彭鍇

（廣東電網(wǎng)有限責(zé)任公司汕頭供電局，廣東汕頭 515041）

0.引言

信息系統(tǒng)審計(jì)已經(jīng)成為保障信息系統(tǒng)運(yùn)行安全、穩(wěn)定和有效的重要方法，眾多國(guó)際審計(jì)組織紛紛提出了信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南，其中最具影響力的就是COBIT 準(zhǔn)則。為此，相關(guān)工作人員應(yīng)該深入研究COBIT 準(zhǔn)則，并且以此為基礎(chǔ)構(gòu)建信息系統(tǒng)審計(jì)框架，為進(jìn)一步提升信息系統(tǒng)審計(jì)質(zhì)效奠定基礎(chǔ)。

1.信息系統(tǒng)審計(jì)概述

計(jì)算機(jī)軟硬件、信息資料、互聯(lián)網(wǎng)、通訊設(shè)備、信息用戶和規(guī)章制度共同組成了信息系統(tǒng)，該系統(tǒng)的主要作用是處理信息流，屬于人機(jī)一體化系統(tǒng)，可以為使用者提供管理和決策支持[1]。在實(shí)際作業(yè)環(huán)節(jié)，信息系統(tǒng)的應(yīng)用將有效解決信息孤島問題，可以發(fā)揮巨大的實(shí)用價(jià)值。隨著信息系統(tǒng)應(yīng)用的普及以及使用者對(duì)信息系統(tǒng)依賴性的增強(qiáng)，保障信息系統(tǒng)安全穩(wěn)定運(yùn)行變得尤為重要。在此環(huán)節(jié)，信息系統(tǒng)審計(jì)應(yīng)運(yùn)而生，這一工作基于特定準(zhǔn)則和標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)進(jìn)行開發(fā)、維護(hù)等環(huán)節(jié)的檢測(cè)與評(píng)價(jià)，可為提升信息系統(tǒng)有效性奠定基礎(chǔ)。在實(shí)踐中，相關(guān)工作人員可以通過審計(jì)工作，保護(hù)信息系統(tǒng)的資產(chǎn)完整性和數(shù)據(jù)真實(shí)性，還能讓信息系統(tǒng)更具合法性、合規(guī)性、安全性和穩(wěn)定性。

2.基于COBIT 的信息系統(tǒng)審計(jì)框架構(gòu)建要點(diǎn)

信息系統(tǒng)審計(jì)必須基于相應(yīng)的審計(jì)規(guī)則和目標(biāo)開展，而在國(guó)際上與信息系統(tǒng)審計(jì)相關(guān)的準(zhǔn)則十分豐富。比如，由國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)發(fā)布（ISACA）的COBIT準(zhǔn)則；由國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)（IIA）發(fā)布的GTAG 準(zhǔn)則和GAIT 準(zhǔn)則；由美國(guó)審計(jì)署（GAO）發(fā)布的FISCAM準(zhǔn)則；由英國(guó)中央計(jì)算機(jī)與電信局（CCTA）發(fā)布的TTIL準(zhǔn)則；由國(guó)際標(biāo)準(zhǔn)化組織（ISO）發(fā)布的國(guó)際信息安全管理標(biāo)準(zhǔn)BS7799 和ISO17799 都屬于國(guó)際信息系統(tǒng)審計(jì)準(zhǔn)則。雖然，不同的信息系統(tǒng)審計(jì)準(zhǔn)則存在細(xì)微差異，但他們?cè)谙到y(tǒng)控制和安全服務(wù)評(píng)價(jià)方面具有一致功能。因此，本文以COBIT 為審計(jì)準(zhǔn)則，并以此為基礎(chǔ)對(duì)信息系統(tǒng)審計(jì)框架進(jìn)行了簡(jiǎn)要分析。

2.1 COBIT 準(zhǔn)則

COBIT 是Control Objectives for Information and related Technology 的簡(jiǎn)稱，在國(guó)內(nèi)我們將之稱為信息系統(tǒng)和技術(shù)控制目標(biāo)。這一標(biāo)準(zhǔn)是國(guó)際公認(rèn)的IT 管理和控制標(biāo)準(zhǔn)，也是最受認(rèn)可的信息系統(tǒng)審計(jì)準(zhǔn)則，在全球范圍內(nèi)100 多個(gè)國(guó)家和組織中得到了廣泛應(yīng)用。與其他信息系統(tǒng)審計(jì)準(zhǔn)則相比，COBIT 的架構(gòu)體系更為科學(xué)，整體呈現(xiàn)業(yè)務(wù)中心、流程導(dǎo)向、控制基礎(chǔ)和績(jī)效測(cè)評(píng)驅(qū)動(dòng)的特點(diǎn)，可以為實(shí)現(xiàn)信息系統(tǒng)全生命周期審計(jì)奠定基礎(chǔ)[2]。同時(shí)，這一準(zhǔn)則的內(nèi)容也十分完善，涵蓋了技術(shù)和非技術(shù)層面的內(nèi)容。

2.2 信息系統(tǒng)審計(jì)框架

2.2.1 系統(tǒng)設(shè)計(jì)

在建立基于COBIT 的信息系統(tǒng)審計(jì)框架前，必須對(duì)信息技術(shù)的治理和管理原則進(jìn)行明確。目前，治理和管理IT 業(yè)務(wù)的主要框架為COBIT5.0，它的5 大原則分別為：（1）滿足利益相關(guān)者需求；（2）端到端覆蓋；（3）采用單一集成框架；（4）啟用一種綜合的方法；（5）區(qū)分治理與管理。在構(gòu)建基于COBIT 的信息系統(tǒng)審計(jì)框架時(shí)，必須嚴(yán)格遵守這幾大原則，并且要保證審計(jì)框架與實(shí)際要求相符。在實(shí)踐中，相關(guān)工作人員應(yīng)該先對(duì)信息系統(tǒng)審計(jì)流程進(jìn)行設(shè)計(jì)。對(duì)于信息系統(tǒng)而言，其整體生命周期應(yīng)該涵蓋4 個(gè)階段，每個(gè)階段的任務(wù)各不相同。

在規(guī)劃階段，信息系統(tǒng)應(yīng)該以制定企業(yè)IT 戰(zhàn)略、總體方案和評(píng)判方案可行性為任務(wù)；開發(fā)階段的任務(wù)則是做好信息系統(tǒng)開發(fā)形式選定并完成相應(yīng)的系統(tǒng)開發(fā)和設(shè)計(jì)；接收和實(shí)現(xiàn)階段的任務(wù)是開展信息系統(tǒng)安全、性能以及容量測(cè)試和新舊系統(tǒng)轉(zhuǎn)換，并開展員工實(shí)操培訓(xùn)；運(yùn)行維護(hù)階段的任務(wù)則是有效開展系統(tǒng)運(yùn)維，保障系統(tǒng)運(yùn)行穩(wěn)定和安全。在這一環(huán)節(jié)，COBIT 將貫穿系統(tǒng)的整體生命周期，其中，COBIT 的計(jì)劃與組織域與信息系統(tǒng)階段相對(duì)應(yīng)、獲取與實(shí)施階段和信息系統(tǒng)的開發(fā)階段相對(duì)應(yīng)、交付與支持階段跟信息系統(tǒng)的接收與實(shí)現(xiàn)階段相對(duì)應(yīng)，而COBIT的監(jiān)控與評(píng)價(jià)域則和信息系統(tǒng)的運(yùn)行維護(hù)階段相對(duì)應(yīng)。

在設(shè)計(jì)基于COBIT 的信息系統(tǒng)審計(jì)框架時(shí)，相關(guān)工作人員應(yīng)該將框架核心設(shè)定為信息系統(tǒng)的控制目標(biāo)?；趯徲?jì)范圍，基于COBIT 的信息系統(tǒng)審計(jì)框架可將審計(jì)工作分為面向系統(tǒng)和數(shù)據(jù)兩種，前者是對(duì)信息系統(tǒng)一般控制的審計(jì)，后者則是對(duì)其應(yīng)用控制的審計(jì)。

如圖1 所示，在基于COBIT 的信息系統(tǒng)審計(jì)框架中，系統(tǒng)層面包括組織管理、配置管理和信息系統(tǒng)生命周期管理3 部分；數(shù)據(jù)層面則包含應(yīng)用程序和數(shù)據(jù)文件兩部分。在此環(huán)節(jié)，使用者可以基于COBIT 管理完成信息系統(tǒng)的數(shù)據(jù)和系統(tǒng)管控，又能基于該指南完成數(shù)據(jù)和系統(tǒng)審計(jì)，還能依托于審計(jì)證據(jù)來客觀評(píng)價(jià)信息系統(tǒng)性能，并提出相應(yīng)的改進(jìn)意見。

圖1 基于COBIT的信息系統(tǒng)審計(jì)框架

2.2.2 應(yīng)用案例

在信息系統(tǒng)數(shù)量日漸增加，人員流動(dòng)性大的情況下，容易出現(xiàn)事件無(wú)法定責(zé)和賬戶管理缺失等問題。而安全堡壘平臺(tái)產(chǎn)品可定義管理組織、運(yùn)維組織，可配置人員權(quán)限、人員操作審計(jì)，使所有參與信息系統(tǒng)管理和運(yùn)維的人員實(shí)名登錄系統(tǒng)，實(shí)現(xiàn)信息系統(tǒng)管理和運(yùn)維人員的授權(quán)控制和過程監(jiān)控并對(duì)管理運(yùn)維操作進(jìn)行全程記錄，為系統(tǒng)審計(jì)提供保障。在管理和運(yùn)維合規(guī)的正常運(yùn)行表象之下，系統(tǒng)實(shí)際可能存在諸多亟需改善的地方，例如用戶某些習(xí)慣性操作（或者嘗試性的dos 攻擊或賬戶竊?。?，長(zhǎng)時(shí)間下來可能給信息系統(tǒng)累積了隱患，使系統(tǒng)性能逐漸下降。又或者運(yùn)維人員升級(jí)了一部分代碼，而代碼存在bug，為系統(tǒng)埋下了不穩(wěn)定因素。而信息系統(tǒng)數(shù)據(jù)審計(jì)工具可基于預(yù)定義或自定義的規(guī)則，對(duì)系統(tǒng)運(yùn)行數(shù)據(jù)和代碼進(jìn)行自動(dòng)判別和警告，節(jié)省了大量的人力和時(shí)間，有利于管理員及時(shí)發(fā)現(xiàn)不當(dāng)軌跡，采取措施予以遏制。

3.結(jié)語(yǔ)

COBIT 是實(shí)現(xiàn)信息系統(tǒng)審計(jì)的主要標(biāo)準(zhǔn)之一，在實(shí)踐中構(gòu)建基于COBIT 的信息系統(tǒng)審計(jì)框架可以為有效開展信息系統(tǒng)審計(jì)提供保障。在實(shí)際作業(yè)環(huán)節(jié)，相關(guān)工作人員要深入研究和分析COBIT 的內(nèi)涵、控制目標(biāo)和價(jià)值，還應(yīng)該對(duì)信息系統(tǒng)審計(jì)的目標(biāo)加以確定，并利用COBIT構(gòu)建完善的審計(jì)流程和框架，為提高信息系統(tǒng)審計(jì)工作質(zhì)效提供指導(dǎo)。