信息系统审计——网络空间安全保障第三道防线

一、为什么做系统审计？

随着计算机技术的高速发展，信息系统已经成为当今社会最重要的生产工具，OA系统、营销系统、制造信息系统、财务系统、人力资源系统等系统成为当前不可或缺的应用系统。系统安全性和有效性已经成为生产安全的重要组成部分，并成为信息系统所有者及其用户最为关心的问题。

信息系统审计是国家网络空间安全保障战略中的重要环节，是第三道防线。同时，也是行业监管部门主要的监管内容。相关政策对于信息系统的安全性、稳定性提出了相对严格的要求，传统的审计方法和技术已经无法适应当前需求，导致信息系统审计陷入停滞不前的状态，对此，完善信息系统审计，更新审计方法和审计技术成了审计单位的首要任务。

审计具体依据以下三点：

1、国家政策和行业监管要求

①网络安全法

②行业监管指引：《商业银行信息科技风险管理指引》规定：“商业银行应根据业务性质、规模等，决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。”；《证券期货业信息安全保障管理办法》规定：“核心机构和经营机构应当建立信息安全内部审计制度，定期开展内部审计，对发现的问题进行整改。”

2、行业自身信息科技内控要求

①信息科技治理

②信息安全事件管理

3、用户等相关方要求

①供应链安全要求

②第二方审计要求

二、信息系统审计做什么？

信息系统审计是信息系统治理工作中的重要一环，它以合规性评价为出发点，以评审、检查和测试为主要手段，以发现信息系统治理过程中存在的风险为目标，帮助和促进用户全面预防和及时处置信息系统风险，从而有效提高信息系统的安全性和有效性。

审计内容包括但不限于系统安全管理总体架构、安全策略、安全管理；物理环境安全、主机安全、网络安全、应用安全、数据安全等。

依据审计署对信息系统审计内容的要求“信息系统的安全性、有效性和经济性”对信息系统进行审计，同时针对具体的信息系统审计项目，审计内容应以确定的审计依据为准，通常包含一般控制审计和应用控制审计；可以根据审计目的和内容的不同，分为不同的专项审计，如：网络安全专项审计、数据管理专项审计、业务连续性专项审计等。

三、信息系统审计目标

全面审查信息系统信息安全相关工作的现有流程和内控措施的有效性、完备性、适当性，了解安全风险管理现状，掌握安全管理和技术方面存在的问题及薄弱环节，查找存在的风险漏洞，为防范和降低安全风险、加强信息安全内部控制、提升安全管理水平提出审计建议。

四、怎么做信息系统审计？