一、為什么做系統(tǒng)審計？

隨著計算機技術的高速發(fā)展，信息系統(tǒng)已經成為當今社會最重要的生產工具，OA系統(tǒng)、營銷系統(tǒng)、制造信息系統(tǒng)、財務系統(tǒng)、人力資源系統(tǒng)等系統(tǒng)成為當前不可或缺的應用系統(tǒng)。系統(tǒng)安全性和有效性已經成為生產安全的重要組成部分，并成為信息系統(tǒng)所有者及其用戶最為關心的問題。

信息系統(tǒng)審計是國家網絡空間安全保障戰(zhàn)略中的重要環(huán)節(jié)，是第三道防線。同時，也是行業(yè)監(jiān)管部門主要的監(jiān)管內容。相關政策對于信息系統(tǒng)的安全性、穩(wěn)定性提出了相對嚴格的要求，傳統(tǒng)的審計方法和技術已經無法適應當前需求，導致信息系統(tǒng)審計陷入停滯不前的狀態(tài)，對此，完善信息系統(tǒng)審計，更新審計方法和審計技術成了審計單位的首要任務。

審計具體依據(jù)以下三點：

1、國家政策和行業(yè)監(jiān)管要求

①網絡安全法

②行業(yè)監(jiān)管指引：《商業(yè)銀行信息科技風險管理指引》規(guī)定：“商業(yè)銀行應根據(jù)業(yè)務性質、規(guī)模等，決定信息科技內部審計范圍和頻率。但至少應每三年進行一次全面審計。”；《證券期貨業(yè)信息安全保障管理辦法》規(guī)定：“核心機構和經營機構應當建立信息安全內部審計制度，定期開展內部審計，對發(fā)現(xiàn)的問題進行整改。”

2、行業(yè)自身信息科技內控要求

①信息科技治理

②信息安全事件管理

3、用戶等相關方要求

①供應鏈安全要求

②第二方審計要求

二、信息系統(tǒng)審計做什么？

信息系統(tǒng)審計是信息系統(tǒng)治理工作中的重要一環(huán)，它以合規(guī)性評價為出發(fā)點，以評審、檢查和測試為主要手段，以發(fā)現(xiàn)信息系統(tǒng)治理過程中存在的風險為目標，幫助和促進用戶全面預防和及時處置信息系統(tǒng)風險，從而有效提高信息系統(tǒng)的安全性和有效性。

審計內容包括但不限于系統(tǒng)安全管理總體架構、安全策略、安全管理；物理環(huán)境安全、主機安全、網絡安全、應用安全、數(shù)據(jù)安全等。

依據(jù)審計署對信息系統(tǒng)審計內容的要求“信息系統(tǒng)的安全性、有效性和經濟性”對信息系統(tǒng)進行審計，同時針對具體的信息系統(tǒng)審計項目，審計內容應以確定的審計依據(jù)為準，通常包含一般控制審計和應用控制審計；可以根據(jù)審計目的和內容的不同，分為不同的專項審計，如：網絡安全專項審計、數(shù)據(jù)管理專項審計、業(yè)務連續(xù)性專項審計等。

三、信息系統(tǒng)審計目標

全面審查信息系統(tǒng)信息安全相關工作的現(xiàn)有流程和內控措施的有效性、完備性、適當性，了解安全風險管理現(xiàn)狀，掌握安全管理和技術方面存在的問題及薄弱環(huán)節(jié)，查找存在的風險漏洞，為防范和降低安全風險、加強信息安全內部控制、提升安全管理水平提出審計建議。

四、怎么做信息系統(tǒng)審計？