信息系统审计内容.pdfVIP

信息系统审计内容

一、信息系统审计内容概述

信息系统审计对象，包括操作系统、主机、网络、数据库、应用软件、数据、管理制

度等。信息系统审计内容主要包括对组织层面信息技术控制、信息技术一般性控制及业务

流程层面相关应用控制的检查和评价。

二、对组织层面信息技术控制的审计

组织层面信息技术控制审计的内容包括：

（一）控制环境

内部审计人员应当关注组织的信息技术战略规划与业务布局的契合度、信息技术治理

制度体系建设、信息技术部门的组织架构、信息技术治理的相关职权与责任分配、信息技

术的人力资源管理、对用户的教育和培训等方面。

（二）风险评估

内部审计人员应当关注组织在风险评估总体架构中关于信息技术风险管理流程，信息

资产的分类及信息资产所有者的职责，以及对信息系统的风险识别方、风险评价标准、

风险应对措施。

（三）控制活动

内部审计人员应当关注信息系统管理的方和程序，主要包括职责分工控制、授权控

制、审核批准控制、系统保护控制、应急处置控制、绩效考评控制等。

（四）信息与沟通

内部审计人员应当关注组织决策层的信息沟通模式，信息系统对财务、业务流程的支

持度，信息技术政策、信息安全制度传达与沟通等方面。

（五）内部监督

内部审计人员应当关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及对信

息技术内部控制自我评估机制等方面。

三、对信息系统一般性控制的审计

信息系统一般性控制是确保组织信息系统正常运行的制度和工作程序，目标是保护数

据与应用程序的安全，并确保异常中断情况下计算机信息系统能持续运行。信息系统一般

性控制包括硬件控制、软件控制、访问控制、职责分离等关键控制。审计人员应当采用适

当的方、合理的技术手段对信息系统建设的合规合、信息系统的安全管理、访问控

制、基础架构、数据保护以及灾难恢复等方面开展审计。信息系统一般性控制审计应当重

点考虑下列控制活动：

（一）系统开发和采购审计

内部审计人员应当关注组织的应用系统及相关系统基础架构的开发和采购的授权审

批，系统开发所制定的系统目标以及预期能是否合理，是否能够满足组织目标；系统开

发的方，开发环境、测试环境、生产环境的分离情况，系统的测试、审核、验收、移植

到生产环境等环节的具体活动。

对应用系统的开发与实施过程所采用的方和流程进行评价，以确保其满足组织目

标。评估拟定的系统开发或采购方案，确保其符合组织战略目标;评估项目管理过程，确

保组织在满足成本效益原则的基础上实现风险管理框架下的组织业务目标，确保项目按计

划开展，并有相应文档充分支持;评估相关信息系统的控制机制，确保其符合组织的相关

制度规定;评估系统的开发、采购和测试、维护，对系统实施定期检查，确保其持续满足

组织目标。

（二）系统运行审计

内部审计人员应当关注组织的信息技术资产管理、系统容量管理、系统物理环境控

制、网络环境资源配置、系统和数据备份及恢复管理、问题管理和系统的日常运行管理等

内容。一般控制措施包括但不限于保证数据安全、保护计算机应用程序正常运行、防止系

统被非侵入、保证在错误操作或意外中断情况下的持续运行等。

评估组织在信息系统运行日常操作以及信息系统基础设施管理的有效性及效率性，确

保其支持组织的目标；评估信息系统服务相关实务，确保内部和外部服务提供商的服务等

级是明确并可控的;评估运行管理，保证信息系统支持能有效满足业务需求;评估数据管

理，确保数据库的完整性和最优化;评估性能的发挥及监控工具与技术应用;评估问题和事

件管理，确保所有事件、问题和错误被及时记录。

（三）系统变更审计

内部审计人员应当关注组织的应用系统及相关系统基础架构的变更、参数设置变更的

授权与审批，变更测试及移植到生产环境系统中的流程控制等。评估变更、配置和发布管

理，确保变更被详细记录。

（四）信息安全审计

内部审计人员应当关注组织的信息安全管理制度，物理访问及针对网络、操作系统、

数据库、应用系统的身份认证和逻辑访问管理机制，系统设置的职责分离控制等。

内部审计人员对逻辑、环境与信息技术基础设施的安全性进行评价，确保其能支持组

织保护信息资产的需要，防止信息资产在未经授权的情况下被使用、披露、修改、损坏或

丢失。评估逻辑访问控制的设计、实施和监控，确