返回
当前开展信息系统审计面临的难点和建议

当前开展信息系统审计面临的难点和建议

ID:9425622

大小:54.00 KB

页数:8页

时间:2018-04-30

当前开展信息系统审计面临的难点和建议_第1页
当前开展信息系统审计面临的难点和建议_第2页
当前开展信息系统审计面临的难点和建议_第3页
当前开展信息系统审计面临的难点和建议_第4页
当前开展信息系统审计面临的难点和建议_第5页
资源描述:

《当前开展信息系统审计面临的难点和建议》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、当前开展信息系统审计面临的难点和建议笔者有幸参加了2008年12月份审计部门在南京审计学院举办的“第二届信息系统审计班”,在学习和探讨的过程中,对信息系统审计的内涵和外延,由一个模糊的概念逐步走向清晰。现结合近几年来的审计实践,就当前形势下信息系统审计的难点和建议做一个探讨,希望对各位审计同仁起到一个“抛砖引玉”的作用。    21世纪是信息化的社会,计算机技术不断进步,并在生产领域得到深入应用。特别是会计电算化的推广,把以电子计算机为代表的现代化数据处理工具及以信息论、系统论、数据库、计算机X络等新兴理论和技术应用于会计核算、财务管理工作

2、中以提高财务管理水平和经济效益,实现会计工作的现代化。目前,越来越多的企业开始全业务的采用信息系统,形成了一个X络经济时代,各个企业、事业单位的信息化情况表现出了前所未有的综合性和开放性。这种信息化的高度集中带来了高效益,但同时,也带来了高度的风险,信息系统审计也就在这种历史背景下应运而生。    一、信息系统审计的内涵和外延难以把握  随着信息技术的发展,信息系统在财务、管理领域的应用程度不断提高,功能日趋完善,其软硬件结构的复杂性和涉及领域的广泛性以及信息处理技术更新的频繁性使得审计人员难以同步把握信息系统审计的内涵和外延。从外延上看,

3、信息系统审计主要包括两个部分,一是对信息系统主体的审计,二是对信息系统应用环境的审计,包括X络环境、使用环境、管理使用情况等。一般说来,审计信息系统本身相对容易,但审计信息系统的应用环境却存在较多不确定因素,比如某公司的信息系统通过防火墙连接到互联X,而在防火墙内还存在其它系统,其它系统是不是也在审计范围之内?  从内涵上看,信息系统审计主要是对信息系统的安全性和可靠性进行评估、评价。安全性、可靠性是一个比较广泛的概念,以系统安全性为例,它包括:ISO开放系统互连安全体系结构、TCP/IP安全体系、开放系统互连的安全管理、安全服务和功能配置

4、;系统安全涉及的信息安全技术包括:密码技术、访问控制技术、机密性和完整性保护技术、数字签名技术、抗抵赖技术、预(报)警机制、公证技术、防火墙技术、漏洞检测技术、X络隔离技术、计算机病毒防范等。由于信息技术本身的限制性,绝大部分信息系统本身均存在安全性问题(如防护级别最高、防护技术最好的美国国防部也常有被攻击的情况)。  把握不准信息系统审计的外延和内涵,就难以解决以下三个问题:一是难以解决审计力量与审计任务之间的矛盾,难以控制审计风险,即不该审的审了,该审的却未审;二是由于绝大部分信息系统本身均存在安全性问题,信息系统审计很容易演变成“信息

5、系统是否存在问题源自于审计人员的技术水平,而不是系统本身的安全性和可靠性”,即,绝大部分信息系统均存在不安全、不可靠因素,就看审计人员能否发现由于信息系统的安全性问题是绝对的,而审计人员的视角和技术水平是相对的,信息系统审计的成果部分取决于审计人员对信息系统审计内容的把握程度;三是由于审计需要大量的证据支撑,对于未造成损失但信息系统存在不安全隐患的问题难以定性,即便是造成了损失,也难以界定这些损失与信息系统不安全、不可靠因素之间联系。  因此,审计部门应根据“全面审计、突出重点”及“先易后难”、“先系统本身后系统环境”的原则,参照国家信息技

6、术部的有关标准,界定信息系统工作的外延和内涵,将信息系统审计的主要方向定在:被审计单位的信息系统的安全性、可靠性是否达到应有的水平或标准,而不是系统是否有安全性和可靠性问题。  二、信息系统审计评价标准很难确定  信息系统安全审计,涉及会计信息处理自动化、表示代码化、信息处理与存储集中化、内部控制程序化等诸多广泛、复杂的计算机专业技术环节,其技术性较高。而我国信息系统审计正处于起步阶段,对审计机关如何开展信息系统审计尚在积极探索中,因此,目前尚没有一个完整的、成熟的具有示范作用的审计案例,也缺少具备实际指导意义的相关信息系统审计准则和操作指

7、南。  近年来,国家安全部门相继出台了多个安全标准,例如公安部出台的《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息安全等级保护管理办法》,还有相应的安全技术规范《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术X络基础安全技术要求》(GB/T20270-2006)、《信息安全技术操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级

8、技术要求》(GA/T671-2006)等技术标准。但在实际操作中,这些标准在可操作性上还有待提高,一是信息系统安全等级的确定,缺乏一个等级认定的部门,目前是由各个单位自己定级报送

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。