1、信息系統(tǒng)的平安風險、審計策略及存在的問題信息系統(tǒng)的平安風險、審計策略及存在的問題近年來，企業(yè)的信息化 :/WWw.LWlM 程度快速開展，在為公司管理帶來方便的同時，也帶來了許多的平安問題，不僅有來互聯(lián)網的攻擊，與此同時，設計的缺陷、操作問題等也給舞弊人員提供了舞弊的時機。擬從信息系統(tǒng)所面臨的平安風險、信息系統(tǒng)平安審計的策略和開展信息系統(tǒng)審計存在的問題三個方面進展闡述。信息系統(tǒng)平安審計 審計策略 平安風險一、信息系統(tǒng)所面臨的平安風險一開發(fā)過程隨著業(yè)務的不斷開展，越來越多的IT系統(tǒng)取代了傳統(tǒng)的業(yè)務工作，系統(tǒng)的故障直接影響系統(tǒng)的運行才能，導致業(yè)務的全面中斷。由于開發(fā)人員大都擁有較高的權限和技術程度

2、，假設其在未經過充分測試和授權的情況下任意進展系統(tǒng)更新操作，很可能出現(xiàn)系統(tǒng)崩潰。二運營維護過程隨著專業(yè)化分工的不斷細化，很多企業(yè)將系統(tǒng)的維護分包給專業(yè)的第三方機構，尤其是在大中型企業(yè)及單位中，由于委托方人員的程度良莠不齊，加之企業(yè)無法對這些人員進展直接控制，難免出現(xiàn)受托方人員利用權限進入業(yè)務系統(tǒng)數(shù)據(jù)庫對數(shù)據(jù)進展修改。三操作過程操作人員的權限是信息系統(tǒng)控制的一個重要環(huán)節(jié)。操作人員對系統(tǒng)平安的影響分為兩個方面：一是部分操作人員被授予較大的權限，而這些權限又是不能互相兼容的，那么很可能為操作人員提供舞弊的時機。二是部分操作人員濫用權限，將自己的密碼或者口令告知別人，間接地為舞弊者提供時機。四系統(tǒng)軟件

3、的平安風險如今的企業(yè)不僅擁有局域網，而且會為員工提供接入互聯(lián)網的時機，間接地對企業(yè)信息平安產生影響。假設員工隨意安裝或者更新軟件，很可能將隱藏木馬、后門等病毒帶入個人計算機中，極可能將病毒傳送到其他電腦中，進而使整個系統(tǒng)面臨危險。二、信息系統(tǒng)平安審計策略一針對開發(fā)過程中的風險1.明確開發(fā)人員的職責分工：由于軟件開發(fā)工程都較為復雜，通過對人員的職責分工等到達互相制約的目的，如設置軟件系統(tǒng)需求分析員、軟件架構設計師、編程人員、軟件質量保障工程師、測試工程師，通過共同協(xié)作，到達有效開發(fā)系統(tǒng)的目的。審計人員通過查看職責分工情況，確定開發(fā)過程是否實現(xiàn)有效的分工，并得到有效控制。2.完善軟件開發(fā)文檔的建立

4、工作：通過質量保障方案，施行全過程質量審核，包括需求審核、設計復核、代碼走查等工作，減少由于設計人員造成的人為錯誤，進步產品質量。審計人員可以通過委托外部機構協(xié)助，測試設計的平安性和有效性。3.持續(xù)監(jiān)視系統(tǒng)的開發(fā)過程：完善增量開發(fā)過程中的需求文檔的記錄和規(guī)定工作，在施行增量開發(fā)過程中，要明確客戶的需求，確保系統(tǒng)的兼容性，數(shù)據(jù)的平安性、完好性和可靠性。由于審計人員可能不具備系統(tǒng)方面的專業(yè)知識，可以考慮將相關的審計工作外包給其他單位。二針對運營維護過程中所產生的風險許多企業(yè)將運營維護工作外包給其他專業(yè)機構，由于其專業(yè)化程度較高，一定程度上可以減少運營風險，及時有效地解決操作中出現(xiàn)的問題。但是對其進

5、展持續(xù)監(jiān)視還是必要的，建議審計部通過增加對運營維護機構的審計權限并適當?shù)匕才艑徲嫽顒樱瑴p少維護人員舞弊的時機，防止給企業(yè)的系統(tǒng)帶來平安危害。三針對操作層面的風險1.員工權限的分配是否實現(xiàn)職責別離：是否考慮不相容的崗位職責的別離？如申請和批準采購、驗收與入庫、付款與審批等工作是否由不同的人員進展操作。對于重要的崗位三個月復核一次權限設置情況，對于非關鍵崗位權限設置可以每半年復核一次。2.員工密碼的平安性：通過調查問卷等方式檢查員工是否認期更換密碼？密碼的長度是否符合平安策略？通過定期檢查用戶密碼的更新情況，并設置功能提醒用戶定期更新密碼。3.制定企業(yè)的平安策略：對于調崗人員，及時收回其權限，并授

6、予新的權限，防止在此階段提供舞弊機會；對于離任人員，盡早收回權限，防止其利用已得悉的信息牟利，給企業(yè)信息平安帶來宏大的風險；對于新增的功能需求，要進展系統(tǒng)的分析，考慮對信息系統(tǒng)平安性的影響。四針對系統(tǒng)軟件平安 :/WWw.LWlM 1.定期檢查公司的軟件配套情況：檢查效勞器中的軟件配置情況，查看是否為正版軟件；通過檢查個人計算中的軟件，發(fā)現(xiàn)是否存在使用盜版軟件的情況；檢查系統(tǒng)的日志，確定軟件的更新是否得到授權。2.定期更新殺毒軟件：檢查計算機的系統(tǒng)日志，確定是否認期更新殺毒軟件；并對涉密的計算機的使用策略進展審計。3.持續(xù)監(jiān)視：通過對用戶的訪問和操作進展檢測審計，理解各個主機的使用情況，確定主

7、機接入的合法性，持續(xù)監(jiān)控對外部網路的連接和訪問。三、開展信息系統(tǒng)審計存在的問題一審計目的不明確由于傳統(tǒng)的審計旨在查錯防弊，許多審計人員把審計僅僅理解為查賬，對系統(tǒng)的平安審計只停留在發(fā)現(xiàn)問題，而忽略運用詳細的審計方法。在計算機平安審計中，審計人員更應該關注效益性和平安性，通過運用分析程序、內部控制流程圖、穿行測試、調查問卷等方式發(fā)現(xiàn)內部控制方面的問題，而不僅僅是查找某些人員的操作失誤。二專業(yè)人員緊缺開展平安審計不僅需要審計人員理解審計方法和審計程序，而且需要在計算機理論知識、實際操作、系統(tǒng)開發(fā)等方面具有較高的才能，但從目前審計部的人員數(shù)量和知識構造來看，還是無法到達審計工作目的要求。三審計標準不明確由于信息系統(tǒng)平安審計還是一個比較新興的審計領域，信息系統(tǒng)平安性審計程序和審計方法的選擇仍是一個難點。