关于信息系统审计内容的研究
摘 要:信息系统审计在我国尽管起步较晚,但其重要性日渐明
显。刘家义审计长明确指出,信息系统审计要抓住三个
关键点,即安全性、有效性(可靠性)和经济性。因此
信息系统审计的内容也成为审计人员关注的问题,本文
将通过分析信息系统审计的概念及目标,总结并详细阐
述审计机关进行信息系统审计的主要内容。
关键词:信息系统 审计 安全
一、我国信息系统审计发展现状
2005年3月21日大连中行员工翟昌平因利用银行系统漏洞
窃取银行800万美元现金而落网,同年,相继在黑龙江、重庆类似的案件频有发生。这些案件的破获均是在企业进行内部信息系统审计时发现的。2006年4月21日许霆因利用银行取款机漏洞窃取银行17.5万元现金的落网。2008年4月18日浙江龙游县一盲人利用通讯系统漏洞实施诈骗27万多元。各地“网络大盗”利用漏洞破密码盗窃案件接连不断。特别近两年以来时有地方政府网站被恶意篡改,2008年12月荆州市商务局的网站被“黑”,
据国内信息安全机构报道,整个2009年10月,全国平均每天有1%的政府网站被“黑”,其中主要原因是口令过于简单和文件漏洞太多。
以上种种案件表明,所有案件均是在事后,都是已经对国家
人民财产造成了危害损失后发现的,怎样才能避免这类情况的发生,信息系统安全防范工作已经成为信息时代的主要问题,对信息系统开展安全审计已经成为审计机关保护国家财政财务安全,充分发挥审计“免疫系统”功能的重要措施。
国家对信息系统审计给予了高度重视,早在2001年国务院
办公厅下发的《关于利用计算机信息系统开展审计工作有关问题的通知》,明确规定审计机关有权检查被审计单位运用计算机管理财政收支、财务收支的信息系统。审计署在过去五年规划中也对中国国家审计工作重点作出了一个里程碑式的转变。中国审计机关从此也可能开始逐渐关注信息系统整体的安全、风险、管理、控制。
二、信息系统审计概念与目标
随着会计电算化的普及、ERP的应用,信息系统审计也有了
用武之地,因为账不再仅仅是纸质的。信息化条件下,审计人员如果仅仅对计算机、财务软件中保存运行的数据进行计算、核对,
很可能形成信息化条件下的“假账真查”。由此审计人员注意到了处理财政财务业务的信息系统, 于是信息系统审计应运而生,从这一方面看,可以说信息系统审计是为财政财务审计服务的。
关于信息系统审计,美国信息系统审计学科的领军者Ron
Weber 给信息系统审计做出了如下概括:“收集并评估证据,以判断一个信息系统是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。审计机关所审计的信息系统狭义上讲就是被审计单位运用计算机管理财政收支、财务收支的信息系统。审计署曾给审计下过一个简明定义:“审计是独立检查会计账目,监督财政财务收支真实、合法、效益的行为。”综合起来讲,信息系统审计就是收集并评估证据,确认信息系统是否能够做到真实、合法、安全的管理国家财政财务收支。
根据信息系统审计的概念,我们可以总结出审计机关开展信
息系统审计的目标是:确认资产安全性、保证数据完整性、认定系统合规性。
三、审计机关开展信息系统审计的内容
“信息系统审计注重应用系统审计,开发流程,已建立系统
的应用,它是基于应用系统的。”那么针对已经建立的应用系统我们应该具体审计那些内容呢?我们还是要关注信息系统审计的
目的——资产安全性、数据完整性、系统合规性,我们要考虑的就是针对这三个方面,开展信息系统审计。
(一)信息系统资产安全性审计
翟昌平案和许霆案都是在事后发现了系统漏洞,国家财产已
经遭受了损失,如何才能有效防止此类案件发生,资产安全审计已经迫在眉睫。那么信息系统审记需要做那些事情才能有效控制资产安全呢?我们要从以下几个方面着手:
1、组织管理架构审计。主要审计IT岗位分工与制度一致,例如,申请、审批双岗同人;权责是否一致,例如,高层领导将系统密码给下属,允许其代替办公;员工安全意识,如,911之前,美国审计署检查了全国30多个机场,对机场的安检设施和制度提出了警告,还乔装打份,试探美国国防部的保卫工作,结果连过三道门岗如入无人之境,审计报告引起轩然大波;系统流程与实际流程是否一致。
2、对系统基础设施及环境的审计。审计范畴为:硬件环境与防灾、主机硬件安全、底层支撑系统安全、通信线路安全、数据存储/IO安全、物理访问控制。
3、网络安全审计。目前的网络安全审计的解决方案有以下几类:
日志审计:目的是收集日志,通过SNMP、SYSLOG、OPSEC或者其他的日志接口从各种网络设备、服务器、用户电脑、数据库、应用系统和网络安全设备中收集日志,进行统一管理、分析和报警。
主机审计:通过在服务器、用户电脑或其他审计对象中安装客户端的方式来进行审计,可达到审计安全漏洞、审计合法和非法或入侵操作、监控上网行为和内容以及向外拷贝文件行为、监控用户非工作行为等目的。
网络审计:通过旁路和串接的方式实现对网络数据包的捕获,而且进行协议分析和还原,可达到审计服务器、用户电脑、数据库、应用系统的审计安全漏洞、合法和非法或入侵操作、监控上网行为和内容、监控用户非工作行为等目的。
网络安全审计当前值得关注的是无线网络安全审计、数据库防护。其中无线网络的审计技术包含无线接入引发的安全风险、基于无线接入的最新攻击技术、无线网络渗透攻击过程与工具等。
(二)信息系统数据完整性审计
数据库中的数据是从外界输入的,而数据的输入由于种种原因,会发生输入无效或错误信息。保证输入的数据符合规定,成
为了数据库系统,尤其是多用户的关系数据库系统首要关注的问题。数据完整性因此而提出。数据完整性(Data Integrity)是指数据的精确性(Accuracy) 和可靠性(Reliability)。它是应防止数据库中存在不符合语义规定的数据和防止因错误信息的输入输出造成无效操作或错误信息而提出的。
根据上述对数据完整性的定义,我们可以确定数据完整性审计应包括以下几个内容:
1、应用控制审计
应用控制审计是直接针对业务系统根据用户反馈、用例测试结果、实际业务数据、代码分析结果发现系统风险及其对业务的直接影响。
2、输入输出控制审计
输入控制审计要点:CONTROL TOTALS、多点录入、终端访问
控制、Session窗口控制。
输出控制审计要点:访问控制、缓冲区安全、派发路径安全。
3、数据审计
通过直接获取数据库数据,对实体完整性、用户定义完整性、参照完整性、域完整性的验证,来确认信息应用系统设计和获取的完整性。
(三)信息系统合规性审计 合规性审查主要包含制度合规性和技术合规性。制度合规性审查的主要依据是被审查对象所构建的业务逻辑要符合国家的法律法规强制标准的适用条款、符合其所在地方法律法规强制标准的使用条款、符合其所属行业标准、符合其所属法人的规章制度。技术合规性是指被审计对象开发技术是否符合软件工程国家标准,包括基础标准(ISO 9000标准族)以及开发标准、文档标准、管理标准(GB标准族)。
系统合规性的主要审计内容就是进行代码审计辅以数据审计,简单的说就是审计代码规范性,代码安全性(例如,在对某商业银行进行审计过程中发现,由于代码员的经验问题,在撰写计算还款利息时的公式时发生错误,导致每笔还款利息多计算1分钱),关键处理流程正确性(此处旨在检查业务逻辑是否符合相关的法律法规以及规章制度),后门、调试与逻辑炸弹,以此来保证系统的正确性和合规性。
以上三方面的审计内容是针对当前国情以及我国信息系统
审计发展现状所做出的研究,当结合国外发达国家和大型企业的内审经验,如果作为内部审计角色,我们的信息系统审计还要进行系统有效性和系统效率性两方面的审计,这两方面主要是针对IT投资项目进行效益审计的,具体审计内容这里不进行详细说
明。
综上所述,本文通过对国内信息系统审计发展现状及相关理
论政策研究,推理出审计机关信息系统审计的概念和目标,即:信息系统审计就是收集并评估证据,确认信息系统是否能够做到真实、合法、安全的管理国家财政财务收支。信息系统审计的目标是确认资产安全性、保证数据完整性、认定系统合规性。根据信息系统审计目标总结了在我国审计机关开展信息系统审计的主要内容,即信息系统资产安全性审计、数据完整性审计、合规性审计,并详细阐述了这三方面审计的具体内容。然而,本文是研究审计机关开展信息系统审计的内容的,相对于其他事务所或者企业内控部门所做的信息系统审计是有区别的,对信息系统审计方法没有在这部分研究里详细提及。由于水平有限,文中难免有不妥和错误之处,我们诚恳的希望各位专家和读者不吝指教和帮助。
引文:
[1] Ron Weber主编.Information Systems Control and Audit.2001年
[2] 王智玉. 信息系统审计是做什么的,http://hnjygh.hnedu.cn/web/147/200407/ [1**********].html, 2007.06.13
[3] 浅析网络安全审计原理和技术.http://netsecurity.51cto.com, 2010.09.24
[4] 信息系统审计与控制协会(CISA)2004-2005标准管理委员会.信息系统审计标准, 2004年
关于信息系统审计内容的研究
摘 要:信息系统审计在我国尽管起步较晚,但其重要性日渐明
显。刘家义审计长明确指出,信息系统审计要抓住三个
关键点,即安全性、有效性(可靠性)和经济性。因此
信息系统审计的内容也成为审计人员关注的问题,本文
将通过分析信息系统审计的概念及目标,总结并详细阐
述审计机关进行信息系统审计的主要内容。
关键词:信息系统 审计 安全
一、我国信息系统审计发展现状
2005年3月21日大连中行员工翟昌平因利用银行系统漏洞
窃取银行800万美元现金而落网,同年,相继在黑龙江、重庆类似的案件频有发生。这些案件的破获均是在企业进行内部信息系统审计时发现的。2006年4月21日许霆因利用银行取款机漏洞窃取银行17.5万元现金的落网。2008年4月18日浙江龙游县一盲人利用通讯系统漏洞实施诈骗27万多元。各地“网络大盗”利用漏洞破密码盗窃案件接连不断。特别近两年以来时有地方政府网站被恶意篡改,2008年12月荆州市商务局的网站被“黑”,
据国内信息安全机构报道,整个2009年10月,全国平均每天有1%的政府网站被“黑”,其中主要原因是口令过于简单和文件漏洞太多。
以上种种案件表明,所有案件均是在事后,都是已经对国家
人民财产造成了危害损失后发现的,怎样才能避免这类情况的发生,信息系统安全防范工作已经成为信息时代的主要问题,对信息系统开展安全审计已经成为审计机关保护国家财政财务安全,充分发挥审计“免疫系统”功能的重要措施。
国家对信息系统审计给予了高度重视,早在2001年国务院
办公厅下发的《关于利用计算机信息系统开展审计工作有关问题的通知》,明确规定审计机关有权检查被审计单位运用计算机管理财政收支、财务收支的信息系统。审计署在过去五年规划中也对中国国家审计工作重点作出了一个里程碑式的转变。中国审计机关从此也可能开始逐渐关注信息系统整体的安全、风险、管理、控制。
二、信息系统审计概念与目标
随着会计电算化的普及、ERP的应用,信息系统审计也有了
用武之地,因为账不再仅仅是纸质的。信息化条件下,审计人员如果仅仅对计算机、财务软件中保存运行的数据进行计算、核对,
很可能形成信息化条件下的“假账真查”。由此审计人员注意到了处理财政财务业务的信息系统, 于是信息系统审计应运而生,从这一方面看,可以说信息系统审计是为财政财务审计服务的。
关于信息系统审计,美国信息系统审计学科的领军者Ron
Weber 给信息系统审计做出了如下概括:“收集并评估证据,以判断一个信息系统是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。审计机关所审计的信息系统狭义上讲就是被审计单位运用计算机管理财政收支、财务收支的信息系统。审计署曾给审计下过一个简明定义:“审计是独立检查会计账目,监督财政财务收支真实、合法、效益的行为。”综合起来讲,信息系统审计就是收集并评估证据,确认信息系统是否能够做到真实、合法、安全的管理国家财政财务收支。
根据信息系统审计的概念,我们可以总结出审计机关开展信
息系统审计的目标是:确认资产安全性、保证数据完整性、认定系统合规性。
三、审计机关开展信息系统审计的内容
“信息系统审计注重应用系统审计,开发流程,已建立系统
的应用,它是基于应用系统的。”那么针对已经建立的应用系统我们应该具体审计那些内容呢?我们还是要关注信息系统审计的
目的——资产安全性、数据完整性、系统合规性,我们要考虑的就是针对这三个方面,开展信息系统审计。
(一)信息系统资产安全性审计
翟昌平案和许霆案都是在事后发现了系统漏洞,国家财产已
经遭受了损失,如何才能有效防止此类案件发生,资产安全审计已经迫在眉睫。那么信息系统审记需要做那些事情才能有效控制资产安全呢?我们要从以下几个方面着手:
1、组织管理架构审计。主要审计IT岗位分工与制度一致,例如,申请、审批双岗同人;权责是否一致,例如,高层领导将系统密码给下属,允许其代替办公;员工安全意识,如,911之前,美国审计署检查了全国30多个机场,对机场的安检设施和制度提出了警告,还乔装打份,试探美国国防部的保卫工作,结果连过三道门岗如入无人之境,审计报告引起轩然大波;系统流程与实际流程是否一致。
2、对系统基础设施及环境的审计。审计范畴为:硬件环境与防灾、主机硬件安全、底层支撑系统安全、通信线路安全、数据存储/IO安全、物理访问控制。
3、网络安全审计。目前的网络安全审计的解决方案有以下几类:
日志审计:目的是收集日志,通过SNMP、SYSLOG、OPSEC或者其他的日志接口从各种网络设备、服务器、用户电脑、数据库、应用系统和网络安全设备中收集日志,进行统一管理、分析和报警。
主机审计:通过在服务器、用户电脑或其他审计对象中安装客户端的方式来进行审计,可达到审计安全漏洞、审计合法和非法或入侵操作、监控上网行为和内容以及向外拷贝文件行为、监控用户非工作行为等目的。
网络审计:通过旁路和串接的方式实现对网络数据包的捕获,而且进行协议分析和还原,可达到审计服务器、用户电脑、数据库、应用系统的审计安全漏洞、合法和非法或入侵操作、监控上网行为和内容、监控用户非工作行为等目的。
网络安全审计当前值得关注的是无线网络安全审计、数据库防护。其中无线网络的审计技术包含无线接入引发的安全风险、基于无线接入的最新攻击技术、无线网络渗透攻击过程与工具等。
(二)信息系统数据完整性审计
数据库中的数据是从外界输入的,而数据的输入由于种种原因,会发生输入无效或错误信息。保证输入的数据符合规定,成
为了数据库系统,尤其是多用户的关系数据库系统首要关注的问题。数据完整性因此而提出。数据完整性(Data Integrity)是指数据的精确性(Accuracy) 和可靠性(Reliability)。它是应防止数据库中存在不符合语义规定的数据和防止因错误信息的输入输出造成无效操作或错误信息而提出的。
根据上述对数据完整性的定义,我们可以确定数据完整性审计应包括以下几个内容:
1、应用控制审计
应用控制审计是直接针对业务系统根据用户反馈、用例测试结果、实际业务数据、代码分析结果发现系统风险及其对业务的直接影响。
2、输入输出控制审计
输入控制审计要点:CONTROL TOTALS、多点录入、终端访问
控制、Session窗口控制。
输出控制审计要点:访问控制、缓冲区安全、派发路径安全。
3、数据审计
通过直接获取数据库数据,对实体完整性、用户定义完整性、参照完整性、域完整性的验证,来确认信息应用系统设计和获取的完整性。
(三)信息系统合规性审计 合规性审查主要包含制度合规性和技术合规性。制度合规性审查的主要依据是被审查对象所构建的业务逻辑要符合国家的法律法规强制标准的适用条款、符合其所在地方法律法规强制标准的使用条款、符合其所属行业标准、符合其所属法人的规章制度。技术合规性是指被审计对象开发技术是否符合软件工程国家标准,包括基础标准(ISO 9000标准族)以及开发标准、文档标准、管理标准(GB标准族)。
系统合规性的主要审计内容就是进行代码审计辅以数据审计,简单的说就是审计代码规范性,代码安全性(例如,在对某商业银行进行审计过程中发现,由于代码员的经验问题,在撰写计算还款利息时的公式时发生错误,导致每笔还款利息多计算1分钱),关键处理流程正确性(此处旨在检查业务逻辑是否符合相关的法律法规以及规章制度),后门、调试与逻辑炸弹,以此来保证系统的正确性和合规性。
以上三方面的审计内容是针对当前国情以及我国信息系统
审计发展现状所做出的研究,当结合国外发达国家和大型企业的内审经验,如果作为内部审计角色,我们的信息系统审计还要进行系统有效性和系统效率性两方面的审计,这两方面主要是针对IT投资项目进行效益审计的,具体审计内容这里不进行详细说
明。
综上所述,本文通过对国内信息系统审计发展现状及相关理
论政策研究,推理出审计机关信息系统审计的概念和目标,即:信息系统审计就是收集并评估证据,确认信息系统是否能够做到真实、合法、安全的管理国家财政财务收支。信息系统审计的目标是确认资产安全性、保证数据完整性、认定系统合规性。根据信息系统审计目标总结了在我国审计机关开展信息系统审计的主要内容,即信息系统资产安全性审计、数据完整性审计、合规性审计,并详细阐述了这三方面审计的具体内容。然而,本文是研究审计机关开展信息系统审计的内容的,相对于其他事务所或者企业内控部门所做的信息系统审计是有区别的,对信息系统审计方法没有在这部分研究里详细提及。由于水平有限,文中难免有不妥和错误之处,我们诚恳的希望各位专家和读者不吝指教和帮助。
引文:
[1] Ron Weber主编.Information Systems Control and Audit.2001年
[2] 王智玉. 信息系统审计是做什么的,http://hnjygh.hnedu.cn/web/147/200407/ [1**********].html, 2007.06.13
[3] 浅析网络安全审计原理和技术.http://netsecurity.51cto.com, 2010.09.24
[4] 信息系统审计与控制协会(CISA)2004-2005标准管理委员会.信息系统审计标准, 2004年