信息系統(tǒng)審計服務(wù)

什么是信息系統(tǒng)審計？

信息系統(tǒng)審計是信息系統(tǒng)治理工作中的重要一環(huán)。它以合規(guī)性評價為出發(fā)點,以評審、檢查和測試為主要手段,以發(fā)現(xiàn)信息系統(tǒng)治理過程中存在的風險為目標,幫助和促進用戶全面預(yù)防和及時處置信息系統(tǒng)在 管理控制、應(yīng)用控制、網(wǎng)絡(luò)控制、安全控制 等方面的風險風險,從而有效地評估系統(tǒng)的經(jīng)濟性,提高信息系統(tǒng)的有效性和安全性。

信息系統(tǒng)審計工作的目的

開展信息系統(tǒng)審計工作,對依法屬于審計監(jiān)督對象的部門和單位信息系統(tǒng)的安全性、可靠性和經(jīng)濟性進行監(jiān)督檢查,揭示信息系統(tǒng)規(guī)劃、建設(shè)和運行管理中存在的突出問題和重大風險隱患,提出審計意見建議,推動完善相關(guān)制度,促進提高資金使用績效，保障信息系統(tǒng)安全、可靠和高效運行。

審計服務(wù)工作主要內(nèi)容

       經(jīng)濟價值性審計：

       從規(guī)劃設(shè)計、建設(shè)實施、運營使用、管理維護等方面追尋費用的使用情況，確保有跡可循,有據(jù)可依，主要從下列5個方面開展工作。

       （一）審查信息系統(tǒng)的整體規(guī)劃、業(yè)務(wù)整合規(guī)劃和行業(yè)整合規(guī)劃情況；

       （二）審查信息系統(tǒng)的應(yīng)用開發(fā)和推廣情況；

       （三）審查信息系統(tǒng)對業(yè)務(wù)管理的支持度和對提升效能的貢獻度；

       （四）審查信息系統(tǒng)運行維護的經(jīng)濟性情況；

       （五）審查信息系統(tǒng)績效情況。

       信息安全性審計：

       從設(shè)備安全、系統(tǒng)安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、人員安全、管理安全等方面綜合判斷信息系統(tǒng)的安全性，主要從下列5個方面開展工作。

       （一）審查物理安全控制、網(wǎng)絡(luò)安全控制、主機安全控制、應(yīng)用安全控制和數(shù)據(jù)安全控制情況；

       （二）審查安全管理機構(gòu)和人員設(shè)置、安全管理制度建立和執(zhí)行情況；

       （三）審查系統(tǒng)建設(shè)安全管理和運行維護安全管理情況；

       （四）審查風險評估、防范和整改落實情況；

       （五）審查涉密信息系統(tǒng)分級保護和非涉密信息系統(tǒng)等級保護情況以及商用密碼技術(shù)應(yīng)用情況。

       可靠有效性審計

       從應(yīng)用系統(tǒng)功能、數(shù)據(jù)備份、內(nèi)控制度、業(yè)務(wù)匹配等各方面判斷系統(tǒng)的穩(wěn)定性和實用性，主要從下列5個方面開展工作。

       （一）審查制度體系、崗位職責和內(nèi)部監(jiān)督情況；

       （二）審查業(yè)務(wù)流程設(shè)計、業(yè)務(wù)流程處理和業(yè)務(wù)流程功能情況；

       （三）審查數(shù)據(jù)錄入和導(dǎo)入控制、數(shù)據(jù)修改和刪除控制、數(shù)據(jù)校驗控制、數(shù)據(jù)入庫控制、數(shù)據(jù)共享控制、數(shù)據(jù)交換控制、數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)控制情況;

       （四）審查數(shù)據(jù)整理控制、數(shù)據(jù)計算控制和數(shù)據(jù)匯總控制情況；

       （五）審查數(shù)據(jù)外設(shè)輸出控制、數(shù)據(jù)檢索輸出控制、數(shù)據(jù)共享輸出控制以及備份和恢復(fù)輸出控制情況。

信息系統(tǒng)審計是信息技術(shù)治理的重要組成部分：

其是對委托方信息技術(shù)管理與使用情況的綜合評價，能夠讓委托方?jīng)Q策層知曉其信息系統(tǒng)和信息技術(shù)應(yīng)用水平以及對組織工作效能的作用。

信息系統(tǒng)審計單位的角色與任務(wù)：

作為獨立的第三方機構(gòu),為委托方提供基于國家法律法規(guī)、行業(yè)規(guī)章及其內(nèi)部控制規(guī)則的合規(guī)性評價。

信息系統(tǒng)審計工作的目標：

協(xié)助委托單位保持信息技術(shù)及信息系統(tǒng)采購、建設(shè)、運行和使用的有效性和合規(guī)性。