本发明专利技术公开了一种信息系统的审计方法及系统。其中,该系统包括:调查分析模块、风险评估模块、控制与审计框架定制模块、审计引擎的部署模块、审计策略制定模块和评估与度量模块。基于本发明专利技术,能够综合利用信息系统背景调查、信息系统分析、信息系统全生命周期风险评估和控制评估进行信息系统控制与审计框架基线的建立,部署审计引擎进行持续审计,获取实际运行状态信息,准确全面的评估信息系统是否满足业务目标。
【技术实现步骤摘要】
本专利技术涉及信息系统的审计,尤其涉及一种信息系统的审计方法及系统。
技术介绍
目前,信息系统的审计技术主要存在如下缺陷第一、信息系统审计的对象是计算机信息系统,目前的技术只注重信息系统运行 维护阶段数据方面的审计,只关注到信息系统数据处理的正确性,而不能对信息系统的业 务目标、信息系统的整个生命周期进行综合全面的风险评估与控制审计。第二、目前,信息系统审计项目中多以审计人员的经验判断为主,没有一套集成 的、科学的信息系统审计评估与度量工具,来执行信息系统审计评估任务,同时,为了全面 实现信息系统的控制与审计评估,需要从信息系统的组成、信息系统的生命周期和信息系 统的管理三个纬度进行综合分析评价;但是,目前的信息系统审计技术和产品都只涉及这 三个纬度中的某个部分,而不能对信息系统进行综合的控制与审计,也无法为信息系统业 务目标的实现程度进行科学的效果评估。第三、信息系统审计需要依据信息系统的特点及所处环境建立起一套能够实践的 IT控制与审计标准,并在此基础上结合信息系统控制与审计工作的实务,构建信息系统审 计框架并在实践中不断完善,这个过程是一个不断学习、借鉴、持续改进的过程。在这个过 程中需要有一个功能强大且全面的知识库作为基础,而目前的技术和产品没有将信息及相 关技术控制目标(Cobit)框架与风险评估管理知识库综合起来,为信息系统的控制与审计 提供一套可实践的保准。第四、更多的信息系统审计只关注信息系统或是信息技术环境中的安全问题,而 不能为组织是否有效利用信息资源、是否有效管理与信息相关的风险、是否有效评估信息 技术绩效等方面提供方法指导和度量工具。
技术实现思路
本专利技术的目的在于提供一种信息系统的审计方法及系统。基于本专利技术,能全面实 现信息系统的控制与审计评估。本专利技术提供了一种信息系统审计方法,所述方法包括如下步骤调查分析步骤,确 定评估审计对象的范围及业务运行情况;风险评估步骤,依据所述评估审计对象的范围及 业务运行情况,进行信息系统的风险评估,获取第一评估结果;控制与审计框架定制步骤, 依据所述第一评估结果,定制控制与审计框架;同时生成控制措施集合,依据所述控制措施 集合,评估信息系统是否规避风险,获取第二评估结果;审计引擎的部署步骤,依据定制的 所述控制与审计框架,确定审计引擎的部署方案;审计策略制定步骤,根据所述审计引擎的 部署方案、所述第一评估结果和第二评估结果,为信息系统制定持续监控的审计策略;评估 与度量步骤,依据所述审计策略,对信息系统进行审计;获取并分析数据,验证信息系统的 风险是否被有效控制,控制措施是否满足控制目标;依据评估指标,给出信息系统控制与审计的综合评估结论。上述信息系统审计方法,优选该方法基于知识库,所述知识库包括信息系统分析 评估知识库、信息系统风险评估知识库和控制与审计框架知识库;其中,所述调查分析步骤 基于所述信息系统分析评估知识库;所述风险评估步骤基于所述信息系统风险评估知识 库;所述控制与审计框架定制步骤、审计引擎的部署步骤、审计策略制定步骤和所述评估与 度量步骤基于所述控制与审计框架知识库。上述信息系统审计方法,优选所述控制与审计框架定制步骤中,所述控制与审计 框架的制定包括确定通过信息系统达成的企业战略目标的步骤;确定信息系统满足支撑 的业务目标的步骤;确定依据战略目标和业务目标,信息系统所需达成的控制目标的步骤; 确定依据现有条件对信息系统的识别出控制措施及评估控制措施有效性的结论的步骤;确 定依据风险评估及控制措施评估的结论,为信息系统的持续监控审计制定审计策略,获取 并分析数据验证信息系统风险是否被有效控制,控制措施是否满足控制目标的步骤;确定 对信息系统所需满足的战略目标和业务目标进行效果度量分析,给出信息系统控制与审计 的综合评估结论的步骤。上述信息系统审计方法,优选审计引擎的部署步骤中,基于旁路方式和审计代理 方式相结合的方式部署审计引擎。上述信息系统审计方法,优选所述审计策略制定步骤进一步为将风险评估结果 和控制措施评估结果转化为监控与审计策略;将转化后的策略发布到部署的审计引擎;审 计引擎依据审计监控策略进行持续监控;如发现违背策略的事件,审计引擎将产生报警,并 标识事件的影响程度;在预定周期后,依据控制与审计框架的要求给出综合分析结论,为控 制效果的评估提供输入数据。上述信息系统审计方法,优选所述评估与度量步骤中,所述评估指标分成战略目 标、业务目标、控制目标三级结构;战略目标由一个或多个业务目标组成,业务目标由一个 或多个控制目标组成,控制目标由七元组组成,包括有效性、效率、机密性、完整性、可用性、 一致性和可靠性;所述综合评估结论通过如下方式确定依据战略目标、业务目标、控制目 标三级结构进行逐级计算、由下至上汇总分析;被评估信息系统的度量结论包含战略目 标符合度分值、业务目标符合度分值以及控制目标符合度分值三项结果。本专利技术还提供了一种信息系统审计系统,包括调查分析模块,用于确定评估审计 对象的范围及业务运行情况;风险评估模块,用于依据所述评估审计对象的范围及业务运 行情况,进行信息系统的风险评估,获取第一评估结果;控制与审计框架定制模块,用于依 据所述第一评估结果,定制控制与审计框架;同时生成控制措施集合,依据所述控制措施集 合,评估信息系统是否规避风险,获取第二评估结果;审计引擎的部署模块,用于依据定制 的所述控制与审计框架,确定审计引擎的部署方案;审计策略制定模块,用于根据所述审计 引擎的部署方案、所述第一评估结果和第二评估结果,为信息系统制定持续监控的审计策 略;评估与度量模块,用于依据所述审计策略,对信息系统进行审计;获取并分析数据,验 证信息系统的风险是否被有效控制,控制措施是否满足控制目标;依据评估指标,给出信息 系统控制与审计的综合评估结论。上述信息系统审计系统,优选该系统基于知识库,所述知识库包括信息系统分析 评估知识库、信息系统风险评估知识库和控制与审计框架知识库;其中,所述调查分析模块6基于所述信息系统分析评估知识库;所述风险评估模块基于所述信息系统风险评估知识 库;所述控制与审计框架定制模块、审计引擎的部署模块、审计策略制定模块和所述评估与 度量模块基于所述控制与审计框架知识库。上述信息系统审计系统,优选所述控制与审计框架定制模块中,包括用于确定通 过信息系统达成的企业战略目标的单元;用于确定信息系统满足支撑的业务目标的单元; 用于确定依据战略目标和业务目标,信息系统所需达成的控制目标的单元;用于确定依据 现有条件对信息系统的识别出控制措施及评估控制措施有效性的结论的单元;用于确定依 据风险评估及控制措施评估的结论,为信息系统的持续监控审计制定审计策略,获取并分 析数据验证信息系统风险是否被有效控制,控制措施是否满足控制目标的单元;用于确定 对信息系统所需满足的战略目标和业务目标进行效果度量分析,给出信息系统控制与审计 的综合评估结论的单元。上述信息系统审计系统,优选所述审计引擎的部署模块中,基于旁路方式和审计 代理方式相结合的方式部署审计引擎。上述信息系统审计系统,优选审计策略制定模块进一步用于将风险评估结果和 控制措施评估结果转化为监控与审计策略;将转化后的策略发布到部署的审计引擎;审计 本文档来自技高网...
【技术保护点】
一种信息系统的审计方法,其特征在于,所述方法包括如下步骤:调查分析步骤,确定评估审计对象的范围及业务运行情况;风险评估步骤,依据所述评估审计对象的范围及业务运行情况,进行信息系统的风险评估,获取第一评估结果;控制与审计框架定制步骤,依据所述第一评估结果,定制控制与审计框架;同时生成控制措施集合,依据所述控制措施集合,评估信息系统是否规避风险,获取第二评估结果;审计引擎的部署步骤,依据定制的所述控制与审计框架,确定审计引擎的部署方案;审计策略制定步骤,根据所述审计引擎的部署方案、所述第一评估结果和第二评估结果,为信息系统制定持续监控的审计策略;评估与度量步骤,依据所述审计策略,对信息系统进行审计;获取并分析数据,验证信息系统的风险是否被有效控制,控制措施是否满足控制目标;依据评估指标,给出信息系统控制与审计的综合评估结论。
【技术特征摘要】
【专利技术属性】
技术研发人员:徐亚非,常乐,董文英,曲明,刘江林,陈浙一,杨文勃,俞晶晶,
申请(专利权)人:国都兴业信息审计系统技术北京有限公司,
类型:发明
国别省市:11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。