BS7799标准及其在中观信息系统审计中的运用.pdf

第２７卷　 第３期 审 计 与 经 济 研 究 Ｖｏｌ．２７，Ｎｏ． ３ ２０１２ ５ ＪＯＵＲＮＡＬ ＯＦ ＡＵＤＩＴ ＆ ＥＣＯＮＯＭＩＣＳ Ｍａｙ ２０１２ 年 月 ， ＢＳ７７９９标准及其在中观信息系统审计中的运用 刘国城 （南京审计学院金审学院，江苏 南京　 ２１１８１５） ［摘　 要］在分析中观信息系统风险与损失的成因基础上，借鉴ＢＳ７７９９标准，一方面从物理层次与逻辑层次两 个方面研究中观信息系统固有风险的评价模式；另一方面从一般控制与应用控制两个层面探索中观信息系统内部 控制的评价机制。基于ＢＳ７７９９标准对中观信息系统审计进行研究，旨在为ＩＴ 审计师有效实施中观信息系统审计 提供应用指南。 ［关键词］ＢＳ７７９９标准；中观审计；信息系统审计；内部控制；中观信息系统；中观信息系统风险 ［中图分类号］Ｆ２３９．４　 　 ［文献标识码］Ａ　 　 ［文章编号］１００４ ４８３３（２０１２）０３ ００５０ ０７ 所谓中观信息系统审计就是指审计主体依据特定的规范，运用科学系统的程序方法，对中观信息 系统网络的运行规程与应用政策实施的一种监督活动，旨在增强中观经济主体特定信息网络的有效 ［］ 性、安全性、机密性与一致性，以保障中观信息系统的高效运行 。中观信息系统的审计主体即ＩＴ 审１ 计师需要重视中观信息系统审计的复杂性，且有必要借助 ＢＳ７７９９ 标准，构建并完善中观信息系统审 计的实施流程，优化中观信息系统审计工作，提高审计质量。之所以需要借助 ＢＳ７７９９ 标准，是因为 ＢＳ７７９９标准的众多功能可以满足中观信息系统审计工作的需求。在尚未有详细信息系统审计（以下 简称“ＩＳ审计”）规范的条件下，中观信息系统审计对信息安全管理策略的需求巨大，而 ＢＳ７７９９ 标准 恰恰是问世较早且相对成熟的信息安全管理标准，它能够确保在计算机网络系统进行自动通信、信息 处理和利用时，在各个物理位置、逻辑区域、存储和传媒介质中，较好地实现保密性、完整性、有效性与 可用性，能够在信息管理与计算机科学两个层面加强信息安全管理向中观信息系统审计的理论转化， 中观信息系统审计的需求与ＢＳ７７９９标准的功能具备整合的可行性。 一、ＢＳ７７９９标准 年，英国贸工部制定了世界首部信息安全管理体系标准“ ： 《信息安全管理实施 １９９５ ＢＳ７７９９ １ １９９５ ［］ 规则》”，并作为各类组织实施信息安全管理的指南 ，由于该标准采用建议和指导的方式编写，因而不２ 作为认证标准使用； 年，英国又制定了信息安全管理体系认证标准“ ： 《信息安全管理 １９９８ ＢＳ７７９９ ２ １９９８ ［］ 体系规范》”，作为对组织信息安全管理体系进行评审认证的标准 ； 年，英国再次对信息安全管理３ １９９９ 体系标准进行了修订，形成“ＢＳ７７９９ １：１９９９”与“ＢＳ７７９９ ２：１９９９”这一对配套标准；２０００ 年 １２ 月， “ＢＳ７７９９ １：１９９９”被ＩＳＯ／ ＩＥＣ正式采纳为国际标准“ＩＳＯ／ ＩＥＣ１７７９９：２０００《信息技术：信息安全管理实施 规则》”，此外，“ ： ”也于 年底被 作为蓝本修订，成为可用于认证的“ ＢＳ７７９９ ２ １９９９