我国信息系统审计简述,本文主要内容关键词为:信息系统论文,我国论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
信息系统结构及审计内容 周德铭/黄晓雯 1996年,美国信息系统审计与控制协会(英文缩写ISACA)发布的《信息及相关技术的控制目标》(英文缩写COBIT),规划了按照IT目标,对IT资源的IT过程进行三维管控,并提出了一般控制和应用控制两要素的审计方法。该框架的特征是以IT过程控制为轴心,对信息系统生命周期的规划与组织、获取与实施、交付与支持、监控与评价的四个过程控制进一步细化,确定了34个具体IT过程和215个具体控制目标。 我国在2012年审计署发布的《信息系统审计指南》、2013年中国内部审计协会发布的《第2203号内部审计具体准则——信息系统审计》,都提出了具有特点的信息系统审计框架和方法。我们认真研究了我国信息系统审计的实践发现,审计实践中不仅关注IT过程控制,还应关注IT结构控制,在此基础上研究了基于IT结构控制的信息系统审计框架,并提出了348个知识点和控制点。 所谓信息系统结构控制审计框架,是指按照信息系统控制目标(安全性、可靠性和经济性),对信息系统资源(管理资源、应用资源、网络资源和安全资源)的结构控制(管理控制、应用控制、网络控制和安全控制)进行管控的三维审计框架。 框架中呈现的管理控制、应用控制、网络控制和安全控制四类结构控制域,是由信息系统的内在属性决定的:信息系统的规划、建设和运行,属于管理控制范畴;信息系统承载业务的业务流程、业务信息等,属于应用控制范畴;保障多组织间业务流程和业务信息流转的实现路径,属于网络控制范畴;保障业务信息和系统运行的安全,属于安全控制范畴。信息系统审计关注四类控制的符合性和有效性,形成四类结构控制的审计框架。 信息系统的管理控制、应用控制、网络控制和安全控制之间存在着紧密的关联关系。信息系统结构控制审计框架的应用,不仅关注单个结构控制的有效性,而且更加关注不同结构控制之间的关联性,即:关注应用控制与网络控制的关联性;关注应用网络控制与安全控制的关联性;关注系统控制与管理控制的关联性。 信息系统结构控制审计框架的核心,是揭示信息系统的管理、应用、网络和安全诸控制要素间存在相互联系、相互依存的内在关联关系,这是结构控制审计框架的重要特征。信息系统结构控制审计框架的应用重点,就是要关注信息系统中诸控制要素间的结构关联性,发现问题,由此及彼,进行点、线、面的立体化检查和结构化诊断,有效提升信息系统审计的质量和水平。 (作者单位:中国审计学会、空军装备研究院) 信息系统管理控制审计 信息系统管理控制主要研究信息系统规划、建设和运行的状况与能力,梳理与系统管理相关的风险点并实施积极有效控制的过程。因此,信息系统管理控制审计是根据管理控制目标,对各类管理资源控制有效性的检查和评价。 可从信息化发展规划控制审计出发,针对审计实务中的“IT规划和计划”审计事项的两个案例(两个案例的具体审计过程略,编者注),阐述该事项的审计背景、目标、方法、测试过程及结果。 IT规划和计划审计是指审计机构及人员依据有关法律、法规、政策及相关标准,按照一定的程序和方法,对被审计单位制订的IT规划和计划是否经过管理层、决策层批准,是否符合被审计单位的业务目标的实际需要等进行的独立监督和评价活动。 (作者单位:审计署计算机技术中心) 信息系统应用控制审计的内容 信息系统应用控制审计的重点是,通过对各类应用资源的检查,重点审计应用架构控制、应用功能控制、信息资源控制和共享协同控制四类具体控制的有效性,促进应用系统和承载业务信息的安全性、可靠性和经济性目标的实现。 在上述四类具体控制中,应用架构控制是反映承载业务的业务特征逻辑架构和业务要素技术架构及其集约化的架构与控制;应用功能控制是反映数据输入、数据处理、数据输出等核心功能对于业务系统运行和业务信息的真实性、完整性和准确性的架构与控制;信息资源控制是反映承载业务所需的基于信息资源目录体系的各类内外部数据的产生、获取、处理、存储、传输和使用的架构与控制;共享协同控制是为保障承载业务信息的完整性和有效性而实施的基于信息资源共享交换体系的组织内部和与其他组织间信息资源共享与交换的架构与控制。 (作者单位:审计署电子数据审计司) 信息系统网络控制审计与应用框架 信息系统网络控制审计的内容 审计人员应根据具体审计项目目标,选择网络控制审计重点和相应程序。信息系统网络控制审计环节包括网络结构控制、网络通信控制、存储处理控制和机房系统控制。 网络结构控制的审计重点,包括业务部署方式的网络结构、局域网分域网络结构、业务信息密级的网络结构、网络布线、网络产品功能等控制点。网络通信控制的审计重点,包括局域网通信、城域和广域网通信、不同密级网络间通信、移动网间及其与固定网间的通信、网络带宽等控制点。存储处理控制的审计重点,包括存储方式、存储量、存储处理性能、存储处理产品功能等控制点。机房系统控制的审计重点,包括机房功能布局、机房结构、机房保障系统、机房设备产品功能等控制点。 网络控制审计框架 (一)网络结构控制审计 网络控制中常见的问题可从两个维度了解,一是网络控制的可靠性评价,二是网络控制的完整性,同时可能涉及经济性、安全性,可以通过查阅系统设计、建设、运行管理等资料进行审计。 (二)网络通信控制审计 网络通信控制审计包括不同密级网络间通信控制、局域网分域间通信控制、移动网与固定网间通信控制、网络带宽控制等审计要点。重点关注上述控制的可靠性和完整性,以及安全性与经济性。 (三)存储处理控制审计 存储处理控制审计的要点主要是存储处理系统的可靠性、完整性,以及安全性和经济性。 审计人员在开展存储处理控制审计的过程中,除上述问题外,应关注存储处理控制,尤其是备份机制的可靠性、安全性和经济性。 (四)机房系统控制审计 计算机机房设施控制审计主要涉及计算机机房系统的可靠性、完整性,以及是否符合国家法规及行业技术标准。 审计人员认为机房系统资产中最重要的是数据信息资产,系统应通过存储处理控制中的备份管理控制保障数据资产安全,机房系统控制应着眼于保证一般控制的有效性,不应在其管理运行制度(包括应急管理制度)中引入人员风险。 审计人员在机房系统控制审计中,应重点关注机房功能布局等基础系统控制和供配电等辅助设施控制是否符合国家法规、标准,对于特定行业机房系统控制,还应满足相关行业的标准和规范要求。 (作者单位:审计署长春特派办) 信息系统安全控制审计的内容与步骤 信息系统安全控制审计是为保障业务信息安全和系统运行安全的安全控制目标,对各类安全资源的安全架构控制、安全制度控制、安全体系控制和安全功能控制的有效性进行检查和评价。安全架构控制是对应用安全、网络安全和安全策略等的总体安全控制;安全制度控制是依据国家信息安全管理制度的安全管理控制;安全体系控制是依据国家信息安全技术体系规范的安全技术控制;安全功能控制是依据国家相关规定的安全产品与服务的安全功能产品控制。 信息系统安全控制审计步骤包括审计准备、安全风险分析、信息安全控制测试和报告等阶段。 (作者单位:南京审计学院)标签:管理控制论文; 安全审计论文; 审计计划论文; 机房建设论文; 业务管理论文; 信息安全论文; 机房监控论文; 网络结构论文; 审计质量论文; 信息系统规划论文; 管理审计论文; 审计准则论文; 审计目标论文; 架构论文;