信息系统审计服务

什么是信息系统审计？

信息系统审计是信息系统治理工作中的重要一环。它以合规性评价为出发点,以评审、检查和测试为主要手段,以发现信息系统治理过程中存在的风险为目标,帮助和促进用户全面预防和及时处置信息系统在 管理控制、应用控制、网络控制、安全控制 等方面的风险风险,从而有效地评估系统的经济性,提高信息系统的有效性和安全性。

信息系统审计工作的目的

开展信息系统审计工作,对依法属于审计监督对象的部门和单位信息系统的安全性、可靠性和经济性进行监督检查,揭示信息系统规划、建设和运行管理中存在的突出问题和重大风险隐患,提出审计意见建议,推动完善相关制度,促进提高资金使用绩效，保障信息系统安全、可靠和高效运行。

审计服务工作主要内容

       经济价值性审计：

       从规划设计、建设实施、运营使用、管理维护等方面追寻费用的使用情况，确保有迹可循,有据可依，主要从下列5个方面开展工作。

       （一）审查信息系统的整体规划、业务整合规划和行业整合规划情况；

       （二）审查信息系统的应用开发和推广情况；

       （三）审查信息系统对业务管理的支持度和对提升效能的贡献度；

       （四）审查信息系统运行维护的经济性情况；

       （五）审查信息系统绩效情况。

       信息安全性审计：

       从设备安全、系统安全、数据安全、网络安全、人员安全、管理安全等方面综合判断信息系统的安全性，主要从下列5个方面开展工作。

       （一）审查物理安全控制、网络安全控制、主机安全控制、应用安全控制和数据安全控制情况；

       （二）审查安全管理机构和人员设置、安全管理制度建立和执行情况；

       （三）审查系统建设安全管理和运行维护安全管理情况；

       （四）审查风险评估、防范和整改落实情况；

       （五）审查涉密信息系统分级保护和非涉密信息系统等级保护情况以及商用密码技术应用情况。

       可靠有效性审计

       从应用系统功能、数据备份、内控制度、业务匹配等各方面判断系统的稳定性和实用性，主要从下列5个方面开展工作。

       （一）审查制度体系、岗位职责和内部监督情况；

       （二）审查业务流程设计、业务流程处理和业务流程功能情况；

       （三）审查数据录入和导入控制、数据修改和删除控制、数据校验控制、数据入库控制、数据共享控制、数据交换控制、数据备份和数据恢复控制情况;

       （四）审查数据整理控制、数据计算控制和数据汇总控制情况；

       （五）审查数据外设输出控制、数据检索输出控制、数据共享输出控制以及备份和恢复输出控制情况。

信息系统审计是信息技术治理的重要组成部分：

其是对委托方信息技术管理与使用情况的综合评价，能够让委托方决策层知晓其信息系统和信息技术应用水平以及对组织工作效能的作用。

信息系统审计单位的角色与任务：

作为独立的第三方机构,为委托方提供基于国家法律法规、行业规章及其内部控制规则的合规性评价。

信息系统审计工作的目标：

协助委托单位保持信息技术及信息系统采购、建设、运行和使用的有效性和合规性。