谁就拥有整个世界”。企业一方面要利用和依赖网络，一方面又不得不面对无处不在的网络威胁，特别是银行、证券、电信、国防、贸易、保险等企业，它们对信息系统的安全性、可靠性、保密性等要求极为苛刻，信息系统审计师必须承担起为企业的安全与稳定保驾护航的企业管理职能。

在“拉”和“推”两方面的共同作用下，以“两化”的融合为标志，信息系统审计进入了一个新的快速发展期。在知识经济时代，市场经济是信用经济的本质属性没有改变，但是，“两化”的融合使得政府的管理和企业的经营与信息技术之间存在非常复杂的相互关系，这种复杂性导致管理者、投资人、债权人等如果想了解企业真实的经营状况，就必须关注信息系统的安全性、真实性、合法性和可靠性问题，因此，信息系统审计师已经成为越来越重要的新兴热门职业人才，属于既懂经济管理又懂信息技术的复合型高层次专业人才，是经济安全、健康、可持续发展的“守夜人”。

本书首次全面系统地阐述了基于互联网环境下的现代信息系统审计知识体系，突破了传统的基于信息孤岛状态下的信息系统审计概念，为“两化”融合下的经济安全问题提供了新思路和新方法。

本书的写作得到了中国博士后基金（编号为20070411019）、江苏“六大人才高峰”项目（编号为2007148）、江苏省高校自然科学重大基础研究项目（编号为08KJA520001）、江苏省高校自然科学基金（编号为06KJB120051）等项目的支持。书中内容系统，观点新颖，针对性强，所选案例也为近年发生的典型案例。

本书可以作为高校计算机应用、管理信息系统、管理工程、审计、会计、企业管理等专业高年级本科生和研究生的教材，也可作为信息系统审计师、企业中高级管理人员、政府机关和企业信息中心管理人员、内部审计师、注册会计师、系统分析师、IT咨询顾问等专业人士的参考用书。

中国审计学会副会长、南京审计学院院长王家新教授在百忙之中审阅了全稿，并提出了许多宝贵的意见和建议，在此向他表示衷心的感谢。

由于作者水平有限，书中不足之处恳请同行和读者批评指正。

作者

2009年2月

第1章导论

1.1信息系统审计的发展演化

1.1.1早期的信息系统审计

1.1.2现代信息系统审计

1.2信息系统审计的内涵

1.2.1信息系统审计的定义

1.2.2三类基本的信息系统审计

1.2.3信息系统审计的目标

1.3企业信息安全的管理

1.3.1信息安全管理体系（ISMS）

1.3.2PDCA模型

1.4企业信息管理的规定

1.4.1相关背景

1.4.2企业： 萨班斯法案

1.4.3证券： 美国证券交易委员会法案

1.4.4医疗： 健康保险便携性和责任法案

1.4.5制药： 美国食品与药物管理局法案

1.5信息系统审计的专业建设

1.5.1提出的背景与意义

1.5.2专业建设

思考题1

第2章信息系统审计的实施

2.1信息系统审计流程

2.1.1信息系统审计的程序

2.1.2确定审计关系与责任

2.1.3了解被审计企业的情况

2.1.4评估审计风险

2.1.5贯彻重要性原则

2.1.6确定重要性水平

2.2信息系统审计计划

2.2.1审计计划的作用

2.2.2审计计划的规范

2.2.3审计计划的内容

2.2.4审计计划中风险评估的运用

2.3信息系统审计报告

2.3.1审计报告的作用

2.3.2审计报告的规范

2.3.3审计报告的格式

2.3.4编制报告的注意事项

2.4职业规范准则

2.4.1独立性

2.4.2职业道德

2.4.3专业能力

2.5组织与准则体系

2.5.1相关组织

2.5.2准则体系

思考题2

第3章审计证据收集与评价

3.1审计证据概述

3.1.1审计证据的含义

3.1.2审计证据的种类

3.1.3电子证据的特点

3.1.4电子证据的形式

3.1.5审计证据的充分性

3.1.6审计证据的适当性

3.1.7审计证据的可信性

3.2审计证据收集方法

3.2.1收集方法概述

3.2.2观察法

3.2.3查询法

3.2.4函证法

3.2.5复核法

3.2.6黑盒法

3.2.7白盒法

3.2.8计算机取证技术

3.3审计证据评价模型

3.3.1审计风险的度量

3.3.2证据与认定的似然度

3.3.3证据理论

3.3.4审计证据的分类

3.3.5审计证据风险评估模型

思考题3

第4章信息中心审计

4.1业务持续能力审计

4.1.1业务持续计划的含义

4.1.2业务持续计划的实施

4.1.3影响业务持续能力的因素

4.1.4防火墙技术

4.1.5防木马

4.1.6防病毒

4.1.7防黑客

4.1.8业务持续能力审计

4.2灾难恢复计划审计

4.2.1灾难恢复计划的作用

4.2.2容灾能力评价

4.2.3灾备中心的模型

4.2.4一个实际的灾备解决方案

4.2.5灾备中心的选址原则

4.2.6建立有效的灾备体系

4.2.7审计内容

4.3环境安全审计

4.3.1信息中心安全

4.3.2存储架构安全策略

4.3.3存储设备安全策略

4.3.4审计内容

思考题4

第5章操作系统审计

5.1操作系统概述

5.1.1操作系统的概念

5.1.2操作系统的历史

5.1.3三种基本类型

5.1.4操作系统的结构

5.1.5审计线索

5.1.6日志文件的特点

5.2Windows审计

5.2.1Windows家族概况

5.2.2Windows的结构

5.2.3Windows日志文件

5.2.4审计内容

5.3UNIX审计

5.3.1UNIX简介

5.3.2UNIX特点

5.3.3UNIX的结构

5.3.4UNIX日志文件

5.3.5审计内容

5.4操作系统安全审计

5.4.1操作系统安全问题

5.4.2审计内容

思考题5

第6章管理软件系统审计

6.1管理软件系统概述

6.1.1信息与数据

6.1.2管理软件系统

6.1.3数据处理系统

6.1.4管理信息系统

6.1.5决策支持系统

6.1.6企业资源规划

6.1.7管理软件系统的体系架构

6.1.8审计内容

6.2访问控制审计

6.2.1访问控制策略

6.2.2自主访问控制

6.2.3强制访问控制

6.2.4基于角色的访问控制

6.2.5审计内容

6.3账务信息系统审计

6.3.1账务信息系统的功能与结构

6.3.2系统初始化

6.3.3科目与账簿设置

6.3.4期末业务处理

6.3.5审计内容

6.4财务报表管理系统审计

6.4.1财务报表简述

6.4.2报表生成原理

6.4.3审计内容

思考题6

第7章网络与数据传输审计

7.1网络概述

7.1.1计算机网络的概念

7.1.2三类计算机网络

7.1.3网络的拓扑结构

7.1.4网络的体系结构

7.1.5网络协议

7.1.6互联网

7.2网络安全审计

7.2.1网络安全

7.2.2虚拟专用网技术

7.2.3隧道技术

7.2.4审计内容

7.3传输安全审计

7.3.1传输安全

7.3.2对称加密算法

7.3.3非对称加密算法

7.3.4散列加密算法

7.3.5审计内容

思考题7

第8章数据库审计

8.1数据库概述

8.1.1数据库的发展历史

8.1.2人工管理

8.1.3文件系统

8.1.4数据库系统

8.2关系型数据库

8.2.1数据库管理系统

8.2.2关系数据模型

8.2.3关系数据库范式理论

8.3数据库访问安全

8.3.1数据库访问技术

8.3.2数据库访问安全

8.3.3审计内容

8.4数据库备份与恢复

8.4.1数据备份策略

8.4.2数据库备份技术

8.4.3数据库恢复技术

8.4.4审计内容

8.5数据库审计系统

8.5.1数据库安全指标

8.5.2数据库审计系统

思考题8

第9章电子商务审计

9.1电子商务概述

9.1.1电子商务的定义

9.1.2电子商务的形成

9.1.3我国电子商务的发展

9.1.4电子商务的类型

9.1.5电子商务的体系架构

9.1.6电子商务对审计的影响

9.2电子商务安全审计

9.2.1电子商务的安全问题

9.2.2SSL协议

9.2.3SET协议

9.2.4其他电子商务信息安全协议

9.2.5数字证书

9.2.6PKI体系

9.2.7审计内容

9.3电子商务真实性审计

9.3.1电子商务的支付过程

9.3.2认证中心

9.3.3电子支付方式

9.3.4审计线索

9.3.5审计内容

思考题9

第10章系统开发与维护审计

10.1系统开发过程

10.1.1系统生命周期

10.1.2总体规划阶段

10.1.3需求分析阶段

10.1.4系统设计阶段

10.1.5系统实现与测试阶段

10.1.6系统运行与维护阶段

10.2系统开发审计

10.2.1系统开发思想

10.2.2系统开发控制

10.2.3系统开发方式

10.2.4审计内容

10.3系统验收审计

10.3.1系统验收流程

10.3.2系统上线方式

10.3.3审计内容

10.4系统维护审计

10.4.1系统维护的概念

10.4.2系统维护的类型

10.4.3审计线索

10.4.4系统维护成本

10.4.5审计内容

思考题10

第11章IT内部控制

11.1内部控制的思想

11.1.1内部控制的定义

11.1.2内部控制的作用

11.1.3内部控制框架

11.1.4内部控制的原则

11.2COBIT模型

11.2.1COBIT模型的由来

11.2.2COBIT立方

11.2.3领域与目标、资源的关系

11.3COBIT模型的控制框架

11.3.1领域1： 计划和组织（PO）

11.3.2领域2： 获得和实施（AI）

11.3.3领域3： 转移和支持（DS）

11.3.4领域4： 监督和评价(ME)

思考题11

第12章信息系统绩效审计

12.1信息系统的绩效问题

12.1.1索洛生产率悖论

12.1.2ERP陷阱

12.1.3如何评价信息化的成果

12.2信息化构成要素模型

12.2.1企业信息化构成要素的提出

12.2.2构成要素的主要内容

12.2.3构成要素的行业适用性

12.3评价指标体系

12.4信息化项目的成本构成

思考题12

参考文献