信息系统安全性审计应重点关注几点实务探析.docVIP

信息系统安全性审计应重点关注几点实务探析 　　近年来，信息系统审计引起了各级审计机关的广泛关注。《审计署“十二五”审计工作发展规划》中，提出“积极开展信息系统审计，总结计算机审计方法体系和操作制度”。刘家义审计长在2012年7月全国审计工作座谈会《加快审计信息化建设步伐，全面提升审计能力和技术水平》主题报告中提出，既要审计数据，又要审计信息系统，以安全性、可靠性和经济性为重点，进一步深化信息系统审计。从审计实践来看，国家审计、内部审计和注册会计师审计在信息系统审计中都积累了一定经验，2012年2月，审计署还印发了信息系统审计指南。但也应清楚地看到，信息系统审计引入我国时间尚短，很多理论方法体系尚未形成。笔者从国家审计实务角度，浅谈深化信息系统安全性审计需重点关注一些内容。 一、信息系统安全性审计基本概述 20世纪60年代，由于计算机被应用于财务会计领域，从而产生了电子数据处理审计（EDP Auditing）。信息系统审计是在电子数据处理审计基础上逐渐发展起来的。目前，信息系统审计的定义还在争论当中，罗恩·韦伯（Ron Weber）在《信息系统控制与审计》一书中对信息系统审计概念做出了如下描述：“信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效实现、使组织的资源得到高效使用等方面做出判断的过程。”这一概念包括了信息系统审计的目标、内容、过程、方法和结果，是对信息系统审计比较全面的概括。审计署印发的《信息系统审计指南》（以下简称《指南》）则定义为“国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动”。 信息系统审计从具体内容讲，包括信息系统的可信性目标审计、系统效益性目标审计和安全性目标审计。笔者认为，信息系统的不真实、不可信也是系统存在安全风险的体现，所以信息系统可信性目标审计和安全性目标审计可归为维护信息系统安全而进行的信息系统审计，本文主要对该部分审计内容展开探讨。 胡锦涛同志说过：信息安全是个大问题，必须把信息安全问题放到至关重要的位置上，认真加以考虑和解决。信息已成为社会发展的重要战略资源，信息的获取、处理和信息保障能力成为综合国力的重要组成部分，信息安全事关国家安全，事关社会稳定。目前，我国的信息系统安全不容乐观。全社会的信息安全意识不强，高端和基础信息技术受控于国外，感染计算机病毒的比例逐年上升，网络和信息系统的防护水平不高，信息安全管理和技术人才缺乏且流动性大，信息安全管理薄弱，数据不准确、不完整等情况突出。审计工作要发挥维护经济社会健康发展的“免疫系统”功能，推动国家治理的完善，就应高度关注信息系统安全性问题，从数据、信息系统和系统内控等角度，揭示影响信息系统存在的安全隐患。 二、信息系统存在安全风险的主要体现 （一）信息系统的控制风险。 COSO（全国虚假财务报告委员会下属的发起人委员会，“The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting”的缩写）内部控制框架中提出信息系统控制分为一般控制和应用控制。一般控制，指信息系统总体控制，信息安全技术控制，信息安全管理控制；应用控制，指信息系统业务流程，数据输入、处理和输出的控制，信息共享和业务协同。简单理解，信息系统控制包括对信息系统的控制和信息系统对业务的控制。《指南》中所称的项目管理审计，不属于信息系统安全性审计范畴，本文不做探讨。目前，通过了解、描述和测试三个审计阶段，采取资料审查、系统检查、数据测试、数据验证等审计方法，信息系统控制主要揭示的有以下方面风险： 一是物理环境控制风险。这类风险主要体现为未经授权的人或设备直接接触到信息系统相关硬件设备，属于传统的安全领域。包括信息系统的相关硬件设备、设备所在机房等硬件环境是否为符合规范标准的物理场所，是否做到容灾异地数据备份，是否在机房等所有必要区域内安装监控和防盗设施，以及其它硬件相关要求。如对某大型国企信息所机房及办公场所实地查看审计发现，该企业机房环境不符合国有企业计算机设备安全管理相关制度，机房入口安装了防盗门，但未配备门禁系统，内部也未按机房相关规范标准设置有效的物理隔离装置。 二是软件环境控制风险。这类风险主要存在于软件层面访问控制、权限控制、操作控制等。体现在信息系统程序的无权限运行，数据输入、输出的不准确、不完整，未经允许或授权的访问、泄漏、修改、删除数据，系统完整性受到的破坏。如某大学使用的财务软件权限设置，会计科科长、网络管理员、数据库管理员、系统管理员、记账员等岗位由同一人担任。同时