信息系统审计实施细则.docxVIP

信息系统审计实施细则

第一章总则

1.1目的

本细则依据《中华人民共和国审计法》《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》以及财政部、审计署、工信部、证监会等部委发布的配套指引，为组织内部信息系统审计提供可直接落地的操作蓝本，确保审计结论可用、可信、可追溯，并能在监管检查、外部鉴证、管理层决策中直接引用。

1.2适用范围

适用于集团总部、全资子公司、控股子公司、分支机构、合营及联营公司所有对财务报告、业务运营、客户隐私、关键基础设施有重大影响的信息系统，无论部署在本地机房、托管机房、私有云、公有云或混合云。

1.3审计原则

①独立性：审计组在人事、预算、报告路径上独立于被审计对象；

②风险导向：以“固有风险－控制风险－检查风险”模型量化排序，优先覆盖高风险资产；

③数据驱动：所有结论必须基于原始日志、配置快照、脚本回显、截图、哈希值；

④可重现：审计底稿、脚本、参数、时间戳、版本号完整存档，任何第三方在同等环境下可复现结果；

⑤最小影响：禁止在生产高峰时段执行高负载脚本，所有变更须走变更管理流程并备有回退方案。

第二章审计组织与资源

2.1审计委员会

由董事会审计委员会直接领导，职责包括：审批年度审计计划、审议重大审计发现、跟踪整改闭环。委员会下设“信息系统审计办公室”（简称ISA办公室），编制不少于3名注册信息系统审计师（