有真正从事信息安全审计工作的吗，以后多交流

显示全部楼层 · 2006-4-16 22:44:45

国内的信息化程度不算高，信息安全审计的需求应该也不是很多。我做了4年的专业安全服务了，基本都集中在网络、系统、数据库等技术层面，一般的服务也就风险评估，系统加固，紧急响应，安全管理维护等等，基本没碰到安全审计的需求，不知道其他公司在国内有没有实际的经验。
我对安全审计也不太了解，与风险评估应该有类似的地方，但角度不一样，大家有实际经验的吗，能否交流交流，cisa的学习对实际工作的帮助大吗？而且我觉得安全审计并不能解决安全风险，应该从风险控制的角度来看待安全审计。
btw：我去年过了cissp，以后大家有什么关于cissp的问题也可以多交流。

千问 · 2006-4-16 22:44:45

very 对

千问 · 2006-4-16 22:44:45

l楼主也要多发点你的经验啊

千问 · 2006-4-16 22:44:45

我在北京，加强交流

千问 · 2006-4-16 22:44:45

最初由 4dmin 发布
[B]国内的信息化程度不算高，信息安全审计的需求应该也不是很多。我做了4年的专业安全服务了，基本都集中在网络、系统、数据库等技术层面，一般的服务也就风险评估，系统加固，紧急响应，安全管理维护等等，基本没碰到安全审计的需求，不知道其他公司在国内有没有实际的经验。
我对安全审计也不太了解，与风险评估应该有类似的地方，但角度不一样，大家有实际经验的吗，能否交流交流，cisa的学习对实际工作的帮助大吗？而且我觉得安全审计并不能解决安全风险，应该从风险控制的角度来看待安全审计。
btw：我去年过了cissp，以后大家有什么关于cissp的问题也可以多交流。 [/B]

我曾经从事过企业年度报表和企业内部流程的审计工作，这些和信息系统的安全审计有联系吗？我发现信息系统安全审计大都在信息保护方面，也就是说还是在计算机、通信、加密等技术方面，与审计好象关系不是很大嘛！
有谁知道“安全审计”的“审计”二字如何理解？

千问 · 2006-4-16 22:44:45

从Review-->Recommendation过程来讲，Financial Audit 与IS Audit是没有很大的区别。

千问 · 2006-4-16 22:44:45

最初由 valiancy 发布
[B]从Review-->Recommendation过程来讲，Financial Audit 与IS Audit是没有很大的区别。 [/B]
财务审计和内部控制审计主要包括报表审计、业务流程审计，比如组织架构的合理性、岗位职责的相互牵制作用，作业流程的执行顺序，以及执行过程的记录的审查等等。
IS审计似乎更多的是网络传输安全性、加密技术的可靠性、数据库信息存取的安全性等等，更多涉及计算机和网络技术。
二者共性不多呀。有财务审计经验的很难做IS审计工作，反之亦然！
是不是这样？哪位大师有高见？

千问 · 2006-4-16 22:44:45

最初由 valiancy 发布
[B]从Review-->Recommendation过程来讲，Financial Audit 与IS Audit是没有很大的区别。 [/B]
财务审计和内部控制审计主要包括报表审计、业务流程审计，比如组织架构的合理性、岗位职责的相互牵制作用，作业流程的执行顺序，以及执行过程的记录的审查等等。
IS审计似乎更多的是网络传输安全性、加密技术的可靠性、数据库信息存取的安全性等等，更多涉及计算机和网络技术。
二者共性不多呀。有财务审计经验的很难做IS审计工作，反之亦然！
是不是这样？哪位大师有高见？

千问 · 2006-4-16 22:44:45

最初由 valiancy 发布
[B]从Review-->Recommendation过程来讲，Financial Audit 与IS Audit是没有很大的区别。 [/B]
财务审计和内部控制审计主要包括报表审计、业务流程审计，比如组织架构的合理性、岗位职责的相互牵制作用，作业流程的执行顺序，以及执行过程的记录的审查等等。
IS审计似乎更多的是网络传输安全性、加密技术的可靠性、数据库信息存取的安全性等等，更多涉及计算机和网络技术。
二者共性不多呀。有财务审计经验的很难做IS审计工作，反之亦然！
是不是这样？哪位大师有高见？

千问 · 2006-4-16 22:44:45

Financial Audit vs. IS Audit
Financial Audit & IS Audit apply the same auditing methodology and similar auditing techniques. Actually a lot of auditors hold the CPA & CISA simultaneously. so I think there must be a lot of similar things between them.
Obviously, the big difference is that they're working on different objects. However, sometimes these two objects go together such as accounting information system.
I just wonder how great impact IS audit will have on information system such as ERP? A lot of companies in China have already got ERP system for their business operation. Why they don't need a CISA to look after the system, while they usually have an internal auditor... a bit confused.