國家審計中信息系統(tǒng)審計相關(guān)準(zhǔn)則的探討(06-6-23)

　　如同開展業(yè)務(wù)審計要具有相關(guān)法律法規(guī)作為審計依據(jù)一樣，開展信息系統(tǒng)審計同樣需要審計依據(jù)。國內(nèi)信息系統(tǒng)審計方面的工作近幾年才剛剛開始，基本仍處于摸索階段，而在國家審計中更是如此。目前，由于國內(nèi)關(guān)于信息系統(tǒng)審計方面的標(biāo)準(zhǔn)尚處于空白狀態(tài)，在國家審計中開展信息系統(tǒng)審計時，主要以國際公認(rèn)的相關(guān)信息系統(tǒng)審計標(biāo)準(zhǔn)為依據(jù)，同時積極參考我國相關(guān)法律法規(guī)來進(jìn)行。

　　目前，國際上關(guān)于信息系統(tǒng)審計方面可以參考的標(biāo)準(zhǔn)主要有信息及相關(guān)技術(shù)控制目標(biāo)COBIT（Control Objectives for Information and related Technology）、ISO17799、能力成熟度集成模型CMMI（Capability Maturity Model Integration）和IT基礎(chǔ)架構(gòu)庫ITIL（Information Technology Infrastructure Library）等。

　　COBIT是信息系統(tǒng)審計與控制協(xié)會ISACA（Information System Audit and Control Association）于1996年公布的目前國際上通用的信息系統(tǒng)審計的標(biāo)準(zhǔn)。它是一個在國際上公認(rèn)為最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)，目前已經(jīng)更新至第四版。它在商業(yè)風(fēng)險、控制需要和技術(shù)問題之間架起了一座橋梁，以滿足管理的多方面需要。該標(biāo)準(zhǔn)體系已在世界一百多個國家的重要組織與企業(yè)中運用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險。

　　COBIT將IT 過程，IT資源及信息與企業(yè)的策略與目標(biāo)聯(lián)系起來，形成一個三維的體系結(jié)構(gòu)。其中，IT準(zhǔn)則維集中反映了企業(yè)的戰(zhàn)略目標(biāo)，主要從質(zhì)量、成本、時間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性； IT資源維主要包括以信息、應(yīng)用系統(tǒng)、設(shè)施及人在內(nèi)的信息相關(guān)的資源，這是IT治理過程的主要對象；IT過程維則是在IT準(zhǔn)則的指導(dǎo)下，對信息及相關(guān)資源進(jìn)行規(guī)劃與處理，從信息技術(shù)的規(guī)劃與組織、獲取與實施、交付與支持、監(jiān)督與評估等四個方面確定了34個信息技術(shù)處理過程，每個處理過程還包括更加詳細(xì)的控制目標(biāo)和審計方針以對IT處理過程進(jìn)行評估。

　　COBIT真正關(guān)注的問題是一個企業(yè)是否具備適當(dāng)?shù)目刂屏Γ�以確保其符合相關(guān)的管理規(guī)定。它可以幫助企業(yè)確定他們是否正在做他們想要做的事，以及他們是否可以證明這一點。例如，如果一家企業(yè)聲稱可以通過登錄過程保證用戶進(jìn)入其數(shù)據(jù)中心的安全性，它就可以出示某一時段基于COBIT的完整日志。同時，通過使用COBIT標(biāo)準(zhǔn)可以使企業(yè)檢查ITIL的執(zhí)行情況，以確保企業(yè)正確應(yīng)對經(jīng)營活動中存在的風(fēng)險。

　　ISO17799出自英國國家標(biāo)準(zhǔn)局制定的BS7799-1《信息安全管理實踐規(guī)范》，該規(guī)范于2000年12月被國際標(biāo)準(zhǔn)化組織采納，成為ISO17799。我國也即將采用BS7799-1使其成為CNS17799，因此在國內(nèi)采納BS7799－1是適宜的。 BS 7799－1包含100多個安全控制措施來幫助組織識別在運做過程中對信息安全有影響的元素。這100多個控制措施被分成10個方面，成為組織實施信息安全管理的實用指南，這十個方面分別是：方針、安全組織、信息分類與控制、人事安全、物理與環(huán)境安全、通信與運營安全、訪問控制、系統(tǒng)開發(fā)與維護(hù)、商務(wù)可持續(xù)運營、法律符合等。

　　2005年，ISO發(fā)布了新版的信息安全管理實施細(xì)則，即ISO/IEC17799-2005，對2000年版的標(biāo)準(zhǔn)進(jìn)行了修訂，更加注重標(biāo)準(zhǔn)的通用性和實用性。實施證明：ISO/IEC17799關(guān)于信息安全策略，資產(chǎn)管理，薄弱點、故障、事故的管理，業(yè)務(wù)連續(xù)性管理方面都為組織提供了很好的實踐指南。實施信息安全管理體系的組織在樹立了風(fēng)險管理的理念后，不論在組織的IT治理還是信息系統(tǒng)安全性上都有顯著的提升。

　　ISO17799標(biāo)準(zhǔn)所建立的最佳實踐標(biāo)準(zhǔn)不但可以用來確保在信息系統(tǒng)故障或發(fā)生其他中斷時，業(yè)務(wù)能夠持續(xù)運行，而且能夠控制對數(shù)據(jù)、系統(tǒng)和網(wǎng)絡(luò)的訪問，保護(hù)信息的機密性和完整性，防止對業(yè)務(wù)設(shè)施的非授權(quán)訪問，同時還能保證系統(tǒng)符合相關(guān)的管理規(guī)定。事實上，ITIL的安全管理指導(dǎo)方針就是建立在ISO 17799標(biāo)準(zhǔn)之上的。

　　CMMI于1991年由卡內(nèi)基梅隆大學(xué)軟件工程協(xié)會發(fā)布。早期的CMMI1.02版本是應(yīng)用于軟件業(yè)項目的管理方法，而CMMI1.1版本已經(jīng)演進(jìn)為一種為軟件開發(fā)、系統(tǒng)工程及研發(fā)提供流程改進(jìn)指導(dǎo)的框架，其專業(yè)領(lǐng)域已覆蓋軟件工程、系統(tǒng)工程、集成產(chǎn)品開發(fā)和系統(tǒng)采購等。CMMI雖然源于美國，但在世界各地得到了廣泛的推廣與接受。在日本、歐洲、臺灣、印度等地都有很多企業(yè)在推廣與應(yīng)用CMMI模型，尤其在印度CMMI的應(yīng)用甚至超過了美國。有專家預(yù)測在未來的幾年內(nèi)，CMMI將成為ISO9000之后的又一個國際上普遍接受的標(biāo)準(zhǔn)。

　　CMMI框架通常被用來提高產(chǎn)品和服務(wù)質(zhì)量，加快開發(fā)效率以及降低與開發(fā)項目相關(guān)的風(fēng)險。CMMI具有5個不同的“成熟度”級別，分別是完成級、管理級、定義級、量化管理級和優(yōu)化極，每個級別都代表著一套企業(yè)在實施流程改進(jìn)時所必須的最佳實踐標(biāo)準(zhǔn)。

　　CMMI目前有兩種不同的實施方法，分別是連續(xù)式模式和階段式模式。連續(xù)式模式主要衡量一個企業(yè)的項目能力。企業(yè)在接受評估時可以選擇自己希望評估的項目來進(jìn)行評估。因為是企業(yè)自己挑選項目，其評估通過的可能性就較大一點。但是，它反映的內(nèi)容也比較窄，它僅僅表示企業(yè)在該項目或類似項目的實施能力達(dá)到了某一等級；階段式模式則主要衡量一個企業(yè)的成熟度，也就是企業(yè)在項目實施上的綜合實力。企業(yè)在進(jìn)行評估時，一定要由評估師來挑選企業(yè)內(nèi)部的任何項目，甚至于任何項目的任何部分。一般地講，一個企業(yè)要想在階段性評估中得到三級，其企業(yè)內(nèi)部的大部分項目要達(dá)到三級，小部分項目可以在二級，但絕不能夠有一級。

　　ITIL是英國中央計算機和電信局CCTA（現(xiàn)在已并入英國商務(wù)部）于80年代中期為了提高政府部門IT服務(wù)的質(zhì)量和管理水平而開發(fā)的規(guī)范化、財務(wù)計量化的IT資源管理方法論，基于保潔、匯豐銀行、美孚等諸多全球知名企業(yè)和政府關(guān)鍵業(yè)務(wù)的IT服務(wù)和運維管理經(jīng)驗，目前已經(jīng)成為國際IT服務(wù)管理領(lǐng)域事實上的標(biāo)準(zhǔn)。

　　在它的最新版2.0中，ITIL主要包括六個模塊，即業(yè)務(wù)管理、服務(wù)管理、信息通訊技術(shù)ICT基礎(chǔ)架構(gòu)管理、IT服務(wù)管理規(guī)劃與實施、應(yīng)用管理和安全管理。其中，服務(wù)管理是其最核心的模塊，這個模塊一共包括了10個流程和一項職能，這些流程和職能又被歸結(jié)為兩大流程組，即“服務(wù)提供”流程組和“服務(wù)支持”流程組。其中，服務(wù)支持流程組歸納了與IT管理相關(guān)的一項管理職能及5個運營級流程，即事故管理、問題管理、配置管理、變更管理和發(fā)布管理；服務(wù)提供流程組歸納了與IT管理相關(guān)的5個戰(zhàn)術(shù)級流程，即服務(wù)級別管理、IT服務(wù)財務(wù)管理、能力管理、IT服務(wù)持續(xù)性管理和可用性管理。

　　通過上面的介紹可以看出，COBIT提供了對數(shù)據(jù)、IT系統(tǒng)和相關(guān)風(fēng)險進(jìn)行控制所需的參數(shù)框架；ISO 17799是適用于業(yè)務(wù)連續(xù)性、訪問控制、遵從性以及其他領(lǐng)域的安全標(biāo)準(zhǔn)；CMMI側(cè)重于軟件開發(fā)、系統(tǒng)工程、研發(fā)及其他活動中的流程改進(jìn)；而ITIL則是IT服務(wù)管理的最佳實踐標(biāo)準(zhǔn)。在當(dāng)前國家審計中開展信息系統(tǒng)審計時，我們可以主要參考COBIT和ISO17799標(biāo)準(zhǔn)。如在信息系統(tǒng)審計中，可以采用ISO17799作為內(nèi)部安全框架的實施與審計標(biāo)準(zhǔn)，采用COBIT作為內(nèi)部詳細(xì)控制的實施與審計標(biāo)準(zhǔn)。

　　國內(nèi)目前關(guān)于信息系統(tǒng)審計的依據(jù)主要有修訂后的《中華人民共和國審計法》、國辦發(fā)【2001】88號文件《國務(wù)院辦公廳關(guān)利用計算機信息系統(tǒng)開展審計工作有關(guān)問題的通知》等。如修訂后的審計法在第三十一條規(guī)定，審計機關(guān)有權(quán)要求被審計單位按照審計機關(guān)的規(guī)定提供預(yù)算或者財務(wù)收支計劃、預(yù)算執(zhí)行情況、決算、財務(wù)會計報告，運用電子計算機儲存、處理的財政收支、財務(wù)收支電子數(shù)據(jù)和必要的電子計算機技術(shù)文檔；在第三十二條規(guī)定，審計機關(guān)進(jìn)行審計時，有權(quán)檢查被審計單位的會計憑證、會計賬簿、財務(wù)會計報告和運用電子計算機管理財政收支、財務(wù)收支電子數(shù)據(jù)的系統(tǒng)等。這些法律法規(guī)的出臺提供了審計部門對被審計單位信息系統(tǒng)開展審計工作的依據(jù)。

　　上面的法律法規(guī)只是給了我們開展信息系統(tǒng)審計的法律保證，至于具體的審計依據(jù)，則要在具體的信息系統(tǒng)審計項目中，以財政部1996年發(fā)布的《獨立審計具體準(zhǔn)則第20號——計算機信息系統(tǒng)環(huán)境下的審計》和該行業(yè)的相關(guān)法律法規(guī)作為實際的審計依據(jù)。如在金融審計中，對銀行信貸業(yè)務(wù)系統(tǒng)開展審計，就要參考《中華人民共和國公司法》、《中華人民共和國擔(dān)保法》、《中華人民共和國票據(jù)法》、《中華人民共和國商業(yè)銀行法》、《貸款通則》、《汽車貸款管理辦法》、《個人住房貸款管理辦法》、《不良貸款認(rèn)定暫行辦法》、《某某銀行貸款業(yè)務(wù)操作規(guī)程》、《某某銀行信貸業(yè)務(wù)基本規(guī)程》等法律法規(guī)作為具體的審計依據(jù)來對相關(guān)審計事項進(jìn)行檢查和評估。(作者: 審計署駐南京特派員辦事處 馬社亮)

　　（本文內(nèi)容僅為作者個人觀點，不代表任何審計機關(guān)和本網(wǎng)站的觀點，未經(jīng)許可，不得轉(zhuǎn)載）