信息系统审计内容及重点、步骤和方法.pdfVIP

信息系统审计内容及重点、步骤和

方法

一、审计内容

（一）信息系统一般控制情况

1.信息系统总体控制情况;

2.信息安全技术控制情况;

3.信息安全管理控制情况。

（二）信息系统应用控制情况

1.信息系统业务流程控制情况；

2.数据输入、处理和输出控制情况；

3.信息共享和业务协同情况。

二、审计重点及审计步骤和方法

（一）一般控制审计

1.总体控制审计

审计思路：通过检查被审计单位信息系统总体控制的

战略规划、组织架构、制度机制、岗位职责、内部监督等，

分析信息系统在内部环境、风险评估、控制活动、信息与

沟通、内部监督方面的有效性及其风险，形成信息系统总

体控制的审计评价和结论。

审计方法：召开座谈会、发放调查问卷、查阅文件等。

审计步骤：

（1）战略规划评价。检查被审计单位是否建立了信息

系统战略发展规划，是否明确了战略目标、整体规划、实

现指标和相应的实施机制。

（2）组织架构评价。检查被审计单位是否建立了与信

息系统战略发展规划相匹配的决策与管理层领导机构、项

目实施层工作机构，以及行业内各层级的信息化工作机构，

是否建立了各类机构的权力责任和制约机制。

（3）制度体系评价。检查被审计单位是否建立了与信

息系统战略规划和组织架构相匹配的项目管理制度、项目

建设制度、质量检查制度等。

4）岗位职责评价。检查被审计单位信息系统规划、建

设、运维等方面的岗位设置、人员配置、岗位职责。

（5）内部监督评价。检查被审计单位是否建立健全了

信息系统建设和运维全过程的内部监督机构和监督机制，

是否形成了对信息系统的风险评估、控制活动和信息交互

等方面的有效控制和监督。

2.信息安全技术控制审计

审计思路：通过检查被审计单位信息系统的信息安全

技术及其控制的整体方案，检查安全计算环境、区域边界、

通讯网络等方面的安全策略和技术设计，检查信息系统的

安全技术配置和防护措施，发现并揭示信息系统安全技术

控制的缺失，分析并评价风险程度，形成信息安全技术控

制的审计结论。

审计方法：实地观察法、审阅法、系统测试法和利用

入侵检测、漏洞扫描等工具的安全工具检测法，以及利用

网络分析检测、系统配置检测、日志分析检测等工具的测

评工具检测法。

审计步骤：

（1）物理安全控制测评。检查系统机房及其重要工作

房间的物理位置选择、物理访问控制、防盗窃和防破坏、

防雷击、防火、防水和防潮、防静电、温湿度控制、电力

供应、电磁防护等方面的安全策略和防护措施。

（2）网络安全控制测评。检查网络结构安全、网络设

备访问控制、网络设备安全审计、网络边界完整性、网络

入侵防范、网络恶意代码防范、网络设备防护的安全策略

和防护措施。

（3）主机安全控制测评。检查主要服务器操作系统、

重要终端操作系统和主要数据库管理系统的身份鉴别、访

问控制、安全审计和剩余信息保护方面的安全策略和防护

措施，检查主要服务器的入侵防范、恶意代码防范和资源

控制措施。

（4）应用安全控制测评。检查主要应用系统的身份鉴

别、访问控制、安全审计、剩余信息保护、通信完整性、

通信保密性、抗抵赖、软件容错和资源控制等方面的安全

策略和防护措施。

（5）数据安全控制测评。检查主要系统管理数据、鉴

别信息和重要业务数据的完整性、保密性、备份和恢复方

面的安全策略和防护措施。

（6）信息化装备自主可控测评。检查信息系统在网络、

主机、安全、系统软件和应用软件等信息化装备的自主可

控情况，检查是否能够促进信息系统内外结合的安全防护，

保障信息系统运行安全。

3.信息安全管理控制审计

审计思路：通过检查被审计单位信息系统的信息安全

管理，评价信息安全管理的完整性和有效性，揭示信息安

全管理缺失的问题，形成信息安全管理控制的审计评价和

结论。

审计方法：审阅法、面谈询问法、调查法、审计抽样

法、控制矩阵法、软件分析法。

审计步骤：

（1）安全管理机构评价。检查安全管理机构是否健全，

检查岗位设置、人员配备、授权和审批、沟