计算机审计实务公告第34号-关于印发信息系统审计指 下载本文

共基础信息的信息共享与业务协同。

(二十五)其他共享信息建设测评。检查被审计单位按照国家或者行业确定、或者与其他部门协定的满足其他部门经济业务活动需要的共享信息的建设任务,是否按照国家、行业或者协定的共享信息标准规范组织建设,是否建立了共享信息的管理制度和机制,是否具有较为完备的信息系统实现功能,是否支持了其他部门的信息共享与业务协同。

(二十六)信息共享平台建设测评。检查被审计单位按照国家或者行业确定的信息共享平台建设任务,是否按照国家或者行业关于共享平台建设的标准规范组织建设和运维,是否建立了信息共享和信息安全的技术控制和管理机制,是否具有较为完备的信息系统实现功能,是否支持了相关部门的信息共享和业务协同。

第二十九条 共享外部数据审计事项测评指标:

(二十七)共享外部数据测评。检查被审计单位职能需要的公共基础信息和其他共享信息,以及与系统内部数据的业务关联度,是否具有较为明确的共享外部数据信息目录和格式规范。

(二十八)共享外部数据有效性评估。检查被审计单位是否建立了获取外部数据的相关制度和机制,系统是否具有获取外部数据的接口功能,分析外部数据缺失对被审计单位经济业务活动有效性的影响,分析研究缺失外部数据的原因和解决途径。

第三十条 供给外部数据审计事项测评指标:

(二十九)供给外部数据测评。检查系统是否具有外部所需

的公共基础信息和其他共享信息,是否建立了供给外部数据和信息资源共建共享的相关制度和机制,是否能够满足外部政务职能、社会管理职能等组织机构的信息需求。

(三十)供给外部数据有效性评估。检查被审计单位是否建立了供给外部数据的相关制度和机制,系统是否具有符合国家或者行业数据接口标准的数据输出接口功能,是否按照国家或者行业相关规定实现了有效的信息交换与共享机制,是否较好地支持了外部系统相关业务的协同发展。

第四章 一般控制审计

第一节 信息系统总体控制审计

第三十一条 信息系统总体控制审计的目的是通过检查被审计单位信息系统总体控制的战略规划、组织架构、制度机制、岗位职责、内部监督等,分析信息系统在内部环境、风险评估、控制活动、信息与沟通、内部监督方面的有效性及其风险,形成信息系统总体控制的审计评价和结论,提出审计意见和建议,促进信息系统总体控制的完善,并为审计项目对信息系统总体控制的审计评价提供支持。

第三十二条 信息系统总体控制审计事项评价指标: (三十一)战略规划评价。检查被审计单位是否建立了信息系统战略发展规划,是否明确了战略目标、整体规划、实现指标

和相应的实施机制,以及规划的业务和管理的覆盖面、所辖行业的覆盖面,是否能够指导和推进信息化环境下经济业务活动的战略发展。

(三十二)组织架构评价。检查被审计单位是否建立了与信息系统战略发展规划相匹配的决策与管理层领导机构、项目实施层工作机构,以及行业内各层级的信息化工作机构,是否建立了各类机构的权力责任和制约机制,是否有效地发挥了各类机构的作用。

(三十三)制度体系评价。检查被审计单位是否建立了与信息系统战略规划和组织架构相匹配的项目管理制度、项目建设制度、质量检查制度等,是否建立了重大问题的决策机制,是否形成了领导机构对项目实施机构和行业工作机构的统一领导,项目实施机构是否形成了对项目建设进度、项目质量、投资效果和风险防范的有效控制。

(三十四)岗位职责评价。检查被审计单位信息系统规划、建设、运维等方面的岗位设置、人员配置、岗位职责,是否建立了各类岗位职责的检查考核机制,是否建立了信息系统建设和经济业务活动之间、信息系统建设的相关岗位之间有效的信息沟通与交互机制。

(三十五)内部监督评价。检查被审计单位是否建立健全了信息系统建设和运维全过程的内部监督机构和监督机制,是否形成了对信息系统的风险评估、控制活动和信息交互等方面的有效

控制和监督,是否较好地发挥了促进信息系统健康运行的监督保障作用。

第二节 信息安全技术控制审计

第三十三条 信息安全技术控制审计的目的是通过检查被审计单位信息系统的信息安全技术及其控制的整体方案,检查安全计算环境、区域边界、通讯网络等方面的安全策略和技术设计,检查信息系统的安全技术配置和防护措施,发现并揭示信息系统安全技术控制的缺失,分析并评价风险程度,形成信息安全技术控制的审计结论,提出审计意见和建议,促进信息系统安全技术及其相关控制的落实;为数据审计防范和控制审计风险,以及审计项目对信息安全技术控制的审计评价提供支持。

第三十四条 信息安全技术控制审计事项测评指标: (三十六)物理安全控制测评。检查系统机房及其重要工作房间的物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面的安全策略和防护措施。

(三十七)网络安全控制测评。检查网络结构安全、网络设备访问控制、网络设备安全审计、网络边界完整性、网络入侵防范、网络恶意代码防范、网络设备防护的安全策略和防护措施。

(三十八)主机安全控制测评。检查主要服务器操作系统、重要终端操作系统和主要数据库管理系统的身份鉴别、访问控制、安全审计和剩余信息保护方面的安全策略和防护措施,检查主要