发布于:2023-12-24 02:35:05 来源:工业自动化 点击量:14次
自上世纪六十年代开端,信息技术发展较早的西方国家和地区,就渐渐的开端信息系统审计作业。如美国自1964年开端,就对其联邦政府组织和企业安排了信息系统审计作业,并逐步构成了法规、标准和操作攻略。1977年美国信息系统审计与操控协会(ISACA)发布了《信息技术操控方针》(COBIT,其5.0版别于2013年发布,称号随之改为“企业IT办理结构”),被遍及用于信息系统审计的根据。2002年美国审计署(GAO)发布了《联邦信息系统操控审计手册》(FISCAM),要求联邦政府各部分据此展开信息系统审计。跟着2002年美国萨班斯法案的推出,美国逐步将信息系统审计作为一种信息安全操控的手法,经过ISACA、“四大管帐师事务所”等在全球推广。2000年前后,信息系统审计逐步进入我国。
回忆十几年来我国信息安全保证作业,遍及注重了P和D两个阶段,通常是收购信息安全产品,以建造和运转保护为主;而忽视了C和A阶段,即监督查看和继续改进,尤其是独立于IT部分的监督查看。然后未能将其构成一个有用的、可继续改进的闭环。
与信息技术发达国家比较,我国信息系统审计起步较晚,大致自2000年前后开端,先是银行等金融企业自发展开信息系统内部审计,如建行、工行、人行等在2000年就现已在其内部审计部分设置“IT审计处”。我国审计署自2005年前后,开端信息系统国家审计的测验和探究,基本上与传统财政财政收支审计、经济责任审计和重点项目审计等结合在一起展开。
因为我国信息系统审计短少自身的理论研究和工程实践,十几年来,无论是内部审计,仍是国家审计,均受制于以“四大”为代表的国外管帐事务所。他们经过审计手法,包含传统财政审计和信息系统审计,不只占据了我国信息系统审计的商场,还把握了我国很多重要范畴经济数据,包含金融、电信、动力等职业数据,对我国网络安全带来了危险。
跟着我国信息技术在各个职业范畴的广泛应用,我国职业自身的信息系统审计作业也逐步展开起来。自2009年以来,银监会、证监会、财政部、国资委等职业监管部分连续出台了许多职业方针或监督办理要求,纷繁要求监管企业和职业企业安排信息系统审计。但因部分不同、功能不同,无法树立起全国一致的信息系统审计准则和标准。国内供给信息系统审计的企业或事务所没有生长起来。
(一)拟定信息系统审计的规章准则。从法规上提出我国境内展开信息系统审计的标准和要求。国家主管部分或职业主管部分,一方面应从准则上要求重要信息系统职业和用户单位,如金融、动力、电信、海关、税务、政务等范畴,定时展开信息系统审计。另一方面临从事信息系统审计服务的组织,也要提出标准要求,以下降因为审计自身而带来的网络安全危险。
(二)拟定信息系统审计国家标准。信息系统审计需求系列标准作为支撑,如信息系统审计要求标准,提出对信息系统审计组织和被审计方的具体审计要求。信息系统审计攻略标准,能够具体论述怎么施行信息系统审计,包含审计计划和计划,审计办法和流程,审计根据和内容,审计发现和陈述,以及后续审计活动等。信息系统审计人员要求标准,能够提出从事信息系统审计的专业技术人员的要求,包含职业道德、应具有的常识、才能和技术等。
(三)在网络安全保证作业中展开信息系统审计试点。信息系统审计是一项方针明晰、流程标准、规模明晰的服务性质的作业,其意图是协助被审计方提醒网络安全危险,供给改进主张。除银职业外,其它职业罕见展开。主张动力、电信、政务、海关、税务等重要信息系统职业部分挑选若干单位试点展开信息系统审计,为往后准则化定时展开信息系统审计堆集经历。(北京年代新威信息技术有限公司总经理 王新杰)