本书共分为8章，总体思路和组织结构如图1所示。

图1本书的总体思路和组织结构

各个章节的主要内容概述如下。

第1章为绪论，阐述IT审计的起源、定义，介绍了国内外在IT审计方面的研究进展，同时，结合IT审计目的和对象，详细介绍了IT审计的分类、范围，进而分析IT审计的依据和特点、风险和重要性、IT审计的意义等。

第2章介绍IT审计管理，从审计机构层面首先介绍了IT审计的咨询评价监督作用以及不同审计机构的作用和目的，然后从IT内部审计管理的角度展开，介绍了内部审计章程、组织结构、制度、准则、规划、沟通与协调、人员、质量管理等方面的内容。

第3章介绍IT审计的方法和技术，首先介绍了IT审计的依据，即与IT相关的法律法规、行业规范、国内外标准等； 其次介绍了常用收集证据的方法、可采用的审计技术； 然后介绍了审计证据和底稿的归纳整理、保管等要求； 最后介绍了审计项目展开的基础和辅助手段。

第4章介绍IT审计流程，即从项目层面介绍了审计活动与流程，主要是对审计项目的准备阶段、实施阶段、终结阶段及后续审计阶段进行描述，介绍如何编制审计计划，如何进行测试、收集证据，如何编制工作底稿及审计报告等。

第5章介绍IT治理、审计，即介绍了IT治理层面的活动及内容，以及如何审计治理机构、IT战略、政策、投资、IT 风险管理、信息安全等管理域。

第6章对信息系统建设与审计进行分析，首先介绍了项目管理、信息系统开发集成、应用控制的基本要求及各类典型应用系统等，然后针对信息系统建设中的信息系统开发、应用控制、云、电商、电子支付及企业管理等典型应用的审计展开了叙述。

第7章对信息系统运维与审计进行分析，介绍了国际国内相关运维标准的关键流程，并从基础设施、操作系统、应用系统架构、数据架构等纬度对运维管理做了描述，同时围绕上述流程和基础架构对信息系统运维、运行及服务的审计进行了介绍。

第8章对信息安全与审计进行分析，介绍了信息安全关键管理要素，包括信息安全策略、组织、人力资源安全、供应商关系、信息安全事件管理及符合性等； 介绍了信息安全关键技术，包括访问控制、物理安全、网络通信安全、信息系统的获取、开发和维护及密码技术； 然后围绕上述内容阐述了如何对信息安全关键管理要素、访问控制、物理安全、网络通信安全、信息系统的获取、开发和维护及密码技术等进行审计。

编写背景

IT审计业务在欧美等发达国家已开展几十年，但在我国还处于初始阶段。国内对IT审计的了解主要来源于2002年审计署引入的国际注册信息系统审计师（CISA）资质考试，IT审计人员的培养主要依赖参加CISA的考试培训或一些行业内的培训，适用性和普及性有限。为了促进我国自主可控IT审计服务的发展，需要开发适合我国国情，并且依据我国IT法律、法规及标准编制的IT审计人才培养书籍。《IT审计之道》正是在这种情况下，为提高我国IT审计水平、培养我国IT审计人才而编制的、具有一定指导意义的书籍，同时，该书也为未来国家IT审计标准的落地提供了指南。

本书结构合理，系统全面，观点创新，可操作性强，为政府审计机构、社会审计机构及组织内部审计机构开展IT审计业务提供指导； 为组织的审计委员会成员、首席信息官、财务总监、信息技术总监、信息管理人员和技术人员等改进工作提供帮助； 为IT咨询人员、在校学生及其他有志于从事IT审计业务的有识之士提供学习指导。

本书的编写得到了全国信息技术标准化技术委员会（信息技术服务分技术委员会服务管控组）相关人员的大力支持，在此表示衷心的感谢！同时，在编写过程中也参考了一些著作和论文，在此向相关的作者致以衷心的谢意！

鉴于时间紧迫及水平有限，书中难免存在纰漏和考虑不周之处，真诚地期待广大读者批评指正。

如果您在使用本书时遇到问题，可发邮件至itaudit@itss.cn，也可登录网站“IT审计云.cn”，与我们进行沟通和交流。

编者2015年10月