信息系统审计简介

《信息系统审计简介》由会员分享，可在线阅读，更多相关《信息系统审计简介（88页珍藏版）》请在装配图网上搜索。

1、审计署计算中心审计署计算中心 辅助审计处辅助审计处 陈剑陈剑l 这部分内容是对信息系统审计这一新兴的审计领域的介绍性这部分内容是对信息系统审计这一新兴的审计领域的介绍性质的课程。质的课程。l 通过学习，学员能够了解国内外信息系统审计开展的状况，明通过学习，学员能够了解国内外信息系统审计开展的状况，明确国家审计中信息系统审计的范围和目标，初步了解开展信息系确国家审计中信息系统审计的范围和目标，初步了解开展信息系统审计的工作流程和技术方法，达到开阔眼界，启发思路、指导统审计的工作流程和技术方法，达到开阔眼界，启发思路、指导实践的作用。实践的作用。l你的专业背景是：你的专业背景是：计算机相关计算机相

2、关审计业务相关审计业务相关其他其他l是否参加过本单位开展的信息系统审计项目是否参加过本单位开展的信息系统审计项目是是否否l是否有信息系统审计相关学习经历是否有信息系统审计相关学习经历CISACISSP其他其他无无l你认为影响本单位开展信息系统审计工作的主要因素是：（多选）你认为影响本单位开展信息系统审计工作的主要因素是：（多选）人才和技术手段缺乏人才和技术手段缺乏 信息系统审计在国家审计中的定位模糊信息系统审计在国家审计中的定位模糊 法规不健全法规不健全 目前单位的考核机制目前单位的考核机制 不知道该如何开展不知道该如何开展 认为没有开展的必要认为没有开展的必要 其他（请具体说明）其他（请具体

3、说明）l信息系统审计概述信息系统审计概述l国际上开展的政府的信息系统审计现状国际上开展的政府的信息系统审计现状l信息系统审计模型信息系统审计模型COBITCOBITl审计署所做的信息系统审计工作审计署所做的信息系统审计工作l案例介绍与分析案例介绍与分析l审什么和怎么审审什么和怎么审l交流互动交流互动lINTOSAI（最高审计机关国际组织最高审计机关国际组织）：）：信息系统审计是：信息系统审计是：一个一个通过通过获取并获取并评估证据评估证据，以判断以判断IT系统是否保护了组系统是否保护了组织的资产，有效率地织的资产，有效率地利用组织的利用组织的资源，资源，保障保障数据的安全性和一致性，以及有效数

4、据的安全性和一致性，以及有效地达到组织的业务目标地达到组织的业务目标的过程的过程。l计算机在各级政府组织中的广泛使用计算机在各级政府组织中的广泛使用 交易处理交易处理财务报表财务报表决策支持决策支持功能功能数据挖掘数据挖掘l被审计单位的被审计单位的IT系统对审计人员的审计方法和在审计测试中采用的技术产生了影响；系统对审计人员的审计方法和在审计测试中采用的技术产生了影响；l内部控制环境的变更；内部控制环境的变更；l匿名用户带来的责任缺失；匿名用户带来的责任缺失；l未经授权的和未记录下来的数据修改的可能性；未经授权的和未记录下来的数据修改的可能性；l看得见的审计痕迹和看得见的审计痕迹和/或纸质文件

5、的缺失；或纸质文件的缺失；l审计证据的变化；审计证据的变化；l数据复制数据复制/无内容数据的可能性；无内容数据的可能性；l出现欺诈和错误的新机会和机制；出现欺诈和错误的新机会和机制；l分布式数据处理和存储；分布式数据处理和存储；l关键业务信息的机密性和一致性；关键业务信息的机密性和一致性；l由于组织内部或组织之间的通讯，特别是因特网增加的风险；由于组织内部或组织之间的通讯，特别是因特网增加的风险；l系统故障系统故障/宕机的可能性。宕机的可能性。l对信息系统控制的检查对信息系统控制的检查 l对财务信息系统的审计对财务信息系统的审计 l信息系统的绩效审计或信息系统的绩效审计或VFM审计审计 l对正

6、在开发的信息系统的审计对正在开发的信息系统的审计 l信息系统舞弊审计信息系统舞弊审计 l信息系统安全审计信息系统安全审计 l计算机辅助审计技术（计算机辅助审计技术（CAATs）l社会审计：伴随着财务报告审计发展社会审计：伴随着财务报告审计发展l19541954年，第一套计算机化的会计系统在通用电气公司开始使用。年，第一套计算机化的会计系统在通用电气公司开始使用。六十年代中期，出现了第一套通用审计软件（六十年代中期，出现了第一套通用审计软件（GASGAS）。）。l19681968年，年，AICPAAICPA（美国注册会计师协会）和当时的八大会计师事（美国注册会计师协会）和当时的八大会计师事务所联

7、合开始开展务所联合开始开展EDPEDP（电子数据处理）审计。（电子数据处理）审计。l19681968年，电子数据处理审计师协会（年，电子数据处理审计师协会（EDPAAEDPAA）成立。该协会于）成立。该协会于19771977年发布了年发布了控制目标控制目标第一版（即第一版（即CobitCobit的前身）。的前身）。l19771977年，年，IIAIIA发布了一项研究成果，即发布了一项研究成果，即系统可审计性与控制系统可审计性与控制（the Systems,Auditability,and Control,the Systems,Auditability,and Control,简称简称SAC)

8、SAC)。l19941994年，电子数据处理审计师协会（年，电子数据处理审计师协会（EDPAAEDPAA）改名为信息系统审）改名为信息系统审计与控制协会（计与控制协会（ISACAISACA）。）。l19961996年，信息系统审计与控制基金会（年，信息系统审计与控制基金会（Control Objectives for Control Objectives for Information and Related TechnologyInformation and Related Technology，简称，简称ISACFISACF）发布了信）发布了信息技术控制目标息技术控制目标COBITCOBI

9、T第一版。目前已经修订到第四版。第一版。目前已经修订到第四版。l19981998年，年，ITIT治理学会（治理学会（IT Governance InstituteIT Governance Institute）成立。）成立。l19781978年，出现了年，出现了CISACISA职业化认证，并在职业化认证，并在19811981年举办了第一次年举办了第一次CISACISA考试。考试。20052005年年9 9月，美国国家标准协会（月，美国国家标准协会（ANSIANSI）对）对ISACAISACA提供的提供的CISACISA和和CISMCISM资格进行了鉴定的认可，巩固了这两个资格的地位。资格进行了

10、鉴定的认可，巩固了这两个资格的地位。ll政府审计：起源于对政府信息系统的评价政府审计：起源于对政府信息系统的评价l1959年，年，GAO发布第一份政府的信息系统审计报告：发布第一份政府的信息系统审计报告：评价自动评价自动化数据处理系统的安装化数据处理系统的安装；l1999年，年，GAO发布发布联邦信息系统控制审计手册联邦信息系统控制审计手册（第一版）；（第一版）；l 2001年，年，GAO发布发布联邦信息系统安全审计管理的计划指南联邦信息系统安全审计管理的计划指南；l2007年，审计署组织了第一次信息系统审计项目；年，审计署组织了第一次信息系统审计项目；l2008年，审计署组织了第一次独立的信

11、息系统审计项目；年，审计署组织了第一次独立的信息系统审计项目；l2009年，年，GAO发布发布联邦信息系统控制审计手册联邦信息系统控制审计手册（第二（第二 版）版）lISACAISACA的信息系统审计标准的信息系统审计标准标准（标准（StandardsStandards）指南（指南（GuidelinesGuidelines）流程（流程（ProceduresProcedures）l信息系统审计可以参考的其他标准信息系统审计可以参考的其他标准信息系统控制方面信息系统控制方面信息系统运营、服务管理方面信息系统运营、服务管理方面信息系统安全方面信息系统安全方面l信息系统审计必须遵循的行业法规信息系统审

12、计必须遵循的行业法规l标准：标准：定义了信息系统审计和报告的强制性要求。定义了信息系统审计和报告的强制性要求。l指南：指南：对审计人员执行信息系统审计标准的指导，信息系统审计对审计人员执行信息系统审计标准的指导，信息系统审计人员在实施相关工作时，应当考虑这些指南的要求。人员在实施相关工作时，应当考虑这些指南的要求。l流程：流程：为信息系统审计人员在执行具体审计任务时提供详细的案为信息系统审计人员在执行具体审计任务时提供详细的案例，供审计人员参考。例，供审计人员参考。生效日期生效日期生效日期生效日期生效日期生效日期l信息系统控制方面信息系统控制方面 COSO COBIT SAC&eSAC l信息

13、系统运营、服务管理方面信息系统运营、服务管理方面ITILITILl信息系统安全方面信息系统安全方面 ISO/ICT17799 lCOSO内部控制框架实际上是内部控制框架实际上是COSO组织在组织在1992年年9月发布的一份报告，报月发布的一份报告，报告的正式名称是告的正式名称是“内部控制内部控制-完整框架完整框架”。它是在美国审计行业最为广。它是在美国审计行业最为广泛接受并使用的内部控制框架。包括政府审计和会计师事务所的审计都泛接受并使用的内部控制框架。包括政府审计和会计师事务所的审计都以以COSO作为检查组织内部控制的标准框架。作为检查组织内部控制的标准框架。l尽管尽管COSO框架并不是信息

14、技术方面的内部控制框架，但是由于它在审计框架并不是信息技术方面的内部控制框架，但是由于它在审计领域的重要性，几乎所有的信息系统审计的框架和指南都会考虑吸取它领域的重要性，几乎所有的信息系统审计的框架和指南都会考虑吸取它的主要思想作为内部控制的考虑出发点。特别是的主要思想作为内部控制的考虑出发点。特别是2002年年萨班斯萨班斯奥克奥克斯利法案斯利法案(SOX)颁布后，美国证券交易管理委员会（颁布后，美国证券交易管理委员会（SEC）把）把COSO框架框架作为组织加强内部控制的唯一参考框架，更进一步提升了作为组织加强内部控制的唯一参考框架，更进一步提升了COSO框架的重框架的重要地位。许多组织为了达

15、到要地位。许多组织为了达到SOX法案对内部控制和信息真实性的要求，法案对内部控制和信息真实性的要求，纷纷对信息系统进行控制评估和风险测试，开发了各种信息技术控制框纷纷对信息系统进行控制评估和风险测试，开发了各种信息技术控制框架以符合架以符合COSO提出的要求，从而把信息技术的一般控制和应用控制方法提出的要求，从而把信息技术的一般控制和应用控制方法与与COSO框架结合起来。框架结合起来。lSAC是第一个与信息技术相关的内部控制框架，它其实是由内部审计师学会（是第一个与信息技术相关的内部控制框架，它其实是由内部审计师学会（IIA）在在1977年发布一份报告，报告的正式名称是年发布一份报告，报告的正

16、式名称是系统审计与控制报告系统审计与控制报告，该报告着，该报告着重从业务视角考察信息技术，分析了存在于信息系统的计划、实施、自动化应用重从业务视角考察信息技术，分析了存在于信息系统的计划、实施、自动化应用中的风险，希望为组织提供中的风险，希望为组织提供“对信息技术与系统审计的控制的指导对信息技术与系统审计的控制的指导”。lSAC报告包含了报告包含了14个模块，分别是：执行概要、审计与控制环境、审计中信息技个模块，分别是：执行概要、审计与控制环境、审计中信息技术的应用、计算机资源管理、管理信息与开发系统、业务系统、最终用户与部门术的应用、计算机资源管理、管理信息与开发系统、业务系统、最终用户与部

17、门级计算、通讯、安全、意外计划、技术、索引、先进技术支持、案例研究。级计算、通讯、安全、意外计划、技术、索引、先进技术支持、案例研究。l2001年，内部审计师学会（年，内部审计师学会（IIA）发布了适应时代的信息系统控制模型：电子系统）发布了适应时代的信息系统控制模型：电子系统验证与控制（验证与控制（eSAC），主要内容包括高级管理人员、公司治理实体、审计人员在），主要内容包括高级管理人员、公司治理实体、审计人员在理解、评估、监控、化解技术风险时需要掌握的新知识。理解、评估、监控、化解技术风险时需要掌握的新知识。eSAC的核心通过五个验的核心通过五个验证目标（可用性、性能、功能、保护、责任）与

18、证目标（可用性、性能、功能、保护、责任）与COSO的四个内部控制目标（运行、的四个内部控制目标（运行、报告、符合、维护）以及五项基础设施模块（人员、技术、过程、投资、通讯）报告、符合、维护）以及五项基础设施模块（人员、技术、过程、投资、通讯）结合起来。结合起来。lITIL是指信息技术基础设施库（是指信息技术基础设施库（IT Infrastructure Library）。是一个能促进组织接近）。是一个能促进组织接近提供高质量的信息技术服务的最佳实践的框架。提供高质量的信息技术服务的最佳实践的框架。lITIL专门关注怎样做和谁来做。核心过程包括在两个专门关注怎样做和谁来做。核心过程包括在两个IT

19、IL的文档中：服务支持和服的文档中：服务支持和服务交付。务交付。l服务支持主要包括以下过程：服务支持主要包括以下过程：事故管理事故管理问题管理问题管理配置管理配置管理变更管理变更管理版本管理版本管理l服务交付主要包括以下过程：服务交付主要包括以下过程：服务水平管理服务水平管理信息技术服务的财务管理信息技术服务的财务管理能力管理能力管理信息技术服务持续度管理信息技术服务持续度管理可用性管理可用性管理lITIL还包括了基础架构管理、应用程序管理、安全管理、规划与实施服务管理、还包括了基础架构管理、应用程序管理、安全管理、规划与实施服务管理、软件资产管理等内容。软件资产管理等内容。lISO/ICT1

20、7799是信息安全的国际标准，是由国际标准化组织（是信息安全的国际标准，是由国际标准化组织（ISO）和国）和国际电子技术委员会（际电子技术委员会（ICT）颁布的。该标准的正式名称是）颁布的。该标准的正式名称是“信息技术信息技术安全技术安全技术信息安全管理实务规定信息安全管理实务规定”。其中。其中ISO/ICT17799：2000版本，版本，是对英国标准是对英国标准BS7799-1：1999的复制。的复制。l2005版的版的ISO/ICT17799标准包含了以下标准包含了以下12个方面：风险评估与处理、安个方面：风险评估与处理、安全策略、信息安全组织、资产管理、人力资源安全、物理与环境安全、全策

21、略、信息安全组织、资产管理、人力资源安全、物理与环境安全、通讯与运营管理、访问控制、信息系统获取、开发与维护、信息安全事通讯与运营管理、访问控制、信息系统获取、开发与维护、信息安全事故管理、业务持续管理、符合性。故管理、业务持续管理、符合性。l在标准的每一部分中，都清楚地标明了信息技术安全控制的目标，信息在标准的每一部分中，都清楚地标明了信息技术安全控制的目标，信息技术安全控制被作为达到这些目标的最佳实践。技术安全控制被作为达到这些目标的最佳实践。lGramm-Leach-Bliley 法案法案(GLBA)又称金融现代化法案，又称金融现代化法案，1999年年11月月12日获得美国国会的通过，日

22、获得美国国会的通过，GLBA规定金融规定金融机构必须评估客户机密信息的风险，制定控制措施，尽量降低已知风险，并机构必须评估客户机密信息的风险，制定控制措施，尽量降低已知风险，并定期更新风险评估结果和控制措施。定期更新风险评估结果和控制措施。l健康保险流通与责任法案健康保险流通与责任法案(HIPAA)1996年年8月月21日，日，健康保险流通与责任法案(HIPAA)(The Health Insurance Portability and Accountability Act)获得美国国会的通过，法案规定所有处理和获得美国国会的通过，法案规定所有处理和/或持有健康医疗相关信息的组织都必须遵守保护

23、病患信息或持有健康医疗相关信息的组织都必须遵守保护病患信息(PHI)的安全性规的安全性规定。定。HIPAA把医疗记录和相关信息定义为需要特别控制的受保护的健康信息。把医疗记录和相关信息定义为需要特别控制的受保护的健康信息。l萨班斯一奥史斯利法案萨班斯一奥史斯利法案(Sarbanes-Oxley Act)2002 年通过的萨班斯一奥史斯利法案年通过的萨班斯一奥史斯利法案(Sarbanes-Oxley(SOX)Act of 2002)规定规定美国证券交易所美国证券交易所(SEC)的注册公司必须针对运营和金融业务建立并维持有效的注册公司必须针对运营和金融业务建立并维持有效的内部控制架构，为控制措施的

24、有效性提供管理报告，而且控制措施的有效的内部控制架构，为控制措施的有效性提供管理报告，而且控制措施的有效性必须通过外部审计人员的审核。性必须通过外部审计人员的审核。ll信息系统审计概述信息系统审计概述l国际上开展的政府的信息系统审计现状国际上开展的政府的信息系统审计现状l信息系统审计模型信息系统审计模型COBITCOBITl审计署所做的信息系统审计工作审计署所做的信息系统审计工作l案例介绍与分析案例介绍与分析l审什么和怎么审审什么和怎么审l交流互动交流互动l美国联邦审计机构信息系统审计美国联邦审计机构信息系统审计l美国地方审计机构信息系统审计美国地方审计机构信息系统审计l国外国外IT绩效审计与

25、电子政务审计绩效审计与电子政务审计l美国的联邦审计机构（中央级）由两部分组成：美国的联邦审计机构（中央级）由两部分组成：l一部分是美国审计署（一部分是美国审计署（GAO），），l另一部分是兼有审计、监察两种职能的行政部门和机构的监察长另一部分是兼有审计、监察两种职能的行政部门和机构的监察长办公室（办公室（OIGs）。）。l美国审计署作为议会的调查机构，是议会用来监督和评价联邦政美国审计署作为议会的调查机构，是议会用来监督和评价联邦政府的工具。其主要工作是开展项目效果评价和管理评估、政策评府的工具。其主要工作是开展项目效果评价和管理评估、政策评估以及为国会提供有关政府施政方面的复杂问题的研究报告

26、。除估以及为国会提供有关政府施政方面的复杂问题的研究报告。除对联邦合并财务报表和个别机构、单位的财务报表由美国审计署对联邦合并财务报表和个别机构、单位的财务报表由美国审计署进行审计外，部门和机构的财务审计基本上交由监察长办公室进进行审计外，部门和机构的财务审计基本上交由监察长办公室进行。行。l美国的监察长审计制度是通过美国的监察长审计制度是通过1978年年监察长法监察长法建立起来的。建立起来的。根据根据1978年的年的监察长法监察长法及其后来的修正案，联邦政府各部门及其后来的修正案，联邦政府各部门均设立监察长办公室，监察长负责监察长办公室的工作，由总统均设立监察长办公室，监察长负责监察长办公室

27、的工作，由总统任命。监察长办公室的预算是独立的，由国会批准，部门负责人任命。监察长办公室的预算是独立的，由国会批准，部门负责人不能用经费来限制监察长办公室的业务活动。监察长办公室的工不能用经费来限制监察长办公室的业务活动。监察长办公室的工作范围十分广泛，涉及到影响部门工作效率和效果的各个方面。作范围十分广泛，涉及到影响部门工作效率和效果的各个方面。其主要工作包括审计、对投诉、举报和有关事项的调查和监察等其主要工作包括审计、对投诉、举报和有关事项的调查和监察等工作。其中，审计工作主要包括财务审计和绩效审计两个方面。工作。其中，审计工作主要包括财务审计和绩效审计两个方面。l美国审计署和监察长办公室

28、在分工上各有侧重，二者共同构成了美国审计署和监察长办公室在分工上各有侧重，二者共同构成了美国国家审计的整体。美国国家审计的整体。美国审计署美国审计署监察长办公室监察长办公室作用范围作用范围整个政府整个政府部门、机构内部部门、机构内部关注问题关注问题普遍性（横向）和长期性的问普遍性（横向）和长期性的问题题深入（纵向）和短期性的问题深入（纵向）和短期性的问题工作类型工作类型较多审计、评价和政策分析较多审计、评价和政策分析较多调查较多调查对财务报表审计的对财务报表审计的分工分工对联邦政府合并报表发表意见对联邦政府合并报表发表意见对部门、机构财务报表进行审对部门、机构财务报表进行审计计对政府绩效进行监

29、对政府绩效进行监督的方式督的方式提出联邦政府部门绩效和责任提出联邦政府部门绩效和责任高风险名单高风险名单提出政府部门面临的管理挑战提出政府部门面临的管理挑战清单清单（根据2004年3月24日美国审计长大卫沃克所做的美国审计署和监察长办公室：提高政府绩效和责任演讲中的幻灯片的内容编译。）美国审计署与计算机相关的组织机构美国审计署与计算机相关的组织机构 在业务方面，设置了专门的信息技术局开展信息系统审计；在业务方面，设置了专门的信息技术局开展信息系统审计；另外，在应用研究与技术局下设有专门的技术工程和信息安全另外，在应用研究与技术局下设有专门的技术工程和信息安全实验中心，负责改善信息技术和促进软件

30、工程现代化，评估联邦实验中心，负责改善信息技术和促进软件工程现代化，评估联邦政府计算机系统的安全性。政府计算机系统的安全性。在保障方面，设置了专门的信息系统与技术服务部门保障内部信在保障方面，设置了专门的信息系统与技术服务部门保障内部信息系统的运转。息系统的运转。l信息技术局（截止至信息技术局（截止至2007年年4月）有局领导月）有局领导2人，人，5个处，分别是：个处，分别是：（1）信息管理；）信息管理；（2）信息技术架构与系统；）信息技术架构与系统；（3）信息技术人力资本与管理；）信息技术人力资本与管理；（4）信息技术管理事务：）信息技术管理事务：（5）信息技术安全事务。）信息技术安全事务。

31、l信息系统与技术服务部门设信息系统与技术服务部门设GAO首席信息官（首席信息官（CIO）一名，承担）一名，承担9项项任务：任务：（1）业务系统；（）业务系统；（2）客户关系；）客户关系；（3）预约管理；）预约管理；（4）组织架构；（）组织架构；（5）信息系统安全；（）信息系统安全；（6）网络运营；）网络运营；（7）运行与计划；（）运行与计划；（8）通讯；（）通讯；（9）网页服务）网页服务l 技术工程和信息安全实验中心负责对工作成果有关内容的准确性进技术工程和信息安全实验中心负责对工作成果有关内容的准确性进行技术检验，包括具备系统工程、软件工程、成本概算和计算机安行技术检验，包括具备系统工程、软

32、件工程、成本概算和计算机安全等方面的工程师和科学家。全等方面的工程师和科学家。l美国审计署美国审计署信息系统安全审计管理的计划指南信息系统安全审计管理的计划指南（2001年年12月）中提月）中提到：到：审计机关所辖信息系统审计部门的大小决定了信息系统审计的能力，审计机关所辖信息系统审计部门的大小决定了信息系统审计的能力，州和地方审计机关信息系统审计部门的大小和职能区别很大。州和地方审计机关信息系统审计部门的大小和职能区别很大。一些审计机关没有设置信息系统审计部门，而是通过与社会审计有关一些审计机关没有设置信息系统审计部门，而是通过与社会审计有关方面签订合同，完成信息系统审计工作。还有一些审计机

33、关的信息系统方面签订合同，完成信息系统审计工作。还有一些审计机关的信息系统审计人员直接整合进入财务审计和业务审计小组。审计人员直接整合进入财务审计和业务审计小组。此外，审计机关应该根据其大小、结构和任务建立健全信息系统安全此外，审计机关应该根据其大小、结构和任务建立健全信息系统安全审计方面的能力。审计方面的能力。1、一般控制（摘自、一般控制（摘自联邦信息系统控制审计手册联邦信息系统控制审计手册）：）：l实体安全控制l访问控制l应用软件开发和变更控制l系统软件控制l职责分离控制l服务连续性控制2、应用控制（摘自、应用控制（摘自联邦政府内部控制标准联邦政府内部控制标准和和控制管控制管理与评价工具理

34、与评价工具）：）：l授权控制l完整性控制l准确性控制l数据文件和处理的完整性控制l（摘自（摘自信息系统安全审计管理的计划指南信息系统安全审计管理的计划指南）信息系统安全审计的目标是：支持财务审计、信息系统安全审计的目标是：支持财务审计、支持效益审计、支持计算机辅助审计和完成系统支持效益审计、支持计算机辅助审计和完成系统开发的安全检查等。开发的安全检查等。满足信息系统安全审计目标的活动有：满足信息系统安全审计目标的活动有：计划计划支持；支持；一般控制检查（组织和管理、应用开发一般控制检查（组织和管理、应用开发与维护、系统软件、计算机运行、安全管理、逻与维护、系统软件、计算机运行、安全管理、逻辑安

35、全、物理安全）、辑安全、物理安全）、应用控制检查（输入控应用控制检查（输入控制、输出控制）；采用专门的安全技术工具；制、输出控制）；采用专门的安全技术工具；收集其他安全相关信息；其他的专业支持。收集其他安全相关信息；其他的专业支持。l信息技术：评估采购风险的审计指南信息技术：评估采购风险的审计指南,1992年年12月；月；l执行指南：通过信息管理战略来提高执行任务的效果，执行指南：通过信息管理战略来提高执行任务的效果，1994年年5月；月；l信息技术投资：联邦机构能提高效益、降低成本和使风信息技术投资：联邦机构能提高效益、降低成本和使风险最小，险最小，1996年年9月；月；l信息技术投资评价指

36、南，信息技术投资评价指南，1997年年2月；月；l执行指南：信息技术投资的效益计量和成果演示，执行指南：信息技术投资的效益计量和成果演示，1998年年3月；月；l执行指南：信息安全管理，执行指南：信息安全管理，1998年年8月；月；l信息安全风险评估：领先者的实践经验，信息安全风险评估：领先者的实践经验，1999年年11月；月；l信息技术投资管理执行指南：评估和改进过程成熟度的信息技术投资管理执行指南：评估和改进过程成熟度的框架框架 2004年年3月。月。l根据对美国审计署官方网站上审计报告的统计根据对美国审计署官方网站上审计报告的统计,自自1959年年12月月15日日的的评价自动化数据处理系

37、统的安装评价自动化数据处理系统的安装开始至今（开始至今（2007年年5月），月），美国审计署共发布美国审计署共发布1632份有关信息管理的审计报告。份有关信息管理的审计报告。l自自2000年年1月至今，美国审计署共发布有有关信息管理的审计报月至今，美国审计署共发布有有关信息管理的审计报告告392篇，占同期全部审计报告（篇，占同期全部审计报告（7087份）约份）约5.5%。l这是一份提交给邮政事务委员会（这是一份提交给邮政事务委员会（THE COMMITTEE ON POST OFFICE AND CIVIL SERVICE）的报告。）的报告。l审计调查：审计调查：1959年年10月，邮政事务委

38、员会请求美国审计署对其自月，邮政事务委员会请求美国审计署对其自动化数据处理系统的安装进行评价。动化数据处理系统的安装进行评价。1952年年12月，其下属部门租月，其下属部门租得一套中型计算机系统得一套中型计算机系统Datatron 205，年度租金，年度租金$123,300，增加运，增加运营成本营成本$156,700，该部门不久，该部门不久 安装了一套更大处理能力的安装了一套更大处理能力的Datatron 220,将进一步增加运营成本将进一步增加运营成本$127,500。审计署认为，该部门决定租用计算机系统审计署认为，该部门决定租用计算机系统Datatron 205的理由是的理由是充分的，但调

39、查也发现使用该套设备并不能直接节约费用。充分的，但调查也发现使用该套设备并不能直接节约费用。l信息安全：美国联邦存款保险公司需要继续改进其处理程序。信息安全：美国联邦存款保险公司需要继续改进其处理程序。GAO-07-351,2007年年5月月18日日 l美国审计署为什么要完成进行这项审计任务？美国审计署为什么要完成进行这项审计任务？美国联邦存款保险公司（美国联邦存款保险公司（FDIC）有责任强制要求金融机构遵守银行法，保护存）有责任强制要求金融机构遵守银行法，保护存款人的利益。作为款人的利益。作为2006年度财务报表审计的一部分，美国审计署评估以下内年度财务报表审计的一部分，美国审计署评估以下

40、内容：容：（1）美国联邦存款保险公司按照先前报告要求，对信息安全薄弱环节的纠正）美国联邦存款保险公司按照先前报告要求，对信息安全薄弱环节的纠正情况。情况。（2）信息系统完整性控制的效力，以保证财务信息和信息系统的机密性和有）信息系统完整性控制的效力，以保证财务信息和信息系统的机密性和有效性。效性。l美国审计署的建议是：美国审计署的建议是：美国联邦存款保险公司应采取措施解决控制薄弱点，并将美国联邦存款保险公司应采取措施解决控制薄弱点，并将NFE“新财务环境新财务环境”充分整合，纳入统一的信息安全程序。充分整合，纳入统一的信息安全程序。在起草报告的过程中，美国联邦存款保险公司反映他们正在落实整改。

41、在起草报告的过程中，美国联邦存款保险公司反映他们正在落实整改。l美国审计署的审计发现：美国审计署的审计发现：首先，美国联邦存款保险公司积极按照首先，美国联邦存款保险公司积极按照2005年美国审计署报告的建议，对年美国审计署报告的建议，对26项薄弱点进行了纠正。其中包括：项薄弱点进行了纠正。其中包括：（1）正在开发和已经完成的计算机程序不得在网络中以可读取的方式传输主）正在开发和已经完成的计算机程序不得在网络中以可读取的方式传输主机用户和管理员的密码；机用户和管理员的密码；（2）使用程序变更供应商的用户名）使用程序变更供应商的用户名/密码；密码；（3）改进主机的安全监控等。）改进主机的安全监控等

42、。虽然，美国联邦存款保险公司已经采取了有效措施改进其信息系统控制，虽然，美国联邦存款保险公司已经采取了有效措施改进其信息系统控制，但是原有的和新发现的薄弱点将阻碍公司保护其财务和敏感信息与系统的完但是原有的和新发现的薄弱点将阻碍公司保护其财务和敏感信息与系统的完整、机密和有效。除了还有整、机密和有效。除了还有5项薄弱点还没有得到纠正以外，本次审计还发项薄弱点还没有得到纠正以外，本次审计还发现以下控制存在薄弱点：现以下控制存在薄弱点：（1）e-mail安全；（安全；（2）物理安全；（）物理安全；（3）配置管理。）配置管理。虽然这些薄弱点可能不会给公司的财务报表造成虚假陈述的显著风险，但虽然这些薄

43、弱点可能不会给公司的财务报表造成虚假陈述的显著风险，但是他们的确是可能造成财务和信息系统风险的发生。此外，公司没有将其是他们的确是可能造成财务和信息系统风险的发生。此外，公司没有将其“新财务环境新财务环境”（NFE）纳入整体的信息安全程序，没有对其实施关键的控）纳入整体的信息安全程序，没有对其实施关键的控制活动。制活动。l监察长办公室下设多个部门，其中包括审计处。审计处主要负责：监察长办公室下设多个部门，其中包括审计处。审计处主要负责：1、实施和监督与部门项目和业务活动有关的审计；、实施和监督与部门项目和业务活动有关的审计；2、提出相关政策建议以提升部门项目和业务活动管理的经济、效、提出相关政

44、策建议以提升部门项目和业务活动管理的经济、效率和效果，揭露并杜绝项目和业务活动管理过程中出现的舞弊、率和效果，揭露并杜绝项目和业务活动管理过程中出现的舞弊、浪费、滥用和管理不善问题，协助监察长提请部长和国会注意有浪费、滥用和管理不善问题，协助监察长提请部长和国会注意有关部门项目和业务管理方面的问题、不足以及改善的必要性和过关部门项目和业务管理方面的问题、不足以及改善的必要性和过程。程。l监察长下设的审计部门在信息系统审计领域，同样要遵守美国审监察长下设的审计部门在信息系统审计领域，同样要遵守美国审计署颁布的审计标准、手册和指南。计署颁布的审计标准、手册和指南。l审计人员检查了小企业管理局的财务

45、管理系统的一般控制和应用控制，确认其是否控制符合联邦的要求。l本次审计，对联邦政府进行一般控制和应用控制的检查，主要依据下列文件：（1）管理和预算办公室（OMB）的A-130通知；（2）联邦信息资源和计算机安全法案，1987年。l审计结论认为：小企业管理局在实施信息系统安全程序方面获得相当大的进展，但仍然存在不足，部分控制仍需加强，包括：整体的安全控制、访问控制、应用软件开发和变更控制、系统软件控制、职责分离控制控制和业务持续性控制。l该报告也提出了相应的解决建议。l审计依据：审计依据：（1）管理和预算办公室（OMB）的A-130通知；（2）美国审计署联邦信息系统控制审计手册；（3）通讯委员会

46、自定的“计算机安全程序”；（4）“计算机舞弊和滥用法”。l审计发现：审计发现：审计最终发现审计最终发现103处问题，其中高风险（处问题，其中高风险（13处），中处），中风险（风险（52处），低风险（处），低风险（38处）。处）。呼叫中心共有呼叫中心共有3大系统，分别是：自动呼叫管理系统、大系统，分别是：自动呼叫管理系统、语音响应系统和专家顾问系统。语音响应系统和专家顾问系统。l美国联邦审计机构信息系统审计美国联邦审计机构信息系统审计l美国地方审计机构信息系统审计美国地方审计机构信息系统审计l国外国外IT绩效审计与电子政务审计绩效审计与电子政务审计l美国州审计师、主计师、司库全国协会(NASAC

47、T)l美国地方政府审计师协会美国地方政府审计师协会（ALGA）l美国州审计师、主计师、司库协会由州政府开展财务管美国州审计师、主计师、司库协会由州政府开展财务管理政府官员组成的一个组织。理政府官员组成的一个组织。l其会员包括美国其会员包括美国50个州、哥伦比亚特区等美国领土的所个州、哥伦比亚特区等美国领土的所有审计师、主计师和司库。有审计师、主计师和司库。l该协会成立了专门的政府间信息安全审计论坛，以促进该协会成立了专门的政府间信息安全审计论坛，以促进加强政府信息安全审计能力。包括加强政府信息安全审计能力。包括5个组，任务目标组、个组，任务目标组、法律文件和报告组、技术组、培训和课件开发组和信

48、息法律文件和报告组、技术组、培训和课件开发组和信息共享组。共享组。l其目标是：技术技巧和人力资源；采用的审计方法和工其目标是：技术技巧和人力资源；采用的审计方法和工具；建立完成信息安全审计的技术、法律和程序基础；具；建立完成信息安全审计的技术、法律和程序基础；开发材料，教育信息安全风险与审计；讨论改善信息安开发材料，教育信息安全风险与审计；讨论改善信息安全的统一标准。全的统一标准。l其开发的操作手册包括：一般控制、应用控制、计算机其开发的操作手册包括：一般控制、应用控制、计算机辅助审计技术、计算机取证审计辅助审计技术、计算机取证审计l美国地方政府审计师协会是由有关审计机构组成，自美国地方政府审

49、计师协会是由有关审计机构组成，自由入会，共享资源。由入会，共享资源。l该协会对信息系统审计没有特别定义，它收集了很多该协会对信息系统审计没有特别定义，它收集了很多与信息系统审计相关的资源，包括：与信息系统审计相关的资源，包括：（1）AICPA，SAS No.94“信息技术对审计师在财务报表信息技术对审计师在财务报表审计中考虑内部控制的影响审计中考虑内部控制的影响”；（2）信息系统控制与审计学会的信息系统审计；）信息系统控制与审计学会的信息系统审计；（3）内部审计学会信息技术审计；）内部审计学会信息技术审计；（4）NIST关于联邦信息处理标准中计算机安全的描述关于联邦信息处理标准中计算机安全的描

50、述；l经过审计，审计局认为德州经过审计，审计局认为德州CJIS（犯罪司法信息系统）比（犯罪司法信息系统）比5年完善年完善和准确。但是，还有部分有待改善。和准确。但是，还有部分有待改善。l审计局曾经作出审计局曾经作出评估德州犯罪司法信息系统评估德州犯罪司法信息系统的审计报告，指的审计报告，指出该系统存在多个薄弱点可能影响数据的可靠性。审计报告指出出该系统存在多个薄弱点可能影响数据的可靠性。审计报告指出需要采取若干基本控制以确保数据的可靠性。需要采取若干基本控制以确保数据的可靠性。l审计报告的内容主要分两个部分：审计报告的内容主要分两个部分：（1）州公共安全厅应加强控制确保犯罪数据库系统（）州公共

51、安全厅应加强控制确保犯罪数据库系统（CCH）数据的）数据的完整和准确；完整和准确；犯罪数据库系统的数据是不完整的，审计发现法院部署实施逮犯罪数据库系统的数据是不完整的，审计发现法院部署实施逮捕的数据与在册的罪犯数据不匹配。其原因有：有关方面还没有捕的数据与在册的罪犯数据不匹配。其原因有：有关方面还没有提交逮捕信息，公共安全厅的提交逮捕信息，公共安全厅的“自动指纹识别系统自动指纹识别系统”和现场扫描和现场扫描系统存在数据重复等。系统存在数据重复等。（2）州犯罪司法厅应改进罪犯改正跟踪系统，并加强该系统的）州犯罪司法厅应改进罪犯改正跟踪系统，并加强该系统的IT控控制。制。l美国联邦审计机构信息系统

52、审计美国联邦审计机构信息系统审计l美国地方审计机构信息系统审计美国地方审计机构信息系统审计l国外国外IT绩效审计与电子政务审计绩效审计与电子政务审计l电子政务法案，2002 在颁布电子政务法案前的20年，美国陆续颁布过很多与联邦信息技术管理相关的法律文件，如隐私法、信息自由法、Clinger-Cohen 法（信息技术管理改革法）、文书削减法等。2002年,由预算与管理办公室(OMB)主导,促成了电子政务法的颁布。l该法案在第2章“联邦管理与电子政务促进”中3707条款提到：美国审计署应在4年内向众议院政府改革委员会和参议院政务事务委员会提交一份报告，包括评价信息技术交换技术的效力；以及该程序是

53、否应该继续或终止的建议。l该法案第2章“联邦信息系统标准的责任”11331条款中提到：国家技术标准委在制定相关标准时应与预算与管理办公室、国防部、能源部、国家安全局、审计署和国土安全部协商。l该法案第3章2332条款提到：美国审计署在六个月内向国会提交一份有关“结余分享”（share-in-savings contracts）的报告。l美国新泽西州审计局在美国新泽西州审计局在2001年对信息技年对信息技术局的电子政务服务进行了审计；术局的电子政务服务进行了审计；l美国明尼苏达州审计机关在美国明尼苏达州审计机关在2002年年4月对月对当地的电子政务进行了审计；当地的电子政务进行了审计；l美国亚利

54、桑那州审计局在美国亚利桑那州审计局在2004年年9月对州月对州运输局的车辆处进行了对信息安全和电运输局的车辆处进行了对信息安全和电子政务的审计子政务的审计l英国审计署十分注重英国审计署十分注重VFM（Value for Money）审计，即价值衡）审计，即价值衡量审计（绩效审计），量审计（绩效审计），IT项目绩效也在其重点考虑和评价之列。项目绩效也在其重点考虑和评价之列。l有资料表明，英国审计署对有资料表明，英国审计署对IT项目的最初审计实践始于项目的最初审计实践始于1984年，年，经过多年发展，英国审计署已经将有关信息技术服务管理作为经过多年发展，英国审计署已经将有关信息技术服务管理作为进一

55、步利用计算机开展绩效审计工作的主要方向。进一步利用计算机开展绩效审计工作的主要方向。l1999年年12月和月和2002年年4月，英国审计署分两次提交月，英国审计署分两次提交网上政府网上政府报告；报告；l2002年年4月，提交月，提交通过电子政务提供更好的公众服务通过电子政务提供更好的公众服务报告；报告；l2003年年5月，提交月，提交采购和管理软件许可证采购和管理软件许可证报告；报告；l2004年，提交年，提交改进改进IT采购：商务部改进采购：商务部改进IT程序和项目效益的程序和项目效益的动机及影响动机及影响报告；报告；l2005年，提交年，提交健康部：健康部的国家健康部：健康部的国家IT项目

56、项目报告。报告。l2005年年4月，联合国（月，联合国（UN）和最高审计机关国际组织）和最高审计机关国际组织（INTOSAI）在奥地利维也纳召开。）在奥地利维也纳召开。l电子政务审计作为加强政府透明和责任不可缺失的手电子政务审计作为加强政府透明和责任不可缺失的手段正在受到各国审计机关的高度重视。审计机关电子段正在受到各国审计机关的高度重视。审计机关电子政务审计的成熟度，取决于国家电子政务达到的水平，政务审计的成熟度，取决于国家电子政务达到的水平，以及审计机关自身的技术。以及审计机关自身的技术。l议题：议题：“如何对电子政务开展效益审计如何对电子政务开展效益审计”l包含包含3个子议题，分别是个子

57、议题，分别是:“电子政务项目的风险评估电子政务项目的风险评估”，“以用户为导向的效率问题以用户为导向的效率问题”，“审计电子政务时面临的挑战审计电子政务时面临的挑战”。l信息系统审计概述信息系统审计概述l国际上开展的政府的信息系统审计现状国际上开展的政府的信息系统审计现状l信息系统审计模型信息系统审计模型COBITCOBITl审计署所做的信息系统审计工作审计署所做的信息系统审计工作l案例介绍与分析案例介绍与分析l审什么和怎么审审什么和怎么审l交流互动交流互动lCOBIT：全称是信息技术控制目标框架，由全称是信息技术控制目标框架，由ISACF在在1996年发布，分别在年发布，分别在1998、20

58、00、2005年进年进行了修订，目前的版本是行了修订，目前的版本是COBIT4.1。lCOBIT是一个全面的内部控制框架，是一个在国际上公认为最先是一个全面的内部控制框架，是一个在国际上公认为最先进、最权威的安全与信息技术管理和控制的标准进、最权威的安全与信息技术管理和控制的标准。lCOBIT的内容主要参考了不同的国际组织的标准或最佳实践，覆的内容主要参考了不同的国际组织的标准或最佳实践，覆盖了当今世界上关于控制和盖了当今世界上关于控制和IT的主要标准的主要标准。如：如：国际标准化组织（国际标准化组织（ISO）ISACA 信息技术安全评估标准（信息技术安全评估标准（ITSEC）COSO GAO

59、 IFAC IIA AICPA CICA 欧洲安全论坛（欧洲安全论坛（ESF）国家标准与技术学会（国家标准与技术学会（NIST）COBIT对控制的定义是：对控制的定义是：“组织为了能够预防、检测、组织为了能够预防、检测、纠正非预想情况的发生，而设计实施的一整套策略、纠正非预想情况的发生，而设计实施的一整套策略、程序、实务以及组织结构等的集合，以达到组织的各程序、实务以及组织结构等的集合，以达到组织的各项业务目标。项业务目标。”这个定义与其他内部控制框架对控制这个定义与其他内部控制框架对控制的定义差不多。的定义差不多。COBIT架起了强调业务的控制模型（如架起了强调业务的控制模型（如COSO）和

60、强调）和强调IT的控制模型（如的控制模型（如BS7799）之间的桥梁。）之间的桥梁。lCOBIT把把IT环境下的各项活动组合成为过程，对每个过环境下的各项活动组合成为过程，对每个过程设定了一批详细的控制目标，又把这些过程按照逻程设定了一批详细的控制目标，又把这些过程按照逻辑相关性组合成为域。辑相关性组合成为域。lCOBIT有四个最高层的域，在这四个域中共包含了有四个最高层的域，在这四个域中共包含了34个个高层控制目标和高层控制目标和318个具体控制目标。这四个域是：个具体控制目标。这四个域是：PO域：计划与组织（域：计划与组织（11个过程）个过程）AI域：获取与实施（域：获取与实施（6个过程）

61、个过程）DS域：交付与支持（域：交付与支持（13个过程）个过程）ME域：监测与评估（域：监测与评估（4个过程）个过程）lCOBIT定义了组织中的定义了组织中的4种关键信息技术资源：种关键信息技术资源：人员人员信息信息应用系统应用系统信息基础设施信息基础设施lCOBIT定义了定义了7方面的信息标准：方面的信息标准：效果性（效果性（Effectiveness）：信息系统提供对业务处理来说：信息系统提供对业务处理来说“有效有效”的信息的信息效率性（效率性（Efficiency）：“有效率有效率”地使用资源，提供信息地使用资源，提供信息保密性（保密性（Confidentiality）：保护敏感信息，避

62、免泄漏信息保护敏感信息，避免泄漏信息一致性（一致性（Integrity）：保证信息的：保证信息的“真实可信真实可信”，即信息准确、完整，并且，即信息准确、完整，并且 从业务价值和业务需要的角度来说是正确有效的从业务价值和业务需要的角度来说是正确有效的可用性（可用性（Availablity）：当业务需要时，信息可随时获得）：当业务需要时，信息可随时获得可靠性（可靠性（Reliability）：为管理层维持组织运转和履行所赋予职责提供适当）：为管理层维持组织运转和履行所赋予职责提供适当 的信息的信息合规性（合规性（Compliance）：符合相关法律、规定、合同对业务过程的规定）：符合相关法律、规

63、定、合同对业务过程的规定l信息系统审计概述信息系统审计概述l国际上开展的政府的信息系统审计现状国际上开展的政府的信息系统审计现状l信息系统审计模型信息系统审计模型COBITCOBITl审计署所做的信息系统审计工作审计署所做的信息系统审计工作l案例介绍与分析案例介绍与分析l审什么和怎么审审什么和怎么审l交流互动交流互动l从审计署计算中心成立之初，就开始提出开展信息系从审计署计算中心成立之初，就开始提出开展信息系统审计，建立中国自己的信息系统审计人才认证；统审计，建立中国自己的信息系统审计人才认证；l十几年来，全国各级审计机关逐步尝试开展信息系统十几年来，全国各级审计机关逐步尝试开展信息系统审计实

64、践，为其发展积累了经验；审计实践，为其发展积累了经验；l学术界也为信息系统审计工作进行了多年的理论准备。学术界也为信息系统审计工作进行了多年的理论准备。l有了这些积累，以下的事情也就成为水到渠成了：有了这些积累，以下的事情也就成为水到渠成了：l2007年以前，部分特派办和省厅已经开始在审计项目中尝试开展年以前，部分特派办和省厅已经开始在审计项目中尝试开展信息系统审计工作。信息系统审计工作。l2007年年6月到月到11月，审计署组织在国家开发银行的资产、负债及月，审计署组织在国家开发银行的资产、负债及损益审计项目中开展了对信息系统控制的审计，这是审计署第一损益审计项目中开展了对信息系统控制的审计

65、，这是审计署第一次正式组织信息系统审计项目。次正式组织信息系统审计项目。l2008年上半年，审计署组织对中国烟草总公司、中国石油化工集年上半年，审计署组织对中国烟草总公司、中国石油化工集团、中化集团开展了信息系统审计调查。团、中化集团开展了信息系统审计调查。l2008年下半年，审计署组织对中化集团及天津公司开展了信息系年下半年，审计署组织对中化集团及天津公司开展了信息系统审计项目，这是审计署第一次独立组织的信息系统审计项目。统审计项目，这是审计署第一次独立组织的信息系统审计项目。l2006年底，审计署派团前往美国学习信息系统审计，归国后学员年底，审计署派团前往美国学习信息系统审计，归国后学员的

66、学习报告和建议得到署领导重视。的学习报告和建议得到署领导重视。l2008年年5月到月到6月，审计署在南京审计学院举办第一期信息系统审月，审计署在南京审计学院举办第一期信息系统审计培训班，来自审计署机关、派出局、特派办、地方审计机关的计培训班，来自审计署机关、派出局、特派办、地方审计机关的49名学员参加了培训。名学员参加了培训。12月又举办了第二期培训班。月又举办了第二期培训班。l2007年，面向全国审计机关征集了第一批信息系统审计案例，并年，面向全国审计机关征集了第一批信息系统审计案例，并召开了研讨会。召开了研讨会。l2009年，再次面向全国审计机关征集信息系统审计案例，计划在年，再次面向全国审计机关征集信息系统审计案例，计划在11月份再次评审并召开了研讨会。月份再次评审并召开了研讨会。l2007年，审计署培训中心组织把最高审计机关国际组织的年，审计署培训中心组织把最高审计机关国际组织的IT审计审计课件翻译成为中文，计算中心与相关机构联系，把该资料挂在委课件翻译成为中文，计算中心与相关机构联系，把该资料挂在委员会网站上。员会网站上。l2008年，审计署科研所组织编写了年，审计署科研所组