《信息系统专项审计.docx》由会员分享,可在线阅读,更多相关《信息系统专项审计.docx(9页珍藏版)》请在第壹文秘上搜索。
1、信息系统专项审计一、信息科技外包审计信息科技外包是指组织将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为,包括系统研发类外包、咨询服务类外包、系统运行维护类外包及业务外包中的相关信息科技活动等内容。服务提供商包括独立的第三方、组织母公司或其所属集团设立在中国境内外的子公司、关联公司或附属机构。非驻场外包是一种特殊形式的外包,与驻场外包一样也会导致各类风险,但具体管控环节和方式不同。A.信息科技外包战略规划审计(-)业务概述信息科技外包战略是指企业对信息科技外包的目标和策略的组合。企业信息科技外包的远景、使合、合题等的全局规划和方针及定位。(二)审计目标和内容通过对信息科技外
2、包战略规划的审计,判断组织在外包战略规划方面:1 .是否建立了信息科技外包战略,所建立的外包战略是否具有全局性、长远性及可操作性的特点。2 .是否明确了外包管理基本原则,是否能确保风险、成本和效益的平衡,并考虑了减少对供应商过分依赖和掌握核心技术的相关因素。3 .是否定期修正外包战略;外包战略是否定期由高级管理层审阅,外包战略是否被各相关部门知悉。B信息科技外包治理审计(-)业务概述信息科技外包治理是指组织中的信息科技外包的决策机制和管理方式和管理制度等内容。(二)审计目标和内容通过对信息科技外包治理的审计,判断组织在外包治理方面:1 .是否建立信息科技外包组织、明确组织职责、岗位职责;是否建
3、立信息科技外包管理体系,明确管理流程和管理方法。2 .是否建立了正式的信息科技外包管理制度,并评价外包制度和流程的可操作性。3 .是否建立了针对信息科技外包各个环节的风险评估要求,是否建立了外包商尽职调查、外包集中度评估和外包应急预案制订等规定,并得到了有效执行。C.信息科技外包商管理审计(-)业务概述信息科技外包商管理是指对为组织提供信息科技服务的外包商进行准入、外包采购需求管理、外包商选择与尽职调查、外包合同签订等方面的管理工作。(二)审计目标和内容通过对信息科技外包商管理的审计,判断组织在外包商管理方面:1.获取了充分的信息科技外包商准入信息,包括但不限于:内部控制与管理能力信息、持续经
4、营能力信息、技术与服务能力信息等。2 .开展了信息科技外包采购需求管理。外包项目的需求应符合信息系统规划框架,对未纳入采购计划或项目推迟的项目需求进行原因分析,并及时反馈给需求方。3 .通过招标方式来选择信息科技外包商,并对外包商进行了尽职调查;与外包商签订了适宜的信息科技外包合同与服务水平协议(S1.A14 .组织的外包项目验收小组应对阶段性验收和最终验收的结果进行记录与归档,形成验收报告,记录实际项目情况与服务水平协议的一致性与差异性。5 .组织应对外包商进行阶段性的考核工作,对外包商的异常情况进行及时纠正,根据考核结果对外包商建立奖惩机制。D.信息科技外包项目管理审计(-)业务概述信息科
5、技外包项目管理是指对信息科技外包项目运用项目管理的方法和技术工具进行管理。(二)审计目标和内容通过对信息科技外包项目管理的审计,判断组织在外包项目管理方面:1.开展了信息科技外包项目计划管理,在项目计划阶段对项目进行基本分工,明确各生命周期阶段的里程碑与交付品,确定各阶段的时间计划。2 .在信息科技外包项目预算管理方面,组织建立了外包项目财务预算管理策略,制定管理制度,对外包服务的预算进行有序管理。3 .实施了对信息科技外包项目的监控,确保外包商定期提交项目进度报告及成本与绩效报告:比较外包项目的实际完成情况及时间进度、投入人力情况、资源实际可用度、知识转移情况等。4 .开展了对信息科技外包项
6、目的后评价,应至少从以下方面对外包项目进行绩效评价:过程质量、交付质量、知识管理、客户满意度等。E信息科技外包人员管理审计(-)业务概述信息科技外包人员管理是指对信息科技外包服务人员进行行政、服务方面的管理。(二)审计目标和内容通过对信息科技外包人员管理的审计,判断组织在外包人员管理方面:1 .开展了信息科技外包人员入场前管理,对外包人员进行入场前的教育与培训,使其知悉组织的外包安全管理要求。2 .对驻场人员提出了日常管理的基本要求,建立了正式的外包人员违反外包人员管理的惩戒机制。3 .对驻场人员离场提出相关管理要求,及时收回退出人员的门禁卡并清查办公物品,对退出人员使用的电子设备中保存的与组
7、织业务有关系的文件或数据进行清除。4 .对驻场人员进行考核管理,必要时应对外包人员的绩效水平与服务成果进行定期考核,确保外包人员有能力提供持续的外包服务。F.信息科技外包安全管理审计(一)业务概述信息科技外包安全管理是指对信息科技外包相关的访问控制、信息资产、操作安全、数据安全、应急预案、应急处置等安全管理工作。(二)审计目标和内容通过对信息科技外包安全管理的审计,判断组织在外包安全管理方面:1.组织的信息安全管理覆盖了外包项目和外包人员管理,包括访问控制、信息资产管理、操作安全、数据安全等领域。2 .组织开展了信息科技外包应急管理,建立了外包项目范围的业务连续性管理规范,定期对外包商进行业务
8、连续性管理安全检查。3 .在外包项目开展前,1应对外包项目的业务连续性进行风险分析,包括灾难、区域性灾难、金融领域关联性风险等。4 .应定期对外包项目的灾难恢复计划进行测试和演练。二、灾备与业务连续性审计灾备与业务连续性是组织通过预防和恢复控制的结合,将意外事故的影响降低到最低水平,并将损失恢复到可接受程度的整个过程。其主要目标是防止业务活动中断,保护关键业务流程不会受信息系统失效或自然灾害的影响,并确保其及时恢复业务连续性管理应包括识别和降低风险、有效的业务及风险评估、限制有害事故的影响范围以及确保业务及时恢复等步骤。典型的信息业务连续性管理应包括应急管理、灾难备份和业务连续性计划三个方面的
9、内容,灾难备份(以下简称灾备)是指为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、专业支持能力和运行管理能力进行备份的过程;业务连续性计划是机构通过制定计划,通过预防和恢复控制的结合,将意外事故的影响降低到最低水平,并将损失恢复到可接受程度的整个过程。三、关键信息基础设施安全审计关键信息基础设施的安全保护,首先在于如何准确识别关键信息基础设施的具体范畴及其面临的风险;其次,应制定完善的关键信息基础设施安全保护制度体系并建立保护工作的组织架构,明确责任主体;再次,提高态势感知和风险应对能力并健全应急管理体系,提升应急响应和恢复能力。四、云安全审计云计算作为一种新兴的计算资源利用方式逐渐被
10、各行业所接受和部署。采用了云计算技术的信息系统,称为云计算平台(系统)。云计算平台由设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件等组成。软件即服务(SaaS),平台即服务(PSaS)、基础设施即服务(IaaS)是三种基本的云计算服务模式。在不同的服务模式中,云服务商和云服务客户对计算资源拥有不同的控制范围,控制范围则决定了安全责任的边界。由于云服务平台建设的复杂性以及传统信息系统安全和云计算自身技术特点所引发的新的信息安全和风险,与传统信息系统安全审计相比,对于云服务平台的安全审计有其自身的特点。五、数据安全审计伴随互联网、云计算、移动互联网等新技术的迅猛发展,无处不在的移动
11、设备、无线传感器等设备以及数以亿计的互联网用户和企业产生的消费数据及经营数据使得各类信息呈现爆炸式增长。同时,数据的高度集中,共享开放和交叉使用以及数据流动的趋势也在不断加剧。组织由于数据管理、安全隔离、访问控制及数据加密等措施不充分而面临的网络入侵和信息泄露风险越来越大。一旦数据的机密性、完善性和可用性受到损害,将不能支撑组织业务的健康运行;随着网络安全法的实施,国家对重要业务数据和个人敏感信息保护的力度也在加强,数据安全的违规成本已越来越高。因此,数据安全是数字经济时代生产力要素的必要属性,持续性开展数据安全审计已成为信息系统审计的重要内容。六、移动互联网安全审计移动通讯及互联网技术的快速
12、发展以及平台和商业模式的巨大转变,显著推动了移动互联网的发展并呈现出一种加速简口扩大化的特征,以移动互联技术为基础的新业务和创新技术也逐步成为日常工作和生活中不可或缺的组成部分。移动互联网由移动终端、移动应用和无线网络三部分组成。移动互联网由于其边界的不确定性及设备的移动性等特点,与有线网络相比,不仅仅表现为安全风险更大,而且需要在易用性和安全性之间取得平衡。七、工控系统安全审计工业控制系统(ICS)是数据采集与监视控制系统(SCADA).集散控制系统(DCS)和其他控制系统(例如可编程逻辑控制器P1.c)的总称。工业控制系统主要由过程级、操作级以及各级之间和内部的通信网络构成。对于大规模的控制系统,也包括管理级。工控系统的脆弱性分布较广,但主要集中在系统安全管理的策略和程序、工控平台与工业网络等方面。八、物联网安全审计物联网通常从架构上可分为三个逻辑层,即感知层、网络传输层和处理应用层。对大型物联网来说,处理应用层一般是云计算平台和业务应用终端设备。物联网安全的风险着重体现在感知节点及其所处物理环境的安全,物联网及其异构传输网络的通信和结构安全(如是否采取安全加密机制、网络安全防护),用户/设备鉴别信息和感知节点数据采集信息的安全和服务中断等多种风险。