怎么做信息系统安全审计
1. 确定信息系统审计单位:信息系统审计单位是审计监督的执行者,也就是审计机构和审计人员。根据国际通用的信息系统审计准则,要求信息系统审计工作必须独立性。因此在确定信息系统审计单位,除了要求符合相关的资质要求,必须保证信息系统审计工作的独立性。建议信息系统审计工作的开展尽可能的考虑外部信息系统审计单位,保证信息系统审计的效果。如果确定内部单位进行信息系统审计,必须保证审计单位组织的独立性。
2. 确定独立信息系统审计组: 信息系统审计,即包括了软硬件系统,也包括业务符合性的审计,以及信息系统项目组织、策划、服务管理等方面。因此,构成信息系统审计组的成员应由信息系统专家、业务专家、咨询专家等多方面人员构成,主要的审计师必须具有信息系统审计的资格。
3. 信息系统审计方案与计划: 制订恰当的信息系统审计方案与计划是信息系统审计工作的核心基础,是保证审计目标实现,以及达到相关审计效果的关键。信息系统审计方案与计划应包括:信息系统现状分析;内部控制现状初步评价;信息系统审计的性质与范围;审计工作的组织安排;审计风险评估;审计费用与成本;实施时间计划;信息系统审计方法;审计协调与沟通机制等。
*4. 信息系统审计实施: *信息系统审计实施的过程要求对审计计划确定的范围、要点、步骤、方法等内容,进行取证、测试与评价,最终形成信息系统审计报告。工作的方法主要包括对信息系统系统内部控制的建立与遵守情况进行符合性与实质性测试,分析信息系统审计差异,逐步信息系统审计报告的相关依据。信息系统审计内容应包括软硬件系统、信息安全、项目策划与管理、信息系统服务与管理等内容。针对国内信息系统建设现状,多个系统运行,信息存储分散的实际情况,要重点审计系统的接口,以及数据的完整性和一致性。
a)信息系统审计报告: 信息系统审计报告应包括:审计证据汇总、审计原始底稿、与审计准则之间的审计差异、调整与建议内容、审计总体意见等方面的内容。各块内容的汇总可以按照硬件系统、软件系统、信息安全管理、信息系统管理与服务、信息系统项目策划与管理的结构进行组织。
b)持续改进:与信息系统建设的持续改进相对应, 信息系统审计工作也是长期,持续改进的工作。需要从实际情况出发,制订长期的信息系统审计计划与方案,不断促进信息系统应用的成熟与完善。