如同开展业务审计要具有相关法律法规作为审计依据一样,开展信息系统审计同样需要审计依据。国内信息系统审计方面的工作近几年才刚刚开始,基本仍处于摸索阶段,而在国家审计中更是如此。目前,由于国内关于信息系统审计方面的标准尚处于空白状态,在国家审计中开展信息系统审计时,主要以国际公认的相关信息系统审计标准为依据,同时积极参考我国相关法律法规来进行。
目前,国际上关于信息系统审计方面可以参考的标准主要有信息及相关技术控制目标COBIT(Control Objectives for Information and related Technology)、ISO17799、能力成熟度集成模型CMMI(Capability Maturity Model Integration)和IT基础架构库ITIL(Information Technology Infrastructure Library)等。
COBIT是信息系统审计与控制协会ISACA(Information System Audit and Control Association)于1996年公布的目前国际上通用的信息系统审计的标准。它是一个在国际上公认为最先进、最权威的安全与信息技术管理和控制的标准,目前已经更新至第四版。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。
COBIT将IT 过程,IT资源及信息与企业的策略与目标联系起来,形成一个三维的体系结构。其中,IT准则维集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性; IT资源维主要包括以信息、应用系统、设施及人在内的信息相关的资源,这是IT治理过程的主要对象;IT过程维则是在IT准则的指导下,对信息及相关资源进行规划与处理,从信息技术的规划与组织、获取与实施、交付与支持、监督与评估等四个方面确定了34个信息技术处理过程,每个处理过程还包括更加详细的控制目标和审计方针以对IT处理过程进行评估。
COBIT真正关注的问题是一个企业是否具备适当的控制力,以确保其符合相关的管理规定。它可以帮助企业确定他们是否正在做他们想要做的事,以及他们是否可以证明这一点。例如,如果一家企业声称可以通过登录过程保证用户进入其数据中心的安全性,它就可以出示某一时段基于COBIT的完整日志。同时,通过使用COBIT标准可以使企业检查ITIL的执行情况,以确保企业正确应对经营活动中存在的风险。
ISO17799出自英国国家标准局制定的BS7799-1《信息安全管理实践规范》,该规范于2000年12月被国际标准化组织采纳,成为ISO17799。我国也即将采用BS7799-1使其成为CNS17799,因此在国内采纳BS7799-1是适宜的。 BS 7799-1包含100多个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素。这100多个控制措施被分成10个方面,成为组织实施信息安全管理的实用指南,这十个方面分别是:方针、安全组织、信息分类与控制、人事安全、物理与环境安全、通信与运营安全、访问控制、系统开发与维护、商务可持续运营、法律符合等。
2005年,ISO发布了新版的信息安全管理实施细则,即ISO/IEC17799-2005,对2000年版的标准进行了修订,更加注重标准的通用性和实用性。实施证明:ISO/IEC17799关于信息安全策略,资产管理,薄弱点、故障、事故的管理,业务连续性管理方面都为组织提供了很好的实践指南。实施信息安全管理体系的组织在树立了风险管理的理念后,不论在组织的IT治理还是信息系统安全性上都有显著的提升。
ISO17799标准所建立的最佳实践标准不但可以用来确保在信息系统故障或发生其他中断时,业务能够持续运行,而且能够控制对数据、系统和网络的访问,保护信息的机密性和完整性,防止对业务设施的非授权访问,同时还能保证系统符合相关的管理规定。事实上,ITIL的安全管理指导方针就是建立在ISO 17799标准之上的。
CMMI于1991年由卡内基梅隆大学软件工程协会发布。早期的CMMI1.02版本是应用于软件业项目的管理方法,而CMMI1.1版本已经演进为一种为软件开发、系统工程及研发提供流程改进指导的框架,其专业领域已覆盖软件工程、系统工程、集成产品开发和系统采购等。CMMI虽然源于美国,但在世界各地得到了广泛的推广与接受。在日本、欧洲、台湾、印度等地都有很多企业在推广与应用CMMI模型,尤其在印度CMMI的应用甚至超过了美国。有专家预测在未来的几年内,CMMI将成为ISO9000之后的又一个国际上普遍接受的标准。
CMMI框架通常被用来提高产品和服务质量,加快开发效率以及降低与开发项目相关的风险。CMMI具有5个不同的“成熟度”级别,分别是完成级、管理级、定义级、量化管理级和优化极,每个级别都代表着一套企业在实施流程改进时所必须的最佳实践标准。
CMMI目前有两种不同的实施方法,分别是连续式模式和阶段式模式。连续式模式主要衡量一个企业的项目能力。企业在接受评估时可以选择自己希望评估的项目来进行评估。因为是企业自己挑选项目,其评估通过的可能性就较大一点。但是,它反映的内容也比较窄,它仅仅表示企业在该项目或类似项目的实施能力达到了某一等级;阶段式模式则主要衡量一个企业的成熟度,也就是企业在项目实施上的综合实力。企业在进行评估时,一定要由评估师来挑选企业内部的任何项目,甚至于任何项目的任何部分。一般地讲,一个企业要想在阶段性评估中得到三级,其企业内部的大部分项目要达到三级,小部分项目可以在二级,但绝不能够有一级。
ITIL是英国中央计算机和电信局CCTA(现在已并入英国商务部)于80年代中期为了提高政府部门IT服务的质量和管理水平而开发的规范化、财务计量化的IT资源管理方法论,基于保洁、汇丰银行、美孚等诸多全球知名企业和政府关键业务的IT服务和运维管理经验,目前已经成为国际IT服务管理领域事实上的标准。
在它的最新版2.0中,ITIL主要包括六个模块,即业务管理、服务管理、信息通讯技术ICT基础架构管理、IT服务管理规划与实施、应用管理和安全管理。其中,服务管理是其最核心的模块,这个模块一共包括了10个流程和一项职能,这些流程和职能又被归结为两大流程组,即“服务提供”流程组和“服务支持”流程组。其中,服务支持流程组归纳了与IT管理相关的一项管理职能及5个运营级流程,即事故管理、问题管理、配置管理、变更管理和发布管理;服务提供流程组归纳了与IT管理相关的5个战术级流程,即服务级别管理、IT服务财务管理、能力管理、IT服务持续性管理和可用性管理。
通过上面的介绍可以看出,COBIT提供了对数据、IT系统和相关风险进行控制所需的参数框架;ISO 17799是适用于业务连续性、访问控制、遵从性以及其他领域的安全标准;CMMI侧重于软件开发、系统工程、研发及其他活动中的流程改进;而ITIL则是IT服务管理的最佳实践标准。在当前国家审计中开展信息系统审计时,我们可以主要参考COBIT和ISO17799标准。如在信息系统审计中,可以采用ISO17799作为内部安全框架的实施与审计标准,采用COBIT作为内部详细控制的实施与审计标准。
国内目前关于信息系统审计的依据主要有修订后的《中华人民共和国审计法》、国办发【2001】88号文件《国务院办公厅关利用计算机信息系统开展审计工作有关问题的通知》等。如修订后的审计法在第三十一条规定,审计机关有权要求被审计单位按照审计机关的规定提供预算或者财务收支计划、预算执行情况、决算、财务会计报告,运用电子计算机储存、处理的财政收支、财务收支电子数据和必要的电子计算机技术文档;在第三十二条规定,审计机关进行审计时,有权检查被审计单位的会计凭证、会计账簿、财务会计报告和运用电子计算机管理财政收支、财务收支电子数据的系统等。这些法律法规的出台提供了审计部门对被审计单位信息系统开展审计工作的依据。
上面的法律法规只是给了我们开展信息系统审计的法律保证,至于具体的审计依据,则要在具体的信息系统审计项目中,以财政部1996年发布的《独立审计具体准则第20号——计算机信息系统环境下的审计》和该行业的相关法律法规作为实际的审计依据。如在金融审计中,对银行信贷业务系统开展审计,就要参考《中华人民共和国公司法》、《中华人民共和国担保法》、《中华人民共和国票据法》、《中华人民共和国商业银行法》、《贷款通则》、《汽车贷款管理办法》、《个人住房贷款管理办法》、《不良贷款认定暂行办法》、《某某银行贷款业务操作规程》、《某某银行信贷业务基本规程》等法律法规作为具体的审计依据来对相关审计事项进行检查和评估。(作者: 审计署驻南京特派员办事处 马社亮)