随着计算机技术的快速地发展,信息系统慢慢的变成了当今社会最重要的生产工具,OA系统、营销系统、制造信息系统、财务系统、人力资源系统等系统成为当前不可或缺的应用系统。系统安全性和有效性慢慢的变成了生产安全的重要组成部分,并成为信息系统所有者及其用户最为关心的问题。
信息系统审计是国家互联网空间安全保障战略中的重要环节,是第三道防线。同时,也是行业监管部门主要的监管内容。有关政策对于信息系统的安全性、稳定性提出了相对严格的要求,传统的审计方法和技术已无法适应当前需求,导致信息系统审计陷入停滞不前的状态,对此,完善信息系统审计,更新审计方法和审计技术成了审计单位的首要任务。
②行业监管指引:《商业银行信息科技风险管理指引》规定:“商业银行应依据业务性质、规模等,决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。”;《证券期货业信息安全保障管理办法》规定:“核心机构和经营机构应当建立信息安全内部审计制度,定期开展内部审计,对发现的问题进行整改。”
信息系统审计是信息系统治理工作中的重要一环,它以合规性评价为出发点,以评审、检查和测试为主要手段,以发现信息系统治理过程中存在的风险为目标,帮助和促进用户全面预防和及时处置信息系统风险,从而有效提升信息系统的安全性和有效性。
审计内容有但不限于系统安全管理总体架构、安全策略、安全管理;物理环境安全、主机安全、网络安全、应用安全、数据安全等。
依据审计署对信息系统审计内容的要求“信息系统的安全性、有效性与经济性”对信息系统进行审计,同时针对具体的信息系统审计项目,审计内容应以确定的审计依据为准,通常包含一般控制审计和应用控制审计;能够准确的通过审计目的和内容的不同,分为不一样的专项审计,如:网络安全专项审计、数据管理专项审计、业务连续性专项审计等。
全面审查信息系统信息安全相关工作的现有流程和内控措施的有效性、完备性、适当性,了解安全风险管理现在的状况,掌握安全管理和技术方面存在的问题及薄弱环节,查找存在的风险漏洞,为防范和降低安全风险、加强信息安全内部控制、提升安全管理上的水准提出审计建议。
实施信息系统审计,首先要明确审计目的并确定审计范围;进而选择和明确审计依据,组建审计小组;其次,规划审计方案、实施现场审计;最后报告审计发现,形成审计报告;最后,作为后续审计活动,实施跟踪审计。其审计工作流程大致如下:
注册信息系统审计师(CISP-A)认证的职责是执行审计以判断信息系统控制措施的设计有效性与执行有效性,并提供审计修改完善意见,体现了证书持有者在信息系统审计,安全与控制等方面的综合实际能力。返回搜狐,查看更加多