该书前言：
信息系统审计：对我国信息化建设中的若干难题的一种探索
华信

从上世纪90年代以来，随着信息技术在企业内部应用的扩展，信息系统对各业务环节的影响越来越大，企业的生产、交易和管理都离不开信息系统，人们开始关注信息系统的安全性、保密性、完整性及实现企业目标的效率与效果。虽然信息技术是企业进行重大变革的推动力量，但实施信息技术的过程漫长、投资巨大，并且在执行过程中由于牵涉面广，各方的利益难以协调，因而蕴含着巨大风险。管理人员在面对传统经营风险和财务风险的同时，也必须随时面对信息风险对企业生存和发展的挑战。

如何建立完善的信息系统管理与控制规则，如何建立和运营与业务战略目标相一致的信息系统；如何对信息系统进行治理、控制，以保护公司所有利益相关者的利益；如何管理与信息系统相关的风险等一系列问题也是企业所亟待解决的问题。企业需要正确的导向，定期检查和审计，发现潜在的漏洞和风险，从而确保自身健康、快速发展。而《信息系统审计：安全、风险管理与控制》无疑给企业所面临的这些困惑提供了一种方向性的指引。本书中关于信息安全治理和信息系统监理等观点和对信息化风险等有关问题的分析，以及国外信息化实践中的经点案例分析，将有助于企业的管理层从系统全局上把握信息化的发展动向，从审计视角加强对信息系统的控制与治理，从管理视角减小系统风险，从而保证领导决策上的有效性。

《信息系统审计：安全、风险管理与控制》一书系统精练地阐述了IT审计这门学科的知识体系。IT审计作为计算机领域与审计领域的交叉学科，对于专门从事计算机技术行业或专门从事审计工作的人士而言，难于全面深入理解。作者对审计与计算机知识进行了梳理，从最基本的审计知识着手，介绍了审计的概念，内部控制及其测试与评价，审计报告，职业道德等；并对比性地阐述了信息系统审计的起源与发展，信息系统审计计划、信息系统环境下的内部控制及其测试与评价，信息系统审计报告等；然后依照信息系统建设和运营维护生命周期的逻辑关系，详细描述了信息系统的战略规划与组织，技术基础平台建设，应用系统的建设，信息系统的建设和运营实务，灾难恢复和业务持续计划；最后对信息安全的法规和标准、信息资产的保护、信息安全治理、电子政务信息安全标准体系等方面进行了全方位的归纳和介绍。本书由浅入深，既涵盖了审计学、信息系统规划、信息技术治理、信息安全风险管理等管理和组织问题；也包括了计算机软硬件、网络协议、通信、多媒体以及信息系统设计、规划、开发、应用中的技术问题，以及IT监理、IT安全治理等当前企业与学术界共同关注的热点问题，是一本知识面很广的学习教程，对于相关行业的从业人员而言也是一部很好的实践指南。

专家推荐

　　值得庆贺的是，我国的大型企业已经开始实行CIO制度，全社会对IT高级管理人才的需求将越来越突出，培养CIO已经成为我国包括电子政务建设在内的信息化建设的紧迫任务。本书正是为此目的编写。书中提出的具有很强针对性的IT治理与管理的理论和方法，对我国电子政务、企业信息化、社会信息化建设和管理有着重要的理论指导意义，对培养我国信息化建设的高级管理人才具有重要的现实意义，是当前正在从事信息化建设这项宏大的社会工程的各级管理者急需的思考工具、培训教材和建设管理的参考指南。本书必将对我国电子政务和社会信息化的健康发展起到良好的推动作用。
　　　　  中国信息化推进联盟专家委员会副主席　　陈拂晓

　　本书在这方面进行了开创性的探索，我相信它可以为国内即将蓬勃展开的信息系统审计工作发挥积极的作用。
　　中国人民银行支付与科技司司长　 陈静

　　关于信息系统审计的书不多，尚属于“一阵新风吹过来”的阶段。作为在审计信息化方面负有一定责任的国家审计工作人员，我为这本书的出版感到高兴，毕竟大家都在关注信息系统的审计，这对于信息系统的审计是基础，是希望所在。
审计署信息化建设领导小组成员　　审计署计算机技术中心主任　  王智玉

　　本书涵盖体系比较完整，内容较为充实，具有较好的参考和实用价值。不仅适合于信息化工程技术人员培训及MBA教学的需要，也适合于信息化管理咨询人员的工作需求。衷心希望本书的出版不违初衷，在我国的信息化建设事业中发挥其应有的作用。
　　国家信息中心副主任　　徐漳河

我发现，良好的公司治理的原则和观点在《信息系统审计：安全、风险管理与控制》里有着具体的体现，我希望更多的人阅读此书，并为所在企业的IT战略规划和公司治理战略规划提供帮助。                        
                                     北京甲骨文软件系统有限公司北方区董事总经理　　胡伯林

当前电子商务与ERP的快速发展在许多组织内产生了大量的各种各样的数据文件。鉴于这些数据的复杂性及对控制下的信息系统的信赖，很显然，信息系统环境下连续的、详细的审计是任何组织保持长期稳定发展的关键。这本书告诉你如何实施这种审计。
                                        ACL服务有限公司亚太区总监                                                    Bernie Macht

我很乐意向IT人士、注册会计师、IT咨询顾问以及企业管理人员推荐此书，希望这本书能够有助于他们了解认识信息系统审计，并积极参与其中。
　　德勤华永会计师事务所有限公司合伙人　 Peter Koo


主编介绍：
孙强先生，CISA，CISM，国际信息系统审计与控制协会会员，目前就任赛迪顾问业务拓展总监，中国信息化推进联盟IT治理专业委员会副主任。孙强一直致力于探讨信息化建设中深层次的机制问题，倡导将国际上前沿的IT治理机制及其方法论与中国的国情相结合，并较早提出在信息化建设中引入信息系统审计。孙强先生关注的领域包括信息系统审计、信息化工程监理、IT服务管理、信息安全管理以及国内外的IT标准和咨询方法论。他在各种媒体上发表多篇关于IT治理、信息系统审计和监理的文章。sun6869@  。主编在中国会计视野网站就IT审计有多篇专文讨论。

章节节选（PDF格式，需用acrobat reader 阅读）
第21章：公司治理与IT治理

第14章：信息系统的战略规划与组织审计