當(dāng)前，我國(guó)審計(jì)機(jī)關(guān)不同程度地開展了信息系統(tǒng)審計(jì)，并取得了一定成果。信息系統(tǒng)審計(jì)不僅關(guān)注被審計(jì)單位信息系統(tǒng)的真實(shí)性、合規(guī)性，同時(shí)也是對(duì)被審計(jì)單位落實(shí)國(guó)家信息系統(tǒng)相關(guān)政策情況的檢驗(yàn)。信息系統(tǒng)審計(jì)同樣可以開展“政策審計(jì)”，以政策措施為主線開展審計(jì)，特別關(guān)注政策措施是否落實(shí)、落實(shí)的時(shí)間、落實(shí)的效果、落實(shí)中出現(xiàn)的問(wèn)題及新情況等方面，建立信息系統(tǒng)法律法規(guī)遵循性審計(jì)的方法和規(guī)范。充分體現(xiàn)審計(jì)這一高層次監(jiān)督效能。

　　近幾年，為開展信息系統(tǒng)安全等級(jí)保護(hù)工作，國(guó)家頒布了一系列的法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，如《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）、《關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（公信安[2007]861號(hào)）、《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等，建立起國(guó)家重要信息系統(tǒng)安全保護(hù)制度體系。而被審計(jì)單位通常信息化程度較高，且其重要業(yè)務(wù)均依賴信息系統(tǒng)完成，一般都納入國(guó)家重要信息系統(tǒng)等級(jí)保護(hù)體系。信息安全等級(jí)保護(hù)政策審計(jì)需要在深刻理解國(guó)家相關(guān)政策的基礎(chǔ)上，綜合運(yùn)用多種審計(jì)方法，對(duì)被審計(jì)單位落實(shí)等級(jí)保護(hù)政策的情況做出綜合評(píng)價(jià)。

　　一、信息安全等級(jí)保護(hù)政策審計(jì)的審前調(diào)查

　　如同傳統(tǒng)審計(jì)，信息安全等級(jí)保護(hù)政策審計(jì)也需要做審前調(diào)查，制定詳細(xì)的實(shí)施方案。審前調(diào)查的主要工作內(nèi)容包括：一是掌握被審計(jì)單位的整體信息部門的總體情況，包括信息部門的管理體制、機(jī)構(gòu)設(shè)置、人員編制情況，規(guī)章制度、重要會(huì)議記錄和有關(guān)文件以及以往接受審計(jì)的相關(guān)情況等，做到心中有數(shù)，全面掌握。二是初步掌握被審計(jì)單位信息系統(tǒng)納入等級(jí)保護(hù)范圍的情況，包括了解所有信息系統(tǒng)的功能、在業(yè)務(wù)流程中扮演的角色、對(duì)社會(huì)秩序和國(guó)家安全的影響程度，重點(diǎn)關(guān)注影響國(guó)計(jì)民生和社會(huì)安全的重要信息系統(tǒng)。三是設(shè)計(jì)模擬定級(jí)流程，繪制模擬定級(jí)過(guò)程涉及的表單，確定量化定級(jí)的計(jì)算模型。四是調(diào)查被審計(jì)單位開展信息系統(tǒng)安全等級(jí)保護(hù)后續(xù)工作的情況，檢查被審計(jì)單位有無(wú)遵循相關(guān)法律法規(guī)的規(guī)定，是否將后續(xù)工作做到實(shí)處。

　　審前調(diào)查的首要任務(wù)是梳理國(guó)家和地方的相關(guān)政策，深刻理解政策頒布的初衷和內(nèi)涵。以廣東省為例，除國(guó)家頒布的上述法規(guī)外，廣東省還頒布了《廣東省信息系統(tǒng)安全保護(hù)條例》，《廣州市重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作實(shí)施方案》等。審計(jì)人員必須吃透這些法律法規(guī)，并對(duì)照其中的規(guī)定，制定可行的實(shí)施方案。

　　二、信息安全等級(jí)保護(hù)政策審計(jì)的實(shí)施過(guò)程

　　在審計(jì)實(shí)踐中，經(jīng)常會(huì)遇到被審計(jì)單位為逃避有關(guān)部門監(jiān)管，故意漏報(bào)應(yīng)納入保護(hù)范疇的信息系統(tǒng)數(shù)目的情況，此時(shí)需要根據(jù)審前調(diào)查的結(jié)果，對(duì)整體信息系統(tǒng)進(jìn)行評(píng)估，判定哪些信息系統(tǒng)應(yīng)納而未納入等級(jí)保護(hù)體系。審計(jì)人員需要參考有關(guān)法規(guī)，按照信息系統(tǒng)的重要程度對(duì)系統(tǒng)進(jìn)行分類判定，初步排查應(yīng)納入等級(jí)保護(hù)體系的信息系統(tǒng)。在此過(guò)程中，審計(jì)人員可根據(jù)行業(yè)的重要程度、被審計(jì)單位在行業(yè)中的排名和地位、同行業(yè)相關(guān)系統(tǒng)對(duì)比、公安部門頒布的相關(guān)參考意見(jiàn)以及系統(tǒng)扮演的業(yè)務(wù)角色等方面進(jìn)行綜合判斷。

　　對(duì)于已納入定級(jí)范圍的信息系統(tǒng)，應(yīng)重點(diǎn)關(guān)注其定級(jí)是否合理，是否真實(shí)反映系統(tǒng)的重要程度。在時(shí)間緊、任務(wù)重的情況下，審計(jì)人員可選取被審計(jì)單位中某些信息安全等級(jí)高而實(shí)際中定級(jí)偏低的系統(tǒng)，在技術(shù)和管理的各個(gè)層面進(jìn)行安全控制的整體性驗(yàn)證。包括分析系統(tǒng)的業(yè)務(wù)流程，還原定級(jí)過(guò)程，重點(diǎn)揭示定級(jí)過(guò)程中可能存在的問(wèn)題等。在模擬定級(jí)過(guò)程中，審計(jì)人員根據(jù)審前調(diào)查設(shè)計(jì)的表單，對(duì)照表單中需要驗(yàn)證的內(nèi)容進(jìn)行專業(yè)評(píng)分，根據(jù)評(píng)分結(jié)果和審前調(diào)查確定的量化定級(jí)的計(jì)算模型，對(duì)系統(tǒng)的安全級(jí)別進(jìn)行科學(xué)評(píng)定。，被審計(jì)單位有時(shí)出于多種目的，故意將信息系統(tǒng)定級(jí)偏低，審計(jì)人員必須堅(jiān)持自己的判定，做到有理有據(jù)，不可聽(tīng)信被審計(jì)單位的一面之詞，要站在政策審計(jì)的高度，指出被審計(jì)單位在定級(jí)過(guò)程中存在的問(wèn)題。

　　對(duì)已納入定級(jí)范圍的信息系統(tǒng)還應(yīng)重點(diǎn)檢查其是否按照相關(guān)規(guī)定開展后續(xù)工作，這是一般被審計(jì)單位落實(shí)等級(jí)保護(hù)政策的薄弱環(huán)節(jié)。審計(jì)人員可通過(guò)走訪、調(diào)查等方式，了解被審計(jì)單位是否已開展自查和整改等工作，必要的時(shí)候可展開差異測(cè)試，從而可評(píng)估被審計(jì)單位是否真正重視信息系統(tǒng)等級(jí)保護(hù)工作。

　　三、信息安全等級(jí)保護(hù)政策審計(jì)報(bào)告

　　一般而言，信息安全等級(jí)保護(hù)政策審計(jì)屬于信息系統(tǒng)審計(jì)的一個(gè)內(nèi)容，其結(jié)果既可綜合到信息系統(tǒng)審計(jì)報(bào)告中，亦可出具單獨(dú)的審計(jì)報(bào)告。除反映被審計(jì)單位落實(shí)信息安全等級(jí)保護(hù)政策的情況外，可結(jié)合實(shí)際，注重從政策措施以及體制、機(jī)制、制度層面發(fā)現(xiàn)問(wèn)題并提出審計(jì)意見(jiàn)和建議，充分發(fā)揮審計(jì)“免疫系統(tǒng)”的功能。

　　四、開展信息安全等級(jí)保護(hù)政策審計(jì)的一些體會(huì)

　　目前，信息安全等級(jí)保護(hù)政策審計(jì)仍然是一個(gè)新課題，還需要審計(jì)人員在實(shí)踐中加以探索。筆者有幸參加了我辦對(duì)某大型國(guó)企開展的經(jīng)濟(jì)責(zé)任審計(jì)項(xiàng)目，對(duì)開展信息安全等級(jí)保護(hù)政策審計(jì)有一些小小的體會(huì)，愿與讀者共饗：

　　一是審計(jì)人員必須具備敏銳的政治敏感度，深刻理解政策出臺(tái)的背景和內(nèi)涵，做到有的放矢。

　　二是審計(jì)人員必須具備良好的專業(yè)素養(yǎng)，有足夠的能力設(shè)計(jì)可行的實(shí)施方案，保證方案的制定、工作的實(shí)施、數(shù)據(jù)的采集整理以及審計(jì)報(bào)告的提交能按時(shí)按質(zhì)按量完成。

　　三是審計(jì)人員必須堅(jiān)持審計(jì)結(jié)果，做到有理有據(jù)。在審計(jì)過(guò)程中要爭(zhēng)取被審計(jì)單位的理解與支持，以確保工作的順利開展。

　　四是審計(jì)人員應(yīng)拓展思路，跳出信息系統(tǒng)審計(jì)的傳統(tǒng)思維模式，不拘泥于技術(shù)的層面，而從國(guó)家政策的高度提出高質(zhì)量的審計(jì)建議。