怎樣開展信息系統(tǒng)審計(jì)工作

1、審計(jì)署計(jì)算中心審計(jì)署計(jì)算中心 輔助審計(jì)處輔助審計(jì)處 陳劍陳劍 l 這部分內(nèi)容是對(duì)信息系統(tǒng)審計(jì)這一新興的審計(jì)領(lǐng)域的介紹性這部分內(nèi)容是對(duì)信息系統(tǒng)審計(jì)這一新興的審計(jì)領(lǐng)域的介紹性 質(zhì)的課程。質(zhì)的課程。 l 通過學(xué)習(xí)，學(xué)員能夠了解國內(nèi)外信息系統(tǒng)審計(jì)開展的狀況，通過學(xué)習(xí)，學(xué)員能夠了解國內(nèi)外信息系統(tǒng)審計(jì)開展的狀況， 明確國家審計(jì)中信息系統(tǒng)審計(jì)的范圍和目標(biāo)，初步了解開展信息明確國家審計(jì)中信息系統(tǒng)審計(jì)的范圍和目標(biāo)，初步了解開展信息 系統(tǒng)審計(jì)的工作流程和技術(shù)方法，達(dá)到開闊眼界，啟發(fā)思路、指系統(tǒng)審計(jì)的工作流程和技術(shù)方法，達(dá)到開闊眼界，啟發(fā)思路、指 導(dǎo)實(shí)踐的作用。導(dǎo)實(shí)踐的作用。 l你的專業(yè)背景是：你的專業(yè)背景是： 計(jì)

2、算機(jī)相關(guān)計(jì)算機(jī)相關(guān) 審計(jì)業(yè)務(wù)相關(guān)審計(jì)業(yè)務(wù)相關(guān) 其他其他 l是否參加過本單位開展的信息系統(tǒng)審計(jì)項(xiàng)目是否參加過本單位開展的信息系統(tǒng)審計(jì)項(xiàng)目 是是 否否 l是否有信息系統(tǒng)審計(jì)相關(guān)學(xué)習(xí)經(jīng)歷是否有信息系統(tǒng)審計(jì)相關(guān)學(xué)習(xí)經(jīng)歷 CISA CISSP 其他其他 無無 l你認(rèn)為影響本單位開展信息系統(tǒng)審計(jì)工作的主要因素是：（多選）你認(rèn)為影響本單位開展信息系統(tǒng)審計(jì)工作的主要因素是：（多選） 人才和技術(shù)手段缺乏人才和技術(shù)手段缺乏 信息系統(tǒng)審計(jì)在國家審計(jì)中的定位模糊信息系統(tǒng)審計(jì)在國家審計(jì)中的定位模糊 法規(guī)不健全法規(guī)不健全 目前單位的考核機(jī)制目前單位的考核機(jī)制 不知道該如何開展不知道該如何開展 認(rèn)為沒有開展的必要認(rèn)為沒有開

3、展的必要 其他（請(qǐng)具體說明）其他（請(qǐng)具體說明） l信息系統(tǒng)審計(jì)概述信息系統(tǒng)審計(jì)概述 l國際上開展的政府的信息系統(tǒng)審計(jì)現(xiàn)狀國際上開展的政府的信息系統(tǒng)審計(jì)現(xiàn)狀 l信息系統(tǒng)審計(jì)模型信息系統(tǒng)審計(jì)模型COBITCOBIT l審計(jì)署所做的信息系統(tǒng)審計(jì)工作審計(jì)署所做的信息系統(tǒng)審計(jì)工作 l案例介紹與分析案例介紹與分析 l審什么和怎么審審什么和怎么審 l交流互動(dòng)交流互動(dòng) lINTOSAI（最高審計(jì)機(jī)關(guān)國際組織最高審計(jì)機(jī)關(guān)國際組織 ）：）： 信息系統(tǒng)審計(jì)是：信息系統(tǒng)審計(jì)是： 一個(gè)一個(gè)通過通過獲取獲取 并并評(píng)估證據(jù)評(píng)估證據(jù)，以判斷以判斷IT系統(tǒng)是否保護(hù)了系統(tǒng)是否保護(hù)了 組織的資產(chǎn)，有效率地組織的資產(chǎn)，有效率地利用組

4、織的利用組織的資源，資源， 保障保障數(shù)據(jù)的安全性和一致性，以及有效數(shù)據(jù)的安全性和一致性，以及有效 地達(dá)到組織的業(yè)務(wù)目標(biāo)地達(dá)到組織的業(yè)務(wù)目標(biāo)的過程的過程。 l計(jì)算機(jī)在各級(jí)政府組織中的廣泛使用計(jì)算機(jī)在各級(jí)政府組織中的廣泛使用 交易處理交易處理 財(cái)務(wù)報(bào)表財(cái)務(wù)報(bào)表 決策支持決策支持功能功能 數(shù)據(jù)挖掘數(shù)據(jù)挖掘 l被審計(jì)單位的被審計(jì)單位的IT系統(tǒng)對(duì)審計(jì)人員的審計(jì)方法和在審計(jì)測(cè)試中采用的技術(shù)產(chǎn)生了影響；系統(tǒng)對(duì)審計(jì)人員的審計(jì)方法和在審計(jì)測(cè)試中采用的技術(shù)產(chǎn)生了影響； l內(nèi)部控制環(huán)境的變更；內(nèi)部控制環(huán)境的變更； l匿名用戶帶來的責(zé)任缺失；匿名用戶帶來的責(zé)任缺失； l未經(jīng)授權(quán)的和未記錄下來的數(shù)據(jù)修改的可能性；未經(jīng)授

5、權(quán)的和未記錄下來的數(shù)據(jù)修改的可能性； l看得見的審計(jì)痕跡和看得見的審計(jì)痕跡和/或紙質(zhì)文件的缺失；或紙質(zhì)文件的缺失； l審計(jì)證據(jù)的變化；審計(jì)證據(jù)的變化； l數(shù)據(jù)復(fù)制數(shù)據(jù)復(fù)制/無內(nèi)容數(shù)據(jù)的可能性；無內(nèi)容數(shù)據(jù)的可能性； l出現(xiàn)欺詐和錯(cuò)誤的新機(jī)會(huì)和機(jī)制；出現(xiàn)欺詐和錯(cuò)誤的新機(jī)會(huì)和機(jī)制； l分布式數(shù)據(jù)處理和存儲(chǔ)；分布式數(shù)據(jù)處理和存儲(chǔ)； l關(guān)鍵業(yè)務(wù)信息的機(jī)密性和一致性；關(guān)鍵業(yè)務(wù)信息的機(jī)密性和一致性； l由于組織內(nèi)部或組織之間的通訊，特別是因特網(wǎng)增加的風(fēng)險(xiǎn)；由于組織內(nèi)部或組織之間的通訊，特別是因特網(wǎng)增加的風(fēng)險(xiǎn)； l系統(tǒng)故障系統(tǒng)故障/宕機(jī)的可能性。宕機(jī)的可能性。 l對(duì)信息系統(tǒng)控制的檢查對(duì)信息系統(tǒng)控制的檢查 l對(duì)

6、財(cái)務(wù)信息系統(tǒng)的審計(jì)對(duì)財(cái)務(wù)信息系統(tǒng)的審計(jì) l信息系統(tǒng)的績效審計(jì)或信息系統(tǒng)的績效審計(jì)或VFM審計(jì)審計(jì) l對(duì)正在開發(fā)的信息系統(tǒng)的審計(jì)對(duì)正在開發(fā)的信息系統(tǒng)的審計(jì) l信息系統(tǒng)舞弊審計(jì)信息系統(tǒng)舞弊審計(jì) l信息系統(tǒng)安全審計(jì)信息系統(tǒng)安全審計(jì) l計(jì)算機(jī)輔助審計(jì)技術(shù)（計(jì)算機(jī)輔助審計(jì)技術(shù)（CAATs） l社會(huì)審計(jì)：伴隨著財(cái)務(wù)報(bào)告審計(jì)發(fā)展社會(huì)審計(jì)：伴隨著財(cái)務(wù)報(bào)告審計(jì)發(fā)展 l19541954年，第一套計(jì)算機(jī)化的會(huì)計(jì)系統(tǒng)在通用電氣公司開始使用。年，第一套計(jì)算機(jī)化的會(huì)計(jì)系統(tǒng)在通用電氣公司開始使用。 六十年代中期，出現(xiàn)了第一套通用審計(jì)軟件（六十年代中期，出現(xiàn)了第一套通用審計(jì)軟件（GASGAS）。）。 l19681968年，年

7、，AICPAAICPA（美國注冊(cè)會(huì)計(jì)師協(xié)會(huì)）和當(dāng)時(shí)的八大會(huì)計(jì)師事（美國注冊(cè)會(huì)計(jì)師協(xié)會(huì)）和當(dāng)時(shí)的八大會(huì)計(jì)師事 務(wù)所聯(lián)合開始開展務(wù)所聯(lián)合開始開展EDPEDP（電子數(shù)據(jù)處理）審計(jì)。（電子數(shù)據(jù)處理）審計(jì)。 l19681968年，電子數(shù)據(jù)處理審計(jì)師協(xié)會(huì)（年，電子數(shù)據(jù)處理審計(jì)師協(xié)會(huì)（EDPAAEDPAA）成立。該協(xié)會(huì)于）成立。該協(xié)會(huì)于 19771977年發(fā)布了年發(fā)布了控制目標(biāo)控制目標(biāo)第一版（即第一版（即CobitCobit的前身）。的前身）。 l19771977年，年，IIAIIA發(fā)布了一項(xiàng)研究成果，即發(fā)布了一項(xiàng)研究成果，即系統(tǒng)可審計(jì)性與控制系統(tǒng)可審計(jì)性與控制 （ the Systems, Auditab

8、ility, and Control, the Systems, Auditability, and Control, 簡(jiǎn)稱簡(jiǎn)稱SAC)SAC)。 l19941994年，電子數(shù)據(jù)處理審計(jì)師協(xié)會(huì)（年，電子數(shù)據(jù)處理審計(jì)師協(xié)會(huì)（EDPAAEDPAA）改名為信息系統(tǒng)審）改名為信息系統(tǒng)審 計(jì)與控制協(xié)會(huì)（計(jì)與控制協(xié)會(huì)（ISACAISACA）。）。 l19961996年，信息系統(tǒng)審計(jì)與控制基金會(huì)（年，信息系統(tǒng)審計(jì)與控制基金會(huì)（Control Objectives for Control Objectives for Information and Related TechnologyInformation

9、and Related Technology，簡(jiǎn)稱，簡(jiǎn)稱ISACFISACF）發(fā)布了信）發(fā)布了信 息技術(shù)控制目標(biāo)息技術(shù)控制目標(biāo)COBITCOBIT第一版。目前已經(jīng)修訂到第四版。第一版。目前已經(jīng)修訂到第四版。 l19981998年，年，ITIT治理學(xué)會(huì)（治理學(xué)會(huì)（IT Governance InstituteIT Governance Institute）成立。）成立。 l19781978年，出現(xiàn)了年，出現(xiàn)了CISACISA職業(yè)化認(rèn)證，并在職業(yè)化認(rèn)證，并在19811981年舉辦了第一次年舉辦了第一次CISACISA 考試?？荚嚒?0052005年年9 9月，美國國家標(biāo)準(zhǔn)協(xié)會(huì)（月，美國國家標(biāo)準(zhǔn)協(xié)會(huì)

10、（ANSIANSI）對(duì)）對(duì)ISACAISACA提供的提供的 CISACISA和和CISMCISM資格進(jìn)行了鑒定的認(rèn)可，鞏固了這兩個(gè)資格的地位。資格進(jìn)行了鑒定的認(rèn)可，鞏固了這兩個(gè)資格的地位。 l l政府審計(jì)：起源于對(duì)政府信息系統(tǒng)的評(píng)價(jià)政府審計(jì)：起源于對(duì)政府信息系統(tǒng)的評(píng)價(jià) l1959年，年，GAO發(fā)布第一份政府的信息系統(tǒng)審計(jì)報(bào)告：發(fā)布第一份政府的信息系統(tǒng)審計(jì)報(bào)告：評(píng)價(jià)自評(píng)價(jià)自 動(dòng)化數(shù)據(jù)處理系統(tǒng)的安裝動(dòng)化數(shù)據(jù)處理系統(tǒng)的安裝； l1999年，年，GAO發(fā)布發(fā)布聯(lián)邦信息系統(tǒng)控制審計(jì)手冊(cè)聯(lián)邦信息系統(tǒng)控制審計(jì)手冊(cè)（第一版）；（第一版）； l 2001年，年， GAO發(fā)布發(fā)布聯(lián)邦信息系統(tǒng)安全審計(jì)管理的計(jì)劃指南

11、聯(lián)邦信息系統(tǒng)安全審計(jì)管理的計(jì)劃指南； l2007年，審計(jì)署組織了第一次信息系統(tǒng)審計(jì)項(xiàng)目；年，審計(jì)署組織了第一次信息系統(tǒng)審計(jì)項(xiàng)目； l2008年，審計(jì)署組織了第一次獨(dú)立的信息系統(tǒng)審計(jì)項(xiàng)目；年，審計(jì)署組織了第一次獨(dú)立的信息系統(tǒng)審計(jì)項(xiàng)目； l2009年，年，GAO發(fā)布發(fā)布聯(lián)邦信息系統(tǒng)控制審計(jì)手冊(cè)聯(lián)邦信息系統(tǒng)控制審計(jì)手冊(cè)（第二（第二 版）版） lISACAISACA的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn) 標(biāo)準(zhǔn)（標(biāo)準(zhǔn)（StandardsStandards） 指南（指南（GuidelinesGuidelines） 流程（流程（ProceduresProcedures） l信息系統(tǒng)審計(jì)可以參考的其他標(biāo)準(zhǔn)信息系

12、統(tǒng)審計(jì)可以參考的其他標(biāo)準(zhǔn) 信息系統(tǒng)控制方面信息系統(tǒng)控制方面 信息系統(tǒng)運(yùn)營、服務(wù)管理方面信息系統(tǒng)運(yùn)營、服務(wù)管理方面 信息系統(tǒng)安全方面信息系統(tǒng)安全方面 l信息系統(tǒng)審計(jì)必須遵循的行業(yè)法規(guī)信息系統(tǒng)審計(jì)必須遵循的行業(yè)法規(guī) l標(biāo)準(zhǔn)：標(biāo)準(zhǔn)： 定義了信息系統(tǒng)審計(jì)和報(bào)告的強(qiáng)制性要求。定義了信息系統(tǒng)審計(jì)和報(bào)告的強(qiáng)制性要求。 l指南：指南： 對(duì)審計(jì)人員執(zhí)行信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的指導(dǎo)，信息系統(tǒng)審計(jì)對(duì)審計(jì)人員執(zhí)行信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的指導(dǎo)，信息系統(tǒng)審計(jì) 人員在實(shí)施相關(guān)工作時(shí)，應(yīng)當(dāng)考慮這些指南的要求。人員在實(shí)施相關(guān)工作時(shí)，應(yīng)當(dāng)考慮這些指南的要求。 l流程：流程： 為信息系統(tǒng)審計(jì)人員在執(zhí)行具體審計(jì)任務(wù)時(shí)提供詳細(xì)的案為信息系統(tǒng)審計(jì)人

13、員在執(zhí)行具體審計(jì)任務(wù)時(shí)提供詳細(xì)的案 例，供審計(jì)人員參考。例，供審計(jì)人員參考。 生效日期生效日期 生效日期生效日期 生效日期生效日期 l信息系統(tǒng)控制方面信息系統(tǒng)控制方面 COSO COBIT SAC&eSAC l信息系統(tǒng)運(yùn)營、服務(wù)管理方面信息系統(tǒng)運(yùn)營、服務(wù)管理方面 ITILITIL l信息系統(tǒng)安全方面信息系統(tǒng)安全方面 ISO/ICT17799 lCOSO內(nèi)部控制框架實(shí)際上是內(nèi)部控制框架實(shí)際上是COSO組織在組織在1992年年9月發(fā)布的一份報(bào)告，月發(fā)布的一份報(bào)告， 報(bào)告的正式名稱是報(bào)告的正式名稱是“內(nèi)部控制內(nèi)部控制-完整框架完整框架”。它是在美國審計(jì)行業(yè)最為。它是在美國審計(jì)行業(yè)最為 廣泛接受并使用

14、的內(nèi)部控制框架。包括政府審計(jì)和會(huì)計(jì)師事務(wù)所的審計(jì)廣泛接受并使用的內(nèi)部控制框架。包括政府審計(jì)和會(huì)計(jì)師事務(wù)所的審計(jì) 都以都以COSO作為檢查組織內(nèi)部控制的標(biāo)準(zhǔn)框架。作為檢查組織內(nèi)部控制的標(biāo)準(zhǔn)框架。 l盡管盡管COSO框架并不是信息技術(shù)方面的內(nèi)部控制框架，但是由于它在審框架并不是信息技術(shù)方面的內(nèi)部控制框架，但是由于它在審 計(jì)領(lǐng)域的重要性，幾乎所有的信息系統(tǒng)審計(jì)的框架和指南都會(huì)考慮吸取計(jì)領(lǐng)域的重要性，幾乎所有的信息系統(tǒng)審計(jì)的框架和指南都會(huì)考慮吸取 它的主要思想作為內(nèi)部控制的考慮出發(fā)點(diǎn)。特別是它的主要思想作為內(nèi)部控制的考慮出發(fā)點(diǎn)。特別是2002年年薩班斯薩班斯奧奧 克斯利法案克斯利法案(SOX)頒布后，

15、美國證券交易管理委員會(huì)（頒布后，美國證券交易管理委員會(huì)（SEC）把）把 COSO框架作為組織加強(qiáng)內(nèi)部控制的唯一參考框架，更進(jìn)一步提升了框架作為組織加強(qiáng)內(nèi)部控制的唯一參考框架，更進(jìn)一步提升了 COSO框架的重要地位。許多組織為了達(dá)到框架的重要地位。許多組織為了達(dá)到SOX法案對(duì)內(nèi)部控制和信息法案對(duì)內(nèi)部控制和信息 真實(shí)性的要求，紛紛對(duì)信息系統(tǒng)進(jìn)行控制評(píng)估和風(fēng)險(xiǎn)測(cè)試，開發(fā)了各種真實(shí)性的要求，紛紛對(duì)信息系統(tǒng)進(jìn)行控制評(píng)估和風(fēng)險(xiǎn)測(cè)試，開發(fā)了各種 信息技術(shù)控制框架以符合信息技術(shù)控制框架以符合COSO提出的要求，從而把信息技術(shù)的一般控提出的要求，從而把信息技術(shù)的一般控 制和應(yīng)用控制方法與制和應(yīng)用控制方法與COS

16、O框架結(jié)合起來?？蚣芙Y(jié)合起來。 lSAC是第一個(gè)與信息技術(shù)相關(guān)的內(nèi)部控制框架，它其實(shí)是由內(nèi)部審計(jì)師學(xué)會(huì)（是第一個(gè)與信息技術(shù)相關(guān)的內(nèi)部控制框架，它其實(shí)是由內(nèi)部審計(jì)師學(xué)會(huì)（IIA） 在在1977年發(fā)布一份報(bào)告，報(bào)告的正式名稱是年發(fā)布一份報(bào)告，報(bào)告的正式名稱是系統(tǒng)審計(jì)與控制報(bào)告系統(tǒng)審計(jì)與控制報(bào)告，該報(bào)告著，該報(bào)告著 重從業(yè)務(wù)視角考察信息技術(shù)，分析了存在于信息系統(tǒng)的計(jì)劃、實(shí)施、自動(dòng)化應(yīng)用重從業(yè)務(wù)視角考察信息技術(shù)，分析了存在于信息系統(tǒng)的計(jì)劃、實(shí)施、自動(dòng)化應(yīng)用 中的風(fēng)險(xiǎn)，希望為組織提供中的風(fēng)險(xiǎn)，希望為組織提供“對(duì)信息技術(shù)與系統(tǒng)審計(jì)的控制的指導(dǎo)對(duì)信息技術(shù)與系統(tǒng)審計(jì)的控制的指導(dǎo)”。 lSAC報(bào)告包含了報(bào)告包含

17、了14個(gè)模塊，分別是：執(zhí)行概要、審計(jì)與控制環(huán)境、審計(jì)中信息技個(gè)模塊，分別是：執(zhí)行概要、審計(jì)與控制環(huán)境、審計(jì)中信息技 術(shù)的應(yīng)用、計(jì)算機(jī)資源管理、管理信息與開發(fā)系統(tǒng)、業(yè)務(wù)系統(tǒng)、最終用戶與部門術(shù)的應(yīng)用、計(jì)算機(jī)資源管理、管理信息與開發(fā)系統(tǒng)、業(yè)務(wù)系統(tǒng)、最終用戶與部門 級(jí)計(jì)算、通訊、安全、意外計(jì)劃、技術(shù)、索引、先進(jìn)技術(shù)支持、案例研究。級(jí)計(jì)算、通訊、安全、意外計(jì)劃、技術(shù)、索引、先進(jìn)技術(shù)支持、案例研究。 l2001年，內(nèi)部審計(jì)師學(xué)會(huì)（年，內(nèi)部審計(jì)師學(xué)會(huì)（IIA）發(fā)布了適應(yīng)時(shí)代的信息系統(tǒng)控制模型：電子系）發(fā)布了適應(yīng)時(shí)代的信息系統(tǒng)控制模型：電子系 統(tǒng)驗(yàn)證與控制（統(tǒng)驗(yàn)證與控制（eSAC），主要內(nèi)容包括高級(jí)管理人員、

18、公司治理實(shí)體、審計(jì)人），主要內(nèi)容包括高級(jí)管理人員、公司治理實(shí)體、審計(jì)人 員在理解、評(píng)估、監(jiān)控、化解技術(shù)風(fēng)險(xiǎn)時(shí)需要掌握的新知識(shí)。員在理解、評(píng)估、監(jiān)控、化解技術(shù)風(fēng)險(xiǎn)時(shí)需要掌握的新知識(shí)。eSAC的核心通過的核心通過 五個(gè)驗(yàn)證目標(biāo)（可用性、性能、功能、保護(hù)、責(zé)任）與五個(gè)驗(yàn)證目標(biāo)（可用性、性能、功能、保護(hù)、責(zé)任）與COSO的四個(gè)內(nèi)部控制目的四個(gè)內(nèi)部控制目 標(biāo)（運(yùn)行、報(bào)告、符合、維護(hù)）以及五項(xiàng)基礎(chǔ)設(shè)施模塊（人員、技術(shù)、過程、投標(biāo)（運(yùn)行、報(bào)告、符合、維護(hù)）以及五項(xiàng)基礎(chǔ)設(shè)施模塊（人員、技術(shù)、過程、投 資、通訊）結(jié)合起來。資、通訊）結(jié)合起來。 lITIL是指信息技術(shù)基礎(chǔ)設(shè)施庫（是指信息技術(shù)基礎(chǔ)設(shè)施庫（IT In

19、frastructure Library）。是一個(gè)能促進(jìn)組織）。是一個(gè)能促進(jìn)組織 接近提供高質(zhì)量的信息技術(shù)服務(wù)的最佳實(shí)踐的框架。接近提供高質(zhì)量的信息技術(shù)服務(wù)的最佳實(shí)踐的框架。 lITIL專門關(guān)注怎樣做和誰來做。核心過程包括在兩個(gè)專門關(guān)注怎樣做和誰來做。核心過程包括在兩個(gè)ITIL的文檔中：服務(wù)支持和的文檔中：服務(wù)支持和 服務(wù)交付。服務(wù)交付。 l服務(wù)支持主要包括以下過程：服務(wù)支持主要包括以下過程： 事故管理事故管理 問題管理問題管理 配置管理配置管理 變更管理變更管理 版本管理版本管理 l服務(wù)交付主要包括以下過程：服務(wù)交付主要包括以下過程： 服務(wù)水平管理服務(wù)水平管理 信息技術(shù)服務(wù)的財(cái)務(wù)管理信息技術(shù)

20、服務(wù)的財(cái)務(wù)管理 能力管理能力管理 信息技術(shù)服務(wù)持續(xù)度管理信息技術(shù)服務(wù)持續(xù)度管理 可用性管理可用性管理 lITIL還包括了基礎(chǔ)架構(gòu)管理、應(yīng)用程序管理、安全管理、規(guī)劃與實(shí)施服務(wù)管理、還包括了基礎(chǔ)架構(gòu)管理、應(yīng)用程序管理、安全管理、規(guī)劃與實(shí)施服務(wù)管理、 軟件資產(chǎn)管理等內(nèi)容。軟件資產(chǎn)管理等內(nèi)容。 lISO/ICT17799是信息安全的國際標(biāo)準(zhǔn)，是由國際標(biāo)準(zhǔn)化組織（是信息安全的國際標(biāo)準(zhǔn)，是由國際標(biāo)準(zhǔn)化組織（ISO）和）和 國際電子技術(shù)委員會(huì)（國際電子技術(shù)委員會(huì)（ICT）頒布的。該標(biāo)準(zhǔn)的正式名稱是）頒布的。該標(biāo)準(zhǔn)的正式名稱是“信息技術(shù)信息技術(shù) 安全技術(shù)安全技術(shù)信息安全管理實(shí)務(wù)規(guī)定信息安全管理實(shí)務(wù)規(guī)定”。其中

21、。其中ISO/ICT17799： 2000版本，是對(duì)英國標(biāo)準(zhǔn)版本，是對(duì)英國標(biāo)準(zhǔn)BS7799-1：1999的復(fù)制。的復(fù)制。 l2005版的版的ISO/ICT17799標(biāo)準(zhǔn)包含了以下標(biāo)準(zhǔn)包含了以下12個(gè)方面：風(fēng)險(xiǎn)評(píng)估與處理、個(gè)方面：風(fēng)險(xiǎn)評(píng)估與處理、 安全策略、信息安全組織、資產(chǎn)管理、人力資源安全、物理與環(huán)境安全、安全策略、信息安全組織、資產(chǎn)管理、人力資源安全、物理與環(huán)境安全、 通訊與運(yùn)營管理、訪問控制、信息系統(tǒng)獲取、開發(fā)與維護(hù)、信息安全事通訊與運(yùn)營管理、訪問控制、信息系統(tǒng)獲取、開發(fā)與維護(hù)、信息安全事 故管理、業(yè)務(wù)持續(xù)管理、符合性。故管理、業(yè)務(wù)持續(xù)管理、符合性。 l在標(biāo)準(zhǔn)的每一部分中，都清楚地標(biāo)明了

22、信息技術(shù)安全控制的目標(biāo)，信息在標(biāo)準(zhǔn)的每一部分中，都清楚地標(biāo)明了信息技術(shù)安全控制的目標(biāo)，信息 技術(shù)安全控制被作為達(dá)到這些目標(biāo)的最佳實(shí)踐。技術(shù)安全控制被作為達(dá)到這些目標(biāo)的最佳實(shí)踐。 lGramm-Leach-Bliley 法案法案(GLBA) 又稱金融現(xiàn)代化法案，又稱金融現(xiàn)代化法案，1999年年11月月12日獲得美國國會(huì)的通過，日獲得美國國會(huì)的通過， GLBA規(guī)定規(guī)定 金融機(jī)構(gòu)必須評(píng)估客戶機(jī)密信息的風(fēng)險(xiǎn)，制定控制措施，盡量降低已知風(fēng)險(xiǎn)，金融機(jī)構(gòu)必須評(píng)估客戶機(jī)密信息的風(fēng)險(xiǎn)，制定控制措施，盡量降低已知風(fēng)險(xiǎn)， 并定期更新風(fēng)險(xiǎn)評(píng)估結(jié)果和控制措施。并定期更新風(fēng)險(xiǎn)評(píng)估結(jié)果和控制措施。 l健康保險(xiǎn)流通與責(zé)任法案

23、健康保險(xiǎn)流通與責(zé)任法案(HIPAA) 1996年年8月月21日，日，健康保險(xiǎn)流通與責(zé)任法案(HIPAA) (The Health Insurance Portability and Accountability Act)獲得美國國會(huì)的通過，法案規(guī)定所有處獲得美國國會(huì)的通過，法案規(guī)定所有處 理和理和/或持有健康醫(yī)療相關(guān)信息的組織都必須遵守保護(hù)病患信息或持有健康醫(yī)療相關(guān)信息的組織都必須遵守保護(hù)病患信息 (PHI) 的安全的安全 性規(guī)定。性規(guī)定。 HIPAA把醫(yī)療記錄和相關(guān)信息定義為需要特別控制的受保護(hù)的健康把醫(yī)療記錄和相關(guān)信息定義為需要特別控制的受保護(hù)的健康 信息。信息。 l薩班斯一奧史斯利法案薩

24、班斯一奧史斯利法案(Sarbanes-Oxley Act) 2002 年通過的薩班斯一奧史斯利法案年通過的薩班斯一奧史斯利法案 (Sarbanes-Oxley (SOX) Act of 2002) 規(guī)定美國證券交易所規(guī)定美國證券交易所 (SEC) 的注冊(cè)公司必須針對(duì)運(yùn)營和金融業(yè)務(wù)建立并維持的注冊(cè)公司必須針對(duì)運(yùn)營和金融業(yè)務(wù)建立并維持 有效的內(nèi)部控制架構(gòu)，為控制措施的有效性提供管理報(bào)告，而且控制措施的有效的內(nèi)部控制架構(gòu)，為控制措施的有效性提供管理報(bào)告，而且控制措施的 有效性必須通過外部審計(jì)人員的審核。有效性必須通過外部審計(jì)人員的審核。 l l信息系統(tǒng)審計(jì)概述信息系統(tǒng)審計(jì)概述 l國際上開展的政府的信

25、息系統(tǒng)審計(jì)現(xiàn)狀國際上開展的政府的信息系統(tǒng)審計(jì)現(xiàn)狀 l信息系統(tǒng)審計(jì)模型信息系統(tǒng)審計(jì)模型COBITCOBIT l審計(jì)署所做的信息系統(tǒng)審計(jì)工作審計(jì)署所做的信息系統(tǒng)審計(jì)工作 l案例介紹與分析案例介紹與分析 l審什么和怎么審審什么和怎么審 l交流互動(dòng)交流互動(dòng) l美國聯(lián)邦審計(jì)機(jī)構(gòu)信息系統(tǒng)審計(jì)美國聯(lián)邦審計(jì)機(jī)構(gòu)信息系統(tǒng)審計(jì) l美國地方審計(jì)機(jī)構(gòu)信息系統(tǒng)審計(jì)美國地方審計(jì)機(jī)構(gòu)信息系統(tǒng)審計(jì) l國外國外IT績效審計(jì)與電子政務(wù)審計(jì)績效審計(jì)與電子政務(wù)審計(jì) 美國聯(lián)邦機(jī)構(gòu)信息系統(tǒng)審計(jì) l美國的聯(lián)邦審計(jì)機(jī)構(gòu)（中央級(jí)）由兩部分組成：美國的聯(lián)邦審計(jì)機(jī)構(gòu)（中央級(jí)）由兩部分組成： l一部分是美國審計(jì)署（一部分是美國審計(jì)署（GAO），），

26、 l另一部分是兼有審計(jì)、監(jiān)察兩種職能的行政部門和機(jī)構(gòu)的監(jiān)察長另一部分是兼有審計(jì)、監(jiān)察兩種職能的行政部門和機(jī)構(gòu)的監(jiān)察長 辦公室（辦公室（OIGs）。）。 美國聯(lián)邦審計(jì)機(jī)構(gòu) l美國審計(jì)署作為議會(huì)的調(diào)查機(jī)構(gòu)，是議會(huì)用來監(jiān)督和評(píng)價(jià)聯(lián)邦政美國審計(jì)署作為議會(huì)的調(diào)查機(jī)構(gòu)，是議會(huì)用來監(jiān)督和評(píng)價(jià)聯(lián)邦政 府的工具。其主要工作是開展項(xiàng)目效果評(píng)價(jià)和管理評(píng)估、政策評(píng)府的工具。其主要工作是開展項(xiàng)目效果評(píng)價(jià)和管理評(píng)估、政策評(píng) 估以及為國會(huì)提供有關(guān)政府施政方面的復(fù)雜問題的研究報(bào)告。除估以及為國會(huì)提供有關(guān)政府施政方面的復(fù)雜問題的研究報(bào)告。除 對(duì)聯(lián)邦合并財(cái)務(wù)報(bào)表和個(gè)別機(jī)構(gòu)、單位的財(cái)務(wù)報(bào)表由美國審計(jì)署對(duì)聯(lián)邦合并財(cái)務(wù)報(bào)表和個(gè)別機(jī)構(gòu)、

27、單位的財(cái)務(wù)報(bào)表由美國審計(jì)署 進(jìn)行審計(jì)外，部門和機(jī)構(gòu)的財(cái)務(wù)審計(jì)基本上交由監(jiān)察長辦公室進(jìn)進(jìn)行審計(jì)外，部門和機(jī)構(gòu)的財(cái)務(wù)審計(jì)基本上交由監(jiān)察長辦公室進(jìn) 行。行。 l美國的監(jiān)察長審計(jì)制度是通過美國的監(jiān)察長審計(jì)制度是通過1978年年監(jiān)察長法監(jiān)察長法建立起來的。建立起來的。 根據(jù)根據(jù)1978年的年的監(jiān)察長法監(jiān)察長法及其后來的修正案，聯(lián)邦政府各部門及其后來的修正案，聯(lián)邦政府各部門 均設(shè)立監(jiān)察長辦公室，監(jiān)察長負(fù)責(zé)監(jiān)察長辦公室的工作，由總統(tǒng)均設(shè)立監(jiān)察長辦公室，監(jiān)察長負(fù)責(zé)監(jiān)察長辦公室的工作，由總統(tǒng) 任命。監(jiān)察長辦公室的預(yù)算是獨(dú)立的，由國會(huì)批準(zhǔn)，部門負(fù)責(zé)人任命。監(jiān)察長辦公室的預(yù)算是獨(dú)立的，由國會(huì)批準(zhǔn)，部門負(fù)責(zé)人 不能用

28、經(jīng)費(fèi)來限制監(jiān)察長辦公室的業(yè)務(wù)活動(dòng)。監(jiān)察長辦公室的工不能用經(jīng)費(fèi)來限制監(jiān)察長辦公室的業(yè)務(wù)活動(dòng)。監(jiān)察長辦公室的工 作范圍十分廣泛，涉及到影響部門工作效率和效果的各個(gè)方面。作范圍十分廣泛，涉及到影響部門工作效率和效果的各個(gè)方面。 其主要工作包括審計(jì)、對(duì)投訴、舉報(bào)和有關(guān)事項(xiàng)的調(diào)查和監(jiān)察等其主要工作包括審計(jì)、對(duì)投訴、舉報(bào)和有關(guān)事項(xiàng)的調(diào)查和監(jiān)察等 工作。其中，審計(jì)工作主要包括財(cái)務(wù)審計(jì)和績效審計(jì)兩個(gè)方面。工作。其中，審計(jì)工作主要包括財(cái)務(wù)審計(jì)和績效審計(jì)兩個(gè)方面。 l美國審計(jì)署和監(jiān)察長辦公室在分工上各有側(cè)重，二者共同構(gòu)成了美國審計(jì)署和監(jiān)察長辦公室在分工上各有側(cè)重，二者共同構(gòu)成了 美國國家審計(jì)的整體。美國國家審計(jì)的

29、整體。 美國審計(jì)署美國審計(jì)署監(jiān)察長辦公室監(jiān)察長辦公室 作用范圍作用范圍整個(gè)政府整個(gè)政府部門、機(jī)構(gòu)內(nèi)部部門、機(jī)構(gòu)內(nèi)部 關(guān)注問題關(guān)注問題普遍性（橫向）和長期性的問普遍性（橫向）和長期性的問 題題 深入（縱向）和短期性的問題深入（縱向）和短期性的問題 工作類型工作類型較多審計(jì)、評(píng)價(jià)和政策分析較多審計(jì)、評(píng)價(jià)和政策分析較多調(diào)查較多調(diào)查 對(duì)財(cái)務(wù)報(bào)表審計(jì)的對(duì)財(cái)務(wù)報(bào)表審計(jì)的 分工分工 對(duì)聯(lián)邦政府合并報(bào)表發(fā)表意見對(duì)聯(lián)邦政府合并報(bào)表發(fā)表意見對(duì)部門、機(jī)構(gòu)財(cái)務(wù)報(bào)表進(jìn)行審對(duì)部門、機(jī)構(gòu)財(cái)務(wù)報(bào)表進(jìn)行審 計(jì)計(jì) 對(duì)政府績效進(jìn)行監(jiān)對(duì)政府績效進(jìn)行監(jiān) 督的方式督的方式 提出聯(lián)邦政府部門績效和責(zé)任提出聯(lián)邦政府部門績效和責(zé)任 高風(fēng)險(xiǎn)名單

30、高風(fēng)險(xiǎn)名單 提出政府部門面臨的管理挑戰(zhàn)提出政府部門面臨的管理挑戰(zhàn) 清單清單 （根據(jù)2004年3月24日美國審計(jì)長大衛(wèi)沃克所做的美國審計(jì)署和監(jiān)察長辦公 室：提高政府績效和責(zé)任演講中的幻燈片的內(nèi)容編譯。） 美國審計(jì)署與計(jì)算機(jī)相關(guān)的組織機(jī)構(gòu)美國審計(jì)署與計(jì)算機(jī)相關(guān)的組織機(jī)構(gòu) 在業(yè)務(wù)方面，設(shè)置了專門的信息技術(shù)局開展信息系統(tǒng)審計(jì)；在業(yè)務(wù)方面，設(shè)置了專門的信息技術(shù)局開展信息系統(tǒng)審計(jì)； 另外，在應(yīng)用研究與技術(shù)局下設(shè)有專門的技術(shù)工程和信息安全另外，在應(yīng)用研究與技術(shù)局下設(shè)有專門的技術(shù)工程和信息安全 實(shí)驗(yàn)中心，負(fù)責(zé)改善信息技術(shù)和促進(jìn)軟件工程現(xiàn)代化，評(píng)估聯(lián)邦實(shí)驗(yàn)中心，負(fù)責(zé)改善信息技術(shù)和促進(jìn)軟件工程現(xiàn)代化，評(píng)估聯(lián)邦 政

31、府計(jì)算機(jī)系統(tǒng)的安全性。政府計(jì)算機(jī)系統(tǒng)的安全性。 在保障方面，設(shè)置了專門的信息系統(tǒng)與技術(shù)服務(wù)部門保障內(nèi)部在保障方面，設(shè)置了專門的信息系統(tǒng)與技術(shù)服務(wù)部門保障內(nèi)部 信息系統(tǒng)的運(yùn)轉(zhuǎn)。信息系統(tǒng)的運(yùn)轉(zhuǎn)。 l信息技術(shù)局（截止至信息技術(shù)局（截止至2007年年4月）有局領(lǐng)導(dǎo)月）有局領(lǐng)導(dǎo)2人，人，5個(gè)處，分別是：個(gè)處，分別是： （1）信息管理；）信息管理； （2）信息技術(shù)架構(gòu)與系統(tǒng)；）信息技術(shù)架構(gòu)與系統(tǒng)； （3）信息技術(shù)人力資本與管理；）信息技術(shù)人力資本與管理； （4）信息技術(shù)管理事務(wù)：）信息技術(shù)管理事務(wù)： （5）信息技術(shù)安全事務(wù)。）信息技術(shù)安全事務(wù)。 l信息系統(tǒng)與技術(shù)服務(wù)部門設(shè)信息系統(tǒng)與技術(shù)服務(wù)部門設(shè)GAO首席

32、信息官（首席信息官（CIO）一名，承擔(dān)）一名，承擔(dān)9 項(xiàng)任務(wù)：項(xiàng)任務(wù)： （1）業(yè)務(wù)系統(tǒng)；（）業(yè)務(wù)系統(tǒng)；（2）客戶關(guān)系；）客戶關(guān)系； （3）預(yù)約管理；）預(yù)約管理； （4）組織架構(gòu)；（）組織架構(gòu)；（5）信息系統(tǒng)安全；（）信息系統(tǒng)安全；（6）網(wǎng)絡(luò)運(yùn)營；）網(wǎng)絡(luò)運(yùn)營； （7）運(yùn)行與計(jì)劃；（）運(yùn)行與計(jì)劃；（8）通訊；（）通訊；（9）網(wǎng)頁服務(wù)）網(wǎng)頁服務(wù) l 技術(shù)工程和信息安全實(shí)驗(yàn)中心負(fù)責(zé)對(duì)工作成果有關(guān)內(nèi)容的準(zhǔn)確性技術(shù)工程和信息安全實(shí)驗(yàn)中心負(fù)責(zé)對(duì)工作成果有關(guān)內(nèi)容的準(zhǔn)確性 進(jìn)行技術(shù)檢驗(yàn)，包括具備系統(tǒng)工程、軟件工程、成本概算和計(jì)算機(jī)進(jìn)行技術(shù)檢驗(yàn)，包括具備系統(tǒng)工程、軟件工程、成本概算和計(jì)算機(jī) 安全等方面的工程師和科

33、學(xué)家。安全等方面的工程師和科學(xué)家。 l美國審計(jì)署美國審計(jì)署信息系統(tǒng)安全審計(jì)管理的計(jì)劃指南信息系統(tǒng)安全審計(jì)管理的計(jì)劃指南（2001年年12月）中提月）中提 到：到： 審計(jì)機(jī)關(guān)所轄信息系統(tǒng)審計(jì)部門的大小決定了信息系統(tǒng)審計(jì)的能力，審計(jì)機(jī)關(guān)所轄信息系統(tǒng)審計(jì)部門的大小決定了信息系統(tǒng)審計(jì)的能力， 州和地方審計(jì)機(jī)關(guān)信息系統(tǒng)審計(jì)部門的大小和職能區(qū)別很大。州和地方審計(jì)機(jī)關(guān)信息系統(tǒng)審計(jì)部門的大小和職能區(qū)別很大。 一些審計(jì)機(jī)關(guān)沒有設(shè)置信息系統(tǒng)審計(jì)部門，而是通過與社會(huì)審計(jì)有關(guān)一些審計(jì)機(jī)關(guān)沒有設(shè)置信息系統(tǒng)審計(jì)部門，而是通過與社會(huì)審計(jì)有關(guān) 方面簽訂合同，完成信息系統(tǒng)審計(jì)工作。還有一些審計(jì)機(jī)關(guān)的信息系統(tǒng)方面簽訂合同，完成信

34、息系統(tǒng)審計(jì)工作。還有一些審計(jì)機(jī)關(guān)的信息系統(tǒng) 審計(jì)人員直接整合進(jìn)入財(cái)務(wù)審計(jì)和業(yè)務(wù)審計(jì)小組。審計(jì)人員直接整合進(jìn)入財(cái)務(wù)審計(jì)和業(yè)務(wù)審計(jì)小組。 此外，審計(jì)機(jī)關(guān)應(yīng)該根據(jù)其大小、結(jié)構(gòu)和任務(wù)建立健全信息系統(tǒng)安此外，審計(jì)機(jī)關(guān)應(yīng)該根據(jù)其大小、結(jié)構(gòu)和任務(wù)建立健全信息系統(tǒng)安 全審計(jì)方面的能力。全審計(jì)方面的能力。 1、一般控制（摘自、一般控制（摘自聯(lián)邦信息系統(tǒng)控制審計(jì)手冊(cè)聯(lián)邦信息系統(tǒng)控制審計(jì)手冊(cè)）：）： l實(shí)體安全控制 l訪問控制 l應(yīng)用軟件開發(fā)和變更控制 l系統(tǒng)軟件控制 l職責(zé)分離控制 l服務(wù)連續(xù)性控制 2、應(yīng)用控制（摘自、應(yīng)用控制（摘自聯(lián)邦政府內(nèi)部控制標(biāo)準(zhǔn)聯(lián)邦政府內(nèi)部控制標(biāo)準(zhǔn)和和控制管控制管 理與評(píng)價(jià)工具理與評(píng)價(jià)工

35、具）：）： l授權(quán)控制 l完整性控制 l準(zhǔn)確性控制 l數(shù)據(jù)文件和處理的完整性控制 l（摘自（摘自信息系統(tǒng)安全審計(jì)管理的計(jì)劃指南信息系統(tǒng)安全審計(jì)管理的計(jì)劃指南） 信息系統(tǒng)安全審計(jì)的目標(biāo)是：支持財(cái)務(wù)審計(jì)、信息系統(tǒng)安全審計(jì)的目標(biāo)是：支持財(cái)務(wù)審計(jì)、 支持效益審計(jì)、支持計(jì)算機(jī)輔助審計(jì)和完成系統(tǒng)支持效益審計(jì)、支持計(jì)算機(jī)輔助審計(jì)和完成系統(tǒng) 開發(fā)的安全檢查等。開發(fā)的安全檢查等。 滿足信息系統(tǒng)安全審計(jì)目標(biāo)的活動(dòng)有：滿足信息系統(tǒng)安全審計(jì)目標(biāo)的活動(dòng)有：計(jì)劃計(jì)劃 支持；支持； 一般控制檢查（組織和管理、應(yīng)用開發(fā)一般控制檢查（組織和管理、應(yīng)用開發(fā) 與維護(hù)、系統(tǒng)軟件、計(jì)算機(jī)運(yùn)行、安全管理、邏與維護(hù)、系統(tǒng)軟件、計(jì)算機(jī)運(yùn)行、

36、安全管理、邏 輯安全、物理安全）、輯安全、物理安全）、 應(yīng)用控制檢查（輸入控應(yīng)用控制檢查（輸入控 制、輸出控制）；采用專門的安全技術(shù)工具；制、輸出控制）；采用專門的安全技術(shù)工具； 收集其他安全相關(guān)信息；其他的專業(yè)支持。收集其他安全相關(guān)信息；其他的專業(yè)支持。 l信息技術(shù)：評(píng)估采購風(fēng)險(xiǎn)的審計(jì)指南信息技術(shù)：評(píng)估采購風(fēng)險(xiǎn)的審計(jì)指南, 1992年年12月；月； l執(zhí)行指南：通過信息管理戰(zhàn)略來提高執(zhí)行任務(wù)的效果，執(zhí)行指南：通過信息管理戰(zhàn)略來提高執(zhí)行任務(wù)的效果， 1994年年5月；月； l信息技術(shù)投資：聯(lián)邦機(jī)構(gòu)能提高效益、降低成本和使風(fēng)信息技術(shù)投資：聯(lián)邦機(jī)構(gòu)能提高效益、降低成本和使風(fēng) 險(xiǎn)最小，險(xiǎn)最小，199

37、6年年9月；月； l信息技術(shù)投資評(píng)價(jià)指南，信息技術(shù)投資評(píng)價(jià)指南，1997年年2月；月； l執(zhí)行指南：信息技術(shù)投資的效益計(jì)量和成果演示，執(zhí)行指南：信息技術(shù)投資的效益計(jì)量和成果演示， 1998年年3月；月； l執(zhí)行指南：信息安全管理，執(zhí)行指南：信息安全管理，1998年年8月；月； l信息安全風(fēng)險(xiǎn)評(píng)估：領(lǐng)先者的實(shí)踐經(jīng)驗(yàn)，信息安全風(fēng)險(xiǎn)評(píng)估：領(lǐng)先者的實(shí)踐經(jīng)驗(yàn)，1999年年11月；月； l信息技術(shù)投資管理執(zhí)行指南：評(píng)估和改進(jìn)過程成熟度的信息技術(shù)投資管理執(zhí)行指南：評(píng)估和改進(jìn)過程成熟度的 框架框架 2004年年3月。月。 l根據(jù)對(duì)美國審計(jì)署官方網(wǎng)站上審計(jì)報(bào)告的統(tǒng)計(jì)根據(jù)對(duì)美國審計(jì)署官方網(wǎng)站上審計(jì)報(bào)告的統(tǒng)計(jì),自自

38、1959年年12月月15 日的日的評(píng)價(jià)自動(dòng)化數(shù)據(jù)處理系統(tǒng)的安裝評(píng)價(jià)自動(dòng)化數(shù)據(jù)處理系統(tǒng)的安裝開始至今（開始至今（2007年年5 月），美國審計(jì)署共發(fā)布月），美國審計(jì)署共發(fā)布1632份有關(guān)信息管理的審計(jì)報(bào)告。份有關(guān)信息管理的審計(jì)報(bào)告。 l自自2000年年1月至今，美國審計(jì)署共發(fā)布有有關(guān)信息管理的審計(jì)報(bào)月至今，美國審計(jì)署共發(fā)布有有關(guān)信息管理的審計(jì)報(bào) 告告392篇，占同期全部審計(jì)報(bào)告（篇，占同期全部審計(jì)報(bào)告（ 7087份）約份）約5.5%。 l這是一份提交給郵政事務(wù)委員會(huì)（這是一份提交給郵政事務(wù)委員會(huì)（THE COMMITTEE ON POST OFFICE AND CIVIL SERVICE）的報(bào)告

39、。）的報(bào)告。 l審計(jì)調(diào)查：審計(jì)調(diào)查：1959年年10月，郵政事務(wù)委員會(huì)請(qǐng)求美國審計(jì)署對(duì)其自月，郵政事務(wù)委員會(huì)請(qǐng)求美國審計(jì)署對(duì)其自 動(dòng)化數(shù)據(jù)處理系統(tǒng)的安裝進(jìn)行評(píng)價(jià)。動(dòng)化數(shù)據(jù)處理系統(tǒng)的安裝進(jìn)行評(píng)價(jià)。1952年年12月，其下屬部門租月，其下屬部門租 得一套中型計(jì)算機(jī)系統(tǒng)得一套中型計(jì)算機(jī)系統(tǒng)Datatron 205，年度租金，年度租金$123,300，增加，增加 運(yùn)營成本運(yùn)營成本$156,700，該部門不久，該部門不久 安裝了一套更大處理能力的安裝了一套更大處理能力的 Datatron 220,將進(jìn)一步增加運(yùn)營成本將進(jìn)一步增加運(yùn)營成本$127, 500。 審計(jì)署認(rèn)為，該部門決定租用計(jì)算機(jī)系統(tǒng)審計(jì)署認(rèn)為

40、，該部門決定租用計(jì)算機(jī)系統(tǒng)Datatron 205的理由的理由 是充分的，但調(diào)查也發(fā)現(xiàn)使用該套設(shè)備并不能直接節(jié)約費(fèi)用。是充分的，但調(diào)查也發(fā)現(xiàn)使用該套設(shè)備并不能直接節(jié)約費(fèi)用。 l信息安全：美國聯(lián)邦存款保險(xiǎn)公司需要繼續(xù)改進(jìn)其處理程序。信息安全：美國聯(lián)邦存款保險(xiǎn)公司需要繼續(xù)改進(jìn)其處理程序。 GAO-07-351, 2007年年5月月18日日 l美國審計(jì)署為什么要完成進(jìn)行這項(xiàng)審計(jì)任務(wù)？美國審計(jì)署為什么要完成進(jìn)行這項(xiàng)審計(jì)任務(wù)？ 美國聯(lián)邦存款保險(xiǎn)公司（美國聯(lián)邦存款保險(xiǎn)公司（FDIC）有責(zé)任強(qiáng)制要求金融機(jī)構(gòu)遵守銀行法，保護(hù)）有責(zé)任強(qiáng)制要求金融機(jī)構(gòu)遵守銀行法，保護(hù) 存款人的利益。作為存款人的利益。作為2006

41、年度財(cái)務(wù)報(bào)表審計(jì)的一部分，美國審計(jì)署評(píng)估以下年度財(cái)務(wù)報(bào)表審計(jì)的一部分，美國審計(jì)署評(píng)估以下 內(nèi)容：內(nèi)容： （1）美國聯(lián)邦存款保險(xiǎn)公司按照先前報(bào)告要求，對(duì)信息安全薄弱環(huán)節(jié)的糾正）美國聯(lián)邦存款保險(xiǎn)公司按照先前報(bào)告要求，對(duì)信息安全薄弱環(huán)節(jié)的糾正 情況。情況。 （2）信息系統(tǒng)完整性控制的效力，以保證財(cái)務(wù)信息和信息系統(tǒng)的機(jī)密性和有）信息系統(tǒng)完整性控制的效力，以保證財(cái)務(wù)信息和信息系統(tǒng)的機(jī)密性和有 效性。效性。 l美國審計(jì)署的建議是：美國審計(jì)署的建議是： 美國聯(lián)邦存款保險(xiǎn)公司應(yīng)采取措施解決控制薄弱點(diǎn)，并將美國聯(lián)邦存款保險(xiǎn)公司應(yīng)采取措施解決控制薄弱點(diǎn)，并將NFE“新財(cái)務(wù)環(huán)新財(cái)務(wù)環(huán) 境境”充分整合，納入統(tǒng)一的信息

42、安全程序。充分整合，納入統(tǒng)一的信息安全程序。 在起草報(bào)告的過程中，美國聯(lián)邦存款保險(xiǎn)公司反映他們正在落實(shí)整改。在起草報(bào)告的過程中，美國聯(lián)邦存款保險(xiǎn)公司反映他們正在落實(shí)整改。 l美國審計(jì)署的審計(jì)發(fā)現(xiàn)：美國審計(jì)署的審計(jì)發(fā)現(xiàn)： 首先，美國聯(lián)邦存款保險(xiǎn)公司積極按照首先，美國聯(lián)邦存款保險(xiǎn)公司積極按照2005年美國審計(jì)署報(bào)告的建議，年美國審計(jì)署報(bào)告的建議， 對(duì)對(duì)26項(xiàng)薄弱點(diǎn)進(jìn)行了糾正。其中包括：項(xiàng)薄弱點(diǎn)進(jìn)行了糾正。其中包括： （1）正在開發(fā)和已經(jīng)完成的計(jì)算機(jī)程序不得在網(wǎng)絡(luò)中以可讀取的方式傳輸主）正在開發(fā)和已經(jīng)完成的計(jì)算機(jī)程序不得在網(wǎng)絡(luò)中以可讀取的方式傳輸主 機(jī)用戶和管理員的密碼；機(jī)用戶和管理員的密碼； （2

43、）使用程序變更供應(yīng)商的用戶名）使用程序變更供應(yīng)商的用戶名/密碼；密碼； （3）改進(jìn)主機(jī)的安全監(jiān)控等。）改進(jìn)主機(jī)的安全監(jiān)控等。 雖然，美國聯(lián)邦存款保險(xiǎn)公司已經(jīng)采取了有效措施改進(jìn)其信息系統(tǒng)控制，雖然，美國聯(lián)邦存款保險(xiǎn)公司已經(jīng)采取了有效措施改進(jìn)其信息系統(tǒng)控制， 但是原有的和新發(fā)現(xiàn)的薄弱點(diǎn)將阻礙公司保護(hù)其財(cái)務(wù)和敏感信息與系統(tǒng)的完但是原有的和新發(fā)現(xiàn)的薄弱點(diǎn)將阻礙公司保護(hù)其財(cái)務(wù)和敏感信息與系統(tǒng)的完 整、機(jī)密和有效。除了還有整、機(jī)密和有效。除了還有5項(xiàng)薄弱點(diǎn)還沒有得到糾正以外，本次審計(jì)還發(fā)項(xiàng)薄弱點(diǎn)還沒有得到糾正以外，本次審計(jì)還發(fā) 現(xiàn)以下控制存在薄弱點(diǎn)：現(xiàn)以下控制存在薄弱點(diǎn)： （1）e-mail安全；（安全；

44、（2）物理安全；（）物理安全；（3）配置管理。）配置管理。 雖然這些薄弱點(diǎn)可能不會(huì)給公司的財(cái)務(wù)報(bào)表造成虛假陳述的顯著風(fēng)險(xiǎn)，雖然這些薄弱點(diǎn)可能不會(huì)給公司的財(cái)務(wù)報(bào)表造成虛假陳述的顯著風(fēng)險(xiǎn)， 但是他們的確是可能造成財(cái)務(wù)和信息系統(tǒng)風(fēng)險(xiǎn)的發(fā)生。此外，公司沒有將其但是他們的確是可能造成財(cái)務(wù)和信息系統(tǒng)風(fēng)險(xiǎn)的發(fā)生。此外，公司沒有將其 “新財(cái)務(wù)環(huán)境新財(cái)務(wù)環(huán)境”（NFE）納入整體的信息安全程序，沒有對(duì)其實(shí)施關(guān)鍵的控）納入整體的信息安全程序，沒有對(duì)其實(shí)施關(guān)鍵的控 制活動(dòng)。制活動(dòng)。 l監(jiān)察長辦公室下設(shè)多個(gè)部門，其中包括審計(jì)處。審計(jì)處主要負(fù)責(zé)：監(jiān)察長辦公室下設(shè)多個(gè)部門，其中包括審計(jì)處。審計(jì)處主要負(fù)責(zé)： 1、實(shí)施和監(jiān)督與

45、部門項(xiàng)目和業(yè)務(wù)活動(dòng)有關(guān)的審計(jì)；、實(shí)施和監(jiān)督與部門項(xiàng)目和業(yè)務(wù)活動(dòng)有關(guān)的審計(jì)； 2、提出相關(guān)政策建議以提升部門項(xiàng)目和業(yè)務(wù)活動(dòng)管理的經(jīng)濟(jì)、效、提出相關(guān)政策建議以提升部門項(xiàng)目和業(yè)務(wù)活動(dòng)管理的經(jīng)濟(jì)、效 率和效果，揭露并杜絕項(xiàng)目和業(yè)務(wù)活動(dòng)管理過程中出現(xiàn)的舞弊、率和效果，揭露并杜絕項(xiàng)目和業(yè)務(wù)活動(dòng)管理過程中出現(xiàn)的舞弊、 浪費(fèi)、濫用和管理不善問題，協(xié)助監(jiān)察長提請(qǐng)部長和國會(huì)注意有浪費(fèi)、濫用和管理不善問題，協(xié)助監(jiān)察長提請(qǐng)部長和國會(huì)注意有 關(guān)部門項(xiàng)目和業(yè)務(wù)管理方面的問題、不足以及改善的必要性和過關(guān)部門項(xiàng)目和業(yè)務(wù)管理方面的問題、不足以及改善的必要性和過 程。程。 l監(jiān)察長下設(shè)的審計(jì)部門在信息系統(tǒng)審計(jì)領(lǐng)域，同樣要遵守美國

46、審監(jiān)察長下設(shè)的審計(jì)部門在信息系統(tǒng)審計(jì)領(lǐng)域，同樣要遵守美國審 計(jì)署頒布的審計(jì)標(biāo)準(zhǔn)、手冊(cè)和指南。計(jì)署頒布的審計(jì)標(biāo)準(zhǔn)、手冊(cè)和指南。 l審計(jì)人員檢查了小企業(yè)管理局的財(cái)務(wù)管理系統(tǒng)的一般 控制和應(yīng)用控制，確認(rèn)其是否控制符合聯(lián)邦的要求。 l本次審計(jì)，對(duì)聯(lián)邦政府進(jìn)行一般控制和應(yīng)用控制的檢 查，主要依據(jù)下列文件： （1）管理和預(yù)算辦公室（OMB）的A-130通知； （2）聯(lián)邦信息資源和計(jì)算機(jī)安全法案，1987年。 l審計(jì)結(jié)論認(rèn)為：小企業(yè)管理局在實(shí)施信息系統(tǒng)安全程 序方面獲得相當(dāng)大的進(jìn)展，但仍然存在不足，部分控 制仍需加強(qiáng)，包括：整體的安全控制、訪問控制、應(yīng) 用軟件開發(fā)和變更控制、系統(tǒng)軟件控制、職責(zé)分離控 制控制

47、和業(yè)務(wù)持續(xù)性控制。 l該報(bào)告也提出了相應(yīng)的解決建議。 l審計(jì)依據(jù)：審計(jì)依據(jù)： （1）管理和預(yù)算辦公室（OMB）的A-130通知； （2）美國審計(jì)署聯(lián)邦信息系統(tǒng)控制審計(jì)手冊(cè)； （3）通訊委員會(huì)自定的“計(jì)算機(jī)安全程序”； （4）“計(jì)算機(jī)舞弊和濫用法”。 l審計(jì)發(fā)現(xiàn)：審計(jì)發(fā)現(xiàn)： 審計(jì)最終發(fā)現(xiàn)審計(jì)最終發(fā)現(xiàn)103處問題，其中高風(fēng)險(xiǎn)（處問題，其中高風(fēng)險(xiǎn)（13處），處）， 中風(fēng)險(xiǎn)（中風(fēng)險(xiǎn)（52處），低風(fēng)險(xiǎn)（處），低風(fēng)險(xiǎn)（38處）。處）。 呼叫中心共有呼叫中心共有3大系統(tǒng)，分別是：自動(dòng)呼叫管理系統(tǒng)、大系統(tǒng)，分別是：自動(dòng)呼叫管理系統(tǒng)、 語音響應(yīng)系統(tǒng)和專家顧問系統(tǒng)。語音響應(yīng)系統(tǒng)和專家顧問系統(tǒng)。 l美國聯(lián)邦審計(jì)機(jī)構(gòu)

48、信息系統(tǒng)審計(jì)美國聯(lián)邦審計(jì)機(jī)構(gòu)信息系統(tǒng)審計(jì) l美國地方審計(jì)機(jī)構(gòu)信息系統(tǒng)審計(jì)美國地方審計(jì)機(jī)構(gòu)信息系統(tǒng)審計(jì) l國外國外IT績效審計(jì)與電子政務(wù)審計(jì)績效審計(jì)與電子政務(wù)審計(jì) l美國州審計(jì)師、主計(jì)師、司庫全國協(xié)會(huì)(NASACT) l美國地方政府審計(jì)師協(xié)會(huì)美國地方政府審計(jì)師協(xié)會(huì)（ALGA） l美國州審計(jì)師、主計(jì)師、司庫協(xié)會(huì)由州政府開展財(cái)務(wù)管美國州審計(jì)師、主計(jì)師、司庫協(xié)會(huì)由州政府開展財(cái)務(wù)管 理政府官員組成的一個(gè)組織。理政府官員組成的一個(gè)組織。 l其會(huì)員包括美國其會(huì)員包括美國50個(gè)州、哥倫比亞特區(qū)等美國領(lǐng)土的所個(gè)州、哥倫比亞特區(qū)等美國領(lǐng)土的所 有審計(jì)師、主計(jì)師和司庫。有審計(jì)師、主計(jì)師和司庫。 l該協(xié)會(huì)成立了專門的

49、政府間信息安全審計(jì)論壇，以促進(jìn)該協(xié)會(huì)成立了專門的政府間信息安全審計(jì)論壇，以促進(jìn) 加強(qiáng)政府信息安全審計(jì)能力。包括加強(qiáng)政府信息安全審計(jì)能力。包括5個(gè)組，任務(wù)目標(biāo)組、個(gè)組，任務(wù)目標(biāo)組、 法律文件和報(bào)告組、技術(shù)組、培訓(xùn)和課件開發(fā)組和信息法律文件和報(bào)告組、技術(shù)組、培訓(xùn)和課件開發(fā)組和信息 共享組。共享組。 l其目標(biāo)是：技術(shù)技巧和人力資源；采用的審計(jì)方法和工其目標(biāo)是：技術(shù)技巧和人力資源；采用的審計(jì)方法和工 具；建立完成信息安全審計(jì)的技術(shù)、法律和程序基礎(chǔ)；具；建立完成信息安全審計(jì)的技術(shù)、法律和程序基礎(chǔ)； 開發(fā)材料，教育信息安全風(fēng)險(xiǎn)與審計(jì)；討論改善信息安開發(fā)材料，教育信息安全風(fēng)險(xiǎn)與審計(jì)；討論改善信息安 全的統(tǒng)一

50、標(biāo)準(zhǔn)。全的統(tǒng)一標(biāo)準(zhǔn)。 l其開發(fā)的操作手冊(cè)包括：一般控制、應(yīng)用控制、計(jì)算機(jī)其開發(fā)的操作手冊(cè)包括：一般控制、應(yīng)用控制、計(jì)算機(jī) 輔助審計(jì)技術(shù)、計(jì)算機(jī)取證審計(jì)輔助審計(jì)技術(shù)、計(jì)算機(jī)取證審計(jì) l美國地方政府審計(jì)師協(xié)會(huì)是由有關(guān)審計(jì)機(jī)構(gòu)組成，自美國地方政府審計(jì)師協(xié)會(huì)是由有關(guān)審計(jì)機(jī)構(gòu)組成，自 由入會(huì)，共享資源。由入會(huì)，共享資源。 l該協(xié)會(huì)對(duì)信息系統(tǒng)審計(jì)沒有特別定義，它收集了很多該協(xié)會(huì)對(duì)信息系統(tǒng)審計(jì)沒有特別定義，它收集了很多 與信息系統(tǒng)審計(jì)相關(guān)的資源，包括：與信息系統(tǒng)審計(jì)相關(guān)的資源，包括： （1）AICPA，SAS No.94“信息技術(shù)對(duì)審計(jì)師在財(cái)務(wù)信息技術(shù)對(duì)審計(jì)師在財(cái)務(wù) 報(bào)表審計(jì)中考慮內(nèi)部控制的影響報(bào)表審計(jì)中考

51、慮內(nèi)部控制的影響”； （2）信息系統(tǒng)控制與審計(jì)學(xué)會(huì)的信息系統(tǒng)審計(jì)；）信息系統(tǒng)控制與審計(jì)學(xué)會(huì)的信息系統(tǒng)審計(jì)； （3）內(nèi)部審計(jì)學(xué)會(huì)信息技術(shù)審計(jì)；）內(nèi)部審計(jì)學(xué)會(huì)信息技術(shù)審計(jì)； （4）NIST關(guān)于聯(lián)邦信息處理標(biāo)準(zhǔn)中計(jì)算機(jī)安全的描關(guān)于聯(lián)邦信息處理標(biāo)準(zhǔn)中計(jì)算機(jī)安全的描 述述 ； l經(jīng)過審計(jì)，審計(jì)局認(rèn)為德州經(jīng)過審計(jì)，審計(jì)局認(rèn)為德州CJIS（犯罪司法信息系統(tǒng)）比（犯罪司法信息系統(tǒng)）比5年完年完 善和準(zhǔn)確。但是，還有部分有待改善。善和準(zhǔn)確。但是，還有部分有待改善。 l審計(jì)局曾經(jīng)作出審計(jì)局曾經(jīng)作出評(píng)估德州犯罪司法信息系統(tǒng)評(píng)估德州犯罪司法信息系統(tǒng)的審計(jì)報(bào)告，指的審計(jì)報(bào)告，指 出該系統(tǒng)存在多個(gè)薄弱點(diǎn)可能影響數(shù)據(jù)的可靠

52、性。審計(jì)報(bào)告指出出該系統(tǒng)存在多個(gè)薄弱點(diǎn)可能影響數(shù)據(jù)的可靠性。審計(jì)報(bào)告指出 需要采取若干基本控制以確保數(shù)據(jù)的可靠性。需要采取若干基本控制以確保數(shù)據(jù)的可靠性。 l審計(jì)報(bào)告的內(nèi)容主要分兩個(gè)部分：審計(jì)報(bào)告的內(nèi)容主要分兩個(gè)部分： （1）州公共安全廳應(yīng)加強(qiáng)控制確保犯罪數(shù)據(jù)庫系統(tǒng)（）州公共安全廳應(yīng)加強(qiáng)控制確保犯罪數(shù)據(jù)庫系統(tǒng)（CCH）數(shù)據(jù)）數(shù)據(jù) 的完整和準(zhǔn)確；的完整和準(zhǔn)確； 犯罪數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)是不完整的，審計(jì)發(fā)現(xiàn)法院部署實(shí)施犯罪數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)是不完整的，審計(jì)發(fā)現(xiàn)法院部署實(shí)施 逮捕的數(shù)據(jù)與在冊(cè)的罪犯數(shù)據(jù)不匹配。其原因有：有關(guān)方面還沒逮捕的數(shù)據(jù)與在冊(cè)的罪犯數(shù)據(jù)不匹配。其原因有：有關(guān)方面還沒 有提交逮捕信息，公

53、共安全廳的有提交逮捕信息，公共安全廳的“自動(dòng)指紋識(shí)別系統(tǒng)自動(dòng)指紋識(shí)別系統(tǒng)”和現(xiàn)場(chǎng)掃和現(xiàn)場(chǎng)掃 描系統(tǒng)存在數(shù)據(jù)重復(fù)等。描系統(tǒng)存在數(shù)據(jù)重復(fù)等。 （2）州犯罪司法廳應(yīng)改進(jìn)罪犯改正跟蹤系統(tǒng)，并加強(qiáng)該系統(tǒng)的）州犯罪司法廳應(yīng)改進(jìn)罪犯改正跟蹤系統(tǒng)，并加強(qiáng)該系統(tǒng)的IT 控制?？刂?。 l美國聯(lián)邦審計(jì)機(jī)構(gòu)信息系統(tǒng)審計(jì)美國聯(lián)邦審計(jì)機(jī)構(gòu)信息系統(tǒng)審計(jì) l美國地方審計(jì)機(jī)構(gòu)信息系統(tǒng)審計(jì)美國地方審計(jì)機(jī)構(gòu)信息系統(tǒng)審計(jì) l國外國外IT績效審計(jì)與電子政務(wù)審計(jì)績效審計(jì)與電子政務(wù)審計(jì) l電子政務(wù)法案，2002 在頒布電子政務(wù)法案前的20年，美國陸續(xù)頒布過很多與聯(lián)邦信息 技術(shù)管理相關(guān)的法律文件，如隱私法、信息自由法 、Clinger- C

54、ohen 法（信息技術(shù)管理改革法）、文書削減法等。 2002年,由預(yù)算與管理辦公室(OMB)主導(dǎo),促成了電子政務(wù)法的頒 布。 l該法案在第2章“聯(lián)邦管理與電子政務(wù)促進(jìn)”中3707條款提到：美 國審計(jì)署應(yīng)在4年內(nèi)向眾議院政府改革委員會(huì)和參議院政務(wù)事務(wù)委員 會(huì)提交一份報(bào)告，包括評(píng)價(jià)信息技術(shù)交換技術(shù)的效力；以及該程序 是否應(yīng)該繼續(xù)或終止的建議。 l該法案第2章“聯(lián)邦信息系統(tǒng)標(biāo)準(zhǔn)的責(zé)任”11331條款中提到：國家 技術(shù)標(biāo)準(zhǔn)委在制定相關(guān)標(biāo)準(zhǔn)時(shí)應(yīng)與預(yù)算與管理辦公室、國防部、能 源部、國家安全局、審計(jì)署和國土安全部協(xié)商。 l該法案第3章2332條款提到：美國審計(jì)署在六個(gè)月內(nèi)向國會(huì)提交一 份有關(guān)“結(jié)余分享”（

55、share-in-savings contracts）的報(bào)告。 l美國新澤西州審計(jì)局在美國新澤西州審計(jì)局在2001年對(duì)信息技年對(duì)信息技 術(shù)局的電子政務(wù)服務(wù)進(jìn)行了審計(jì)；術(shù)局的電子政務(wù)服務(wù)進(jìn)行了審計(jì)； l美國明尼蘇達(dá)州審計(jì)機(jī)關(guān)在美國明尼蘇達(dá)州審計(jì)機(jī)關(guān)在2002年年4月月 對(duì)當(dāng)?shù)氐碾娮诱?wù)進(jìn)行了審計(jì)；對(duì)當(dāng)?shù)氐碾娮诱?wù)進(jìn)行了審計(jì)； l美國亞利桑那州審計(jì)局在美國亞利桑那州審計(jì)局在2004年年9月對(duì)月對(duì) 州運(yùn)輸局的車輛處進(jìn)行了對(duì)信息安全和州運(yùn)輸局的車輛處進(jìn)行了對(duì)信息安全和 電子政務(wù)的審計(jì)電子政務(wù)的審計(jì) l英國審計(jì)署十分注重英國審計(jì)署十分注重VFM（Value for Money）審計(jì)，即價(jià)值）審計(jì)，即價(jià)值

56、 衡量審計(jì)（績效審計(jì)），衡量審計(jì)（績效審計(jì)），IT項(xiàng)目績效也在其重點(diǎn)考慮和評(píng)價(jià)之項(xiàng)目績效也在其重點(diǎn)考慮和評(píng)價(jià)之 列。列。 l有資料表明，英國審計(jì)署對(duì)有資料表明，英國審計(jì)署對(duì)IT項(xiàng)目的最初審計(jì)實(shí)踐始于項(xiàng)目的最初審計(jì)實(shí)踐始于1984年，年， 經(jīng)過多年發(fā)展，英國審計(jì)署已經(jīng)將有關(guān)信息技術(shù)服務(wù)管理作為經(jīng)過多年發(fā)展，英國審計(jì)署已經(jīng)將有關(guān)信息技術(shù)服務(wù)管理作為 進(jìn)一步利用計(jì)算機(jī)開展績效審計(jì)工作的主要方向。進(jìn)一步利用計(jì)算機(jī)開展績效審計(jì)工作的主要方向。 l1999年年12月和月和2002年年4月，英國審計(jì)署分兩次提交月，英國審計(jì)署分兩次提交網(wǎng)上政府網(wǎng)上政府 報(bào)告；報(bào)告； l2002年年4月，提交月，提交通過電子政

57、務(wù)提供更好的公眾服務(wù)通過電子政務(wù)提供更好的公眾服務(wù)報(bào)告；報(bào)告； l2003年年5月，提交月，提交采購和管理軟件許可證采購和管理軟件許可證報(bào)告；報(bào)告； l2004年，提交年，提交改進(jìn)改進(jìn)IT采購：商務(wù)部改進(jìn)采購：商務(wù)部改進(jìn)IT程序和項(xiàng)目效益的程序和項(xiàng)目效益的 動(dòng)機(jī)及影響動(dòng)機(jī)及影響報(bào)告；報(bào)告； l2005年，提交年，提交健康部：健康部的國家健康部：健康部的國家IT項(xiàng)目項(xiàng)目報(bào)告。報(bào)告。 l2005年年4月，聯(lián)合國（月，聯(lián)合國（UN）和最高審計(jì)機(jī)關(guān)國際組織）和最高審計(jì)機(jī)關(guān)國際組織 （INTOSAI）在奧地利維也納召開。）在奧地利維也納召開。 l電子政務(wù)審計(jì)作為加強(qiáng)政府透明和責(zé)任不可缺失的手電子政務(wù)審計(jì)

58、作為加強(qiáng)政府透明和責(zé)任不可缺失的手 段正在受到各國審計(jì)機(jī)關(guān)的高度重視。審計(jì)機(jī)關(guān)電子段正在受到各國審計(jì)機(jī)關(guān)的高度重視。審計(jì)機(jī)關(guān)電子 政務(wù)審計(jì)的成熟度，取決于國家電子政務(wù)達(dá)到的水平，政務(wù)審計(jì)的成熟度，取決于國家電子政務(wù)達(dá)到的水平， 以及審計(jì)機(jī)關(guān)自身的技術(shù)。以及審計(jì)機(jī)關(guān)自身的技術(shù)。 l議題：議題：“如何對(duì)電子政務(wù)開展效益審計(jì)如何對(duì)電子政務(wù)開展效益審計(jì)” l包含包含3個(gè)子議題，分別是個(gè)子議題，分別是: “電子政務(wù)項(xiàng)目的風(fēng)險(xiǎn)評(píng)估電子政務(wù)項(xiàng)目的風(fēng)險(xiǎn)評(píng)估”， “以用戶為導(dǎo)向的效率問題以用戶為導(dǎo)向的效率問題”， “審計(jì)電子政務(wù)時(shí)面臨的挑戰(zhàn)審計(jì)電子政務(wù)時(shí)面臨的挑戰(zhàn)”。 l信息系統(tǒng)審計(jì)概述信息系統(tǒng)審計(jì)概述 l國際

59、上開展的政府的信息系統(tǒng)審計(jì)現(xiàn)狀國際上開展的政府的信息系統(tǒng)審計(jì)現(xiàn)狀 l信息系統(tǒng)審計(jì)模型信息系統(tǒng)審計(jì)模型COBITCOBIT l審計(jì)署所做的信息系統(tǒng)審計(jì)工作審計(jì)署所做的信息系統(tǒng)審計(jì)工作 l案例介紹與分析案例介紹與分析 l審什么和怎么審審什么和怎么審 l交流互動(dòng)交流互動(dòng) lCOBIT： 全稱是信息技術(shù)控制目標(biāo)框架，由全稱是信息技術(shù)控制目標(biāo)框架，由ISACF在在 1996年發(fā)布，分別在年發(fā)布，分別在1998、2000、2005年年 進(jìn)行了修訂，目前的版本是進(jìn)行了修訂，目前的版本是COBIT4.1。 lCOBIT是一個(gè)全面的內(nèi)部控制框架，是一個(gè)在國際上公認(rèn)為最先是一個(gè)全面的內(nèi)部控制框架，是一個(gè)在國際上公

60、認(rèn)為最先 進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn) 。 lCOBIT的內(nèi)容主要參考了不同的國際組織的標(biāo)準(zhǔn)或最佳實(shí)踐，覆的內(nèi)容主要參考了不同的國際組織的標(biāo)準(zhǔn)或最佳實(shí)踐，覆 蓋了當(dāng)今世界上關(guān)于控制和蓋了當(dāng)今世界上關(guān)于控制和IT的主要標(biāo)準(zhǔn)的主要標(biāo)準(zhǔn) 。 如：如： 國際標(biāo)準(zhǔn)化組織（國際標(biāo)準(zhǔn)化組織（ISO） ISACA 信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)（信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)（ITSEC） COSO GAO IFAC IIA AICPA CICA 歐洲安全論壇（歐洲安全論壇（ESF） 國家標(biāo)準(zhǔn)與技術(shù)學(xué)會(huì)（國家標(biāo)準(zhǔn)與技術(shù)學(xué)會(huì)（NIST） lCOBIT對(duì)控制的定義是：對(duì)控制的定