-
主营业务
- 等保测评
- 等保法规
- 等保2.0解读
- 等保优势
- 软件测试
- 软件测评-需求评估
- IT审计
- IT审计概述
- IT审计优势
- IT审计服务内容
- IT审计作业平台
- 安全服务
- 安全咨询
- 安全评估
- 安全运营
- 安全培训
- 数据出境安全评估
- 个人信息安全咨询
- 数据安全管理咨询
-
解决方案
- 政府行业解决方案
- 教育行业解决方案
- 电力行业解决方案
- 金融行业解决方案
- 保险行业解决方案
- 外企行业解决方案
- 医疗行业解决方案
-
安全实验室
- 攻防实验室
- 车联网安全检测实验室
- 网络安全专用产品检测实验室
-
合作案例
- 等级保护案例
- 安全服务案例
- IT审计案例
- 生态合作
- 工程师团队
-
标准与研究
-
关于我们
-
主营业务
- 等保测评
- 等保法规
- 等保2.0解读
- 等保优势
- 软件测试
- 软件测评-需求评估
- IT审计
- IT审计概述
- IT审计优势
- IT审计服务内容
- IT审计作业平台
- 安全服务
- 安全咨询
- 安全评估
- 安全运营
- 安全培训
- 数据出境安全评估
- 个人信息安全咨询
- 数据安全管理咨询
-
解决方案
- 政府行业解决方案
- 教育行业解决方案
- 电力行业解决方案
- 金融行业解决方案
- 保险行业解决方案
- 外企行业解决方案
- 医疗行业解决方案
-
安全实验室
- 攻防实验室
- 车联网安全检测实验室
- 网络安全专用产品检测实验室
-
合作案例
- 等级保护案例
- 安全服务案例
- IT审计案例
- 生态合作
- 工程师团队
-
标准与研究
-
关于我们
什么是信息系统审计?
信息系统审计提高信息系统的安全性、可靠性和开发、运营效率,使信息系统信息化得到健康、全面的发展而引入的预防机制。那么到底什么是信息系统审计,信息系统审计的定义是什么?本文时代新威为您详细解答。
一、什么是信息系统审计
(一)如何定义信息系统审计
2012年2月,审计署发布了"第34号信息系统审计指南",第3条提出了信息系统审计的概念:本指南中的"信息系统审计"是指国家审计机构依法检查和监督被审计单位信息系统的真实性、合法性、效益和安全性的活动。
结合近年来的审计实践,信息系统审计的概念可以理解为:根据有关法律法规和标准,在规定的审计范围内,运用业务流程描述、系统测试、数据分析等技术手段,获取和评价审计证据,对信息系统的安全性、有效性和经济性作出专业判断。
(二)如何确立信息系统审计的目标
信息系统审计指南第六条规定:信息系统审计的主要目标是通过检查和评价被审计单位信息系统的安全性、可靠性和经济性,揭示信息系统存在的问题,提出完善信息系统控制的审计意见和建议,促进被审计单位信息系统实现组织目标;同时,通过检查和评价信息系统产生数据的真实性、完整性和正确性,防范和控制审计风险。具体来讲,信息系统审计的目标应包括以下几个方面:
1、安全性:信息系统的硬件、软件、网络和数据资源是否得到妥善保护,不因自然和人为的因素遭到破坏、更改或者泄露系统中的信息。
2、有效性:系统能否实现既定目标、系统的各项业务的处理过程是否符合国家有关法律法规的要求。
3、经济性:用最少的系统资源的投入,产生最多的拥护所需要的信息。
(三)信息系统审计主要包括的内容
信息系统审计的内容主要包括总体控制审计审计事项、一般控制审计审计事项、应用控制审计审计事项三个方面。
1、总体控制审计审计事项,包括:外部合规要求、被审计单位主营业务、IT治理体系、IT战略规划、IT投资政策、IT运维管理、信息安全管理制度、人力资源政策、内部审计制度。
2、一般控制审计审计事项,包括:安全管理、访问控制、配置管理、职责分离、应急计划。
3、应用控制审计审计事项,包括:业务流程控制、数据输入控制、数据输出控制、数据处理控制、接口控制、数据库管理、数据逻辑控制审计。
二、为什么要开展信息系统审计
信息技术的兴起和企业核心竞争力的追求,促进了信息技术在数据处理、存储和交换中的广泛应用。信息系统已经渗透到社会生活的各个方面。它的效率和程序设计给人们带来了方便和利益,同时也带来了许多负面影响,如计算机犯罪案件的频繁发生,以及系统安全问题的日益严重。信息系统审计作为保证信息系统安全、可靠、高效运行的一种新的审计模式,越来越受到世界各国的重视。随着信息化带动工业化战略在我国的全面实施,国民经济信息化已达到前所未有的高度,加快我国信息系统审计的发展具有重要意义。
(一)信息系统审计是保证信息系统质量的重要工具
信息系统的可靠性、安全性、有效性和效率成为制约信息系统质量的重要因素,通过信息系统审计可以查出系统潜在的软件、硬件和数据资源安全隐患,并利用当前先进的技术进行防范或改进。
首先,信息系统的可靠性需要信息系统审计;其次,信息系统的安全性需要信息系统审计;再次,信息系统的有效性需要信息系统审计;最后,信息系统的效率审计是信息系统质量的重要保证。
(二)信息系统审计是企业信息化发展的必然要求
计算机在企业管理中的应用使得会计信息的处理逐步电算化,促使信息系统审计的雏形一一电子数据处理审计(EDP审计)的产生及EDP审计师协会(EDPAA)的成立。指导信息系统审计的组织从传统的审计机关和组织发展成为专业的信息系统审计组织;信息系统审计的内容、依据、准则等也随着信息技术和信息系统的发展而不断发展和完善,由此可看出信息系统审计是企业信息化发展的必然要求。
(三)信息化建设的效益需要信息系统审计
有资料研究表明,我国企业每年IT投入近万亿元,每年仅在ERP项目上的投资就超过80亿元;中国电子政务建设的市场规模大约在1800-2000亿元之间。
如此大规模的信息化建设,一旦由于缺乏审计,缺乏对权利的有效制约,将不可避免地出现轻率决策等问题,因此,在信息系统风险客观存在的情况下,在信息系统建设过程中对其进行风险审计和控制就显得尤为重要。
(四)信息系统审计有利于维护信息时代的市场经济秩序
在网络经济环境中,信息系统审计师能够以在线、实时的信息为基础提供实时鉴证服务并满足投资公众对决策有用信息的访问需要,这对保护公众利益和保护资本市场的有序发展是非常有意义的。可见,信息系统审计工作有利于降低风险并维护信息时代的市场经济秩序。
三、开展信息系统审计的基本思路和方法
总结近年来信息系统审计的实践经验,当前基层信息系统审计,主要采取“一个中心、两个基本点”的思路,即围绕“被审计单位信息系统综合管理情况审计”这一中心,分别抓住“业务数据分析审计”和“信息系统审计”两个基本点进一步深入开展审计。
业务数据分析审计应通过数据分析,对疑点数据有针对性地进行核查,充分调阅会议纪要、政策文件、经济合同等资料进一步查证。
信息系统审计要对被审计单位信息系统从一般控制和应用控制两个方面实施审计;在审计人员之间形成数据传输利用,审计信息共享的审计环境。同时,通过问卷调查表法、会议座谈法、实地查看法等掌握被审计单位信息系统总体概况;通过资料审阅法、流程图检查法、数据核对法、模拟操作法等,对信息系统的安全性、可靠性和健全性进行评估;通过SQL语句查询法、勾稽关系效验法等,对被审计单位信息系统数据库的历史业务数据进行查询分析、对即时数据进行验证,重点审查数据的真实性和完整性。
最后要说的是:信息技术在社会各领域应用程度的不断提高,使得传统审计中的审计对象、审计线索、审计方法和技术以及审计环境和审计风险等都受到了巨大的影响,时代新威认为完善信息系统审计的理论体系,制定执业标准和规范,增强实践操作性,应当成为我们努力的方向。
时代新威
等保全面解决方案专家
网络安全等级测评与检测评估机构
证书编号:SC202127130010039