一、為什么做系統(tǒng)審計？

隨著計算機技術(shù)的高速發(fā)展，信息系統(tǒng)已經(jīng)成為當(dāng)今社會最重要的生產(chǎn)工具，OA系統(tǒng)、營銷系統(tǒng)、制造信息系統(tǒng)、財務(wù)系統(tǒng)、人力資源系統(tǒng)等系統(tǒng)成為當(dāng)前不可或缺的應(yīng)用系統(tǒng)。系統(tǒng)安全性和有效性已經(jīng)成為生產(chǎn)安全的重要組成部分，并成為信息系統(tǒng)所有者及其用戶最為關(guān)心的問題。

信息系統(tǒng)審計是國家網(wǎng)絡(luò)空間安全保障戰(zhàn)略中的重要環(huán)節(jié)，是第三道防線。同時，也是行業(yè)監(jiān)管部門主要的監(jiān)管內(nèi)容。相關(guān)政策對于信息系統(tǒng)的安全性、穩(wěn)定性提出了相對嚴(yán)格的要求，傳統(tǒng)的審計方法和技術(shù)已經(jīng)無法適應(yīng)當(dāng)前需求，導(dǎo)致信息系統(tǒng)審計陷入停滯不前的狀態(tài)，對此，完善信息系統(tǒng)審計，更新審計方法和審計技術(shù)成了審計單位的首要任務(wù)。

審計具體依據(jù)以下三點：

1、國家政策和行業(yè)監(jiān)管要求

①網(wǎng)絡(luò)安全法

②行業(yè)監(jiān)管指引：《商業(yè)銀行信息科技風(fēng)險管理指引》規(guī)定：“商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模等，決定信息科技內(nèi)部審計范圍和頻率。但至少應(yīng)每三年進(jìn)行一次全面審計。”；《證券期貨業(yè)信息安全保障管理辦法》規(guī)定：“核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)建立信息安全內(nèi)部審計制度，定期開展內(nèi)部審計，對發(fā)現(xiàn)的問題進(jìn)行整改。”

2、行業(yè)自身信息科技內(nèi)控要求

①信息科技治理

②信息安全事件管理

3、用戶等相關(guān)方要求

①供應(yīng)鏈安全要求

②第二方審計要求

二、信息系統(tǒng)審計做什么？

信息系統(tǒng)審計是信息系統(tǒng)治理工作中的重要一環(huán)，它以合規(guī)性評價為出發(fā)點，以評審、檢查和測試為主要手段，以發(fā)現(xiàn)信息系統(tǒng)治理過程中存在的風(fēng)險為目標(biāo)，幫助和促進(jìn)用戶全面預(yù)防和及時處置信息系統(tǒng)風(fēng)險，從而有效提高信息系統(tǒng)的安全性和有效性。

審計內(nèi)容包括但不限于系統(tǒng)安全管理總體架構(gòu)、安全策略、安全管理；物理環(huán)境安全、主機安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等。

依據(jù)審計署對信息系統(tǒng)審計內(nèi)容的要求“信息系統(tǒng)的安全性、有效性和經(jīng)濟(jì)性”對信息系統(tǒng)進(jìn)行審計，同時針對具體的信息系統(tǒng)審計項目，審計內(nèi)容應(yīng)以確定的審計依據(jù)為準(zhǔn)，通常包含一般控制審計和應(yīng)用控制審計；可以根據(jù)審計目的和內(nèi)容的不同，分為不同的專項審計，如：網(wǎng)絡(luò)安全專項審計、數(shù)據(jù)管理專項審計、業(yè)務(wù)連續(xù)性專項審計等。

三、信息系統(tǒng)審計目標(biāo)

全面審查信息系統(tǒng)信息安全相關(guān)工作的現(xiàn)有流程和內(nèi)控措施的有效性、完備性、適當(dāng)性，了解安全風(fēng)險管理現(xiàn)狀，掌握安全管理和技術(shù)方面存在的問題及薄弱環(huán)節(jié)，查找存在的風(fēng)險漏洞，為防范和降低安全風(fēng)險、加強信息安全內(nèi)部控制、提升安全管理水平提出審計建議。

四、怎么做信息系統(tǒng)審計？