网络信息系统审计与工程建设质量控制.pdfVIP

网络信息系统审计与工程建设质量控制 张昊 (信息产业部电子第五研究所 广州，510610) 摘要:本文研究了网络信息系统审计的主要内容，论迷了开展信息系统市计对提高信息系统 工程质t的意义. 关艘词:可靠性，信息系统，审计，质t控制 1前言 近年来，我国电子政务建设和企业信息化建设纷纷投入大f的人力、物力、财力，一 些国有大型金融机构每年投入资金多达上亿元。但是对于这个花费企业巨额资金的项目， 其效果与效率如何?是否达到预期的目标?另外，随着信息系统在帮助企业处理业务和进 行决策中扮演越来越重要的角色，它们也面临着越来越多的诸如数据丢失、决策的不准确 性、黑客入俊、病毒感染、非法访问、滥用特权，计算机使用的控制环境等风险，如何消 除或降低这些风险将是信息化建设过程中需要迫切解决的问题. 计算机等信息技术产品的商家众多，竞争激烈，产品型号复杂，价格五花八门，信息 系统使用和建设单位对市场不熟悉，在挑选工程承包单位和进行商务谈判时心中无底，比 较被动·信息化系统的建设是一项十分复杂的系统工程·如何保证项目实施绒略的正确? 如何保证项目目标和策略的合理?如何保证项目管理的科学?如何保证目标推进和有效? 等等一系列问题，将直接关系到企业信息化的成败、实施质t的高低、实施成本的控制等 最终结果。 (信息系统工程监理暂行规定》的颁布，将对我国的信息系统工程建设质t在国家政 策上提供强有力的保证.随着我国大力推进信息化，工程建设规模都有较大程度fei提高， 涉及的范围也越来越宽。 按照 信《息系统工程监理暂行规定》，本规定所称信息系统工程是指信息化工程建设中 的信息网络系统、信息资源系统、信息应用系统的新建、升级、改造工程. (一)倍息网络系统是指以信息技术为主要手段建立的信息处理、传输、交换和分发 的计算机网络系统; (二)信息资源系统是指以信息技术为主要手段建立的信息资源采集、存储、处理的 资源系统: (三)信息应用系统是指以信息技术为主要手段建立的各类业务管理的应用系统。 在信息化建设过程中，工程监理的参与将对工程建设保证起到一定的作用，但仅仅有 了工程监理，对于保证信息系统全寿命周期的质t与可靠性还是不够的，本文主要讨论在 国际上普遍使用的信息系统审计，介绍信息系统审计的概念和国外的发展状况，引入信息 系统审计的内容，希望从不同的角度，思考信息系统质A与可推性控制和保证的技术方法 和管理策略，以期望对加强信息系统工程质f建设和信息系统的保障管理起到一定的促进 -150- 作用。 2信息系统审计概念 信息系统审计是全部审计程序的一部分，它有利于提供良好的公司治理环境。然而， 现在还没有一个为大家普遍接受的信息系统审计定义，美国信息系统审计的权威专家 Ron Weber将它 (即以前所说的EDP审计)定义为 “收集和评价证据以决定一个计算机系统 (信 息系统)是否能够保护资产，维护数据的完整性，有效地达到组织目标和有效率地使用资 源的过程”。而日本通产省情报处理开发协会IT审计委员会在1996年的定义;为了使信息 系统的安全、可靠与有效，由独立于审计对象的 IT审计师，以第三方的客观立场对以计算 机为核心的信息系统进行综合的检查与评价，向IT审计对象的最高领导，提出问题与建议 的以系列活动。 信息系统审计的主要特征: 1.独立性 为了确保信息系统审计的公正性，信息系统审计师必须独立于被审计的单位或个人， 以第三方的客观立场对信息系统进行综合的检查与评价，因此信息系统审计是第三方 的概念。 2综合性 信息系统审计是以信息系统的整体为对象的，必须采用综合的方法对信息系统的各个 层次进行检查与评价，这远远区别于传统意义上的会计审计。 3.系统性 贯穿于信息系统的全寿命周期，管理是核心、技术是支撑。 3信息系统审计发展过程 信息系统审计最早称为计算机审计，是随着计算机在财务会计领域的应用而产生的。 早期的计算机应用比较简单，相应地，计算机审计业务主要关注对被审计单位电子数据的 取得、分析、计算等数据处理业务，还称不上信息系统审计.从财务报表审计的角度来看， 这一阶段的主要业务内容是对交易金额和账户、报表余额进行检查，属于审计程