信息系統(tǒng)審計(jì)——網(wǎng)絡(luò)空間安全保障第三道防線

一、為什么做系統(tǒng)審計(jì)？

隨著計(jì)算機(jī)技術(shù)的高速發(fā)展，信息系統(tǒng)已經(jīng)成為當(dāng)今社會(huì)最重要的生產(chǎn)工具，OA系統(tǒng)、營(yíng)銷系統(tǒng)、制造信息系統(tǒng)、財(cái)務(wù)系統(tǒng)、人力資源系統(tǒng)等系統(tǒng)成為當(dāng)前不可或缺的應(yīng)用系統(tǒng)。系統(tǒng)安全性和有效性已經(jīng)成為生產(chǎn)安全的重要組成部分，并成為信息系統(tǒng)所有者及其用戶最為關(guān)心的問題。

信息系統(tǒng)審計(jì)是國(guó)家網(wǎng)絡(luò)空間安全保障戰(zhàn)略中的重要環(huán)節(jié)，是第三道防線。同時(shí)，也是行業(yè)監(jiān)管部門主要的監(jiān)管內(nèi)容。相關(guān)政策對(duì)于信息系統(tǒng)的安全性、穩(wěn)定性提出了相對(duì)嚴(yán)格的要求，傳統(tǒng)的審計(jì)方法和技術(shù)已經(jīng)無法適應(yīng)當(dāng)前需求，導(dǎo)致信息系統(tǒng)審計(jì)陷入停滯不前的狀態(tài)，對(duì)此，完善信息系統(tǒng)審計(jì)，更新審計(jì)方法和審計(jì)技術(shù)成了審計(jì)單位的首要任務(wù)。

審計(jì)具體依據(jù)以下三點(diǎn)：

1、國(guó)家政策和行業(yè)監(jiān)管要求

①網(wǎng)絡(luò)安全法

②行業(yè)監(jiān)管指引：《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》規(guī)定：“商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模等，決定信息科技內(nèi)部審計(jì)范圍和頻率。但至少應(yīng)每三年進(jìn)行一次全面審計(jì)。”；《證券期貨業(yè)信息安全保障管理辦法》規(guī)定：“核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立信息安全內(nèi)部審計(jì)制度，定期開展內(nèi)部審計(jì)，對(duì)發(fā)現(xiàn)的問題進(jìn)行整改。”

2、行業(yè)自身信息科技內(nèi)控要求

①信息科技治理

②信息安全事件管理

3、用戶等相關(guān)方要求

①供應(yīng)鏈安全要求

②第二方審計(jì)要求

二、信息系統(tǒng)審計(jì)做什么？

信息系統(tǒng)審計(jì)是信息系統(tǒng)治理工作中的重要一環(huán)，它以合規(guī)性評(píng)價(jià)為出發(fā)點(diǎn)，以評(píng)審、檢查和測(cè)試為主要手段，以發(fā)現(xiàn)信息系統(tǒng)治理過程中存在的風(fēng)險(xiǎn)為目標(biāo)，幫助和促進(jìn)用戶全面預(yù)防和及時(shí)處置信息系統(tǒng)風(fēng)險(xiǎn)，從而有效提高信息系統(tǒng)的安全性和有效性。

審計(jì)內(nèi)容包括但不限于系統(tǒng)安全管理總體架構(gòu)、安全策略、安全管理；物理環(huán)境安全、主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等。

依據(jù)審計(jì)署對(duì)信息系統(tǒng)審計(jì)內(nèi)容的要求“信息系統(tǒng)的安全性、有效性和經(jīng)濟(jì)性”對(duì)信息系統(tǒng)進(jìn)行審計(jì)，同時(shí)針對(duì)具體的信息系統(tǒng)審計(jì)項(xiàng)目，審計(jì)內(nèi)容應(yīng)以確定的審計(jì)依據(jù)為準(zhǔn)，通常包含一般控制審計(jì)和應(yīng)用控制審計(jì)；可以根據(jù)審計(jì)目的和內(nèi)容的不同，分為不同的專項(xiàng)審計(jì)，如：網(wǎng)絡(luò)安全專項(xiàng)審計(jì)、數(shù)據(jù)管理專項(xiàng)審計(jì)、業(yè)務(wù)連續(xù)性專項(xiàng)審計(jì)等。

三、信息系統(tǒng)審計(jì)目標(biāo)

全面審查信息系統(tǒng)信息安全相關(guān)工作的現(xiàn)有流程和內(nèi)控措施的有效性、完備性、適當(dāng)性，了解安全風(fēng)險(xiǎn)管理現(xiàn)狀，掌握安全管理和技術(shù)方面存在的問題及薄弱環(huán)節(jié)，查找存在的風(fēng)險(xiǎn)漏洞，為防范和降低安全風(fēng)險(xiǎn)、加強(qiáng)信息安全內(nèi)部控制、提升安全管理水平提出審計(jì)建議。

四、怎么做信息系統(tǒng)審計(jì)？