2025年信息技术审计与评估手册.docx

2025年信息技术审计与评估手册

第1章总则

1.1审计与评估的基本概念

审计与评估是信息系统与信息安全领域中不可或缺的管理活动，其核心在于通过系统化的方法，对信息系统的安全性、完整性、可用性、合规性等进行客观、公正的判断与评价。审计（Audit）是指对组织的业务流程、系统运行、信息安全等进行系统性、独立性的检查与评价，以确保其符合相关法律法规、行业标准及内部政策。

评估（Assessment）则是通过定性与定量相结合的方法，对信息系统的安全、性能、合规性等进行综合分析与评价，以支持决策制定与风险控制。在信息技术审计与评估中，通常采用“风险导向”的方法，即从风险识别、评估、应对