信息系统风险和审计的探讨.docxVIP

信息系统风险和审计的探讨 　　[摘要]网络安全风险是信息系统审计关注的重要部分。针对内部审计人员开展信息系统审计存在的问题，提出信息系统的风险主要与业务有关，而不仅仅是技术问题。对信息系统风险进行了分类，并提出了初步的审计思路。 　　[关键词]网络安全;信息系统审计;信息系统风险 　　doi：10.3969/j.issn.1673-0194.2020.03.029 　　[中图分类号]f239.1[文献标识码]a[文章编号]1673-0194（2020）03-0067-02 　　1引言 　　从2016年美国总统大选候选人希拉里的“邮件门”事件，让全世界对信息安全风险的威力有了新的认识。近年来，由于网络安全导致的严重后果的事件层出不穷。2016年9月23日，雅虎公司宣布有至少5亿用户账户信息被黑客盗取，盗取内容包括用户的姓名、电邮地址、电话号码、生日、密码等，甚至还包括加密或未加密的安全问题及答案。这也打破史上最大单一网站信息遭窃的纪录。信息安全带来的风险成为当今互联网环境下组织和个人都要关注的问题。 　　“没有网络安全就没有国家安全，没有信息化就没有现代化。”习近平总书记的这一重要论断，把网络安全上升到了国家安全的层面，为推动我国网络安全体系的建立，树立正确的网络安全观指明了方向[1]。近年来，我国网络安全法治建设取得突破性进展。2016年11月，《中华人民共和国网络安全法》高票通过，成为我国网络安全领域的首部专门法律，为依法治网、化解网络风险提供了法律武器;2017年3月，十二届全国人大五次会议通过《民法总则》，明确对个人信息、数据、虚拟财产予以保护;最高法、最高檢出台一系列司法解释，阐明相关法律问题;中央网信办、公安部、工信部、文化部等出台多个部门规章，对互联网信息搜索、移动互联网应用程序等都做出了及时的规范。 　　2信息系统审计的现状和难点 　　网络安全风险，是信息系统风险的一种重要类型，开展信息系统审计，有助于防范和控制信息系统风险。对信息系统审计，目的是揭示由于信息系统缺陷导致的信息安全风险、经济安全风险，促进被审计单位加强内部管理和控制，提高信息化建设项目的效益，是保障信息系统安全的重要手段。 　　审计署关于“十三五”国家审计工作发展规划中明确指出，要加强信息化建设项目审计。围绕国家大数据战略和“互联网+”行动，以提高财政资金使用效益和维护国家信息安全为重点，加大对政府部门、国有企事业单位信息化建设项目及信息系统审计力度，促进国家大数据战略的顺利实施。 　　前任审计长刘家义指出，在信息化、数字化环境下，信息系统审计要抓住三个关键点：一是安全性、二是有效性、三是经济性。开展信息系统审计要关注网络、设备、操作系统、数据库、环境等系统要素的安全性，关注规范管理、提高效率、共享信息、数据准确等功能要素的有效性，关注组织目标实现、投资收益、性价比、利用覆盖率等项目要素的经济性[2]。 　　自从信息系统审计提出以来，学术界和实务都认识到信息安全是信息系统审计的主要内容。但是由于信息系统审计的技术性强，加上从事内部审计工作的人员相对来说计算机技术较为薄弱，导致审计人员对于信息系统的风险的认识不足。在当前信息系统审计开展的过程中，组织一般来说主要关注信息系统的可靠性、安全性等操作层面的风险。由于技术力量不足，把信息系统审计外包给组织外部的专业机构也是常见的做法。但不同的组织应用信息系统的目的和程度不同，信息系统的风险不仅仅在于操作层面;技术人员和管理人员对风险的认识是不同的，外部机构有时候也未必能准确识别组织中管理层真正需要关心的问题。这些做法往往有可能忽视了组织中真正的风险所在。不同的组织即使是使用相同的软硬件设备和应用系统，由于不同的人会有不同的使用方式，设备也会有不同的组合和部署方式，同样的基础设施也有可能出现不同的风险。 　　当前基于风险的审计模式的关键在于对风险的准确把握，在复杂多变的信息化环境下，这就要求审计人员在不同环境下对新的风险有准确、全面的认识。由于信息系统审计（在国内不同时期被称为计算机审计，it审计等）发展不平衡、实践中总结经验少等原因，导致审计人员在对信息系统风险的交流方面受到限制和制约，从而影响到信息系统审计工作的开展。部分内部审计人员由于对信息系统风险不了解，把信息系统审计仅仅看作是技术问题和风险，在认识中产生了一定的误区。 　　3信息系统风险的分类和审计思路 　　笔者认为，在内部审计中涉及信息系统的情况下，首先要对真正的需要关注的信息系统的风险有客观的认识和清晰的把握，才能确定问题的重点。信息系统的风险应该是对业务产生的风险而不是自身的技术和设备风险本身。 　　信息系统专家j