(八十六)等级保护自查整改评价。检查非涉密信息系统是否在投入使用后按规定组织自查,并依据主管部门检查意见进行整改。
第五十一条 信息安全风险评估审计事项评价指标: (八十七)风险评估委托测评评价。检查项目是否按规定委托有资质的测评机构进行了风险评估。
(八十八)风险评估整改落实评价。检查是否对信息安全风险评估报告提出的整改意见予以落实。
(八十九)残余风险评估与防范评价。检查对残余风险是否采取了相应的防范措施。
第三节 信息系统绩效评价
第五十二条 信息系统绩效评价的目的是通过检查被审计单位信息系统顶层设计及建设实现的管理决策支持能力、经济业务协同能力、系统建设发展能力和信息系统贡献能力的提升,以及经济业务活动的效率、效果和效能的改善,揭示信息系统顶层设计和建设方面的不足,提出审计意见和建议,进一步促进信息系统的实际效能提升,为审计项目对系统建设绩效的审计评价提供支持。
第五十三条 信息系统绩效审计事项评价指标:
(九十)信息系统总体绩效评价。检查信息系统的规划目标、发展战略、创新策略、分期建设方案和考核指标等,评价总体规划和分期建设方案对信息系统实际建设和应用的指导性效能的影
26 — —
响程度。
(九十一)管理决策支持能力的绩效评价。检查信息系统对支持和提升组织管理、业务管理、行政管理等方面的情况,评价信息系统对提升管理决策能力,改善经济业务发展方面的效率、效果与效能的影响程度。
(九十二)信息资源共享能力的绩效评价。检查信息系统中的管理资源、业务资源、人力资源、财力资源、技术资源、市场资源等各类信息资源的共享程度和利用状况,评价信息系统的共享协同对改善经济业务发展的效率、效果与效能的影响程度。
(九十三)经济业务协同能力的绩效评价。检查信息系统对提升单位内部不同业务之间、行业内部不同单位之间、与外部相关经济业务之间的业务协同情况,评价信息系统对提升经济业务协同能力,改善经济业务发展的效率、效果与效能的影响程度。
(九十四)系统建设发展能力的绩效评价。检查信息系统的整体架构、技术路线、开发策略、应用模式和运维模式,以及应对职能业务发展、信息技术发展、环境风险防范等方面的适应能力,评价信息系统对职能业务发展可持续支持的影响程度。
(九十五)信息系统贡献能力的绩效评价。检查信息系统运行对单位经济业务活动和国家经济社会健康发展的经济效益、社会效益的影响,信息系统的规划模式、建设模式等对其他行业信息化的可借鉴性,评价信息系统对经济业务发展和行业、地区信息化发展的贡献度。
— 27 —
第六章 信息系统审计方法
第五十四条 系统调查方法。依据审计实施方案确定的审计目标和审计事项,调查被审计单位的相关业务活动及其所依赖的信息系统,调查信息系统的立项审批、系统建设、运行管理、运维服务、项目投资等情况,以及相关责任机构和管理制度等。
第五十五条 资料审查方法。为了确定信息系统的重要控制环节和重要控制点,审查信息系统的立项审批、系统设计、招标采购、项目实施、项目验收、系统运行、运维服务、项目投资,以及各类第三方测试或者评估等相关文档资料。重点审查应用控制、一般控制和项目管理中的重要事项资料。
第五十六条 系统检查方法。为了核定信息系统的重要控制环节和重要控制点,需要对应用控制的数据输入、处理、输出及其信息共享与业务协同的相关控制进行检查,对一般控制环境、区域边界和网络通信,以及信息系统的物理环境、网络、主机、应用、数据和安全等各类系统控制进行实地检查。
第五十七条 数据测试方法。为验证数据输入、处理和输出控制的有效性,采用模拟数据对运行系统或者备份系统进行符合性测试;对重要的计量、计费、核算、分析等计算功能及其控制进行设计文档审查、系统设臵检查和数据实质性测试的审查。必要时审查应用系统的源程序等。
第五十八条 数据验证方法:
数据采集验证。利用直连式、旁路式、代理式等合适的数据
28 — —
采集方法和工具,采集系统监测日志或者相关业务数据,进行数据符合性验证。
数据转换验证。利用数据库数据转换、文本转换、网页信息转换等方法和工具,对异构数据库之间的数据转换、结构化数据和非结构化数据的转换、不同数据类型和格式之间数据转换的一致性和准确性进行检查验证。
数据处理验证。通过对数据库SQL语句进行转换解析,实现对各类经济业务活动的计量、计费、核算、汇总等计算的符合性与准确性进行验证。
第五十九条 工具检测方法:
安全工具检测。利用入侵检测、漏洞扫描等工具的监测结果进行分析评价。
审计工具检测。利用网络审计、主机审计、数据库审计等工具的日志记录结果进行分析评价。
测评工具检测。利用网络分析检测、系统配臵检测、日志分析检测等工具,通过采集信息系统之间的通信数据包并进行逆向分析,还原系统间通信内容,检测主机操作系统、数据库、网络设备等重要系统是否满足配臵标准和规范要求,采集操作系统、网络设备、安全设备、应用系统等生成的日志信息进行检测分析。
系统运行监测。利用网络流量、应用进程、CPU利用率、内存利用率等系统运行监测结果进行分析评价。
系统监控检测。利用对应用、数据、主机、网络、机房环境
— 29 —
设备设施等方面的系统运行监控记录进行分析评价。
第六十条 风险评估方法:
信息系统内外部风险评估。在对信息系统总体风险的评估中,要充分考虑被审计单位信息系统及其经济业务活动所面临的国内外经济环境、政策影响、市场影响、技术影响、文化影响和组织架构影响等因素,以便做出客观的评价。
信息系统控制缺失风险评估。对检查测评发现的系统各类控制缺失应当进行风险程度评估,区分可接受的风险和不可接受的风险,尤其要重视潜在风险的评估。
控制缺失导致业务数据风险的评估。对检查测评发现的控制缺失不可接受的风险,要对是否导致经济业务活动相关数据的风险进行评估,指出具有风险的数据库和数据表,评估数据风险的程度。
信息系统风险责任界定评估。按照固有风险、控制风险和检查风险的审计风险理论,对信息系统的设计与建设、运行与维护、检查与监督等各环节的风险进行评估,对各部门的责任进行界定。
第六十一条 专家评审方法。组织信息系统等相关方面的专家或者委托有资质的专业机构,对信息系统审计中的相关专业领域、关键技术等进行必要的评审。
第七章 附 则
第六十二条 本指南适用于国家审计机关组织开展的各类信
30 —
—