信息系统审计师课程介绍

伴随着融入经济社会各领域的信息化发展，信息系统审计已逐渐成为一门专业的知识体系和一个职业门类。

信息系统审计就是从推动国家信息化建设政策法规的贯彻落实，促进信息系统高效治理重要作用的提升，维护信息系统全生命周期及其数据安全，从有效发挥预防、揭示和抵御信息系统风险，提高财政资金使用效率等方面入手，为国家信息化建设健康可持续发展保驾护航。新修订的审计法特别强调：“审计机关有权检查被审计单位信息系统的安全性、可靠性、经济性”，为信息系统审计监督工作提供了强有力的法治保障和方向指引。

一、信息系统审计团体标准

2023年6月13日，中国计算机用户协会发布了T/CCUA 007-2023团体标准《信息系统审计师专业能力等级评价规范》（以下简称“007 号团标”），于同年7月13日正式施行。该标准是T/CCUA 007-2020团体标准《信息系统审计师职业技能评价》的修订版。

007 号团标的能力体系包括审计专业能力和技术专业能力，审计专业能力涉及审计概论、审计程序、审计方法、审计判断、审计质量等内容；技术专业能力又划分为:信息系统的管理控制、应用控制、网络控制、安全控制。

信息系统审计是指了解和掌握信息系统的专业知识、法规知识、技术知识和审计知识的机构及人员，依据国家对信息系统的法规类、标准类、规则类控制的规定，对信息系统的管理控制、应用控制、网络控制、安全控制进行检查，提出意见和建议，促进信息系统可靠性、安全性、经济性目标实现的监督活动。

信息系统审计是一门复杂学科，审计人员应具备良好的职业道德，掌握审计对象的信息系统所承载业务的知识，信息系统审计专业知识、信息技术专业知识及其相关的法规知识等。

（一）信息系统审计专业能力

主要包括：信息系统审计概述、审计程序、审计方法、审计判断、审计质量。其中信息系统审计程序是指开展信息系统审计工作时，从审计计划工作开始，经历编制审计工作计划和审计实施方案，开展符合性测试、实质性审查和补偿性控制审查等审计实施工作，最后出具审计报告，并对重要事项进行后续跟踪审计的全过程；信息系统审计方法是指审计人员在审计监督活动过程中所运用的各种手段的总称，主要有审计方法、审计工具、第三方资源利用等；信息系统审计判断是指审计人员依据法规类、标准类、规则类的控制规定，对信息系统的管理控制、应用控制、网络控制、安全控制进行审计建议类、违规类、违法类的判断活动；信息系统审计质量是指在审计机构建立分级负责的审计质量控制制度，并基于审计计划、审计实施、审计报告等阶段的全过程质量管控机制，加强审计质量控制，提升信息系统审计的质量和水平的过程。并通过信息系统审计的案例，介绍案例名称、审计事项、基本情况、分析流程、发现问题、审计意见等7要素如何阐述，以建立信息系统审计较完整的知识架构。

（二）信息系统管理控制

一是信息系统建设和运维单位在项目规划设计、立项审批、组织实施、投资与预算执行、验收交付、运行维护、绩效评价等全过程应遵循的国家法律法规、规章制度、标准规范以及信息系统应达成的目标、能力和完成的任务；二是建设和运维单位应建立健全的组织体系、机构人员、职责权限、制度规范、资源配置、流程活动等组织管理体制机制，以及这些机构和人员所履行的管理活动及有效性。

信息系统管理控制审计的主要内容，是通过对规章制度、规划方案、立项报告、采购文件、详细设计、合同执行、验收文档、财务台账、决算报表等进行检查梳理，对系统功能、性能、数据、代码进行测试、比较、分析，重点对立项、实施、投资、验收四个环节进行审查，发现信息系统管理中是否存在以下问题：职责分工不清、信息系统资源配置不合理、信息系统目标与国家发展方向不符、系统需求分析不当导致信息系统能力不满足业务需求、招标采购程序与范围和形式不合法不合理不规范、设计和建设过程中的开发、测试、上线等重要环节的质量、进度、安全、变更实施管理不力和不合规、验收与运维管理质量控制失效、投资调整与预算执行及竣工决算和合同与资产管理不真实不合法以及效益低下等问题，评价信息系统管理是否符合国家战略方向，是否满足组织战略需求，是否与其业务目标相一致，信息技术业务活动是否符合法律法规和标准规范要求等。

（三）信息系统应用控制

信息系统建设和运维单位为保障项目应用规划的符合性和有效性，按照国家、行业的规章制度及标准规范，加强政务信息化的政府治理、公共服务、企业信息化的规划控制，使信息系统项目具有更好的可靠性、安全性和经济性。主要内容涉及国家政务信息化规划控制；政府治理信息化规划控制；公共服务信息化规划控制和开展应用规划控制的审计等方面。

信息系统应用控制审计的主要内容，一是业务能力控制审计方面，具有对门户网站、管理系统、业务系统、数据中心、共享平台、运维系统、安全系统的系统整合，信息系统目录的更新和总目录的构建，信息系统的集约化、持续性、业务连续性等业务能力控制的审计评价能力；二是数据资源控制审计方面，具有对政府治理、公共服务、企业和社会信息化等方面分类分级建设的数 据资源控制，数据资源的业务目录、共享目录、开放目录，元数据、主数据、数据元素、数据表、主题数据等制度标准控制的审计评价能力；三是分析模型控制审计方面，具有对信息系统的业务流程和业务逻辑等的业务处理模型，多维数据分析、聚类关联分析、模拟仿真分析等的数据分析模型，知识图谱分析、决策支持分析等的算法和大数据分析算法模型等控制的审计评价能力；四是新技术运用控制审计方面，具有对移动互联、物联网、大数据、人工智能等新一代信息技术运用的审计评价能力。

（四）信息系统网络控制

信息系统建设和运维单位为保障计算机网络系统、计算系统、存储系统、备份系统、机房系统项目规划的符合性和有效性，按照国家、行业的规章制度及标准规范，加强网络系统、计算系统、存储系统、备份系统、机房系统项目的规划控制，使其具有更好的可靠性、安全性和经济性。

信息系统网络控制审计的主要内容，一是组织层面的网络系统控制审计，主要审核管理层对网络系统的规划目标、资源配置、规范制定、风险管理等落实情况。二是网络系统技术一般性控制审计，主要审核访问权限、数据完整性、备份和恢复、系统开发及维护等方面技术落实情况，确保网络系统的可靠性、安全性和有效性。三是网络系统应用控制审计，主要审核输入控制、处理控制、输出控制、存储控制、安全控制等情况，确保网络系统应用与控制的正确性、合规性、可靠性。

（五）信息系统安全控制

信息系统建设和运维单位为落实国家总体安全观、维护国家安全，为保护网络系统的硬件、软件和数据不因偶然或恶意的原因而遭受破坏、更改、泄露，为保障网络系统的硬件、软件和数据的可用性、完整性和机密性，应遵循的国家法律法规、规章制度和标准规范，应采取的组织措施、管理措施和技术措施，应达成的系统保障目标和安全保护能力及突发网络安全事件的应急处置能力。

信息系统安全控制审计的主要内容，一是检查《网络安全法》、《数据安全法》等法律法规所要求的安全管理体系、制度、管理措施、安全义务是否健全完整、执行有效，信息安全管理方针、工作目标、范围、原则和安全框架、安全策略、操作规程等规章制度以及网络安全技术的运用、数据处理活动、数据安全保护措施等，是否符合国家相关法律、法规的规定，符合行业相关标准与规范的要求，符合组织安全管理的目标要求，能够对组织的资产、网络资源提供可靠有效的安全保障，支持系统安全运行；二是检查信息系统等级保护制度的落实和实施情况，检查信息系统安全等级保护的定级、建设、测评、整改、备案等程序的执行情况，究其合规性和完备性；三是检查安全风险评估情况，检查风险评估方案、风险评估程序、资产识别清单、风险评估报告、风险处理计划、风险评估记录等文档，评价被审计单位安全风险评估工作是否合规和有效，是否通过风险评估、持续检查等手段，能够实现信息安全管理体系的持续改进与完善；四是检查网络信息安全事件应急预案制度的贯彻执行情况，检查预案的目标、体系、任务、指标是否符合国家相关法律、法规的规定和行业相关标准与规范的要求，检查应急预案演练、培训情况，揭示网络信息安全事件预案制度落实中存在的问题，提出整改建议，促进网络信息安全事件应急处置工作不断完善。