控制和监督,是否较好地发挥了促进信息系统健康运行的监督保障作用。
第二节 信息安全技术控制审计
第三十三条 信息安全技术控制审计的目的是通过检查被审计单位信息系统的信息安全技术及其控制的整体方案,检查安全计算环境、区域边界、通讯网络等方面的安全策略和技术设计,检查信息系统的安全技术配臵和防护措施,发现并揭示信息系统安全技术控制的缺失,分析并评价风险程度,形成信息安全技术控制的审计结论,提出审计意见和建议,促进信息系统安全技术及其相关控制的落实;为数据审计防范和控制审计风险,以及审计项目对信息安全技术控制的审计评价提供支持。
第三十四条 信息安全技术控制审计事项测评指标: (三十六)物理安全控制测评。检查系统机房及其重要工作房间的物理位臵选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面的安全策略和防护措施。
(三十七)网络安全控制测评。检查网络结构安全、网络设备访问控制、网络设备安全审计、网络边界完整性、网络入侵防范、网络恶意代码防范、网络设备防护的安全策略和防护措施。
(三十八)主机安全控制测评。检查主要服务器操作系统、重要终端操作系统和主要数据库管理系统的身份鉴别、访问控制、安全审计和剩余信息保护方面的安全策略和防护措施,检查主要
16 — —
服务器的入侵防范、恶意代码防范和资源控制措施。
(三十九)应用安全控制测评。检查主要应用系统的身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等方面的安全策略和防护措施。
(四十)数据安全控制测评。检查主要系统管理数据、鉴别信息和重要业务数据的完整性、保密性、备份和恢复方面的安全策略和防护措施。
(四十一)信息化装备自主可控测评。检查信息系统在网络、主机、安全、系统软件和应用软件等信息化装备的自主可控情况,检查是否能够促进信息系统内外结合的安全防护,保障信息系统运行安全。
第三节 信息安全管理控制审计
第三十五条 信息安全管理控制审计的目的是通过检查被审计单位信息系统的信息安全管理,评价信息安全管理的完整性和有效性,揭示信息安全管理缺失的问题,形成信息安全管理控制的审计评价和结论,提出审计意见和建议,促进信息系统安全管理的有效性;为数据审计防范和控制审计风险,以及审计项目对系统安全管理的审计评价提供支持。
第三十六条 信息安全管理控制审计事项评价指标: (四十二)安全管理机构评价。检查安全管理机构是否健全,检查岗位设臵、人员配备、授权和审批、沟通和合作、审核和检
— 17 —
查等情况。
(四十三)安全管理制度评价。检查安全管理制度体系是否包含总体方针、安全策略、管理制度、操作规程等文件,是否覆盖物理、网络、主机、应用和数据的建设及管理等内容,检查安全管理制度的制定、评审、发布、修订和实施等情况。
(四十四)人员安全管理评价。检查人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等情况。
(四十五)系统建设安全管理评价。检查信息系统的安全定级、安全方案设计、产品采购和使用、软件的自行开发与外包开发、工程实施、测试验收、系统交付、系统安全备案和安全服务商选择等情况。
(四十六)系统运维安全管理评价。检查环境管理、资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处臵、应急预案管理等情况。系统运维采用第三方外包方式的,要重点检查第三方运维管理是否有利于系统运维安全,是否存在影响信息系统安全性方面的问题。
第五章 项目管理审计
第一节 信息系统建设经济性评价
第三十七条 信息系统建设经济性审计的目的是通过检查
18 — —
被审计单位信息系统规划、建设、应用和运维的经济性,发现系统建设不经济的问题,形成审计结论,提出审计意见和建议,促进信息化建设投资的有效性,并为审计项目对信息系统建设经济性的审计评价提供支持。
第三十八条 信息系统规划经济性审计事项评价指标: (四十七)总体规划经济性评价。检查信息系统是否进行了总体规划,是否按照职能需求实施了总体目标、分期建设目标和考核指标的整体设计,顶层设计总体框架是否具备业务发展的可扩展性、信息系统的可持续性、系统应用对经济社会发展的效益性。重点检查信息系统及其各子系统的生命周期,评价总体规划的经济性。
(四十八)业务整合规划经济性评价。检查信息系统是否按照组织目标和职能业务特征要求进行了业务和管理的流程再造、信息共享、系统功能整合与复用等方面的整合规划,避免信息孤岛和投资浪费。
(四十九)行业整合规划经济性评价。检查信息系统是否按照行业信息化特征要求进行了统一规划、统一建设、推广应用、信息共享和业务协同,是否有效避免本行业同类业务的重复建设和重复投资。
(五十)技术特征规划经济性评价。检查被审计单位按照经济业务活动对信息系统运行的不可间断性、并发性和系统响应速度,以及数据存储量、传输量和处理量等方面的技术特征需求,
— 19 —
进行的主机、网络、安全、应用等技术架构和技术装备性能配臵方面的规划设计,是否具有合理性、经济性和有效性,避免技术装备性能过度冗余和投资浪费。
第三十九条 信息系统建设经济性审计事项评价指标: (五十一)建设规划经济性评价。检查分期建设的信息系统是否按照总体规划要求较好地实施了业务整合、管理整合及其行业应用整合,技术架构和技术性能装备配臵是否具有合理性、经济性和有效性,系统建设投资是否合理。
(五十二)招标采购经济性评价。检查是否按照建设规划进行了利用原有信息资产和新购技术装备的整体规划,是否较好地实施了招标采购项目的业务需求和技术方案论证,招标采购的工程、设备和服务是否体现了满足业务需求、支持自主可控、技术先进适用和合理性价比的要求。
(五十三)应用开发经济性评价。检查应用系统开发是否结合单位职能、业务和管理特征,采用适合的应用系统开发方法,采取功能复用、标准化、可扩展、可移植等设计与开发策略,增强应用系统效用性,延长应用系统生命周期,提高投资效果。
(五十四)应用推广经济性评价。检查是否结合本行业业务和管理的信息化特征,采取相适应的应用系统推广和集约化部署策略,增强部门系统建设拉动行业应用的经济性。
第四十条 信息系统应用经济性审计事项评价指标: (五十五)业务管理对信息系统的依赖度评价。检查分析现
20 — —