信息系統(tǒng)審計(jì) 課件 【ch05】信息系統(tǒng)生命周期審計(jì)

信息系統(tǒng)生命周期審計(jì)第五章高等院校公共課系列精品教材信息系統(tǒng)審計(jì)信息化建設(shè)全過程0101信息化建設(shè)全過程信息化建設(shè)流程信息化建設(shè)流程如表5-1所示。01信息化建設(shè)全過程01信息化建設(shè)全過程系統(tǒng)戰(zhàn)略規(guī)劃階段戰(zhàn)略規(guī)劃階段是信息化建設(shè)的第一階段，是軟件開發(fā)過程中的第一步，也是描繪信息系統(tǒng)建設(shè)遠(yuǎn)景目標(biāo)的關(guān)鍵一步。由于企業(yè)或組織的信息化建設(shè)一般投資大、周期長且系統(tǒng)工程較復(fù)雜，系統(tǒng)規(guī)劃的質(zhì)量對(duì)未來的系統(tǒng)建設(shè)和運(yùn)行至關(guān)重要，一旦規(guī)劃有偏差，就會(huì)出現(xiàn)系統(tǒng)成本高、開發(fā)周期長、系統(tǒng)功能缺失等各種問題。因此在系統(tǒng)開發(fā)的早期階段，做好戰(zhàn)略規(guī)劃工作十分重要。一個(gè)比較完整的戰(zhàn)略規(guī)劃應(yīng)包括信息系統(tǒng)開發(fā)的范圍、總體結(jié)構(gòu)、實(shí)現(xiàn)目標(biāo)、組織管理體系、管理流程、建設(shè)計(jì)劃、技術(shù)規(guī)范等。系統(tǒng)需求分析階段系統(tǒng)需求分析階段的任務(wù)是：結(jié)合對(duì)相關(guān)文檔資料的研究和分析，梳理出業(yè)務(wù)流程、數(shù)據(jù)流程、組織結(jié)構(gòu)和詳細(xì)功能需求，以此在對(duì)現(xiàn)有業(yè)務(wù)流程進(jìn)行詳細(xì)了解和分析的基礎(chǔ)上，確定信息系統(tǒng)必須完成的總目標(biāo)，并提交系統(tǒng)建設(shè)方案說明，確定方案的可行性，導(dǎo)出實(shí)現(xiàn)方案目標(biāo)應(yīng)該采取的策略及系統(tǒng)必須完成的功能，估計(jì)完成該項(xiàng)工程需要的資源和成本，并且制定工程進(jìn)度表。01信息化建設(shè)全過程資源獲取階段信息系統(tǒng)的建設(shè)需要多種IT資源的獲取與整合。這些IT資源包括各種IT相關(guān)人員、軟件和硬件等。企業(yè)或組織根據(jù)對(duì)自身情況的評(píng)估，其軟硬件資源可以自行設(shè)計(jì)開發(fā)，也可以選擇部分或全部進(jìn)行市場化采購，即采購能夠滿足業(yè)務(wù)需求的成熟的商品化軟件和配套硬件，由第三方提供安裝、培訓(xùn)、實(shí)施和維護(hù)等工作。這類采購任務(wù)，應(yīng)根據(jù)系統(tǒng)建設(shè)方案選擇合適的商業(yè)軟件，對(duì)項(xiàng)目進(jìn)行立項(xiàng)、招標(biāo)、評(píng)標(biāo)和簽訂合同，完成軟件系統(tǒng)采購工作。系統(tǒng)開發(fā)階段系統(tǒng)開發(fā)階段可進(jìn)一步分為系統(tǒng)設(shè)計(jì)、系統(tǒng)編碼和系統(tǒng)測試三個(gè)階段。系統(tǒng)設(shè)計(jì)階段的任務(wù)是：提供信息系統(tǒng)的概括的解決方案，主要內(nèi)容包括信息系統(tǒng)的功能模塊的劃分，功能模塊之間的層次結(jié)構(gòu)和關(guān)系。進(jìn)而對(duì)系統(tǒng)進(jìn)行詳細(xì)設(shè)計(jì)。系統(tǒng)編碼階段的任務(wù)是：將上述系統(tǒng)設(shè)計(jì)階段的藍(lán)圖，通過編寫程序的方式在計(jì)算機(jī)上實(shí)現(xiàn)，將原來紙面上的。系統(tǒng)測試階段的任務(wù)是：充分運(yùn)行系統(tǒng)，盡可能多地發(fā)現(xiàn)軟件的缺陷和潛在的問題，驗(yàn)證系統(tǒng)各部件能否正常工作并完成所賦予的任務(wù)。01信息化建設(shè)全過程系統(tǒng)實(shí)施與試運(yùn)行階段系統(tǒng)實(shí)施階段包括基礎(chǔ)平臺(tái)實(shí)施和應(yīng)用系統(tǒng)實(shí)施兩部分內(nèi)容?；A(chǔ)平臺(tái)實(shí)施是指將計(jì)算機(jī)硬件、操作系統(tǒng)、數(shù)據(jù)庫和網(wǎng)絡(luò)架構(gòu)等作為企業(yè)或組織信息系統(tǒng)的基礎(chǔ)設(shè)施搭建完成。而應(yīng)用系統(tǒng)實(shí)施是將采購的商品軟件或開發(fā)出的軟件具體應(yīng)用到現(xiàn)實(shí)的業(yè)務(wù)中。系統(tǒng)的設(shè)施是人和設(shè)備相互配合的過程，相關(guān)的部門和人員需從原有的業(yè)務(wù)處理方式過渡到以信息系統(tǒng)為支撐的新方式上去。系統(tǒng)實(shí)施工作需分階段、分步驟、有組織地進(jìn)行，這也是對(duì)系統(tǒng)的質(zhì)量、運(yùn)行效率、穩(wěn)定性和可維護(hù)性等的全面驗(yàn)證。系統(tǒng)維護(hù)階段系統(tǒng)維護(hù)是系統(tǒng)投入正常運(yùn)行之后一件長期而又艱巨的工作。維護(hù)時(shí)期的主要任務(wù)是使系統(tǒng)持久地滿足用戶的需要。具體地說，系統(tǒng)維護(hù)的任務(wù)包括：當(dāng)系統(tǒng)在使用過程中發(fā)現(xiàn)錯(cuò)誤時(shí)，應(yīng)該加以改正；當(dāng)環(huán)境改變時(shí)，應(yīng)該修改系統(tǒng)以適應(yīng)新的環(huán)境；當(dāng)企業(yè)或組織有新的需求時(shí)，應(yīng)該及時(shí)改進(jìn)信息系統(tǒng)以滿足需求。每一次維護(hù)活動(dòng)本質(zhì)上都是一次壓縮和簡化了的系統(tǒng)定義和開發(fā)過程。信息系統(tǒng)戰(zhàn)略規(guī)劃審計(jì)0201信息系統(tǒng)戰(zhàn)略規(guī)劃審計(jì)信息系統(tǒng)戰(zhàn)略規(guī)劃審計(jì)的目標(biāo)信息系統(tǒng)戰(zhàn)略規(guī)劃審計(jì)的目標(biāo)是：評(píng)價(jià)信息系統(tǒng)的規(guī)劃是否滿足被審計(jì)單位戰(zhàn)略需求，使其與業(yè)務(wù)目標(biāo)保持一致，信息系統(tǒng)資源得以統(tǒng)一管理和優(yōu)化；風(fēng)險(xiǎn)得到有效控制，信息技術(shù)業(yè)務(wù)活動(dòng)符合法律法規(guī)和行業(yè)規(guī)范要求，保障信息系統(tǒng)戰(zhàn)略規(guī)劃制定及實(shí)施過程得到合理的控制、監(jiān)督并持續(xù)改進(jìn)；促進(jìn)組織價(jià)值最大化。01信息系統(tǒng)戰(zhàn)略規(guī)劃審計(jì)信息系統(tǒng)戰(zhàn)略規(guī)劃審計(jì)的內(nèi)容信息系統(tǒng)戰(zhàn)略規(guī)劃審計(jì)的主要內(nèi)容包括兩個(gè)方面：一方面是跟蹤整個(gè)系統(tǒng)規(guī)劃的過程，判斷整個(gè)規(guī)劃是否是按照必要的可行性分析步驟進(jìn)行的，是否越過了某些必要的關(guān)鍵步驟，或其規(guī)劃步驟是否存在著明顯的不合理性；另一方面是審計(jì)規(guī)劃的內(nèi)容。規(guī)劃內(nèi)容的審計(jì)的一個(gè)重要依據(jù)就是分析員提交的文檔，其中包括可行性分析報(bào)告及相應(yīng)的系統(tǒng)流程圖、數(shù)據(jù)流程圖、數(shù)據(jù)字典或成本效益分析等。01信息系統(tǒng)戰(zhàn)略規(guī)劃審計(jì)信息系統(tǒng)戰(zhàn)略規(guī)劃的風(fēng)險(xiǎn)信息系統(tǒng)戰(zhàn)略規(guī)劃的風(fēng)險(xiǎn)包括：(1)缺少信息系統(tǒng)戰(zhàn)略規(guī)劃目標(biāo)；(2)信息系統(tǒng)目標(biāo)與組織戰(zhàn)略規(guī)劃不一致或更新不及時(shí)；(3)信息系統(tǒng)目標(biāo)與組織信息系統(tǒng)能力不符，缺乏實(shí)用性；(4)信息系統(tǒng)目標(biāo)與其他管理控制流程不符，缺乏可操作性；(5)信息系統(tǒng)目標(biāo)缺少保障措施；(6)信息系統(tǒng)投資立項(xiàng)與信息系統(tǒng)戰(zhàn)略規(guī)劃、業(yè)務(wù)目標(biāo)不符；(7)信息系統(tǒng)投資項(xiàng)目未經(jīng)信息系統(tǒng)決策部門批準(zhǔn)；(8)信息系統(tǒng)投資項(xiàng)目流程控制不足。01信息系統(tǒng)戰(zhàn)略規(guī)劃審計(jì)信息系統(tǒng)戰(zhàn)略規(guī)劃審計(jì)的主要方法和程序信息系統(tǒng)戰(zhàn)略規(guī)劃審計(jì)的主要方法和程序如表5-2所示。信息系統(tǒng)需求分析審計(jì)0301信息系統(tǒng)需求分析審計(jì)信息系統(tǒng)需求分析審計(jì)的目標(biāo)信息系統(tǒng)需求分析審計(jì)的目標(biāo)是：確保被開發(fā)信息系統(tǒng)的經(jīng)濟(jì)可行性、技術(shù)可行性和管理可行性。對(duì)經(jīng)濟(jì)可行性的審查，要評(píng)價(jià)其建立信息系統(tǒng)所投入的成本，并客觀地評(píng)估系統(tǒng)運(yùn)行后可能帶來的收益，比如縮短了生產(chǎn)或服務(wù)周期、精簡了人員崗位等，保證系統(tǒng)的開發(fā)符合成本效益原則。對(duì)技術(shù)可行性的審查，可以咨詢相關(guān)計(jì)算機(jī)專業(yè)人士，看系統(tǒng)使用的軟硬件是否能滿足被審計(jì)單位數(shù)據(jù)處理的需要，并預(yù)留足夠的空間用于系統(tǒng)兼容性和軟硬件設(shè)備升級(jí)。既要滿足被審計(jì)單位的現(xiàn)實(shí)，又要有一定的遠(yuǎn)見。對(duì)管理可行性的審查，主要看信息系統(tǒng)如何被人們有效地利用，比如提升了生產(chǎn)辦公效率、簡化了操作、優(yōu)化了辦公流程、促進(jìn)了知識(shí)積累和傳遞等。但從不好的方面說，也可能出現(xiàn)被審計(jì)單位的員工素質(zhì)不足以使用新系統(tǒng)、管理流程老化、管理思維僵化等情況，那么就會(huì)大大降低信息系統(tǒng)開發(fā)的可行性。01信息系統(tǒng)需求分析審計(jì)信息系統(tǒng)需求分析審計(jì)的內(nèi)容對(duì)信息系統(tǒng)需求分析的審計(jì)可以是事前審計(jì)，也可以是事后審計(jì)。如果是事前審計(jì)，審計(jì)人員對(duì)于系統(tǒng)需求分析的適當(dāng)控制就具有很大的作用。審計(jì)人員在參與式審計(jì)過程中，配合系統(tǒng)設(shè)計(jì)人員共同研究新系統(tǒng)在技術(shù)、經(jīng)濟(jì)、管理方面的可行性，審核資金、人力、物力的投入及來源是否恰當(dāng)?shù)?；如果是事后審?jì)，則需查閱需求分析相關(guān)文檔，包括需求調(diào)研報(bào)告、系統(tǒng)論證報(bào)告、用戶確認(rèn)文檔和會(huì)議紀(jì)要等，以此來檢查系統(tǒng)分析過程中是否有精通業(yè)務(wù)的人員參與，使用的分析模型是否方便分析師與用戶溝通，系統(tǒng)的邏輯模型是否滿足用戶的需求等。01信息系統(tǒng)需求分析審計(jì)信息系統(tǒng)需求分析的風(fēng)險(xiǎn)(1)未制定合理的項(xiàng)目生命周期管理方案和符合質(zhì)量管理標(biāo)準(zhǔn)的質(zhì)量控制體系，不能有效控制開發(fā)質(zhì)量；開發(fā)過程未進(jìn)行必要的安全控制，未對(duì)源代碼進(jìn)行有效管理和嚴(yán)格審查可能導(dǎo)致的風(fēng)險(xiǎn)。(2)項(xiàng)目需求說明書闡述業(yè)務(wù)范圍及內(nèi)容不清晰，未能結(jié)合需求制定出最優(yōu)化的技術(shù)設(shè)計(jì)方案的風(fēng)險(xiǎn)。開發(fā)環(huán)境、測試環(huán)境和生產(chǎn)環(huán)境未分離，網(wǎng)絡(luò)未有效隔離，設(shè)備未獨(dú)立于生產(chǎn)系統(tǒng)，開發(fā)人員直接接觸生產(chǎn)系統(tǒng)，直接使用未經(jīng)批準(zhǔn)并脫敏的生產(chǎn)數(shù)據(jù)，導(dǎo)致泄密或造成生產(chǎn)系統(tǒng)受損的風(fēng)險(xiǎn)。01信息系統(tǒng)需求分析審計(jì)信息系統(tǒng)需求分析審計(jì)的主要方法和程序信息系統(tǒng)需求分析審計(jì)的主要方法和程序如表5-4所示。信息系統(tǒng)資源獲取審計(jì)0401信息系統(tǒng)資源獲取審計(jì)資源獲取審計(jì)的目標(biāo)資源獲取審計(jì)的目標(biāo)包括：合理地保證信息化項(xiàng)目計(jì)劃與組織的發(fā)展戰(zhàn)略、年度計(jì)劃一致，立項(xiàng)流程遵循了被審計(jì)單位的規(guī)章制度，并得到正式的審批；保證預(yù)算編制及執(zhí)行審計(jì)檢查預(yù)算的合理性、預(yù)算執(zhí)行的真實(shí)性、合法性；對(duì)于系統(tǒng)功能是否達(dá)到標(biāo)準(zhǔn)、規(guī)范及業(yè)務(wù)處理的要求，能可靠地運(yùn)行以實(shí)現(xiàn)業(yè)務(wù)目標(biāo)，審計(jì)人員可通過對(duì)信息系統(tǒng)招投標(biāo)和采購環(huán)節(jié)的各個(gè)階段的目標(biāo)、可靠性、安全性、合法性和效益性需求及其執(zhí)行情況的檢查，評(píng)價(jià)系統(tǒng)采購是否符合信息系統(tǒng)建設(shè)的需要，合理保證采購行為的合法性、真實(shí)性、準(zhǔn)確性、經(jīng)濟(jì)性。01信息系統(tǒng)資源獲取審計(jì)資源獲取審計(jì)的主要內(nèi)容資源獲取審計(jì)的主要內(nèi)容包括：對(duì)信息化項(xiàng)目年度計(jì)劃的編制、上報(bào)、匯總、審批、發(fā)布等環(huán)節(jié)進(jìn)行審計(jì)。審計(jì)項(xiàng)目建設(shè)背景、必要性、項(xiàng)目的目標(biāo)、范圍和主要內(nèi)容、初步業(yè)務(wù)需求分析、實(shí)施周期、投資估算及系統(tǒng)所需要軟硬件環(huán)境等內(nèi)容。檢查信息系統(tǒng)立項(xiàng)與年度計(jì)劃的一致性，檢查項(xiàng)目的可行性研究報(bào)告，重點(diǎn)關(guān)注需求提報(bào)、上報(bào)、技術(shù)經(jīng)濟(jì)論證、辦理批復(fù)和項(xiàng)目備案管理的過程。審計(jì)預(yù)算目標(biāo)的科學(xué)性，編制程序的合規(guī)性，預(yù)算內(nèi)容的完整性、準(zhǔn)確性，相關(guān)費(fèi)用支出、資金支付的真實(shí)性及合規(guī)性。對(duì)信息化項(xiàng)目招標(biāo)管理情況、投標(biāo)管理情況、評(píng)標(biāo)管理情況、中標(biāo)及合同簽訂情況、采購行為及合同的合法性、真實(shí)性、準(zhǔn)確性、經(jīng)濟(jì)性等方面的內(nèi)容進(jìn)行監(jiān)督。01信息系統(tǒng)資源獲取審計(jì)資源獲取的風(fēng)險(xiǎn)資源獲取的風(fēng)險(xiǎn)包括以下幾方面。(1)信息化項(xiàng)目計(jì)劃未制定或未落實(shí)造成的項(xiàng)目資金、工期、責(zé)任等風(fēng)險(xiǎn)。(2)信息化項(xiàng)目管理缺失或失當(dāng)造成的立項(xiàng)、審批、技術(shù)、資金等風(fēng)險(xiǎn)。(3)信息化項(xiàng)目預(yù)算不準(zhǔn)確或不規(guī)范造成的項(xiàng)目投入超預(yù)算風(fēng)險(xiǎn)。(4)信息化項(xiàng)目招投標(biāo)、采購和驗(yàn)收不規(guī)范造成的法律和經(jīng)濟(jì)風(fēng)險(xiǎn)。01信息系統(tǒng)資源獲取審計(jì)資源獲取審計(jì)的主要方法和程序資源獲取審計(jì)的主要方法和程序如表5-5所示。01信息系統(tǒng)資源獲取審計(jì)信息系統(tǒng)開發(fā)審計(jì)0501信息系統(tǒng)開發(fā)審計(jì)信息系統(tǒng)開發(fā)的內(nèi)容信息系統(tǒng)開發(fā)的主要內(nèi)容包括三部分：信息系統(tǒng)設(shè)計(jì)(總體框架設(shè)計(jì)、結(jié)構(gòu)設(shè)計(jì)、數(shù)據(jù)庫設(shè)計(jì)、輸入輸出設(shè)計(jì))、信息系統(tǒng)實(shí)現(xiàn)(流程處理及功能模塊的開發(fā))、信息系統(tǒng)測試。信息系統(tǒng)開發(fā)流程圖如圖5-1所示。01信息系統(tǒng)開發(fā)審計(jì)信息系統(tǒng)開發(fā)的內(nèi)容01信息系統(tǒng)開發(fā)審計(jì)信息系統(tǒng)開發(fā)的內(nèi)容01信息系統(tǒng)開發(fā)審計(jì)信息系統(tǒng)開發(fā)的內(nèi)容01信息系統(tǒng)開發(fā)審計(jì)信息系統(tǒng)開發(fā)審計(jì)的目標(biāo)實(shí)施信息系統(tǒng)開發(fā)審計(jì)是為了確保信息系統(tǒng)開發(fā)的控制得到有效實(shí)施，使設(shè)計(jì)的系統(tǒng)具有較高的水平，并在投入使用后能順暢運(yùn)行，最終實(shí)現(xiàn)被審計(jì)單位的組織目標(biāo)。信息系統(tǒng)開發(fā)審計(jì)的目標(biāo)是：通過規(guī)范開發(fā)程序，提高信息系統(tǒng)開發(fā)的可控性、安全性、可靠性和經(jīng)濟(jì)性，揭示信息系統(tǒng)開發(fā)環(huán)節(jié)存在的風(fēng)險(xiǎn)及問題，提出完善信息系統(tǒng)開發(fā)控制的審計(jì)意見和建議，實(shí)現(xiàn)組織目標(biāo)。信息系統(tǒng)開發(fā)審計(jì)的內(nèi)容檢查信息系統(tǒng)開發(fā)項(xiàng)目的組織機(jī)構(gòu)設(shè)置、資源配置情況；開發(fā)過程中與業(yè)務(wù)部門的溝通情況；系統(tǒng)開發(fā)全過程的需求分析、架構(gòu)設(shè)計(jì)、軟件實(shí)現(xiàn)、系統(tǒng)測試、用戶測試、系統(tǒng)試運(yùn)行、系統(tǒng)驗(yàn)收、系統(tǒng)上線和數(shù)據(jù)遷移、產(chǎn)品維護(hù)等內(nèi)容的質(zhì)量、安全管理情況。01信息系統(tǒng)開發(fā)審計(jì)信息系統(tǒng)開發(fā)的風(fēng)險(xiǎn)信息系統(tǒng)審計(jì)人員需要評(píng)估信息系統(tǒng)開發(fā)過程中可能存在的控制風(fēng)險(xiǎn)和項(xiàng)目風(fēng)險(xiǎn)。常見的風(fēng)險(xiǎn)包括以下幾種。(1)缺少開發(fā)統(tǒng)一的標(biāo)準(zhǔn)，如編碼規(guī)則、命名規(guī)則等，或未遵循開發(fā)標(biāo)準(zhǔn)和規(guī)程。(2)缺少明確的開發(fā)目標(biāo)。(3)缺乏有效的控制，導(dǎo)致開發(fā)周期延長、成本超支。(4)采用了不當(dāng)?shù)募夹g(shù)方案。(5)需求變化頻繁或變化較大。(6)相關(guān)文檔不完整、不規(guī)范。(7)配置管理不合理。01信息系統(tǒng)開發(fā)審計(jì)信息系統(tǒng)開發(fā)的風(fēng)險(xiǎn)(8)數(shù)據(jù)開放接口不合理或不規(guī)范。(9)現(xiàn)有資源不可用。(10)項(xiàng)目較復(fù)雜，現(xiàn)有技術(shù)人員在能力上不能勝任。(11)測試計(jì)劃、標(biāo)準(zhǔn)、步驟、用例和所需的系統(tǒng)設(shè)置要求不清晰、不明確，特別是缺少最終用戶測試，導(dǎo)致無法實(shí)現(xiàn)需求功能，或?qū)崿F(xiàn)的功能不符合設(shè)計(jì)目標(biāo)。(12)在系統(tǒng)測試完成后，未提交測試報(bào)告；未及時(shí)為用戶測試準(zhǔn)備數(shù)據(jù)，測試數(shù)據(jù)脫離生產(chǎn)環(huán)境的實(shí)際數(shù)據(jù)或與系統(tǒng)所實(shí)現(xiàn)的設(shè)計(jì)要求不符。(13)系統(tǒng)安裝部署手冊(cè)、功能測試報(bào)告、集成測試報(bào)告、性能測試報(bào)告、用戶培訓(xùn)教材等測試文檔不全或缺失。(14)系統(tǒng)未經(jīng)充分測試即投入使用，程序、功能上的缺陷或系統(tǒng)配置上的錯(cuò)誤未能及時(shí)發(fā)現(xiàn)，導(dǎo)致系統(tǒng)運(yùn)行不穩(wěn)定或業(yè)務(wù)功能失效。01信息系統(tǒng)開發(fā)審計(jì)信息系統(tǒng)開發(fā)審計(jì)的方法和程序信息系統(tǒng)實(shí)施審計(jì)0601信息系統(tǒng)實(shí)施審計(jì)信息系統(tǒng)實(shí)施審計(jì)的目標(biāo)信息系統(tǒng)實(shí)施審計(jì)的審計(jì)目標(biāo)包括以下幾方面。(1)確認(rèn)信息系統(tǒng)的基礎(chǔ)平臺(tái)是否達(dá)到要求。(2)確認(rèn)信息系統(tǒng)的各項(xiàng)功能是否有效。(3)確認(rèn)信息系統(tǒng)的可控制性是否達(dá)到要求。(4)確認(rèn)信息系統(tǒng)的可維護(hù)性是否達(dá)到標(biāo)準(zhǔn)。(5)確認(rèn)信息系統(tǒng)是否已經(jīng)備案。01信息系統(tǒng)實(shí)施審計(jì)信息系統(tǒng)實(shí)施審計(jì)的內(nèi)容信息系統(tǒng)實(shí)施審計(jì)包括基礎(chǔ)平臺(tái)審計(jì)、系統(tǒng)上線審計(jì)和系統(tǒng)備案審計(jì)三部分內(nèi)容。(1)基礎(chǔ)平臺(tái)審計(jì)。基礎(chǔ)平臺(tái)審計(jì)主要包括硬件系統(tǒng)審計(jì)、操作系統(tǒng)審計(jì)、數(shù)據(jù)庫審計(jì)和網(wǎng)絡(luò)架構(gòu)審計(jì)，其中涉及硬件設(shè)備規(guī)格和硬件設(shè)備采購計(jì)劃的評(píng)價(jià)、系統(tǒng)容量管理程序測試、操作系統(tǒng)安全和穩(wěn)定性測評(píng)、軟件可行性和兼容性分析、操作系統(tǒng)軟件成本和效益分析、操作系統(tǒng)軟件安裝及維護(hù)測試和數(shù)據(jù)庫管理系統(tǒng)的設(shè)計(jì)、訪問、管理及界面測試，以及網(wǎng)絡(luò)構(gòu)架、協(xié)議、加密標(biāo)準(zhǔn)和拓?fù)浣Y(jié)構(gòu)的先進(jìn)性和可擴(kuò)展性的評(píng)估。(2)系統(tǒng)上線審計(jì)。系統(tǒng)上線審計(jì)的對(duì)象則包括上線評(píng)審、試運(yùn)行評(píng)審等。信息系統(tǒng)審計(jì)人員要對(duì)信息系統(tǒng)上線后的情況進(jìn)行評(píng)審，對(duì)于新老系統(tǒng)切換上線情況，還需提交新老系統(tǒng)詳細(xì)遷移方案和系統(tǒng)應(yīng)急預(yù)案。上線評(píng)審應(yīng)重點(diǎn)檢查合同對(duì)照表，確保合同任務(wù)目標(biāo)達(dá)到要求；對(duì)功能測試、性能測試、文檔檢查、數(shù)據(jù)準(zhǔn)備、數(shù)據(jù)備份、管理辦法等進(jìn)行評(píng)審，檢查項(xiàng)目文檔的完整性、系統(tǒng)測試結(jié)果的合理性和系統(tǒng)上線前各項(xiàng)準(zhǔn)備工作的完備性。01信息系統(tǒng)實(shí)施審計(jì)信息系統(tǒng)實(shí)施審計(jì)的內(nèi)容(3)系統(tǒng)備案審計(jì)。信息安全等級(jí)備案審核是根據(jù)《信息安全等級(jí)保護(hù)管理辦法》對(duì)信息安全等級(jí)備案的明確規(guī)定，要求新投入使用的信息系統(tǒng)在設(shè)計(jì)和規(guī)劃階段確定安全保護(hù)等級(jí)。新建(運(yùn)營)二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)營或者安全防護(hù)等級(jí)確定后30日內(nèi)向所在地市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。進(jìn)行信息系統(tǒng)等級(jí)備案，對(duì)于各類信息系統(tǒng)的安全有效管理具有重要意義。在實(shí)踐中，可能由于被審計(jì)單位或管理單位的疏忽，很多按要求應(yīng)記錄信息安全等級(jí)的系統(tǒng)并沒有做相應(yīng)的備案工作。在審核過程中，應(yīng)特別注意信息系統(tǒng)等級(jí)備案情況。01信息系統(tǒng)實(shí)施審計(jì)信息系統(tǒng)實(shí)施的風(fēng)險(xiǎn)信息系統(tǒng)實(shí)施的風(fēng)險(xiǎn)主要包括以下幾種。(1)系統(tǒng)基礎(chǔ)平臺(tái)不穩(wěn)定或安全性不達(dá)標(biāo)而導(dǎo)致的風(fēng)險(xiǎn)。(2)系統(tǒng)不能有效使用而導(dǎo)致的系統(tǒng)可用性風(fēng)險(xiǎn)。(3)未經(jīng)授權(quán)訪問系統(tǒng)所導(dǎo)致的系統(tǒng)安全性風(fēng)險(xiǎn)。(4)系統(tǒng)不能完整、準(zhǔn)確、及時(shí)地處理數(shù)據(jù)或未經(jīng)授權(quán)處理數(shù)據(jù)而導(dǎo)致的系統(tǒng)完整性風(fēng)險(xiǎn)；(5)需要對(duì)系統(tǒng)更新維護(hù)或升級(jí)，但為了保持系統(tǒng)的可用性、安全性和完整性，未能更新系統(tǒng)而導(dǎo)致的系統(tǒng)漏洞風(fēng)險(xiǎn)。(6)與數(shù)據(jù)完整性、保密性和準(zhǔn)確性有關(guān)的風(fēng)險(xiǎn)。(7)新系統(tǒng)未經(jīng)過信息安全等級(jí)備案即上線使用的安全風(fēng)險(xiǎn)。01信息系統(tǒng)實(shí)施審計(jì)信息系統(tǒng)實(shí)施審計(jì)的方法和程序具體而言，信息系統(tǒng)審計(jì)人員應(yīng)根據(jù)試運(yùn)行計(jì)劃對(duì)系統(tǒng)的試運(yùn)行準(zhǔn)備、試運(yùn)行期間的實(shí)施和檢測反饋進(jìn)行審計(jì)。信息系統(tǒng)實(shí)施審計(jì)的主要方法和程序如表5-10所示。01信息系統(tǒng)實(shí)施審計(jì)信息系統(tǒng)實(shí)施審計(jì)的方法和程序信息系統(tǒng)維護(hù)審計(jì)0701信息系統(tǒng)維護(hù)審計(jì)信息系統(tǒng)維護(hù)的內(nèi)容信息系統(tǒng)維護(hù)工作應(yīng)建立明確的軟件質(zhì)量目標(biāo)和優(yōu)先級(jí)，并有計(jì)劃、有步驟地統(tǒng)籌安排。按照維護(hù)工作的范圍、嚴(yán)重程度等因素確定優(yōu)先級(jí)，安排合理的維護(hù)計(jì)劃，然后通過一定的流程對(duì)系統(tǒng)進(jìn)行維護(hù)。針對(duì)信息系統(tǒng)中不同的維護(hù)對(duì)象，系統(tǒng)的維護(hù)工作主要包括以下幾種。(1)應(yīng)用維護(hù)。應(yīng)用維護(hù)，即程序的維護(hù)。由于信息系統(tǒng)的程序處理流程對(duì)應(yīng)的是實(shí)際的經(jīng)營管理業(yè)務(wù)流程，所以當(dāng)實(shí)際業(yè)務(wù)流程出現(xiàn)改變時(shí)，對(duì)應(yīng)的應(yīng)用程序處理流程也要做相應(yīng)的改變，也就是需要重新設(shè)計(jì)某段程序來適應(yīng)業(yè)務(wù)的變化。因此，應(yīng)用維護(hù)是系統(tǒng)運(yùn)行與維護(hù)中最重要的部分。(2)數(shù)據(jù)維護(hù)。在應(yīng)用維護(hù)中提到，業(yè)務(wù)流程一旦改變就需要對(duì)程序重新設(shè)計(jì)，同時(shí)，對(duì)應(yīng)的業(yè)務(wù)數(shù)據(jù)及其數(shù)據(jù)結(jié)構(gòu)也將發(fā)生改變，包括添加新數(shù)據(jù)表、刪除舊數(shù)據(jù)表、修改配置數(shù)據(jù)、定期備份數(shù)據(jù)和恢復(fù)數(shù)據(jù)等。01信息系統(tǒng)維護(hù)審計(jì)信息系統(tǒng)維護(hù)的內(nèi)容(3)代碼維護(hù)。由于信息系統(tǒng)應(yīng)用范圍擴(kuò)大或應(yīng)用環(huán)境的變化，信息系統(tǒng)所依賴的軟硬件環(huán)境也在發(fā)生變化，這導(dǎo)致系統(tǒng)中的各種功能代碼需要進(jìn)行一些必要的調(diào)整或者設(shè)置新的代碼，這些都屬于代碼維護(hù)工作。(4)計(jì)算機(jī)硬件設(shè)備的維護(hù)。計(jì)算機(jī)硬件設(shè)備是保障系統(tǒng)運(yùn)行的基礎(chǔ)設(shè)施，操作人員應(yīng)嚴(yán)格遵守操作規(guī)程，維修人員也應(yīng)及時(shí)處理突發(fā)故障，更換易損零部件，做好日常維護(hù)和管理工作。維護(hù)人員須有效監(jiān)控設(shè)備的工作狀態(tài)，特別是對(duì)重要設(shè)備應(yīng)時(shí)刻監(jiān)控，及時(shí)發(fā)現(xiàn)系統(tǒng)報(bào)警或異常情況，以便在發(fā)生故障前采取必要措施。對(duì)計(jì)算機(jī)設(shè)備應(yīng)做好定期檢查和維護(hù)，同時(shí)做好系統(tǒng)維護(hù)記錄。(5)數(shù)據(jù)庫維護(hù)。數(shù)據(jù)庫對(duì)信息系統(tǒng)存取數(shù)據(jù)信息提供支持，系統(tǒng)的良好運(yùn)行依賴于數(shù)據(jù)庫的穩(wěn)定狀態(tài)。為了防止在斷電、火災(zāi)等情況下對(duì)數(shù)據(jù)庫的破壞，也為了滿足業(yè)務(wù)變化引發(fā)的數(shù)據(jù)庫變更的要求，必須對(duì)數(shù)據(jù)庫進(jìn)行維護(hù)。為了防止數(shù)據(jù)庫的損壞或數(shù)據(jù)丟失，應(yīng)定期進(jìn)行數(shù)據(jù)庫備份。一旦發(fā)生意外，備份的數(shù)據(jù)庫應(yīng)仍能保證信息系統(tǒng)的正常運(yùn)行。01信息系統(tǒng)維護(hù)審計(jì)信息系統(tǒng)維護(hù)的內(nèi)容(6)系統(tǒng)安全維護(hù)。系統(tǒng)安全維護(hù)是指對(duì)軟件、硬件和數(shù)據(jù)的安全維護(hù)。為了保證系統(tǒng)安全，應(yīng)建立嚴(yán)格的內(nèi)部管理制度，如對(duì)系統(tǒng)進(jìn)行權(quán)限控制；對(duì)重要文件進(jìn)行定期備份；禁止非法進(jìn)入機(jī)房；對(duì)重要數(shù)據(jù)需加密傳輸和存儲(chǔ)，以防止數(shù)據(jù)被竊取、篡改或破壞。(7)日志管理。日志管理是指企業(yè)或組織為滿足法律和行業(yè)監(jiān)管的合規(guī)要求，對(duì)日常的交易記錄采取必要的程序和技術(shù)加以保存，確保存檔數(shù)據(jù)信息的完整性，滿足安全保存和可恢復(fù)的要求。(8)系統(tǒng)監(jiān)控與故障管理。系統(tǒng)監(jiān)控是指為確保信息系統(tǒng)的運(yùn)行安全，針對(duì)其所處的基礎(chǔ)物理環(huán)境、系統(tǒng)性能(如網(wǎng)絡(luò)、主機(jī)等)及其運(yùn)行狀況