中文
智能信息系统审计专家
时代新威

什么是信息系统审计

一个通过获取并评估证据,以判断信息系统是否保护了组织的资产,有效率地利用组织的资源,
保障数据的安全性和一致性,以及有效地达到组织的业务目标的过程。

最高审计机关国际组织INTOSAI
(the Inter-national Organization of Supreme Audit Institutions)

为什么要做信息系统审计

  • 企业自身内控制的需要

  • 行业监管部门的要求

  • 用户等相关方的期望

信息系统审计目标和内容

信息系统审计目标

判断IT控制措施的设计有效性和执行有效性。
  • 安全性

    安全性包括信息系统项目建设、基础设施、数据管理、运行维护和相关

  • 可靠性

    可靠性包括信息系统硬件、系统软件、应用软件、网络环境和数据等方面的可靠性

  • 经济性

    经济性包括信息系统建设、应用和运维等方面的经济、效率和效果

  • 合法性

    合法性包括信息系统生命周期、业务流程及内部控制等方面的合法性

信息系统审计内容

1
信息系统一般性控制审计

保障信息系统正常运行的稳定性、有效性、安全性等方面的控制。

一般控制包括:
  • 实体安全控制
  • 访问控制
  • 应用软件开发和变更控制
  • 系统软件控制
  • 职责分离控制
  • 服务连续性控制
组织

· IT治理

· IT组织模式、架构、岗位职责

供应商

· IT供应商管理、版权与知识产权

· 非核心业务服务水平的保障

基础
设置

· 机房环境与防灾

· 主机、通讯网络、存储、访问控制

业务
连续性

· 资产、风险、威胁、策略和保障措施

· 业务连续性对IT连续性的要求、备份与恢复

IT项目
管控

· 开发与获取过程的质量、安全

· 变更管理

网络
安全

· 网路配置、日志检查

· 漏洞扫描、渗透测试

2
信息系统应用性控制审计

保障信息系统产生的数据的真实性、完整性、可靠性等方面的控制。

应用控制包括:
  • 授权控制
  • 完整性控制
  • 准确性控制
  • 数据文件和处理的完整性控制
业务

· 用户问题跟踪

· 功能测试、代码分析、场景模拟或者跟踪

IO

· 输入控制

· 输出控制

性能

· 可用性

· 可靠性

数据

· 业务数据、日志

· 真实性、一致性、准确性

代码

· 安全性、规范性

· 流程逻辑性、后门

业务
系统

· 业务流程与线下活动

· 接口与数据

信息系统审计依据

法律法规

  • 《中华人民共和国计算机信息系统安全保护条例》1994年2月18日
  • 《中华人民共和国审计法》 2006年2月28日修正
  • 《中华人民共和国网络安全法》2016年11月7日
  • 《网络安全等级保护条例(征求意见稿)》2018年6月27日
  • 《中华人民共和国电子商务法》2018年8月31日
  • 《中华人民共和国密码法》2019年10月26日

行业监管

  • 《中华人民共和国计算机信息系统安全保护条例》1994年2月18日
  • 《中华人民共和国审计法》2006年2月28日修正
  • 《中华人民共和国网络安全法》2016年11月7日
  • 《网络安全等级保护条例(征求意见稿)》2018年6月27日
  • 《中华人民共和国电子商务法》2018年8月31日
  • 《中华人民共和国密码法》2019年10月26日

行业监管

  • [审计署]《信息系统审计指南计算机审计实务公告第34号》2012年2月1日
  • [审计署]《中国内部审计准则第2203号内部审计具体准则-信息系统审计》2013年8月20日
  • [审计署]《中华人民共和国国家审计准则》2010年9月1日
  • [银保监会]《商业银行信息科技风险管理指引》2009年3月2日
  • [银保监会]《银行业金融机构信息科技外包风险监管指引》2013年2月16日
  • [银保监会]《非银行金融机构信息科技建设和管理的指导意见》2016年12月26日
  • [银保监会]《保险公司信息化工作管理指引》2009年12月29日
  • [证监会]《证券期货业信息 系统审计规范》2014年12月26日
  • [证监会]《证券期货业信息系统审计指南》2016年11月8日

IT审计标准

  • [发改委]《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》2008年8月6日
  • [发改委]《关于加强和完善国家电子政务工程建设管理的意见》2013年2月16日
  • [发改委]《关于开展国家电子政务工程项目绩效评价工作的意见》2015年1月30日
  • [发改委]《中央企业信息化水平评价暂行办法》2008年7月16日
  • [发改委]《中央企业商业秘密保护暂行规定》 2010年3月25日
  • [发改委]《国家网络安全事件应急预案》2017年1月10日
  • [发改委]《个人信息和重要数据出境安全评估办法(征求意见稿)》2017年4月11日
  • [发改委]《关键信息基础设施安全保护条例(征求意见稿)》2017年7月10日

我们的信息系统审计服务

IT审计工作流程

  • 后续审计活动

    1. · 不合格项跟踪
  • 报告审计发现

    1. · 审计报告
    2. · 风险提醒
    3. · 风险建议
  • 实施现场审计

    1. · 审计计划
    2. · 审计发现
    3. · 审计结论
  • 组建审计小组

    1. · 审计组长
    2. · 审计组长
  • 明确审计依据

    1. · 单位制度
    2. · 行业规范
    3. · 标准法规
  • 确定目的范围

    1. · 部门
    2. · 应用系统

服务流程

  • 沟通交流

  • 合同签订

  • 确定范围

  • 明确依据

  • 组建小组

  • 现场审计

  • 问题确认

  • 编写报告

  • 跟踪服务

现在选择我们,即可享受专业的服务

INSTITUTE OF SAFETY

时代新威—等级保护和IT审计服务专家版权所有 京ICP备13008575号-2
免费来电

返回
顶部