专利名称:信息系统的审计方法及系统的利记博彩app
技术领域:
本发明涉及信息系统的审计,尤其涉及一种信息系统的审计方法及系统。
背景技术:
目前,信息系统的审计技术主要存在如下缺陷第一、信息系统审计的对象是计算机信息系统,目前的技术只注重信息系统运行 维护阶段数据方面的审计,只关注到信息系统数据处理的正确性,而不能对信息系统的业 务目标、信息系统的整个生命周期进行综合全面的风险评估与控制审计。第二、目前,信息系统审计项目中多以审计人员的经验判断为主,没有一套集成 的、科学的信息系统审计评估与度量工具,来执行信息系统审计评估任务,同时,为了全面 实现信息系统的控制与审计评估,需要从信息系统的组成、信息系统的生命周期和信息系 统的管理三个纬度进行综合分析评价;但是,目前的信息系统审计技术和产品都只涉及这 三个纬度中的某个部分,而不能对信息系统进行综合的控制与审计,也无法为信息系统业 务目标的实现程度进行科学的效果评估。第三、信息系统审计需要依据信息系统的特点及所处环境建立起一套能够实践的 IT控制与审计标准,并在此基础上结合信息系统控制与审计工作的实务,构建信息系统审 计框架并在实践中不断完善,这个过程是一个不断学习、借鉴、持续改进的过程。在这个过 程中需要有一个功能强大且全面的知识库作为基础,而目前的技术和产品没有将信息及相 关技术控制目标(Cobit)框架与风险评估管理知识库综合起来,为信息系统的控制与审计 提供一套可实践的保准。第四、更多的信息系统审计只关注信息系统或是信息技术环境中的安全问题,而 不能为组织是否有效利用信息资源、是否有效管理与信息相关的风险、是否有效评估信息 技术绩效等方面提供方法指导和度量工具。
发明内容
本发明的目的在于提供一种信息系统的审计方法及系统。基于本发明,能全面实 现信息系统的控制与审计评估。本发明提供了一种信息系统审计方法,所述方法包括如下步骤调查分析步骤,确 定评估审计对象的范围及业务运行情况;风险评估步骤,依据所述评估审计对象的范围及 业务运行情况,进行信息系统的风险评估,获取第一评估结果;控制与审计框架定制步骤, 依据所述第一评估结果,定制控制与审计框架;同时生成控制措施集合,依据所述控制措施 集合,评估信息系统是否规避风险,获取第二评估结果;审计引擎的部署步骤,依据定制的 所述控制与审计框架,确定审计引擎的部署方案;审计策略制定步骤,根据所述审计引擎的 部署方案、所述第一评估结果和第二评估结果,为信息系统制定持续监控的审计策略;评估 与度量步骤,依据所述审计策略,对信息系统进行审计;获取并分析数据,验证信息系统的 风险是否被有效控制,控制措施是否满足控制目标;依据评估指标,给出信息系统控制与审计的综合评估结论。上述信息系统审计方法,优选该方法基于知识库,所述知识库包括信息系统分析 评估知识库、信息系统风险评估知识库和控制与审计框架知识库;其中,所述调查分析步骤 基于所述信息系统分析评估知识库;所述风险评估步骤基于所述信息系统风险评估知识 库;所述控制与审计框架定制步骤、审计引擎的部署步骤、审计策略制定步骤和所述评估与 度量步骤基于所述控制与审计框架知识库。上述信息系统审计方法,优选所述控制与审计框架定制步骤中,所述控制与审计 框架的制定包括确定通过信息系统达成的企业战略目标的步骤;确定信息系统满足支撑 的业务目标的步骤;确定依据战略目标和业务目标,信息系统所需达成的控制目标的步骤; 确定依据现有条件对信息系统的识别出控制措施及评估控制措施有效性的结论的步骤;确 定依据风险评估及控制措施评估的结论,为信息系统的持续监控审计制定审计策略,获取 并分析数据验证信息系统风险是否被有效控制,控制措施是否满足控制目标的步骤;确定 对信息系统所需满足的战略目标和业务目标进行效果度量分析,给出信息系统控制与审计 的综合评估结论的步骤。上述信息系统审计方法,优选审计引擎的部署步骤中,基于旁路方式和审计代理 方式相结合的方式部署审计引擎。上述信息系统审计方法,优选所述审计策略制定步骤进一步为将风险评估结果 和控制措施评估结果转化为监控与审计策略;将转化后的策略发布到部署的审计引擎;审 计引擎依据审计监控策略进行持续监控;如发现违背策略的事件,审计引擎将产生报警,并 标识事件的影响程度;在预定周期后,依据控制与审计框架的要求给出综合分析结论,为控 制效果的评估提供输入数据。上述信息系统审计方法,优选所述评估与度量步骤中,所述评估指标分成战略目 标、业务目标、控制目标三级结构;战略目标由一个或多个业务目标组成,业务目标由一个 或多个控制目标组成,控制目标由七元组组成,包括有效性、效率、机密性、完整性、可用性、 一致性和可靠性;所述综合评估结论通过如下方式确定依据战略目标、业务目标、控制目 标三级结构进行逐级计算、由下至上汇总分析;被评估信息系统的度量结论包含战略目 标符合度分值、业务目标符合度分值以及控制目标符合度分值三项结果。本发明还提供了一种信息系统审计系统,包括调查分析模块,用于确定评估审计 对象的范围及业务运行情况;风险评估模块,用于依据所述评估审计对象的范围及业务运 行情况,进行信息系统的风险评估,获取第一评估结果;控制与审计框架定制模块,用于依 据所述第一评估结果,定制控制与审计框架;同时生成控制措施集合,依据所述控制措施集 合,评估信息系统是否规避风险,获取第二评估结果;审计引擎的部署模块,用于依据定制 的所述控制与审计框架,确定审计引擎的部署方案;审计策略制定模块,用于根据所述审计 引擎的部署方案、所述第一评估结果和第二评估结果,为信息系统制定持续监控的审计策 略;评估与度量模块,用于依据所述审计策略,对信息系统进行审计;获取并分析数据,验 证信息系统的风险是否被有效控制,控制措施是否满足控制目标;依据评估指标,给出信息 系统控制与审计的综合评估结论。上述信息系统审计系统,优选该系统基于知识库,所述知识库包括信息系统分析 评估知识库、信息系统风险评估知识库和控制与审计框架知识库;其中,所述调查分析模块
6基于所述信息系统分析评估知识库;所述风险评估模块基于所述信息系统风险评估知识 库;所述控制与审计框架定制模块、审计引擎的部署模块、审计策略制定模块和所述评估与 度量模块基于所述控制与审计框架知识库。上述信息系统审计系统,优选所述控制与审计框架定制模块中,包括用于确定通 过信息系统达成的企业战略目标的单元;用于确定信息系统满足支撑的业务目标的单元; 用于确定依据战略目标和业务目标,信息系统所需达成的控制目标的单元;用于确定依据 现有条件对信息系统的识别出控制措施及评估控制措施有效性的结论的单元;用于确定依 据风险评估及控制措施评估的结论,为信息系统的持续监控审计制定审计策略,获取并分 析数据验证信息系统风险是否被有效控制,控制措施是否满足控制目标的单元;用于确定 对信息系统所需满足的战略目标和业务目标进行效果度量分析,给出信息系统控制与审计 的综合评估结论的单元。上述信息系统审计系统,优选所述审计引擎的部署模块中,基于旁路方式和审计 代理方式相结合的方式部署审计引擎。上述信息系统审计系统,优选审计策略制定模块进一步用于将风险评估结果和 控制措施评估结果转化为监控与审计策略;将转化后的策略发布到部署的审计引擎;审计 引擎依据审计监控策略进行持续监控;如发现违背策略的事件,审计引擎将产生报警,并标 识事件的影响程度;在预定周期后,依据控制与审计框架的要求给出综合分析结论,为控制 效果的评估提供输入数据。上述信息系统审计系统,优选审计策略制定模块进一步用于所述评估与度量模 块中,所述评估指标分成战略目标、业务目标、控制目标三级结构;战略目标由一个或多个 业务目标组成,业务目标由一个或多个控制目标组成,控制目标由七元组组成,包括有效 性、效率、机密性、完整性、可用性、一致性和可靠性;所述综合评估结论通过如下方式确定 依据战略目标、业务目标、控制目标三级结构进行逐级计算、由下至上汇总分析;被评估信 息系统的度量结论包含战略目标符合度分值、业务目标符合度分值以及控制目标符合度 分值三项结果。相对于现有技术而言,本发明具有如下优势第一、本系统充分利用信息及相关技术控制目标(Cobit)框架实施信息系统审计 的先进理念,为信息系统审计的方法论及信息系统控制与审计的框架定制提供有力的支持 与坚实的背景,同时为信息系统审计的实践提供充分的指导。第二、本系统以信息系统为审计对象,依据信息系统的特点,以信息系统的组成、 运行环境为背景,综合考量信息系统的全生命周期所处阶段的存在风险,为信息系统审计 提供多纬度综合的控制与审计解决方案,自动化量身定制控制与审计框架,为信息系统审 计提供标准的审计基线,为信息系统效果的度量提供科学的依据。第三、本系统以信息系统为审计对象,对信息系统的风险控制程度及审计控制目 标的符合度提供自动化评估和验证的方法,并将结论转化为持续审计策略部署审计引擎为 信息系统的运行提供真实的数据获取与分析方法。第四、综合利用信息系统背景调查、信息系统分析、信息系统全生命周期风险评估 和控制评估进行信息系统控制与审计框架基线的建立,部署审计引擎进行持续审计,获取 实际运行状态信息,充分依据信息系统的业务目标和控制目标进行效果度量,为准确全面的评估信息系统是否满足业务目标的方法,信息系统的运行状态以及达成目标的程度进行 科学有效的度量分析的方法。
图1为本发明信息系统的审计方法实施例的步骤流程图
图2为本发明信息系统的审计系统实施例的结构框图3为信息系统审计的系统框架示意图4为信息系统审计的系统框架示意图5A为信息系统审计系统审计的流程图5B为信息系统审计系统的功能示意图5C为信息系统审计系统的功能示意图6为三个管理中心的示意图7为信息系统背景调查流程示意图8为信息系统分析流程示意图9为信息系统运行环境流程图10为信息系统风险评估与审计的流程图11为信息系统控制与审计框架的定制流程图12为信息系统审计策略制定与持续监控流程图13为知识库管理中心的结构框图。
具体实施例方式为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实 施方式对本发明作进一步详细的说明。本发明中,信息系统审计系统设计的思想与原理是对信息系统的组成部分及其规 划、开发、实施、运行、维护等全生命周期进行审查,为准确全面的评估信息系统的运行状态 以及达成目标的程度提供科学有效的度量分析的方法。本发明主要是通过对信息系统全生命周期的各个阶段的安全性、可靠性、有效性 和效率提供一系列可行的风险控制与审计策略及方法,能够从企业业务运行的角度对信息 系统能否有效率的使用组织资源以及能否帮助组织实现业务目标进行评价与审计,也能够 对信息系统建设发展各个阶段的控制风险的能力以及实现目标的可能性进行度量与评估。 本系统能够为组织有效利用信息资源、有效管理与信息相关的风险、有效评估信息技术绩 效等方面提供方法指导和度量工具。参照图1,图1为本发明信息系统的审计方法实施例的步骤流程图。包括如下步 骤调查分析步骤S110,确定评估审计对象的范围及业务运行情况;风险评估步骤S120, 依据所述评估审计对象的范围及业务运行情况,进行信息系统的风险评估,获取第一评估 结果;控制与审计框架定制步骤S130,依据所述第一评估结果,定制控制与审计框架;同时 生成控制措施集合,依据所述控制措施集合,评估信息系统是否规避风险,获取第二评估结 果;审计引擎的部署步骤S140,依据定制的所述控制与审计框架,确定审计引擎的部署方 案;审计策略制定步骤S150,根据所述审计引擎的部署方案、所述第一评估结果和第二评
8估结果,为信息系统制定持续监控的审计策略;评估与度量步骤S160,依据所述审计策略, 对信息系统进行审计;获取并分析数据,验证信息系统的风险是否被有效控制,控制措施是 否满足控制目标;给出信息系统控制与审计的综合评估结论。另一方面,本发明还提出了一种信息系统的审计系统的实施例,参照图2,该审计 系统包括调查分析模块21、风险评估模块22、控制与审计框架定制模块23、审计引擎的部 署模块对、审计策略制定模块25和评估与度量模块26。其中调查分析模块21于确定评估审计对象的范围及业务运行情况;风险评估模 块22于依据所述评估审计对象的范围及业务运行情况,进行信息系统的风险评估,获取第 一评估结果;控制与审计框架定制模块23依据所述第一评估结果,定制控制与审计框架; 同时生成控制措施集合,依据所述控制措施集合,评估信息系统是否规避风险,获取第二评 估结果;审计引擎的部署模块M于依据定制的所述控制与审计框架,确定审计引擎的部署 方案;审计策略制定模块25于根据所述审计引擎的部署方案、所述第一评估结果和第二评 估结果,为信息系统制定持续监控的审计策略;评估与度量模块26于依据所述审计策略, 对信息系统进行审计;获取并分析数据,验证信息系统的风险是否被有效控制,控制措施是 否满足控制目标;给出信息系统控制与审计的综合评估结论。下面,对上述信息系统的审计系统进行详细的说明。信息系统审计的对象是计算机信息系统,涉及信息系统的整个生命周期。为了全 面实现信息系统的控制与审计评估,本系统从信息系统的组成、信息系统的生命周期和信 息系统的管理三个纬度进行综合分析评价。参照图3,图3为信息系统审计控制与审计评估模型示意图。信息系统是以信息基 础设施为基本运行环境,由人、信息技术设备和运行规程组成的,通过信息采集、传输、加工 处理和存储,以企业战略竞优、提高效率为目标,支持企业高层决策、中层控制和基层运作 的集成化人机系统。本系统的系统架构主要考虑从系统阶段,功能体系,数据体系,网络体 系,管理体系,关键要素等几个方面进行审计评估。信息系统有其产生、发展、成熟、消亡或更新的过程,信息系统在使用过程中,随着 生存环境的变化,需要不断维护、修改,当它不太适用时就会被淘汰,由新系统所代替,这种 周期循环称为信息系统的生命周期。在本系统汇总依据信息系统的生命周期所处阶段,设 计定制适合于被审计信息系统的控制目标,为严格管理与控制信息系统,保证信息系统有 效运作提供方法与工具。从信息系统构成要素来看,信息系统是由硬件平台、软件平台、业务系统、数据文 件、人和运行规程组成。其中,硬件平台和软件平台为信息系统提供了基本运行环境;信息 系统在安装配置好硬件和软件平台后,还需要选购或开发符合企业管理需求的应用系统; 安装软硬件平和应用系统后,为支持系统的日常运行,必须组织基础数据并将其存放在计 算机中,同时,系统日常运行过程中将会采集和产生很多新的数据和信息,也需要组织成数 据文件存放到计算机中。在计算机信息系统中,数据文件常用文件系统、数据库和数据仓库 的形式组织和管理数据;人不仅是信息系统组成元素,而且是站在系统之外对信息系统进 行管理,利用信息系统提供的信息进行决策的信息系统使用者;运行规程规定了信息系统 本身的运行规则,所有信息系统使用者都应遵守运行规除。从信息系统生命周期来看,信息系统的生命周期划分为系统规划、系统分析、系统设计、系统实施、系统运行和系统维护六个阶段。从信息系统管理角度来看,对信息系统的管理与控制活动伴随着新型系统生命周 期始终,涉及对信息系统构成要素的管理和系统生命周期各阶段的管理。信息系统管理的 内容包括系统规划与组织管理、系统开发管理、系统实施管理和系统日常运行管理四个方 面。信息系统管理主要是通过建立一系列健全的规章制度和管理规程,并有效执行而实现 的。因此,在本系统中对每个被评估信息系统的背景信息都可通过业务背景、系统架 构、运行环境三个纬度进行调查分析,其中业务背景基本要素包括业务目标、业务特性、管 理特性、技术特性四方面信息,系统架构基本要素包括系统阶段,功能体系,数据体系,网 络体系,管理体系,关键要素等六方面信息,运行环境基本要素包括外部环境,内部要求等 两方面信息,通过对这三个纬度的各个基本要素进行调查分析,综合评估信息系统的背景 特征,为信息系统控制与审计控制的定制提供依据。参照图4,图4为信息系统审计的系统框架示意图,包括如下三部分第一、信息系统控制与审计框架知识库本系统为信息系统建立起一套能够依据信息系统的特点及所处环境和业务目标 为基础的可用于评估与实践的IT控制与审计标准及度量指标,并在此基础上结合信息系 统控制与审计工作的实务,构建信息系统审计框架并在实践中不断完善,实现信息系统风 险控制与审计不断学习、借鉴、持续改进的过程。信息系统控制与审计框架知识库,主要包括信息系统分析评估知识库,包括用于支持信息系统背景调查、体系框架分析及运 行环境评估相关的调查问卷和参考资料。信息系统风险评估知识库,包括风险评估用例集和工具集。信息系统控制与审计框架知识库,包括适合各种信息系统审计的通用标准流程及 一般控制,具有行业特征并且在信息系统中可以被识别的业务流程和应用控制,具有行业 特色的控制目标,以及在具体业务中常用的控制目标权重配置案例,具有行业特色的审计 框架模板。其中,信息系统控制与审计框架知识库,集成了一个功能强大且全面的控制
与审计框架模型-COB IT (Control Objectives for Information and Related
Technology,信息及相关技术控制目标),它是目前国际上普遍采用的IT治理框架标准,它 提供了一套权威的、全球通用的公认准则,旨在规范并提高IT治理水平、有效防范控制风 险以及增加信息技术价值。COBIT是一个IT管理框架,同时也提供了一个支持工具集,来帮 助管理者弥合控制需求、技术问题、业务风险之间的差距,并与利益干系人沟通控制级别。 COBIT又是一个IT最佳实践的集合体,也是IT管理的伞状框架,它能帮助理解和管理与IT 相关的风险和收益。COBIT定义了 100多个控制管理目标,它借鉴了业界的研究成果,将IT 活动归纳到34个过程4个过程域中,不仅为我们提供了信息系统控制目标和IT标准,而且 提供了信息系统的审计指南。此外,本系统的知识库具有扩展功能,可以依据专家经验和实施方案的不断改进 优化进行补充和完善。第二、信息系统全生命周期审计管理
10
信息系统审计应贯穿于信息系统生命周期的各个阶段中,信息系统生命周期各阶 段中涉及的控制与审计的原则和方法是一致的,但由于各阶段实施的内容、对象、控制需求 不同,使得信息系统审计的对象、目的、要求等各方面也有所不同。具体而言规划设计阶段, 通过信息系统审计以确定系统的业务战略目标;在实施阶段,通过信息系统审计以确定系 统的各项目标是否达成,是否满足用户需求,控制措施是否有效,剩余风险评估等;在运行 维护阶段,要不断地实施监控审计以识别系统面临的不断变化的风险,从而确定各项控制 措施的有效性,以确保信息系统在可控的环境下高效运作。因此,每个阶段信息系统审计的 具体实施需要根据系统所处阶段的特点有所侧重的进行。本系统可依据信息系统的特点和 所处阶段不同定制审计和评估方法,对信息系统进行阶段性审计评估,同时,本系统也可用 于信息系统的自评估,可对信息系统的风险和控制措施的有效性进行阶段性评估或持续性 的监控审计。第三、信息系统控制审计效果评估管理在判定信息系统所处阶段后,本系统根据信息系统的特点从三级结构、六个层面、 七个角度对信息系统进行控制审计评估。三级结构为战略目标、业务目标、控制目标,这六 个层面分别是信息系统的硬件平台、软件平台、业务系统、数据文件、人和运行规程。七个角 度就是有效性、效率、机密性、完整性、可用性、一致性、可靠性。依据战略目标、业务目标、控 制目标三级结构进行逐级计算、由下至上进行汇总分析,对信息系统进行全面的多角度的 综合评估与度量。下面说明信息系统审计系统的设计与实现。参照图5A、图5B和5C。信息系统审计系统设计的思想与原理是通过对信息系统的组成部分及其规划、开 发、实施、运行、维护等过程进行审查,对信息系统全生命周期的各个阶段的安全性、可靠 性、有效性和效率提供一系列可行的风险控制与审计策略及方法,能够从企业业务运行的 角度对信息系统能否有效率的使用组织资源以及能否帮助组织实现业务目标进行评价与 审计,也能够对信息系统建设发展各个阶段的控制风险的能力以及实现目标的可能性进行 度量与评估。为组织有效利用信息资源、有效管理与信息相关的风险、有效评估信息技术绩 效等方面提供方法指导和度量工具。信息系统审计系统的实现流程如下,包括(1)确定评估审计对象的范围及业务运行情况(2)信息系统风险评估与审计(3)自动化量身定制信息系统控制审计框架(4)部署审计引擎并获取审计信息(5)信息系统审计策略制定与持续监控(6)信息系统控制审计效果评估与度量本系统主要是针对信息系统对象的范围和业务运行特点,将分散的、不同种类的 数据流信息进行汇总分析,对信息系统的组织管理层面、技术层面及实施层面进行全面的 风险评估与审计,参考信息系统的内外部约束及最佳实践制定审计策略并进行持续的监 控,在一定的周期内对信息系统风险控制进行效果评估,同时结合Cobit框架要求及信息 系统的业务需求给出度量结果和改进建议。本系统将企业业务要求与最佳实践结合起来,将静态评估与动态监控有机的结合起来,同时还将阶段评估与全生命周期综合管理结合起来,这样就能够对被审计信息系统 的多个纬度进行评估审计,将分散且海量的单一事件进行汇总、过滤、收集和关联分析,得 出全局角度的风险控制效果的评估与度量,形成统一改进建议进行响应和处理。信息系统审计系统采用三级构架(客户层-服务层-采集处理层)设计与实现, 客户层与服务层采用B/S(浏览器/服务器)方式,由“三大中心、七个功能模块”组成。三 个管理中心为知识库管理中心,全生命周期审计管理中心和控制效果评估管理中心。参照 图6,图6为三个管理中心的示意图。七个功能模块为背景信息搜集模块、风险评估模块、控 制审计框架定制模块、持续监控审计模块、评估指标管理模块、评估结果计算模块、交互接 口模块等。信息系统全生命周期审计管理中心,用于确定被评估信息系统的审计范围、业务 背景、系统架构以及系统运行情况,对信息系统资产组成进行全面的风险评估,自动化定制 信息系统控制审计框架,依据控制审计框架部署审计引擎,将控制目标转化为审计策略下 发到审计引擎中,提供持续性的监控审计,为控制效果评估提供度量依据;信息系统控制效果评估管理中心,用于对信息系统控制与审计框架中一系列的控 制目标效果指标进行评估度量,判断目标是否达成,为组织有效利用信息资源、有效管理与 信息相关的风险、有效评估信息技术绩效等方面提供方法指导和度量工具。信息系统审计知识库管理中心的功能有三个部分信息系统分析评估知识库,包 括用于支持信息系统背景调查、体系框架分析及运行环境评估相关的调查问卷和参考资 料;信息系统风险评估知识库,包括风险评估用例集和工具集;信息系统控制与审计框架 知识库,包括适合各种信息系统审计的通用标准流程及一般控制,具有行业特征并且在信 息系统中可以被识别的业务流程和应用控制,具有行业特色的控制目标,以及在具体业务 中常用的控制目标权重配置案例,具有行业特色的审计框架模板。下面对三大中心进行介绍。(一 )全面生命周期审计管理中心a)、确定评估审计对象的范围及业务运行情况主要功能在于对每个被评估信息系统的背景信息都可通过业务背景、系统架构、 运行环境三个纬度进行调查分析,其中业务背景基本要素包括业务目标、业务特性、管理 特性、技术特性四方面信息,系统架构基本要素包括系统阶段,功能体系,数据体系,网络 体系,管理体系,关键要素等六方面信息,运行环境基本要素包括外部环境,内部要求等两 方面信息,这三个纬度的各个基本要素共同组成了信息系统背景特征。主要方法是以调查问卷的方式进行信息搜集,调查问卷的选择是以信息提问的方 式自动从知识库管理中心获取适合被评估单位所在行业以及系统业务特征的问卷集,同时 依据本系统内置的DSS决策树模型,可根据与被调查人的信息反馈自动选择新的问题,保 证获取信息的连贯性。i)确定信息系统审计对象和审计范围是信息系统审计的第一步,对象的确立是为 了明确信息系统的审计范围、审计对象的业务目标和运行环境、所属机构的战略目标和管 理制度、以及国家、地区货行业相关政策、法律、法规和标准都是确立对象所需了解的信息。信息系统背景调查流程,参照图7,主要包括几个部分 了解信息系统的业务目标。了解被审计对象所处机构战略目标和业务背景等,明确被审计信息系统支持机构完成的业务目标。 了解信息系统的业务特性。了解被审计对象所处机构的业务,包括业务内容和 业务流程等,从中明确支持机构业务运营的信息系统的业务特性。 了解信息系统的管理特性。了解被审计对象所处机构机构的组织结构和管理制 度,包括组织机构设置、责任分工、规章制度等,明确支持机构业务运营的信息系统管理特 性。 了解信息系统的技术特性。了解被审计对象所处机构机构的技术平台,包括物 理平台、系统平台、通信平台、网络平台和应用平台,从中明确支持机构业务运营的信息系 统的技术特性。 汇总调查结果,依据调查问卷录入的内容,对信息系统的业务目标、业务环境、 管理环境和技术环境进行综合评估,作为后续模块的评估模块的输入。ii)参照图8,信息系统分析流程主要包括以下几个部分 分析信息系统所处阶段,了解信息系统所处阶段,依据所处阶段定制调查问卷。 分析信息系统体系,对信息系统的功能体系、数据体系、网络体系、运行体系、管 理体系等方面进行分析,明确信息系统的组成及各组成部分重要程度。 分析信息系统的关键要素,确定信息系统对组织战略目标和业务目标具有关键 和重要作用的部分,输出关键要素清单。 汇总分析结果,录入调查问卷,对信息系统的体系框架、关键要素及内外部约束 等进行综合评估,为定制信息系统控制审计框架做评估依据。iii)、参照图9,信息系统运行环境流程主要包括如下几部分 分析信息系统的外部运行环境,主要包括国家、地区或行业的相关政策、法律和 标准,考虑合作伙伴的合同要求,对信息系统的保障环境进行分析,明确外部运营因素对信 息系统的影响和要求。 分析信息系统的内部要求,结合信息系统分析中系统结果和关键要素,整理出 信息系统内部要求,包括安全性、保密性、可用性等方面的重要性程度进行分析评估。 汇总上述分析结果,对信息系统的运行环境进行综合评估,为定制信息系统控 制审计框架做评估依据。b)、信息系统风险评估与审计信息系统风险评估与审计模块以目标信息系统的资产组件为基础,通过资产评 估、脆弱性评估、威胁评估、风险分析、风险管控等流程完成风险评估。风险评估与审计模块 围绕着资产、威胁、脆弱性和控制措施等基本要素展开,在评估过程中,充分考虑信息系统 的业务目标、运行环境和信息系统的特点及关键要素等各类属性,为建立信息系统控制审 计框架提供全面的风险评估。集成了一套自动化的风险评估工具集,依据信息系统分析模 块提供的各类信息,针对信息系统的特点自动设计一套风险评估的方案,提供风险识别与 分析。综合信息系统分析与识别出的风险点,定制出一套控制与审计方案,作为后续模块的 输入,为建立信息系统特有的控制与审计框架提供基础的数据获取与分析功能。参照图10、 主要流程如下i)、依据信息系统分析模块识别出的资产,对资产的价值赋值。ii)、依据信息系统背景、信息系统分析、信息系统运行环境的分析结果,结合知识
13库管理中心的风险评估管理知识库,自动化定制一套风险评估方案,进行风险的识别与分 析。iii)、获取信息系统相关的风险点及控制措施。iv)、综合风险评估结果制定控制与审计方案。c)、自动化量身定制信息系统控制审计框架上述两个阶段流程的主要输入为从知识库管理中心获取被评估系统的信息搜集 方式;从知识库管理中心获取符合行业及业务特点的标准流程,以及信息系统控制审计目 标。上述两个阶段流程的输出结果,被评估系统背景信息分析结论,作为知识库管理 中心输出标准流程和审计目标的输入;被评估系统背景信息分析结论,作为控制效果评估 管理中心确定控制目标、业务目标及战略目标的输入;被评估系统持续审计监控记录,作为 控制效果评估管理中心计算控制符合度结果的输入。结合上述两个阶段的主要输出,系统自动完成控制与审计框架的定制工作,在定 制过程中需要依据要求对系统中的各项关键要素进行综合分析评估,从而能够达到为信息 系统自动化量身打造一个适合特定信息系统的控制与审计框架,此框架作为信息系统审计 的基线,同时为下一部部署审计引擎获取审计信息提供依据。信息系统控制与审计框架的 定制是本系统的核心模块,详细流程参照图11。定制出的信息系统控制审计框架由如下几部分组成,参照表1 表权利要求
1.一种信息系统的审计方法,其特征在于,所述方法包括如下步骤 调查分析步骤,确定评估审计对象的范围及业务运行情况;风险评估步骤,依据所述评估审计对象的范围及业务运行情况,进行信息系统的风险 评估,获取第一评估结果;控制与审计框架定制步骤,依据所述第一评估结果,定制控制与审计框架;同时生成控 制措施集合,依据所述控制措施集合,评估信息系统是否规避风险,获取第二评估结果; 审计引擎的部署步骤,依据定制的所述控制与审计框架,确定审计引擎的部署方案; 审计策略制定步骤,根据所述审计引擎的部署方案、所述第一评估结果和第二评估结 果,为信息系统制定持续监控的审计策略;评估与度量步骤,依据所述审计策略,对信息系统进行审计;获取并分析数据,验证信 息系统的风险是否被有效控制,控制措施是否满足控制目标;依据评估指标,给出信息系统 控制与审计的综合评估结论。
2.根据权利要求1所述的审计方法,其特征在于,该方法基于知识库,所述知识库包括信息系统分析评估知识库、信息系统风险评估知 识库和控制与审计框架知识库;其中,所述调查分析步骤基于所述信息系统分析评估知识库;所述风险评估步骤基于 所述信息系统风险评估知识库;所述控制与审计框架定制步骤、审计引擎的部署步骤、审计 策略制定步骤和所述评估与度量步骤基于所述控制与审计框架知识库。
3.根据权利要求2所述的审计方法,其特征在于,所述控制与审计框架定制步骤中,所 述控制与审计框架的制定包括确定通过信息系统达成的企业战略目标的步骤; 确定信息系统满足支撑的业务目标的步骤;确定依据战略目标和业务目标,信息系统所需达成的控制目标的步骤;确定依据现有条件对信息系统的识别出控制措施及评估控制措施有效性的结论的步骤;确定依据风险评估及控制措施评估的结论,为信息系统的持续监控审计制定审计策 略,获取并分析数据验证信息系统风险是否被有效控制,控制措施是否满足控制目标的步 骤;确定对信息系统所需满足的战略目标和业务目标进行效果度量分析,给出信息系统控 制与审计的综合评估结论的步骤。
4.根据权利要求3所述的审计方法,其特征在于,所述审计引擎的部署步骤中,基于旁路方式和审计代理方式相结合的方式部署审计引擎。
5.根据权利要求4所述的审计方法,其特征在于,所述审计策略制定步骤进一步为 将风险评估结果和控制措施评估结果转化为监控与审计策略;将转化后的策略发布到部署的审计引擎;审计引擎依据审计监控策略进行持续监控;如发现违背策略的事件,审计引擎将产生 报警,并标识事件的影响程度;在预定周期后,依据控制与审计框架的要求给出综合分析结论,为控制效果的评估提供输入数据。
6.根据权利要求5所述的审计方法,其特征在于,所述评估与度量步骤中,所述评估指标分成战略目标、业务目标、控制目标三级结构; 战略目标由一个或多个业务目标组成,业务目标由一个或多个控制目标组成,控制目标由 七元组组成,包括有效性、效率、机密性、完整性、可用性、一致性和可靠性;所述综合评估结论通过如下方式确定依据战略目标、业务目标、控制目标三级结构进 行逐级计算、由下至上汇总分析;被评估信息系统的度量结论包含战略目标符合度分值、 业务目标符合度分值以及控制目标符合度分值三项结果。
7.一种信息系统的审计系统,其特征在于,包括调查分析模块,用于确定评估审计对象的范围及业务运行情况; 风险评估模块,用于依据所述评估审计对象的范围及业务运行情况,进行信息系统的 风险评估,获取第一评估结果;控制与审计框架定制模块,用于依据所述第一评估结果,定制控制与审计框架;同时 生成控制措施集合,依据所述控制措施集合,评估信息系统是否规避风险,获取第二评估结 果;审计引擎的部署模块,用于依据定制的所述控制与审计框架,确定审计引擎的部署方案;审计策略制定模块,用于根据所述审计引擎的部署方案、所述第一评估结果和第二评 估结果,为信息系统制定持续监控的审计策略;评估与度量模块,用于依据所述审计策略,对信息系统进行审计;获取并分析数据,验 证信息系统的风险是否被有效控制,控制措施是否满足控制目标;依据评估指标,给出信息 系统控制与审计的综合评估结论。
8.根据权利要求7所述的审计系统,其特征在于,该系统基于知识库,所述知识库包括信息系统分析评估知识库、信息系统风险评估知 识库和控制与审计框架知识库;其中,所述调查分析模块基于所述信息系统分析评估知识库;所述风险评估模块基于 所述信息系统风险评估知识库;所述控制与审计框架定制模块、审计引擎的部署模块、审计 策略制定模块和所述评估与度量模块基于所述控制与审计框架知识库。
9.根据权利要求8所述的审计系统,其特征在于,所述控制与审计框架定制模块中,包括用于确定通过信息系统达成的企业战略目标的单元; 用于确定信息系统满足支撑的业务目标的单元;用于确定依据战略目标和业务目标,信息系统所需达成的控制目标的单元; 用于确定依据现有条件对信息系统的识别出控制措施及评估控制措施有效性的结论 的单元;用于确定依据风险评估及控制措施评估的结论,为信息系统的持续监控审计制定审计 策略,获取并分析数据验证信息系统风险是否被有效控制,控制措施是否满足控制目标的 单元;用于确定对信息系统所需满足的战略目标和业务目标进行效果度量分析,给出信息系统控制与审计的综合评估结论的单元。
10.根据权利要求9所述的审计系统,其特征在于,所述审计引擎的部署模块中,基于旁路方式和审计代理方式相结合的方式部署审计引擎。
11.根据权利要求10所述的审计系统,其特征在于,所述审计策略制定模块进一步用于将风险评估结果和控制措施评估结果转化为监控与审计策略;将转化后的策略发布到 部署的审计引擎;审计引擎依据审计监控策略进行持续监控;如发现违背策略的事件,审 计引擎将产生报警,并标识事件的影响程度;在预定周期后,依据控制与审计框架的要求给 出综合分析结论,为控制效果的评估提供输入数据。
12.根据权利要求11所述的审计系统,其特征在于,所述审计策略制定模块进一步用于所述评估与度量模块中,所述评估指标分成战略目标、业务目标、控制目标三级结构; 战略目标由一个或多个业务目标组成,业务目标由一个或多个控制目标组成,控制目标由 七元组组成,包括有效性、效率、机密性、完整性、可用性、一致性和可靠性;所述综合评估结论通过如下方式确定依据战略目标、业务目标、控制目标三级结构进 行逐级计算、由下至上汇总分析;被评估信息系统的度量结论包含战略目标符合度分值、 业务目标符合度分值以及控制目标符合度分值三项结果。
全文摘要
本发明公开了一种信息系统的审计方法及系统。其中,该系统包括调查分析模块、风险评估模块、控制与审计框架定制模块、审计引擎的部署模块、审计策略制定模块和评估与度量模块。基于本发明,能够综合利用信息系统背景调查、信息系统分析、信息系统全生命周期风险评估和控制评估进行信息系统控制与审计框架基线的建立,部署审计引擎进行持续审计,获取实际运行状态信息,准确全面的评估信息系统是否满足业务目标。
文档编号G06Q10/00GK102063668SQ20111000252
公开日2011年5月18日 申请日期2011年1月7日 优先权日2011年1月7日
发明者俞晶晶, 刘江林, 常乐, 徐亚非, 曲明, 杨文勃, 董文英, 陈浙一 申请人:国都兴业信息审计系统技术(北京)有限公司