NISP官网|国家信息安全水平考试NISP运营管理中心|国家网络空间安全人才培养基地欢迎您!

图片展示
搜索

图片展示

ISAT

信息安全意识培训

【立即报名】

NISP一级

国家信息安全水平考试

【立即报名】

NISP二级

国家信息安全水平考试

【立即报名】

NISP三级

国家信息安全水平考试

【立即报名】

CISP

注册信息安全专业人员

【立即报名】

NISP一级考试预约

 

图片展示

2021第二届全国⼤学⽣⽹络安全精英赛赛事介绍

 

       2021第二届全国⼤学⽣⽹络安全精英赛,指导单位为中国信息安全测评中⼼,主办⽅为国家⽹络空间安全⼈才培养基地。⼤赛以普及知识、挖掘⼈才为⼰任,⾯向全国⼤学⽣普及信息安全意识、传播信息安全知识、挖掘信息安全⼈才。

       本次比赛分为3个阶段,参赛学员均已个人赛形式参加比赛。第一阶段为全国线上初赛,主要考察学生的信息安全知识水平;第二阶段为全国线上复赛,主要考察学生网络安全基础知识和基本技能;第三阶段为全国线下总决赛;具体如下:

1.1.全国初

初赛主要考察学生信息安全知识水平,资格赛为线上答题形式。

☑ 比赛时间:7月1日-9月10日报名,9月13日-17日全国初赛

☑ 参赛资格:全国各类高、中等院校在校学生

☑ 比赛形式:初赛由各个参赛院校组织学生至大赛官网自主报名,由当地承办机构组织安排初赛时间。

☑ 比赛题型:初赛为50道单选题。

☑ 比赛内容:内容包含:信息安全概述、信息安全法律法规、信息安全基础技术、网络安全防护技术、操作系统安全防护技术、应用安全、移动智能终端安全防护、信息安全管理。

☑ 通过条件:满分100分,竞赛成绩达到70分及以上。

 

1.2.全国复赛

全国复赛主要考察参赛选手网络安全基础知识和基本技能。

☑ 比赛时间:9月24日全国复赛

☑ 比赛形式:复赛为线上答题形式进行,参赛条件为初赛成绩达70分以上。

☑ 比赛题型:复赛为100道单选题,

☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发。

☑ 通过条件:全国前100名通过参加线下总决赛

 

1.3.全国总决赛

全国总决赛为线下知识竞赛形式。

☑ 比赛时间:10月11日全国线下总决赛

☑ 比赛形式:决赛为线下知识答题赛,参赛条件为复赛全国成绩前100名。

☑ 比赛题型:总决赛为100道单选题,

☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发等。

☑ 获奖条件:根据总决赛最终成绩排名,产生大学生网络安全竞赛金奖:10人;银奖:10人;铜奖:20人。

 

1.4.奖项设置

2021年第二届大学生网络安全竞赛共设奖金20万元。

金奖:10人,奖金10000元/人

银奖:10人,奖金5000元/人

铜奖:20人,奖金2500元/人

获得⼤赛⾦银铜牌的选⼿,可获得⼤赛协办单位腾讯安全、卓朗科技、 深信服等信息安全知名企业签约⼯作机会。

 

4. 大赛同期其他活动

本次大赛同期将进行一系列与相关的活动,主要活动如下:

1.1大学生网络安全知识精英赛校园大使招募

第二届全国大学生网络安全精英赛即将于2021年7月1日启动报名,9月网络安全周期间开赛。现在面向全国在校大学生招募校园大使。招募规则如下:

 1.1.1.招募标准

具备⼀定的信息安全基础知识,擅长通过talkshow⼩段子、音乐创作、创意剪辑等各种才艺、方法传播信息安全知识、宣传网络安全精英赛的在校大学生。

1.1.2.招募平台

抖音APP

1.1.3.报名方式

1、开通抖音账号,并关注抖音官方号“网安精英赛”。

2、活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单

3、拍摄与网络安全相关的短视频添加话题#网络安全精英赛#在抖音发布,并@网安精英赛 官方账号。

4、发动同学为自己的短视频点赞。

1.1.4.评选

大赛组委会邀请评委会评选作品,筛选出符合招募要求的作品,并按照点赞数排序,最终前十名入选的创作者将成为本届大学生网络安全精英赛校园大使。

1.1.5.公布

最终入选名单将在精英赛官网(https://www.nisp.org.cn/ds)公布。

1.1.6.表彰

成功当选校园大使的创作者,精英赛组委会将颁发聘书,并奖励华为 Mate 40E 手机一台(京东官方价4199元)。

 

1.2大学生网络安全知识精英赛答题接龙活动

校园大使招募活动同时,大赛组委会举办“网络安全精英赛·答题接龙”活动。

活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单

参与在校大学生可登陆精英赛官网(https://www.nisp.org.cn/ds)学习网络安全辅导课程,并练习模拟题。

在抖音APP上传短视频,内容为回答一道网络安全模拟题,指定同学接龙。并以“大学生网络安全精英赛,你也来答题吧~”结尾。@网安精英赛 官方账号,参与抽奖。

奖品为华为WATCH GT 2 Pro 智能手表,共十个获奖名额(京东官网价2388元)。

 

信息系统审计是怎么回事儿?

作者:NISP证书管理中心 来源:国家网络空间安全人才培养基地

      每当亲朋好友问起在做什么工作时,如果简单回答做审计,他们都会默认是财务审计,并抛出一系列他们对于财审的认知来向你求证;但如果说做系统审计,一时间空气凝固,如不继续详细解释,话题将迅速终结,因为基本没人知道系统审计是干嘛的。

那么系统审计到底是做什么的?

      这得要从系统审计的诞生背景说起。随着信息技术的快速发展,企业的业务、财务也越来越依赖各种系统,一方面各种流程及相关控制实现线上化、自动化,数据完全电子化,在信息系统的支撑下企业运营效率提升、业务风险得到更好的管控;另一方面信息系统自身也带来了各种新的风险。

      系统审计在验证信息技术治理有效性、信息系统安全性等大前提下,通过检查自动控制、系统间数据传输,运用计算机辅助审计技术获取可靠完整准确的业务数据和财务数据,以帮助财务审计获取充分有效的审计证据来得出合理的审计结论;除此之外,系统审计还能帮助企业识别与防控与信息系统相关的安全风险,减少信息系统相关的欺诈与舞弊,满足监管要求。

      那么,系统审计师们经常做的事有哪些呢?

(一)穿行测试

      系统审计中最基础的一项工作便是摸清企业的业务流程以及业务财务数据在系统间的流转。

      在财务审计确定纳入审计范围的财务报表科目后,系统审计便会通过穿行测试(Walkthrough),即从头到尾追踪一笔交易或事件,来了解影响这些财务报表科目的业务流程,并识别流程层面的风险、是否存在应对这些风险的控制。

      日常生活离不开买买买,下面就以大家最熟悉的电商企业为例,来介绍系统审计如何做穿行测试。

      首先要选择一笔需要穿测的订单。系统审计师通常会自行下单购物(这个我喜欢),在真实生产环境中完整体验整个业务流程。从下单到收货,系统审计师作为买家能从电商app中获取到该笔订单的一系列基础信息,还能了解到这笔订单背后各岗位人员(采购、运营、物流等)在各时点在各系统中进行的业务操作是如何决定或影响订单数据的,比如采购人员如何进行货物采购并改变进销存管理系统中的库存数量和成本信息,运营人员在活动管理系统如何配置优惠券或者活动(满减、预付款、新人优惠价等)并最终影响销售价格,仓储物流人员如何进行打包发货并更新物流信息,客户人员如何进行退货退款等订单售后管理。

      通过穿测一笔订单,系统审计师就能基本梳理清楚整个售前售中售后流程,了解订单相关数据在各系统间如何生成并流转,以及流程中包含的各种影响收入、成本的关键自动控制。

      这些自动控制就像十字路口的信号灯,让业务按照规则有序运行。

      在系统出现之前,这些控制可能都是线下手工执行的,财务审计师便能进行相关控制测试,但在控制实现线上化、自动化后,就要求系统审计师参与进来,以更好地理解控制的设计,并进行相应的专业测试。

(二)计算机辅助审计技术(CAATs)

      除此之外,系统审计师还会获取数据库中这笔订单的各种关键数据字段及所在的数据表,并理清各数据字段之间的勾稽关系,比如实收款=商品单价*数量-优惠券抵减金额-满减抵扣金额。

      有了对数据结构的充分了解,系统审计师便可以利用计算机辅助审计技术(CAATs)进行一项越来越重要的工作,即数据的提取与检查分析。

      数据本身是没有价值的,让众人趋之若鹜的是数据背后的信息。海量的业务数据既为各企业的管理决策提供依据,也为审计工作提供了大量的价值信息。

      系统审计师便是审计工作中挖掘数据价值的灵魂人物,将财务审计师提出的数据需求转化成清晰明确的数据提取语言,包括从哪些表根据哪些条件筛选出哪些字段,进而从后台数据库提取出完整准确的业务数据。

      这些后台提取的业务交易数据,包含了交易从一开始到结束的所有关键线索,比如订单号、订单状态、订单创建时间、付款时间、确认收货时间、物流信息、商品总价、优惠金额、实付金额、经过加密后的特殊信息(收货地点、收货人)等。

      每个孤立的线索本身可能并没有太多信息,但当它们被系统审计师串在一个完整的交易链路上,相关价值信息便隐隐可见。

      系统审计师基于各项数据之间的关系、各项数据在现实中的正常情况,使用各种数据分析工具来进行大数据分析,快速高效地对全量数据进行核验,从不同维度验证业务数据的真实性,任何不符合逻辑的异常情况都将无处躲藏。

      同时,系统审计还能通过数据处理与深层次的分析,从数据中挖掘有价值的信息,为后续审计工作提供启发和思路。系统审计师利用计算机辅助审计技术对业务数据与财务数据进行全量核对,也能进一步验证财务数据是否完整准确。

(三)信息系统一般控制(ITGC)

      执行以上工作有一个重要前提,那就是信息系统一般控制(ITGC)执行的有效性。

      信息系统一般控制就像是地基,依赖信息系统的自动控制、业务数据就像是地基上建起的房子,要想房子牢靠,地基稳定是必须的。

      信息系统一般控制通常针对都是一些基础的风险,比如未实现职责分离可能导致舞弊;权限未经合理有效审批可能导致非授权的访问,进而造成数据被不合理篡改或数据泄露;系统开发和变更没有经过充分的测试或者未经授权可能导致巨大的故障,影响业务正常运行,业务数据混乱等。

      因此,系统审计会重点关注这些基础风险,对职责分离、权限管理、系统开发变更管理、机房物理安全、网络安全等进行检查,确保企业充分防范和识别各种可能的风险。

      信息系统一般控制得到有效执行,也就意味着这个系统得到了良好的管理,依赖这个系统的自动控制才可能被依赖,财务审计也就能相应的减少实质性程序,提高审计效率、降低审计成本;从这些系统后台数据库导出的业务数据也更可靠。

      当然围绕着系统,还有很多其他的咨询工作可以做。作为系统审计师,可以通过对业务和财务系统的深入了解,直观感受各种商业模式;同时这也是一项充满挑战的工作,日新月异的信息技术对系统审计师提出了越来越高的要求,只有不断学习和思考,才能掌控并灵活运用技术去提升审计工作价值。

      什么样的人适合做这个?或者有没有特别的要求,比如得学计算机等?

      其实并不要求有专门的计算机背景,欢迎各个不同领域和专业的孩子们来报名。

      计算机这些技术相信以后慢慢会更加普及化,各个领域的人们都会用。

      我觉得更重要的是有个很好的逻辑思维能力,系统化条理化认识事物的能力,会帮助我们快速的学习和掌握知识。

0
NISP管理中心

信息系统审计是怎么回事儿?

作者:NISP证书管理中心 浏览: 发表时间:2021-03-01 09:56:31 来源:国家网络空间安全人才培养基地

      每当亲朋好友问起在做什么工作时,如果简单回答做审计,他们都会默认是财务审计,并抛出一系列他们对于财审的认知来向你求证;但如果说做系统审计,一时间空气凝固,如不继续详细解释,话题将迅速终结,因为基本没人知道系统审计是干嘛的。

那么系统审计到底是做什么的?

      这得要从系统审计的诞生背景说起。随着信息技术的快速发展,企业的业务、财务也越来越依赖各种系统,一方面各种流程及相关控制实现线上化、自动化,数据完全电子化,在信息系统的支撑下企业运营效率提升、业务风险得到更好的管控;另一方面信息系统自身也带来了各种新的风险。

      系统审计在验证信息技术治理有效性、信息系统安全性等大前提下,通过检查自动控制、系统间数据传输,运用计算机辅助审计技术获取可靠完整准确的业务数据和财务数据,以帮助财务审计获取充分有效的审计证据来得出合理的审计结论;除此之外,系统审计还能帮助企业识别与防控与信息系统相关的安全风险,减少信息系统相关的欺诈与舞弊,满足监管要求。

      那么,系统审计师们经常做的事有哪些呢?

(一)穿行测试

      系统审计中最基础的一项工作便是摸清企业的业务流程以及业务财务数据在系统间的流转。

      在财务审计确定纳入审计范围的财务报表科目后,系统审计便会通过穿行测试(Walkthrough),即从头到尾追踪一笔交易或事件,来了解影响这些财务报表科目的业务流程,并识别流程层面的风险、是否存在应对这些风险的控制。

      日常生活离不开买买买,下面就以大家最熟悉的电商企业为例,来介绍系统审计如何做穿行测试。

      首先要选择一笔需要穿测的订单。系统审计师通常会自行下单购物(这个我喜欢),在真实生产环境中完整体验整个业务流程。从下单到收货,系统审计师作为买家能从电商app中获取到该笔订单的一系列基础信息,还能了解到这笔订单背后各岗位人员(采购、运营、物流等)在各时点在各系统中进行的业务操作是如何决定或影响订单数据的,比如采购人员如何进行货物采购并改变进销存管理系统中的库存数量和成本信息,运营人员在活动管理系统如何配置优惠券或者活动(满减、预付款、新人优惠价等)并最终影响销售价格,仓储物流人员如何进行打包发货并更新物流信息,客户人员如何进行退货退款等订单售后管理。

      通过穿测一笔订单,系统审计师就能基本梳理清楚整个售前售中售后流程,了解订单相关数据在各系统间如何生成并流转,以及流程中包含的各种影响收入、成本的关键自动控制。

      这些自动控制就像十字路口的信号灯,让业务按照规则有序运行。

      在系统出现之前,这些控制可能都是线下手工执行的,财务审计师便能进行相关控制测试,但在控制实现线上化、自动化后,就要求系统审计师参与进来,以更好地理解控制的设计,并进行相应的专业测试。

(二)计算机辅助审计技术(CAATs)

      除此之外,系统审计师还会获取数据库中这笔订单的各种关键数据字段及所在的数据表,并理清各数据字段之间的勾稽关系,比如实收款=商品单价*数量-优惠券抵减金额-满减抵扣金额。

      有了对数据结构的充分了解,系统审计师便可以利用计算机辅助审计技术(CAATs)进行一项越来越重要的工作,即数据的提取与检查分析。

      数据本身是没有价值的,让众人趋之若鹜的是数据背后的信息。海量的业务数据既为各企业的管理决策提供依据,也为审计工作提供了大量的价值信息。

      系统审计师便是审计工作中挖掘数据价值的灵魂人物,将财务审计师提出的数据需求转化成清晰明确的数据提取语言,包括从哪些表根据哪些条件筛选出哪些字段,进而从后台数据库提取出完整准确的业务数据。

      这些后台提取的业务交易数据,包含了交易从一开始到结束的所有关键线索,比如订单号、订单状态、订单创建时间、付款时间、确认收货时间、物流信息、商品总价、优惠金额、实付金额、经过加密后的特殊信息(收货地点、收货人)等。

      每个孤立的线索本身可能并没有太多信息,但当它们被系统审计师串在一个完整的交易链路上,相关价值信息便隐隐可见。

      系统审计师基于各项数据之间的关系、各项数据在现实中的正常情况,使用各种数据分析工具来进行大数据分析,快速高效地对全量数据进行核验,从不同维度验证业务数据的真实性,任何不符合逻辑的异常情况都将无处躲藏。

      同时,系统审计还能通过数据处理与深层次的分析,从数据中挖掘有价值的信息,为后续审计工作提供启发和思路。系统审计师利用计算机辅助审计技术对业务数据与财务数据进行全量核对,也能进一步验证财务数据是否完整准确。

(三)信息系统一般控制(ITGC)

      执行以上工作有一个重要前提,那就是信息系统一般控制(ITGC)执行的有效性。

      信息系统一般控制就像是地基,依赖信息系统的自动控制、业务数据就像是地基上建起的房子,要想房子牢靠,地基稳定是必须的。

      信息系统一般控制通常针对都是一些基础的风险,比如未实现职责分离可能导致舞弊;权限未经合理有效审批可能导致非授权的访问,进而造成数据被不合理篡改或数据泄露;系统开发和变更没有经过充分的测试或者未经授权可能导致巨大的故障,影响业务正常运行,业务数据混乱等。

      因此,系统审计会重点关注这些基础风险,对职责分离、权限管理、系统开发变更管理、机房物理安全、网络安全等进行检查,确保企业充分防范和识别各种可能的风险。

      信息系统一般控制得到有效执行,也就意味着这个系统得到了良好的管理,依赖这个系统的自动控制才可能被依赖,财务审计也就能相应的减少实质性程序,提高审计效率、降低审计成本;从这些系统后台数据库导出的业务数据也更可靠。

      当然围绕着系统,还有很多其他的咨询工作可以做。作为系统审计师,可以通过对业务和财务系统的深入了解,直观感受各种商业模式;同时这也是一项充满挑战的工作,日新月异的信息技术对系统审计师提出了越来越高的要求,只有不断学习和思考,才能掌控并灵活运用技术去提升审计工作价值。

      什么样的人适合做这个?或者有没有特别的要求,比如得学计算机等?

      其实并不要求有专门的计算机背景,欢迎各个不同领域和专业的孩子们来报名。

      计算机这些技术相信以后慢慢会更加普及化,各个领域的人们都会用。

      我觉得更重要的是有个很好的逻辑思维能力,系统化条理化认识事物的能力,会帮助我们快速的学习和掌握知识。

信息系统审计是怎么回事儿?
系统审计在验证信息技术治理有效性、信息系统安全性等大前提下,通过检查自动控制、系统间数据传输,运用计算机辅助审计技术获取可靠完整准确的业务数据和财务数据,以帮助财务审计获取充分有效的审计证据来得出合理的审计结论;除此之外,系统审计还能帮助企业识别与防控与信息系统相关的安全风险,减少信息系统相关的欺诈与舞弊,满足监管要求。
长按图片保存/分享
0

 

网安世纪科技有限公司-国家信息安全水平考试(NISP)管理中心 © 2001-2020  ICP备案号:京ICP备18045154号-6

网站地图

全部课程

添加微信好友,详细了解产品
使用企业微信
“扫一扫”加入群聊
复制成功
添加微信好友,详细了解产品
我知道了
京ICP备18045154号-6