计算机审计实务公告第34号-关于印发信息系统审计指 下载本文

采集方法和工具,采集系统监测日志或者相关业务数据,进行数据符合性验证。

数据转换验证。利用数据库数据转换、文本转换、网页信息转换等方法和工具,对异构数据库之间的数据转换、结构化数据和非结构化数据的转换、不同数据类型和格式之间数据转换的一致性和准确性进行检查验证。

数据处理验证。通过对数据库SQL语句进行转换解析,实现对各类经济业务活动的计量、计费、核算、汇总等计算的符合性与准确性进行验证。

第五十九条 工具检测方法:

安全工具检测。利用入侵检测、漏洞扫描等工具的监测结果进行分析评价。

审计工具检测。利用网络审计、主机审计、数据库审计等工具的日志记录结果进行分析评价。

测评工具检测。利用网络分析检测、系统配置检测、日志分析检测等工具,通过采集信息系统之间的通信数据包并进行逆向分析,还原系统间通信内容,检测主机操作系统、数据库、网络设备等重要系统是否满足配置标准和规范要求,采集操作系统、网络设备、安全设备、应用系统等生成的日志信息进行检测分析。

系统运行监测。利用网络流量、应用进程、CPU利用率、内存利用率等系统运行监测结果进行分析评价。

系统监控检测。利用对应用、数据、主机、网络、机房环境

设备设施等方面的系统运行监控记录进行分析评价。

第六十条 风险评估方法:

信息系统内外部风险评估。在对信息系统总体风险的评估中,要充分考虑被审计单位信息系统及其经济业务活动所面临的国内外经济环境、政策影响、市场影响、技术影响、文化影响和组织架构影响等因素,以便做出客观的评价。

信息系统控制缺失风险评估。对检查测评发现的系统各类控制缺失应当进行风险程度评估,区分可接受的风险和不可接受的风险,尤其要重视潜在风险的评估。

控制缺失导致业务数据风险的评估。对检查测评发现的控制缺失不可接受的风险,要对是否导致经济业务活动相关数据的风险进行评估,指出具有风险的数据库和数据表,评估数据风险的程度。

信息系统风险责任界定评估。按照固有风险、控制风险和检查风险的审计风险理论,对信息系统的设计与建设、运行与维护、检查与监督等各环节的风险进行评估,对各部门的责任进行界定。

第六十一条 专家评审方法。组织信息系统等相关方面的专家或者委托有资质的专业机构,对信息系统审计中的相关专业领域、关键技术等进行必要的评审。

第七章 附 则

第六十二条 本指南适用于国家审计机关组织开展的各类信

息系统审计活动。

第六十三条 本指南的审计内容和审计指标,均依照国家关于信息系统建设和管理的相关规定,参照国内外信息系统审计的研究成果,在总结我国审计机关信息系统审计实践的基础上提出。

第六十四条 本指南的审计事项、审计指标和审计方法,需要在审计实践中不断完善、调整和扩充,逐步建立适合我国国家审计机关的信息系统审计指标体系和审计方法体系。

第六十五条 本指南由中国审计学会计算机审计分会、审计署信息化建设办公室、审计署计算机技术中心、审计署科研所、审计署外资审计中心,审计署京津冀特派员办事处、上海特派员办事处、南京特派员办事处、武汉特派员办事处、长沙特派员办事处,浙江省审计厅,南京审计学院、北京大学数字中国研究院等单位起草。

第六十六条 本指南的解释权属审计署计算机技术中心。 第六十七条 本指南自发布之日起生效。

附录

信息系统中容易产生数据风险的审计内容

1.第二十条信息系统业务流程控制审计事项的(一)至(三)测评指标。

2.第二十三条至第二十五条的数据输入、处理和输出审计事项的(四)至(十七)测评指标。

3.第二十七条信息共享与业务协同控制审计事项的(十八)、(二十)至(二十二)测评指标。

4.第二十九条共享外部数据审计事项的(二十七)测评指标,第三十条供给外部数据审计事项的(二十九)测评指标。

5.第三十四条信息安全技术控制审计事项的(三十七)、(三十八)至(四十)测评指标。

主题词:审计 计算机 公告 通知

署内分送:署领导,总经济师,办公厅、计算中心(4)。 审计署办公厅 2012年2月2日印发 (只发电子文件)