计算机审计实务公告第34号-关于印发信息系统审计指 下载本文

率、使用效果等问题是否进行了及时有效整改,有无拒不整改或者整改后仍不符合要求的情况。

第四十八条 项目运行管理审计事项评价指标:

(七十九)项目运行管理评价。检查项目建设单位是否落实了项目运行管理机构和管理人员,是否实行了运行管理责任制,是否制定和完善了管理制度。

(八十)项目运维服务评价。检查项目建设单位是否建立了有效的运维服务队伍和机制,落实了运维服务资金,加强了日常运行和维护管理,保障了信息系统运行的可靠性。

第四十九条 涉密信息系统分级保护审计事项评价指标: (八十一)涉密信息系统定级审批评价。检查涉密信息系统是否在建设前通过了主管部门的分级保护定级的审核批准。

(八十二)涉密信息系统使用审批评价。检查涉密信息系统是否在建成后通过了主管部门的安全保密测评和投入使用的审核批准。

(八十三)涉密信息系统整改与备案评价。检查已投入使用的信息系统是否完成系统整改后向主管部门备案。

第五十条 非涉密信息系统等级保护审计事项评价指标: (八十四)等级保护备案审批评价。检查非涉密信息系统是否在建设前向主管部门备案定级情况并得到审核批准。

(八十五)等级保护测评情况评价。检查非涉密信息系统是否在建成后通过了主管部门组织的等级保护测评。

(八十六)等级保护自查整改评价。检查非涉密信息系统是否在投入使用后按规定组织自查,并依据主管部门检查意见进行整改。

第五十一条 信息安全风险评估审计事项评价指标: (八十七)风险评估委托测评评价。检查项目是否按规定委托有资质的测评机构进行了风险评估。

(八十八)风险评估整改落实评价。检查是否对信息安全风险评估报告提出的整改意见予以落实。

(八十九)残余风险评估与防范评价。检查对残余风险是否采取了相应的防范措施。

第三节 信息系统绩效评价

第五十二条 信息系统绩效评价的目的是通过检查被审计单位信息系统顶层设计及建设实现的管理决策支持能力、经济业务协同能力、系统建设发展能力和信息系统贡献能力的提升,以及经济业务活动的效率、效果和效能的改善,揭示信息系统顶层设计和建设方面的不足,提出审计意见和建议,进一步促进信息系统的实际效能提升,为审计项目对系统建设绩效的审计评价提供支持。

第五十三条 信息系统绩效审计事项评价指标:

(九十)信息系统总体绩效评价。检查信息系统的规划目标、发展战略、创新策略、分期建设方案和考核指标等,评价总体规划和分期建设方案对信息系统实际建设和应用的指导性效能的影

响程度。

(九十一)管理决策支持能力的绩效评价。检查信息系统对支持和提升组织管理、业务管理、行政管理等方面的情况,评价信息系统对提升管理决策能力,改善经济业务发展方面的效率、效果与效能的影响程度。

(九十二)信息资源共享能力的绩效评价。检查信息系统中的管理资源、业务资源、人力资源、财力资源、技术资源、市场资源等各类信息资源的共享程度和利用状况,评价信息系统的共享协同对改善经济业务发展的效率、效果与效能的影响程度。

(九十三)经济业务协同能力的绩效评价。检查信息系统对提升单位内部不同业务之间、行业内部不同单位之间、与外部相关经济业务之间的业务协同情况,评价信息系统对提升经济业务协同能力,改善经济业务发展的效率、效果与效能的影响程度。

(九十四)系统建设发展能力的绩效评价。检查信息系统的整体架构、技术路线、开发策略、应用模式和运维模式,以及应对职能业务发展、信息技术发展、环境风险防范等方面的适应能力,评价信息系统对职能业务发展可持续支持的影响程度。

(九十五)信息系统贡献能力的绩效评价。检查信息系统运行对单位经济业务活动和国家经济社会健康发展的经济效益、社会效益的影响,信息系统的规划模式、建设模式等对其他行业信息化的可借鉴性,评价信息系统对经济业务发展和行业、地区信息化发展的贡献度。

第六章 信息系统审计方法

第五十四条 系统调查方法。依据审计实施方案确定的审计目标和审计事项,调查被审计单位的相关业务活动及其所依赖的信息系统,调查信息系统的立项审批、系统建设、运行管理、运维服务、项目投资等情况,以及相关责任机构和管理制度等。

第五十五条 资料审查方法。为了确定信息系统的重要控制环节和重要控制点,审查信息系统的立项审批、系统设计、招标采购、项目实施、项目验收、系统运行、运维服务、项目投资,以及各类第三方测试或者评估等相关文档资料。重点审查应用控制、一般控制和项目管理中的重要事项资料。

第五十六条 系统检查方法。为了核定信息系统的重要控制环节和重要控制点,需要对应用控制的数据输入、处理、输出及其信息共享与业务协同的相关控制进行检查,对一般控制环境、区域边界和网络通信,以及信息系统的物理环境、网络、主机、应用、数据和安全等各类系统控制进行实地检查。

第五十七条 数据测试方法。为验证数据输入、处理和输出控制的有效性,采用模拟数据对运行系统或者备份系统进行符合性测试;对重要的计量、计费、核算、分析等计算功能及其控制进行设计文档审查、系统设置检查和数据实质性测试的审查。必要时审查应用系统的源程序等。

第五十八条 数据验证方法:

数据采集验证。利用直连式、旁路式、代理式等合适的数据