掃碼下載APP
及時(shí)接收最新考試資訊及
備考信息
安卓版本:8.7.50 蘋(píng)果版本:8.7.50
開(kāi)發(fā)者:北京正保會(huì)計(jì)科技有限公司
應(yīng)用涉及權(quán)限:查看權(quán)限>
APP隱私政策:查看政策>
HD版本上線:點(diǎn)擊下載>
當(dāng)前,我國(guó)審計(jì)機(jī)關(guān)不同程度地開(kāi)展了信息系統(tǒng)審計(jì),并取得了一定成果。信息系統(tǒng)審計(jì)不僅關(guān)注被審計(jì)單位信息系統(tǒng)的真實(shí)性、合規(guī)性,同時(shí)也是對(duì)被審計(jì)單位落實(shí)國(guó)家信息系統(tǒng)相關(guān)政策情況的檢驗(yàn)。信息系統(tǒng)審計(jì)同樣可以開(kāi)展“政策審計(jì)”,以政策措施為主線開(kāi)展審計(jì),特別關(guān)注政策措施是否落實(shí)、落實(shí)的時(shí)間、落實(shí)的效果、落實(shí)中出現(xiàn)的問(wèn)題及新情況等方面,建立信息系統(tǒng)法律法規(guī)遵循性審計(jì)的方法和規(guī)范。充分體現(xiàn)審計(jì)這一高層次監(jiān)督效能。
近幾年,為開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)工作,國(guó)家頒布了一系列的法律法規(guī)和技術(shù)標(biāo)準(zhǔn),如《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))、《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》(公信安[2007]861號(hào))、《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等,建立起國(guó)家重要信息系統(tǒng)安全保護(hù)制度體系。而被審計(jì)單位通常信息化程度較高,且其重要業(yè)務(wù)均依賴信息系統(tǒng)完成,一般都納入國(guó)家重要信息系統(tǒng)等級(jí)保護(hù)體系。信息安全等級(jí)保護(hù)政策審計(jì)需要在深刻理解國(guó)家相關(guān)政策的基礎(chǔ)上,綜合運(yùn)用多種審計(jì)方法,對(duì)被審計(jì)單位落實(shí)等級(jí)保護(hù)政策的情況做出綜合評(píng)價(jià)。
一、信息安全等級(jí)保護(hù)政策審計(jì)的審前調(diào)查
如同傳統(tǒng)審計(jì),信息安全等級(jí)保護(hù)政策審計(jì)也需要做審前調(diào)查,制定詳細(xì)的實(shí)施方案。審前調(diào)查的主要工作內(nèi)容包括:一是掌握被審計(jì)單位的整體信息部門的總體情況,包括信息部門的管理體制、機(jī)構(gòu)設(shè)置、人員編制情況,規(guī)章制度、重要會(huì)議記錄和有關(guān)文件以及以往接受審計(jì)的相關(guān)情況等,做到心中有數(shù),全面掌握。二是初步掌握被審計(jì)單位信息系統(tǒng)納入等級(jí)保護(hù)范圍的情況,包括了解所有信息系統(tǒng)的功能、在業(yè)務(wù)流程中扮演的角色、對(duì)社會(huì)秩序和國(guó)家安全的影響程度,重點(diǎn)關(guān)注影響國(guó)計(jì)民生和社會(huì)安全的重要信息系統(tǒng)。三是設(shè)計(jì)模擬定級(jí)流程,繪制模擬定級(jí)過(guò)程涉及的表單,確定量化定級(jí)的計(jì)算模型。四是調(diào)查被審計(jì)單位開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)后續(xù)工作的情況,檢查被審計(jì)單位有無(wú)遵循相關(guān)法律法規(guī)的規(guī)定,是否將后續(xù)工作做到實(shí)處。
審前調(diào)查的首要任務(wù)是梳理國(guó)家和地方的相關(guān)政策,深刻理解政策頒布的初衷和內(nèi)涵。以廣東省為例,除國(guó)家頒布的上述法規(guī)外,廣東省還頒布了《廣東省信息系統(tǒng)安全保護(hù)條例》,《廣州市重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作實(shí)施方案》等。審計(jì)人員必須吃透這些法律法規(guī),并對(duì)照其中的規(guī)定,制定可行的實(shí)施方案。
二、信息安全等級(jí)保護(hù)政策審計(jì)的實(shí)施過(guò)程
在審計(jì)實(shí)踐中,經(jīng)常會(huì)遇到被審計(jì)單位為逃避有關(guān)部門監(jiān)管,故意漏報(bào)應(yīng)納入保護(hù)范疇的信息系統(tǒng)數(shù)目的情況,此時(shí)需要根據(jù)審前調(diào)查的結(jié)果,對(duì)整體信息系統(tǒng)進(jìn)行評(píng)估,判定哪些信息系統(tǒng)應(yīng)納而未納入等級(jí)保護(hù)體系。審計(jì)人員需要參考有關(guān)法規(guī),按照信息系統(tǒng)的重要程度對(duì)系統(tǒng)進(jìn)行分類判定,初步排查應(yīng)納入等級(jí)保護(hù)體系的信息系統(tǒng)。在此過(guò)程中,審計(jì)人員可根據(jù)行業(yè)的重要程度、被審計(jì)單位在行業(yè)中的排名和地位、同行業(yè)相關(guān)系統(tǒng)對(duì)比、公安部門頒布的相關(guān)參考意見(jiàn)以及系統(tǒng)扮演的業(yè)務(wù)角色等方面進(jìn)行綜合判斷。
對(duì)于已納入定級(jí)范圍的信息系統(tǒng),應(yīng)重點(diǎn)關(guān)注其定級(jí)是否合理,是否真實(shí)反映系統(tǒng)的重要程度。在時(shí)間緊、任務(wù)重的情況下,審計(jì)人員可選取被審計(jì)單位中某些信息安全等級(jí)高而實(shí)際中定級(jí)偏低的系統(tǒng),在技術(shù)和管理的各個(gè)層面進(jìn)行安全控制的整體性驗(yàn)證。包括分析系統(tǒng)的業(yè)務(wù)流程,還原定級(jí)過(guò)程,重點(diǎn)揭示定級(jí)過(guò)程中可能存在的問(wèn)題等。在模擬定級(jí)過(guò)程中,審計(jì)人員根據(jù)審前調(diào)查設(shè)計(jì)的表單,對(duì)照表單中需要驗(yàn)證的內(nèi)容進(jìn)行專業(yè)評(píng)分,根據(jù)評(píng)分結(jié)果和審前調(diào)查確定的量化定級(jí)的計(jì)算模型,對(duì)系統(tǒng)的安全級(jí)別進(jìn)行科學(xué)評(píng)定。,被審計(jì)單位有時(shí)出于多種目的,故意將信息系統(tǒng)定級(jí)偏低,審計(jì)人員必須堅(jiān)持自己的判定,做到有理有據(jù),不可聽(tīng)信被審計(jì)單位的一面之詞,要站在政策審計(jì)的高度,指出被審計(jì)單位在定級(jí)過(guò)程中存在的問(wèn)題。
對(duì)已納入定級(jí)范圍的信息系統(tǒng)還應(yīng)重點(diǎn)檢查其是否按照相關(guān)規(guī)定開(kāi)展后續(xù)工作,這是一般被審計(jì)單位落實(shí)等級(jí)保護(hù)政策的薄弱環(huán)節(jié)。審計(jì)人員可通過(guò)走訪、調(diào)查等方式,了解被審計(jì)單位是否已開(kāi)展自查和整改等工作,必要的時(shí)候可展開(kāi)差異測(cè)試,從而可評(píng)估被審計(jì)單位是否真正重視信息系統(tǒng)等級(jí)保護(hù)工作。
三、信息安全等級(jí)保護(hù)政策審計(jì)報(bào)告
一般而言,信息安全等級(jí)保護(hù)政策審計(jì)屬于信息系統(tǒng)審計(jì)的一個(gè)內(nèi)容,其結(jié)果既可綜合到信息系統(tǒng)審計(jì)報(bào)告中,亦可出具單獨(dú)的審計(jì)報(bào)告。除反映被審計(jì)單位落實(shí)信息安全等級(jí)保護(hù)政策的情況外,可結(jié)合實(shí)際,注重從政策措施以及體制、機(jī)制、制度層面發(fā)現(xiàn)問(wèn)題并提出審計(jì)意見(jiàn)和建議,充分發(fā)揮審計(jì)“免疫系統(tǒng)”的功能。
四、開(kāi)展信息安全等級(jí)保護(hù)政策審計(jì)的一些體會(huì)
目前,信息安全等級(jí)保護(hù)政策審計(jì)仍然是一個(gè)新課題,還需要審計(jì)人員在實(shí)踐中加以探索。筆者有幸參加了我辦對(duì)某大型國(guó)企開(kāi)展的經(jīng)濟(jì)責(zé)任審計(jì)項(xiàng)目,對(duì)開(kāi)展信息安全等級(jí)保護(hù)政策審計(jì)有一些小小的體會(huì),愿與讀者共饗:
一是審計(jì)人員必須具備敏銳的政治敏感度,深刻理解政策出臺(tái)的背景和內(nèi)涵,做到有的放矢。
二是審計(jì)人員必須具備良好的專業(yè)素養(yǎng),有足夠的能力設(shè)計(jì)可行的實(shí)施方案,保證方案的制定、工作的實(shí)施、數(shù)據(jù)的采集整理以及審計(jì)報(bào)告的提交能按時(shí)按質(zhì)按量完成。
三是審計(jì)人員必須堅(jiān)持審計(jì)結(jié)果,做到有理有據(jù)。在審計(jì)過(guò)程中要爭(zhēng)取被審計(jì)單位的理解與支持,以確保工作的順利開(kāi)展。
四是審計(jì)人員應(yīng)拓展思路,跳出信息系統(tǒng)審計(jì)的傳統(tǒng)思維模式,不拘泥于技術(shù)的層面,而從國(guó)家政策的高度提出高質(zhì)量的審計(jì)建議。
安卓版本:8.7.50 蘋(píng)果版本:8.7.50
開(kāi)發(fā)者:北京正保會(huì)計(jì)科技有限公司
應(yīng)用涉及權(quán)限:查看權(quán)限>
APP隱私政策:查看政策>
HD版本上線:點(diǎn)擊下載>
官方公眾號(hào)
微信掃一掃
官方視頻號(hào)
微信掃一掃
官方抖音號(hào)
抖音掃一掃
Copyright © 2000 - odtgfuq.cn All Rights Reserved. 北京正保會(huì)計(jì)科技有限公司 版權(quán)所有
京B2-20200959 京ICP備20012371號(hào)-7 出版物經(jīng)營(yíng)許可證 京公網(wǎng)安備 11010802044457號(hào)