中文

Powertime共享课堂 | IT审计与安全评估

文章发布日期:2021-05-28

1


关于IT审计


IT审计的定义:

最高审计机关国际组织对信息系统审计的定义 :一个通过获取并评估证据,以判断IT系统是否保护了组织的资产,有效率地利用组织的资源,保障数据的安全性和一致性,以及是否有效地达到组织的业务目标的过程。 


IT审计的目的:

  1. 揭示IT风险;


  2. 判断IT控制措施的设计有效性和执行有效性;


  3. 提供改进机会。


IT审计的历史与发展:

  1. 1960s,美国开始信息技术审计实践;


  2. 1977年,ISACA CobiT发布,至2013年已是5.0版;


  3. 2001年1月,GAO发布FISCAM,2009年2月发布第二版;


  4. 2002年7月25日,美国发布SOX法案,其中404条款提出内部控制要求,推动信息系统审计的快速发展。


从国外实践看,IT审计走过了三个阶段:

  • 利用计算机技术实施的辅助审计;


  • 以信息系统为对象的信息系统专项审计和与传统审计同时进行的结合审计;


  • 以信息系统为审计对象的独立的专门审计。


我国IT审计历史与发展:

  1. 我国的IT审计从金融行业起步;

    2000年前后,人民银行在其内审司就设立了“信息科技审计处”负责开展信息科技审计工作。之后大的商业银行如工行、建行等银行纷纷在其内部审计部门设立专门负责信息系统审计的职能部门


  2. 行业监管政策和标准

    银监会《商业银行信息科技风险管理指引》(银监发[2009]19号),证监会《证券期货业信息系统审计规范》(JR/T 0112—2014)


  3. 审计署信息系统审计试点

    信息系统审计指南


  4. 网信办

    网络安全建设和绩效审计

时代新威等级保护IT审计




2


IT审计的流程与方法


1、为什么审 – 立项依据

√国家政策和监管要求:

网络安全法、银监会监管指引等


√银行自身信息科技内控要求:

信息科技治理、信息安全事件管理等


√用户等相关要求:

供应链安全要求、第二方审计要求等


2、审什么 - 审计依据

 √国家法规、标准:

网络安全等级保护、GB/T22080信息安全管理体系要求等


 √行业监管政策、标准:

商业银行信息科技风险管理指引、JR/T0131 金融业信息系统机房动力系统规范等


 √银行自身规章制度:

信息科技风险管理办法、核心系统应急预案等


3、审哪儿 - 审计范围

√ 业务部门:

包括信息科技部、风险管理部等


√ IT基础设施和应用系统:

包括核心系统、生产机房/灾备中心等


 √供应链:

包括外包方、产品和服务提供方等

                       

4、什么时间审-审计计划

包括两个时间节点,即固定的定期审计和应对重大或突发事件的审计


√定期审计:

内部审计计划、外部审计计划等


√重大事项审计:

重要系统投产、发生严重事故等


  5、谁来审 

√IT审计师  IT auditor

 实施IT审计的人员。

    注1:IT审计师应保持独立性。


√常见的几个IT审计师认证证书

  • CISA:ISACA
  • CISP-A:中国信息安全测评中心
  • IT审计师:全国信标委ITSS工作组
  • 信息系统审计师:工信部人才交流中心


时代新威—等级保护和IT审计服务专家版权所有 京ICP备13008575号-2
免费来电

返回
顶部