本书结合中国国情,引进、消化和吸收了国际上先进的安全、风险管理与控制的方法论和最佳实务。本书在介绍基本审计知识的基础上,重点阐述信息系统审计理论与实务,以及信息安全审计的相关内容。 本书是为四类读者而写的:一类是管理人士,本书阐述了信息化的整体概念,描述了管理层与咨询和技术服务提供商沟通的共同语言,以及将IT管理与公司上层活动整合起来的方法。第二类是IT的高级管理者和那些准备向管理阶层迈进的IT人士,本书介绍了国际上公认的最权威、最全面的评价和指导IT控制的方法论及其模型。第三类读者是注册会计师及管理咨询顾问,他们在精通管理和专业的同时还急需加强信息系统和网络技术领域的知识。第四类是准备通过国际信息系统审计师或我国信息系统工程监理工程师认证考试的人员,由于信息技术的国际性,本书同样会对这类读者的工作与学习有较大帮助。
作为现代经济的核心,银行业多年来都十分重视信息化建设。从“六五”做准备、“七五”打基础、“八五”上规模、到“九五”见成效,从小到大、从单项业务到综合业务、从单一网点到全国联网,我国已经逐步形成了银行信息化的基本框架,取得了显著的社会效益和经济效益。
在加快实现银行信息化的过程中,我们越来越关心两个问题:一是如何保证信息化项目的合理性、有效性及经济性;二是如何确保项目的可用性及安全性。
随着信息技术在银行普遍、深入的应用,银行信息系统的正常运行已经成为银行业务正常运营最基本的条件之一。银行信息化涉及政策、管理、技术、产品等各个方面,如何实现信息化的预定目标同时规避信息化过程中各个环节的风险,保护银行的信息资产,是国内外银行界普遍关心的问题。意外灾祸、系统故障、人为操作不当、安全管理及措施的漏洞等都有可能造成信息系统不能正常工作,影响到银行业务的正常运营。信息安全越来越成为银行信息化建设与管理中需要密切关注的问题。如何保证银行核心数据的安全,如何建立完善的应急管理机制等已是目前迫切需要解决的问题。
美国等市场经济发达国家很早就开展了由独立资格的第三方进行的信息系统审计工作,建立了完善的信息系统审计体系。特别是美国“911”事件和前一阶段蔓延的SARS疫情,使我们对信息系统的安全性和应急管理等概念有了全新的认识。信息的“保密性、可用性和完整性”的实现仅仅靠技术与产品的组合是远远不够的,应该是在风险分析的基础上,结合管理、技术、产品、法律、环境等综合因素,制定控制目标与控制方式,从而建立一整套严密的安全保障体系。这些都需要通过独立的第三方审计来监督和保证。目前,我国银行业对信息安全的重视程度和需要,已从单一的产品和技术向整体解决方案过渡,同时从封闭式的设计、实施与管理,不断与完善的、具有适当资质的、独立的第三方审计相结合,这是未来的一个发展趋势。
孙强先生主编的这本书可谓是应时而生,此时把信息系统审计的思想与方法引入国内是很有意义的。本书有两个突出的特点:一是全面和系统地介绍了信息系统审计的基本概念、理论方法、具体实例,从信息系统的规划、系统平台建设、应用开发、运营管理、灾难恢复与业务持续计划的审计,到企业风险管理、电子商务、电子政务、信息系统工程监理等目前热点话题都有较深入的涉及,可指导信息系统审计人员系统准确地把握信息系统审计思想,正确地运用信息系统审计方法与技术。二是观点的组织与题材的把握上,有许多独到的观点,与国内的实际结合较好,有较好的参考、指导价值。
总之,在信息化过程中,信息系统审计的作用是无可替代的,是我们在加快信息化建设过程中一项十分重要的工作。我们应该结合国情大力宣传、积极推广信息系统审计,加快培养专业的信息系统审计人员。本书在这方面进行了开创性的探索,我相信它可以为国内即将蓬勃展开的信息系统审计工作发挥积极的作用。
中国人民银行支付与科技司司长 陈静
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved