信息系統審計服務

什么是信息系統審計？

信息系統審計是信息系統治理工作中的重要一環。它以合規性評價為出發點,以評審、檢查和測試為主要手段,以發現信息系統治理過程中存在的風險為目標,幫助和促進用戶全面預防和及時處置信息系統在 管理控制、應用控制、網絡控制、安全控制 等方面的風險風險,從而有效地評估系統的經濟性,提高信息系統的有效性和安全性。

信息系統審計工作的目的

開展信息系統審計工作,對依法屬于審計監督對象的部門和單位信息系統的安全性、可靠性和經濟性進行監督檢查,揭示信息系統規劃、建設和運行管理中存在的突出問題和重大風險隱患,提出審計意見建議,推動完善相關制度,促進提高資金使用績效，保障信息系統安全、可靠和高效運行。

審計服務工作主要內容

       經濟價值性審計：

       從規劃設計、建設實施、運營使用、管理維護等方面追尋費用的使用情況，確保有跡可循,有據可依，主要從下列5個方面開展工作。

       （一）審查信息系統的整體規劃、業務整合規劃和行業整合規劃情況；

       （二）審查信息系統的應用開發和推廣情況；

       （三）審查信息系統對業務管理的支持度和對提升效能的貢獻度；

       （四）審查信息系統運行維護的經濟性情況；

       （五）審查信息系統績效情況。

       信息安全性審計：

       從設備安全、系統安全、數據安全、網絡安全、人員安全、管理安全等方面綜合判斷信息系統的安全性，主要從下列5個方面開展工作。

       （一）審查物理安全控制、網絡安全控制、主機安全控制、應用安全控制和數據安全控制情況；

       （二）審查安全管理機構和人員設置、安全管理制度建立和執行情況；

       （三）審查系統建設安全管理和運行維護安全管理情況；

       （四）審查風險評估、防范和整改落實情況；

       （五）審查涉密信息系統分級保護和非涉密信息系統等級保護情況以及商用密碼技術應用情況。

       可靠有效性審計

       從應用系統功能、數據備份、內控制度、業務匹配等各方面判斷系統的穩定性和實用性，主要從下列5個方面開展工作。

       （一）審查制度體系、崗位職責和內部監督情況；

       （二）審查業務流程設計、業務流程處理和業務流程功能情況；

       （三）審查數據錄入和導入控制、數據修改和刪除控制、數據校驗控制、數據入庫控制、數據共享控制、數據交換控制、數據備份和數據恢復控制情況;

       （四）審查數據整理控制、數據計算控制和數據匯總控制情況；

       （五）審查數據外設輸出控制、數據檢索輸出控制、數據共享輸出控制以及備份和恢復輸出控制情況。

信息系統審計是信息技術治理的重要組成部分：

其是對委托方信息技術管理與使用情況的綜合評價，能夠讓委托方決策層知曉其信息系統和信息技術應用水平以及對組織工作效能的作用。

信息系統審計單位的角色與任務：

作為獨立的第三方機構,為委托方提供基于國家法律法規、行業規章及其內部控制規則的合規性評價。

信息系統審計工作的目標：

協助委托單位保持信息技術及信息系統采購、建設、運行和使用的有效性和合規性。