信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。在信息系统审计过程中以下几个方面值得关注：
    
    一是关注企业的信息技术组织框架的健全与否。如是否建立企业CIO（总信息师）机制和企业IT治理机制，是否设立企业部门级的信息中心，企业的组织框架是否有利于企业信息化工作的开展、信息资源的有效利用和管理和企业信息化核心价值的提升。
    
    二是关注企业信息化发展规划是否完整、可行。如企业信息化规划是否统筹安排，信息化规章制度是否全面，且制度的执行是否纳入企业的绩效考核以及对下属机构、控股公司的信息化建设是否统一管理。
    
    三是关注企业信息系统运维管理。企业是否建立标准化、体系化、流程化的一体化运维管理体系。在当前企业一般对服务外包企业依赖性较大的情况下，是否建立对服务外包企业的准入、退出及运维服务监控与绩效评价机制。对外包服务导致的网络信息安全和重大事故的处理机制和出现事故后的技术和管理责任判定制度的完整性以及对服务外包企业的资质要求是否有相应规定等。
    
    四是关注网络安全产品。如网络安全产品是否取得公安部门颁发的《销售许可证》，尤其是核心技术、关键步骤是否更多依赖国外品牌。
    
    五是关注网络资源身份认证控制。企业网络资源访问的认证机制的安全度，是否对不同用户划分不同的安全级别并发放相应的安全证书。如内部网络是否采用IP-MAC地址绑定技术来管理和控制客户端IP地址资源以及信息安全事故发生后的追查事故源头。
    
    六是关注网络隔离及限制。如企业内网与互联网的有效隔离，内网VLAN的访问限制，重要信息系统的访问控制等。
    
    上述几个关注点，对于非计算机专业的审计人员而言，通过审计署计算机中级培训后完全能够胜任，且能够在较短时间内对企业信息组织管理控制和网络完全控制两个方面有一个较为系统全面的了解，便于进一步开展信息系统审计工作。（李建）

【关闭】    【打印】