随着计算机技术的发展,信息系统审计成为网络安全的第三道防线,是国家网络空间安全保障战略的重要环节。审计依据包括国家政策、行业监管要求和用户需求,旨在确保信息系统的安全性、稳定性和经济性。审计内容涵盖安全管理、物理环境、主机、网络、应用和数据安全等方面,通过专项审计发现并解决风险漏洞。实施审计涉及明确目的、范围、依据,制定方案,现场审计,报告发现和跟踪审计。
一、为什么做系统审计?
随着计算机技术的高速发展,信息系统已经成为当今社会最重要的生产工具,OA系统、营销系统、制造信息系统、财务系统、人力资源系统等系统成为当前不可或缺的应用系统。系统安全性和有效性已经成为生产安全的重要组成部分,并成为信息系统所有者及其用户最为关心的问题。
信息系统审计是国家网络空间安全保障战略中的重要环节,是第三道防线。同时,也是行业监管部门主要的监管内容。相关政策对于信息系统的安全性、稳定性提出了相对严格的要求,传统的审计方法和技术已经无法适应当前需求,导致信息系统审计陷入停滞不前的状态,对此,完善信息系统审计,更新审计方法和审计技术成了审计单位的首要任务。
审计具体依据以下三点:
1、国家政策和行业监管要求
①网络安全法
②行业监管指引:《商业银行信息科技风险管理指引》规定:“商业银行应根据业务性质、规模等,决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。”;《证券期货业信息安全保障管理办法》规定:“核心机构和经营机构应当建立信息安全内部审计制度,定期开展内部审计,对发现的问题进行整改。”
2、行业自身信息科技内控要求
①信息科技治理
②信息安全事件管理
3、用户等相关方要求
①供应链安全要求
②第二方审计要求
二、信息系统审计做什么?
信息系统审计是信息系统治理工作中的重要一环,它以合规性评价为出发点,以评审、检查和测试为主要手段,以发现信息系统治理过程中存在的风险为目标,帮助和促进用户全面预防和及时处置信息系统风险,从而有效提高信息系统的安全性和有效性。
审计内容包括但不限于系统安全管理总体架构、安全策略、安全管理;物理环
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
