信息系統的審計方法及系統的製作方法

2023-06-07 01:58:01 1

專利名稱：信息系統的審計方法及系統的製作方法
技術領域：
本發明涉及信息系統的審計，尤其涉及一種信息系統的審計方法及系統。
背景技術：
目前，信息系統的審計技術主要存在如下缺陷第一、信息系統審計的對象是計算機信息系統，目前的技術只注重信息系統運行 維護階段數據方面的審計，只關注到信息系統數據處理的正確性，而不能對信息系統的業 務目標、信息系統的整個生命周期進行綜合全面的風險評估與控制審計。第二、目前，信息系統審計項目中多以審計人員的經驗判斷為主，沒有一套集成 的、科學的信息系統審計評估與度量工具，來執行信息系統審計評估任務，同時，為了全面 實現信息系統的控制與審計評估，需要從信息系統的組成、信息系統的生命周期和信息系 統的管理三個緯度進行綜合分析評價；但是，目前的信息系統審計技術和產品都只涉及這 三個緯度中的某個部分，而不能對信息系統進行綜合的控制與審計，也無法為信息系統業 務目標的實現程度進行科學的效果評估。第三、信息系統審計需要依據信息系統的特點及所處環境建立起一套能夠實踐的 IT控制與審計標準，並在此基礎上結合信息系統控制與審計工作的實務，構建信息系統審 計框架並在實踐中不斷完善，這個過程是一個不斷學習、借鑑、持續改進的過程。在這個過 程中需要有一個功能強大且全面的知識庫作為基礎，而目前的技術和產品沒有將信息及相 關技術控制目標(Cobit)框架與風險評估管理知識庫綜合起來，為信息系統的控制與審計 提供一套可實踐的保準。第四、更多的信息系統審計只關注信息系統或是信息技術環境中的安全問題，而 不能為組織是否有效利用信息資源、是否有效管理與信息相關的風險、是否有效評估信息 技術績效等方面提供方法指導和度量工具。

發明內容
本發明的目的在於提供一種信息系統的審計方法及系統。基於本發明，能全面實 現信息系統的控制與審計評估。本發明提供了一種信息系統審計方法，所述方法包括如下步驟調查分析步驟，確 定評估審計對象的範圍及業務運行情況；風險評估步驟，依據所述評估審計對象的範圍及 業務運行情況，進行信息系統的風險評估，獲取第一評估結果；控制與審計框架定製步驟， 依據所述第一評估結果，定製控制與審計框架；同時生成控制措施集合，依據所述控制措施 集合，評估信息系統是否規避風險，獲取第二評估結果；審計引擎的部署步驟，依據定製的 所述控制與審計框架，確定審計引擎的部署方案；審計策略制定步驟，根據所述審計引擎的 部署方案、所述第一評估結果和第二評估結果，為信息系統制定持續監控的審計策略；評估 與度量步驟，依據所述審計策略，對信息系統進行審計；獲取並分析數據，驗證信息系統的 風險是否被有效控制，控制措施是否滿足控制目標；依據評估指標，給出信息系統控制與審計的綜合評估結論。上述信息系統審計方法，優選該方法基於知識庫，所述知識庫包括信息系統分析 評估知識庫、信息系統風險評估知識庫和控制與審計框架知識庫；其中，所述調查分析步驟 基於所述信息系統分析評估知識庫；所述風險評估步驟基於所述信息系統風險評估知識 庫；所述控制與審計框架定製步驟、審計引擎的部署步驟、審計策略制定步驟和所述評估與 度量步驟基於所述控制與審計框架知識庫。上述信息系統審計方法，優選所述控制與審計框架定製步驟中，所述控制與審計 框架的制定包括確定通過信息系統達成的企業戰略目標的步驟；確定信息系統滿足支撐 的業務目標的步驟；確定依據戰略目標和業務目標，信息系統所需達成的控制目標的步驟； 確定依據現有條件對信息系統的識別出控制措施及評估控制措施有效性的結論的步驟；確 定依據風險評估及控制措施評估的結論，為信息系統的持續監控審計制定審計策略，獲取 並分析數據驗證信息系統風險是否被有效控制，控制措施是否滿足控制目標的步驟；確定 對信息系統所需滿足的戰略目標和業務目標進行效果度量分析，給出信息系統控制與審計 的綜合評估結論的步驟。上述信息系統審計方法，優選審計引擎的部署步驟中，基於旁路方式和審計代理 方式相結合的方式部署審計引擎。上述信息系統審計方法，優選所述審計策略制定步驟進一步為將風險評估結果 和控制措施評估結果轉化為監控與審計策略；將轉化後的策略發布到部署的審計引擎；審 計引擎依據審計監控策略進行持續監控；如發現違背策略的事件，審計引擎將產生報警，並 標識事件的影響程度；在預定周期後，依據控制與審計框架的要求給出綜合分析結論，為控 制效果的評估提供輸入數據。上述信息系統審計方法，優選所述評估與度量步驟中，所述評估指標分成戰略目 標、業務目標、控制目標三級結構；戰略目標由一個或多個業務目標組成，業務目標由一個 或多個控制目標組成，控制目標由七元組組成，包括有效性、效率、機密性、完整性、可用性、 一致性和可靠性；所述綜合評估結論通過如下方式確定依據戰略目標、業務目標、控制目 標三級結構進行逐級計算、由下至上匯總分析；被評估信息系統的度量結論包含戰略目 標符合度分值、業務目標符合度分值以及控制目標符合度分值三項結果。本發明還提供了一種信息系統審計系統，包括調查分析模塊，用於確定評估審計 對象的範圍及業務運行情況；風險評估模塊，用於依據所述評估審計對象的範圍及業務運 行情況，進行信息系統的風險評估，獲取第一評估結果；控制與審計框架定製模塊，用於依 據所述第一評估結果，定製控制與審計框架；同時生成控制措施集合，依據所述控制措施集 合，評估信息系統是否規避風險，獲取第二評估結果；審計引擎的部署模塊，用於依據定製 的所述控制與審計框架，確定審計引擎的部署方案；審計策略制定模塊，用於根據所述審計 引擎的部署方案、所述第一評估結果和第二評估結果，為信息系統制定持續監控的審計策 略；評估與度量模塊，用於依據所述審計策略，對信息系統進行審計；獲取並分析數據，驗 證信息系統的風險是否被有效控制，控制措施是否滿足控制目標；依據評估指標，給出信息 系統控制與審計的綜合評估結論。上述信息系統審計系統，優選該系統基於知識庫，所述知識庫包括信息系統分析 評估知識庫、信息系統風險評估知識庫和控制與審計框架知識庫；其中，所述調查分析模塊
6基於所述信息系統分析評估知識庫；所述風險評估模塊基於所述信息系統風險評估知識 庫；所述控制與審計框架定製模塊、審計引擎的部署模塊、審計策略制定模塊和所述評估與 度量模塊基於所述控制與審計框架知識庫。上述信息系統審計系統，優選所述控制與審計框架定製模塊中，包括用於確定通 過信息系統達成的企業戰略目標的單元；用於確定信息系統滿足支撐的業務目標的單元； 用於確定依據戰略目標和業務目標，信息系統所需達成的控制目標的單元；用於確定依據 現有條件對信息系統的識別出控制措施及評估控制措施有效性的結論的單元；用於確定依 據風險評估及控制措施評估的結論，為信息系統的持續監控審計制定審計策略，獲取並分 析數據驗證信息系統風險是否被有效控制，控制措施是否滿足控制目標的單元；用於確定 對信息系統所需滿足的戰略目標和業務目標進行效果度量分析，給出信息系統控制與審計 的綜合評估結論的單元。上述信息系統審計系統，優選所述審計引擎的部署模塊中，基於旁路方式和審計 代理方式相結合的方式部署審計引擎。上述信息系統審計系統，優選審計策略制定模塊進一步用於將風險評估結果和 控制措施評估結果轉化為監控與審計策略；將轉化後的策略發布到部署的審計引擎；審計 引擎依據審計監控策略進行持續監控；如發現違背策略的事件，審計引擎將產生報警，並標 識事件的影響程度；在預定周期後，依據控制與審計框架的要求給出綜合分析結論，為控制 效果的評估提供輸入數據。上述信息系統審計系統，優選審計策略制定模塊進一步用於所述評估與度量模 塊中，所述評估指標分成戰略目標、業務目標、控制目標三級結構；戰略目標由一個或多個 業務目標組成，業務目標由一個或多個控制目標組成，控制目標由七元組組成，包括有效 性、效率、機密性、完整性、可用性、一致性和可靠性；所述綜合評估結論通過如下方式確定 依據戰略目標、業務目標、控制目標三級結構進行逐級計算、由下至上匯總分析；被評估信 息系統的度量結論包含戰略目標符合度分值、業務目標符合度分值以及控制目標符合度 分值三項結果。相對於現有技術而言，本發明具有如下優勢第一、本系統充分利用信息及相關技術控制目標(Cobit)框架實施信息系統審計 的先進理念，為信息系統審計的方法論及信息系統控制與審計的框架定製提供有力的支持 與堅實的背景，同時為信息系統審計的實踐提供充分的指導。第二、本系統以信息系統為審計對象，依據信息系統的特點，以信息系統的組成、 運行環境為背景，綜合考量信息系統的全生命周期所處階段的存在風險，為信息系統審計 提供多緯度綜合的控制與審計解決方案，自動化量身定製控制與審計框架，為信息系統審 計提供標準的審計基線，為信息系統效果的度量提供科學的依據。第三、本系統以信息系統為審計對象，對信息系統的風險控制程度及審計控制目 標的符合度提供自動化評估和驗證的方法，並將結論轉化為持續審計策略部署審計引擎為 信息系統的運行提供真實的數據獲取與分析方法。第四、綜合利用信息系統背景調查、信息系統分析、信息系統全生命周期風險評估 和控制評估進行信息系統控制與審計框架基線的建立，部署審計引擎進行持續審計，獲取 實際運行狀態信息，充分依據信息系統的業務目標和控制目標進行效果度量，為準確全面的評估信息系統是否滿足業務目標的方法，信息系統的運行狀態以及達成目標的程度進行 科學有效的度量分析的方法。


圖1為本發明信息系統的審計方法實施例的步驟流程圖
圖2為本發明信息系統的審計系統實施例的結構框圖3為信息系統審計的系統框架示意圖4為信息系統審計的系統框架示意圖5A為信息系統審計系統審計的流程圖5B為信息系統審計系統的功能示意圖5C為信息系統審計系統的功能示意圖6為三個管理中心的示意圖7為信息系統背景調查流程示意圖8為信息系統分析流程示意圖9為信息系統運行環境流程圖10為信息系統風險評估與審計的流程圖11為信息系統控制與審計框架的定製流程圖12為信息系統審計策略制定與持續監控流程圖13為知識庫管理中心的結構框圖。
具體實施例方式為使本發明的上述目的、特徵和優點能夠更加明顯易懂，下面結合附圖和具體實 施方式對本發明作進一步詳細的說明。本發明中，信息系統審計系統設計的思想與原理是對信息系統的組成部分及其規 劃、開發、實施、運行、維護等全生命周期進行審查，為準確全面的評估信息系統的運行狀態 以及達成目標的程度提供科學有效的度量分析的方法。本發明主要是通過對信息系統全生命周期的各個階段的安全性、可靠性、有效性 和效率提供一系列可行的風險控制與審計策略及方法，能夠從企業業務運行的角度對信息 系統能否有效率的使用組織資源以及能否幫助組織實現業務目標進行評價與審計，也能夠 對信息系統建設發展各個階段的控制風險的能力以及實現目標的可能性進行度量與評估。 本系統能夠為組織有效利用信息資源、有效管理與信息相關的風險、有效評估信息技術績 效等方面提供方法指導和度量工具。參照圖1，圖1為本發明信息系統的審計方法實施例的步驟流程圖。包括如下步 驟調查分析步驟S110，確定評估審計對象的範圍及業務運行情況；風險評估步驟S120， 依據所述評估審計對象的範圍及業務運行情況，進行信息系統的風險評估，獲取第一評估 結果；控制與審計框架定製步驟S130，依據所述第一評估結果，定製控制與審計框架；同時 生成控制措施集合，依據所述控制措施集合，評估信息系統是否規避風險，獲取第二評估結 果；審計引擎的部署步驟S140，依據定製的所述控制與審計框架，確定審計引擎的部署方 案；審計策略制定步驟S150，根據所述審計引擎的部署方案、所述第一評估結果和第二評
8估結果，為信息系統制定持續監控的審計策略；評估與度量步驟S160，依據所述審計策略， 對信息系統進行審計；獲取並分析數據，驗證信息系統的風險是否被有效控制，控制措施是 否滿足控制目標；給出信息系統控制與審計的綜合評估結論。另一方面，本發明還提出了一種信息系統的審計系統的實施例，參照圖2，該審計 系統包括調查分析模塊21、風險評估模塊22、控制與審計框架定製模塊23、審計引擎的部 署模塊對、審計策略制定模塊25和評估與度量模塊26。其中調查分析模塊21於確定評估審計對象的範圍及業務運行情況；風險評估模 塊22於依據所述評估審計對象的範圍及業務運行情況，進行信息系統的風險評估，獲取第 一評估結果；控制與審計框架定製模塊23依據所述第一評估結果，定製控制與審計框架； 同時生成控制措施集合，依據所述控制措施集合，評估信息系統是否規避風險，獲取第二評 估結果；審計引擎的部署模塊M於依據定製的所述控制與審計框架，確定審計引擎的部署 方案；審計策略制定模塊25於根據所述審計引擎的部署方案、所述第一評估結果和第二評 估結果，為信息系統制定持續監控的審計策略；評估與度量模塊26於依據所述審計策略， 對信息系統進行審計；獲取並分析數據，驗證信息系統的風險是否被有效控制，控制措施是 否滿足控制目標；給出信息系統控制與審計的綜合評估結論。下面，對上述信息系統的審計系統進行詳細的說明。信息系統審計的對象是計算機信息系統，涉及信息系統的整個生命周期。為了全 面實現信息系統的控制與審計評估，本系統從信息系統的組成、信息系統的生命周期和信 息系統的管理三個緯度進行綜合分析評價。參照圖3，圖3為信息系統審計控制與審計評估模型示意圖。信息系統是以信息基 礎設施為基本運行環境，由人、信息技術設備和運行規程組成的，通過信息採集、傳輸、加工 處理和存儲，以企業戰略競優、提高效率為目標，支持企業高層決策、中層控制和基層運作 的集成化人機系統。本系統的系統架構主要考慮從系統階段，功能體系，數據體系，網絡體 系，管理體系，關鍵要素等幾個方面進行審計評估。信息系統有其產生、發展、成熟、消亡或更新的過程，信息系統在使用過程中，隨著 生存環境的變化，需要不斷維護、修改，當它不太適用時就會被淘汰，由新系統所代替，這種 周期循環稱為信息系統的生命周期。在本系統匯總依據信息系統的生命周期所處階段，設 計定製適合於被審計信息系統的控制目標，為嚴格管理與控制信息系統，保證信息系統有 效運作提供方法與工具。從信息系統構成要素來看，信息系統是由硬體平臺、軟體平臺、業務系統、數據文 件、人和運行規程組成。其中，硬體平臺和軟體平臺為信息系統提供了基本運行環境；信息 系統在安裝配置好硬體和軟體平臺後，還需要選購或開發符合企業管理需求的應用系統； 安裝軟硬體平和應用系統後，為支持系統的日常運行，必須組織基礎數據並將其存放在計 算機中，同時，系統日常運行過程中將會採集和產生很多新的數據和信息，也需要組織成數 據文件存放到計算機中。在計算機信息系統中，數據文件常用文件系統、資料庫和數據倉庫 的形式組織和管理數據；人不僅是信息系統組成元素，而且是站在系統之外對信息系統進 行管理，利用信息系統提供的信息進行決策的信息系統使用者；運行規程規定了信息系統 本身的運行規則，所有信息系統使用者都應遵守運行規除。從信息系統生命周期來看，信息系統的生命周期劃分為系統規劃、系統分析、系統設計、系統實施、系統運行和系統維護六個階段。從信息系統管理角度來看，對信息系統的管理與控制活動伴隨著新型系統生命周 期始終，涉及對信息系統構成要素的管理和系統生命周期各階段的管理。信息系統管理的 內容包括系統規劃與組織管理、系統開發管理、系統實施管理和系統日常運行管理四個方 面。信息系統管理主要是通過建立一系列健全的規章制度和管理規程，並有效執行而實現 的。因此，在本系統中對每個被評估信息系統的背景信息都可通過業務背景、系統架 構、運行環境三個緯度進行調查分析，其中業務背景基本要素包括業務目標、業務特性、管 理特性、技術特性四方面信息，系統架構基本要素包括系統階段，功能體系，數據體系，網 絡體系，管理體系，關鍵要素等六方面信息，運行環境基本要素包括外部環境，內部要求等 兩方面信息，通過對這三個緯度的各個基本要素進行調查分析，綜合評估信息系統的背景 特徵，為信息系統控制與審計控制的定製提供依據。參照圖4，圖4為信息系統審計的系統框架示意圖，包括如下三部分第一、信息系統控制與審計框架知識庫本系統為信息系統建立起一套能夠依據信息系統的特點及所處環境和業務目標 為基礎的可用於評估與實踐的IT控制與審計標準及度量指標，並在此基礎上結合信息系 統控制與審計工作的實務，構建信息系統審計框架並在實踐中不斷完善，實現信息系統風 險控制與審計不斷學習、借鑑、持續改進的過程。信息系統控制與審計框架知識庫，主要包括信息系統分析評估知識庫，包括用於支持信息系統背景調查、體系框架分析及運 行環境評估相關的調查問卷和參考資料。信息系統風險評估知識庫，包括風險評估用例集和工具集。信息系統控制與審計框架知識庫，包括適合各種信息系統審計的通用標準流程及 一般控制，具有行業特徵並且在信息系統中可以被識別的業務流程和應用控制，具有行業 特色的控制目標，以及在具體業務中常用的控制目標權重配置案例，具有行業特色的審計 框架模板。其中，信息系統控制與審計框架知識庫，集成了一個功能強大且全面的控制
與審計框架模型-COB IT (Control Objectives for Information and Related
Technology,信息及相關技術控制目標)，它是目前國際上普遍採用的IT治理框架標準，它 提供了一套權威的、全球通用的公認準則，旨在規範並提高IT治理水平、有效防範控制風 險以及增加信息技術價值。COBIT是一個IT管理框架，同時也提供了一個支持工具集，來幫 助管理者彌合控制需求、技術問題、業務風險之間的差距，並與利益干係人溝通控制級別。 COBIT又是一個IT最佳實踐的集合體，也是IT管理的傘狀框架，它能幫助理解和管理與IT 相關的風險和收益。COBIT定義了 100多個控制管理目標，它借鑑了業界的研究成果，將IT 活動歸納到34個過程4個過程域中，不僅為我們提供了信息系統控制目標和IT標準，而且 提供了信息系統的審計指南。此外，本系統的知識庫具有擴展功能，可以依據專家經驗和實施方案的不斷改進 優化進行補充和完善。第二、信息系統全生命周期審計管理
10
信息系統審計應貫穿於信息系統生命周期的各個階段中，信息系統生命周期各階 段中涉及的控制與審計的原則和方法是一致的，但由於各階段實施的內容、對象、控制需求 不同，使得信息系統審計的對象、目的、要求等各方面也有所不同。具體而言規劃設計階段， 通過信息系統審計以確定系統的業務戰略目標；在實施階段，通過信息系統審計以確定系 統的各項目標是否達成，是否滿足用戶需求，控制措施是否有效，剩餘風險評估等；在運行 維護階段，要不斷地實施監控審計以識別系統面臨的不斷變化的風險，從而確定各項控制 措施的有效性，以確保信息系統在可控的環境下高效運作。因此，每個階段信息系統審計的 具體實施需要根據系統所處階段的特點有所側重的進行。本系統可依據信息系統的特點和 所處階段不同定製審計和評估方法，對信息系統進行階段性審計評估，同時，本系統也可用 於信息系統的自評估，可對信息系統的風險和控制措施的有效性進行階段性評估或持續性 的監控審計。第三、信息系統控制審計效果評估管理在判定信息系統所處階段後，本系統根據信息系統的特點從三級結構、六個層面、 七個角度對信息系統進行控制審計評估。三級結構為戰略目標、業務目標、控制目標，這六 個層面分別是信息系統的硬體平臺、軟體平臺、業務系統、數據文件、人和運行規程。七個角 度就是有效性、效率、機密性、完整性、可用性、一致性、可靠性。依據戰略目標、業務目標、控 制目標三級結構進行逐級計算、由下至上進行匯總分析，對信息系統進行全面的多角度的 綜合評估與度量。下面說明信息系統審計系統的設計與實現。參照圖5A、圖5B和5C。信息系統審計系統設計的思想與原理是通過對信息系統的組成部分及其規劃、開 發、實施、運行、維護等過程進行審查，對信息系統全生命周期的各個階段的安全性、可靠 性、有效性和效率提供一系列可行的風險控制與審計策略及方法，能夠從企業業務運行的 角度對信息系統能否有效率的使用組織資源以及能否幫助組織實現業務目標進行評價與 審計，也能夠對信息系統建設發展各個階段的控制風險的能力以及實現目標的可能性進行 度量與評估。為組織有效利用信息資源、有效管理與信息相關的風險、有效評估信息技術績 效等方面提供方法指導和度量工具。信息系統審計系統的實現流程如下，包括(1)確定評估審計對象的範圍及業務運行情況(2)信息系統風險評估與審計(3)自動化量身定製信息系統控制審計框架(4)部署審計引擎並獲取審計信息(5)信息系統審計策略制定與持續監控(6)信息系統控制審計效果評估與度量本系統主要是針對信息系統對象的範圍和業務運行特點，將分散的、不同種類的 數據流信息進行匯總分析，對信息系統的組織管理層面、技術層面及實施層面進行全面的 風險評估與審計，參考信息系統的內外部約束及最佳實踐制定審計策略並進行持續的監 控，在一定的周期內對信息系統風險控制進行效果評估，同時結合Cobit框架要求及信息 系統的業務需求給出度量結果和改進建議。本系統將企業業務要求與最佳實踐結合起來，將靜態評估與動態監控有機的結合起來，同時還將階段評估與全生命周期綜合管理結合起來，這樣就能夠對被審計信息系統 的多個緯度進行評估審計，將分散且海量的單一事件進行匯總、過濾、收集和關聯分析，得 出全局角度的風險控制效果的評估與度量，形成統一改進建議進行響應和處理。信息系統審計系統採用三級構架(客戶層-服務層-採集處理層)設計與實現， 客戶層與服務層採用B/S(瀏覽器/伺服器)方式，由「三大中心、七個功能模塊」組成。三 個管理中心為知識庫管理中心，全生命周期審計管理中心和控制效果評估管理中心。參照 圖6，圖6為三個管理中心的示意圖。七個功能模塊為背景信息搜集模塊、風險評估模塊、控 制審計框架定製模塊、持續監控審計模塊、評估指標管理模塊、評估結果計算模塊、交互接 口模塊等。信息系統全生命周期審計管理中心，用於確定被評估信息系統的審計範圍、業務 背景、系統架構以及系統運行情況，對信息系統資產組成進行全面的風險評估，自動化定製 信息系統控制審計框架，依據控制審計框架部署審計引擎，將控制目標轉化為審計策略下 發到審計引擎中，提供持續性的監控審計，為控制效果評估提供度量依據；信息系統控制效果評估管理中心，用於對信息系統控制與審計框架中一系列的控 制目標效果指標進行評估度量，判斷目標是否達成，為組織有效利用信息資源、有效管理與 信息相關的風險、有效評估信息技術績效等方面提供方法指導和度量工具。信息系統審計知識庫管理中心的功能有三個部分信息系統分析評估知識庫，包 括用於支持信息系統背景調查、體系框架分析及運行環境評估相關的調查問卷和參考資 料；信息系統風險評估知識庫，包括風險評估用例集和工具集；信息系統控制與審計框架 知識庫，包括適合各種信息系統審計的通用標準流程及一般控制，具有行業特徵並且在信 息系統中可以被識別的業務流程和應用控制，具有行業特色的控制目標，以及在具體業務 中常用的控制目標權重配置案例，具有行業特色的審計框架模板。下面對三大中心進行介紹。(一 )全面生命周期審計管理中心a)、確定評估審計對象的範圍及業務運行情況主要功能在於對每個被評估信息系統的背景信息都可通過業務背景、系統架構、 運行環境三個緯度進行調查分析，其中業務背景基本要素包括業務目標、業務特性、管理 特性、技術特性四方面信息，系統架構基本要素包括系統階段，功能體系，數據體系，網絡 體系，管理體系，關鍵要素等六方面信息，運行環境基本要素包括外部環境，內部要求等兩 方面信息，這三個緯度的各個基本要素共同組成了信息系統背景特徵。主要方法是以調查問卷的方式進行信息搜集，調查問卷的選擇是以信息提問的方 式自動從知識庫管理中心獲取適合被評估單位所在行業以及系統業務特徵的問卷集，同時 依據本系統內置的DSS決策樹模型，可根據與被調查人的信息反饋自動選擇新的問題，保 證獲取信息的連貫性。i)確定信息系統審計對象和審計範圍是信息系統審計的第一步，對象的確立是為 了明確信息系統的審計範圍、審計對象的業務目標和運行環境、所屬機構的戰略目標和管 理制度、以及國家、地區貨行業相關政策、法律、法規和標準都是確立對象所需了解的信息。信息系統背景調查流程，參照圖7，主要包括幾個部分 了解信息系統的業務目標。了解被審計對象所處機構戰略目標和業務背景等，明確被審計信息系統支持機構完成的業務目標。 了解信息系統的業務特性。了解被審計對象所處機構的業務，包括業務內容和 業務流程等，從中明確支持機構業務運營的信息系統的業務特性。 了解信息系統的管理特性。了解被審計對象所處機構機構的組織結構和管理制 度，包括組織機構設置、責任分工、規章制度等，明確支持機構業務運營的信息系統管理特 性。 了解信息系統的技術特性。了解被審計對象所處機構機構的技術平臺，包括物 理平臺、系統平臺、通信平臺、網絡平臺和應用平臺，從中明確支持機構業務運營的信息系 統的技術特性。 匯總調查結果，依據調查問卷錄入的內容，對信息系統的業務目標、業務環境、 管理環境和技術環境進行綜合評估，作為後續模塊的評估模塊的輸入。ii)參照圖8，信息系統分析流程主要包括以下幾個部分 分析信息系統所處階段，了解信息系統所處階段，依據所處階段定製調查問卷。 分析信息系統體系，對信息系統的功能體系、數據體系、網絡體系、運行體系、管 理體系等方面進行分析，明確信息系統的組成及各組成部分重要程度。 分析信息系統的關鍵要素，確定信息系統對組織戰略目標和業務目標具有關鍵 和重要作用的部分，輸出關鍵要素清單。 匯總分析結果，錄入調查問卷，對信息系統的體系框架、關鍵要素及內外部約束 等進行綜合評估，為定製信息系統控制審計框架做評估依據。iii)、參照圖9，信息系統運行環境流程主要包括如下幾部分 分析信息系統的外部運行環境，主要包括國家、地區或行業的相關政策、法律和 標準，考慮合作夥伴的合同要求，對信息系統的保障環境進行分析，明確外部運營因素對信 息系統的影響和要求。 分析信息系統的內部要求，結合信息系統分析中系統結果和關鍵要素，整理出 信息系統內部要求，包括安全性、保密性、可用性等方面的重要性程度進行分析評估。 匯總上述分析結果，對信息系統的運行環境進行綜合評估，為定製信息系統控 制審計框架做評估依據。b)、信息系統風險評估與審計信息系統風險評估與審計模塊以目標信息系統的資產組件為基礎，通過資產評 估、脆弱性評估、威脅評估、風險分析、風險管控等流程完成風險評估。風險評估與審計模塊 圍繞著資產、威脅、脆弱性和控制措施等基本要素展開，在評估過程中，充分考慮信息系統 的業務目標、運行環境和信息系統的特點及關鍵要素等各類屬性，為建立信息系統控制審 計框架提供全面的風險評估。集成了一套自動化的風險評估工具集，依據信息系統分析模 塊提供的各類信息，針對信息系統的特點自動設計一套風險評估的方案，提供風險識別與 分析。綜合信息系統分析與識別出的風險點，定製出一套控制與審計方案，作為後續模塊的 輸入，為建立信息系統特有的控制與審計框架提供基礎的數據獲取與分析功能。參照圖10、 主要流程如下i)、依據信息系統分析模塊識別出的資產，對資產的價值賦值。ii)、依據信息系統背景、信息系統分析、信息系統運行環境的分析結果，結合知識
13庫管理中心的風險評估管理知識庫，自動化定製一套風險評估方案，進行風險的識別與分 析。iii)、獲取信息系統相關的風險點及控制措施。iv)、綜合風險評估結果制定控制與審計方案。c)、自動化量身定製信息系統控制審計框架上述兩個階段流程的主要輸入為從知識庫管理中心獲取被評估系統的信息搜集 方式；從知識庫管理中心獲取符合行業及業務特點的標準流程，以及信息系統控制審計目 標。上述兩個階段流程的輸出結果，被評估系統背景信息分析結論，作為知識庫管理 中心輸出標準流程和審計目標的輸入；被評估系統背景信息分析結論，作為控制效果評估 管理中心確定控制目標、業務目標及戰略目標的輸入；被評估系統持續審計監控記錄，作為 控制效果評估管理中心計算控制符合度結果的輸入。結合上述兩個階段的主要輸出，系統自動完成控制與審計框架的定製工作，在定 制過程中需要依據要求對系統中的各項關鍵要素進行綜合分析評估，從而能夠達到為信息 系統自動化量身打造一個適合特定信息系統的控制與審計框架，此框架作為信息系統審計 的基線，同時為下一部部署審計引擎獲取審計信息提供依據。信息系統控制與審計框架的 定製是本系統的核心模塊，詳細流程參照圖11。定製出的信息系統控制審計框架由如下幾部分組成，參照表1 表權利要求
1.一種信息系統的審計方法，其特徵在於，所述方法包括如下步驟 調查分析步驟，確定評估審計對象的範圍及業務運行情況；風險評估步驟，依據所述評估審計對象的範圍及業務運行情況，進行信息系統的風險 評估，獲取第一評估結果；控制與審計框架定製步驟，依據所述第一評估結果，定製控制與審計框架；同時生成控 制措施集合，依據所述控制措施集合，評估信息系統是否規避風險，獲取第二評估結果； 審計引擎的部署步驟，依據定製的所述控制與審計框架，確定審計引擎的部署方案； 審計策略制定步驟，根據所述審計引擎的部署方案、所述第一評估結果和第二評估結 果，為信息系統制定持續監控的審計策略；評估與度量步驟，依據所述審計策略，對信息系統進行審計；獲取並分析數據，驗證信 息系統的風險是否被有效控制，控制措施是否滿足控制目標；依據評估指標，給出信息系統 控制與審計的綜合評估結論。
2.根據權利要求1所述的審計方法，其特徵在於，該方法基於知識庫，所述知識庫包括信息系統分析評估知識庫、信息系統風險評估知 識庫和控制與審計框架知識庫；其中，所述調查分析步驟基於所述信息系統分析評估知識庫；所述風險評估步驟基於 所述信息系統風險評估知識庫；所述控制與審計框架定製步驟、審計引擎的部署步驟、審計 策略制定步驟和所述評估與度量步驟基於所述控制與審計框架知識庫。
3.根據權利要求2所述的審計方法，其特徵在於，所述控制與審計框架定製步驟中，所 述控制與審計框架的制定包括確定通過信息系統達成的企業戰略目標的步驟； 確定信息系統滿足支撐的業務目標的步驟；確定依據戰略目標和業務目標，信息系統所需達成的控制目標的步驟；確定依據現有條件對信息系統的識別出控制措施及評估控制措施有效性的結論的步驟；確定依據風險評估及控制措施評估的結論，為信息系統的持續監控審計制定審計策 略，獲取並分析數據驗證信息系統風險是否被有效控制，控制措施是否滿足控制目標的步 驟；確定對信息系統所需滿足的戰略目標和業務目標進行效果度量分析，給出信息系統控 制與審計的綜合評估結論的步驟。
4.根據權利要求3所述的審計方法，其特徵在於，所述審計引擎的部署步驟中，基於旁路方式和審計代理方式相結合的方式部署審計引擎。
5.根據權利要求4所述的審計方法，其特徵在於，所述審計策略制定步驟進一步為 將風險評估結果和控制措施評估結果轉化為監控與審計策略；將轉化後的策略發布到部署的審計引擎；審計引擎依據審計監控策略進行持續監控；如發現違背策略的事件，審計引擎將產生 報警，並標識事件的影響程度；在預定周期後，依據控制與審計框架的要求給出綜合分析結論，為控制效果的評估提供輸入數據。
6.根據權利要求5所述的審計方法，其特徵在於，所述評估與度量步驟中，所述評估指標分成戰略目標、業務目標、控制目標三級結構； 戰略目標由一個或多個業務目標組成，業務目標由一個或多個控制目標組成，控制目標由 七元組組成，包括有效性、效率、機密性、完整性、可用性、一致性和可靠性；所述綜合評估結論通過如下方式確定依據戰略目標、業務目標、控制目標三級結構進 行逐級計算、由下至上匯總分析；被評估信息系統的度量結論包含戰略目標符合度分值、 業務目標符合度分值以及控制目標符合度分值三項結果。
7.一種信息系統的審計系統，其特徵在於，包括調查分析模塊，用於確定評估審計對象的範圍及業務運行情況； 風險評估模塊，用於依據所述評估審計對象的範圍及業務運行情況，進行信息系統的 風險評估，獲取第一評估結果；控制與審計框架定製模塊，用於依據所述第一評估結果，定製控制與審計框架；同時 生成控制措施集合，依據所述控制措施集合，評估信息系統是否規避風險，獲取第二評估結 果；審計引擎的部署模塊，用於依據定製的所述控制與審計框架，確定審計引擎的部署方案；審計策略制定模塊，用於根據所述審計引擎的部署方案、所述第一評估結果和第二評 估結果，為信息系統制定持續監控的審計策略；評估與度量模塊，用於依據所述審計策略，對信息系統進行審計；獲取並分析數據，驗 證信息系統的風險是否被有效控制，控制措施是否滿足控制目標；依據評估指標，給出信息 系統控制與審計的綜合評估結論。
8.根據權利要求7所述的審計系統，其特徵在於，該系統基於知識庫，所述知識庫包括信息系統分析評估知識庫、信息系統風險評估知 識庫和控制與審計框架知識庫；其中，所述調查分析模塊基於所述信息系統分析評估知識庫；所述風險評估模塊基於 所述信息系統風險評估知識庫；所述控制與審計框架定製模塊、審計引擎的部署模塊、審計 策略制定模塊和所述評估與度量模塊基於所述控制與審計框架知識庫。
9.根據權利要求8所述的審計系統，其特徵在於，所述控制與審計框架定製模塊中，包括用於確定通過信息系統達成的企業戰略目標的單元； 用於確定信息系統滿足支撐的業務目標的單元；用於確定依據戰略目標和業務目標，信息系統所需達成的控制目標的單元； 用於確定依據現有條件對信息系統的識別出控制措施及評估控制措施有效性的結論 的單元；用於確定依據風險評估及控制措施評估的結論，為信息系統的持續監控審計制定審計 策略，獲取並分析數據驗證信息系統風險是否被有效控制，控制措施是否滿足控制目標的 單元；用於確定對信息系統所需滿足的戰略目標和業務目標進行效果度量分析，給出信息系統控制與審計的綜合評估結論的單元。
10.根據權利要求9所述的審計系統，其特徵在於，所述審計引擎的部署模塊中，基於旁路方式和審計代理方式相結合的方式部署審計引擎。
11.根據權利要求10所述的審計系統，其特徵在於，所述審計策略制定模塊進一步用於將風險評估結果和控制措施評估結果轉化為監控與審計策略；將轉化後的策略發布到 部署的審計引擎；審計引擎依據審計監控策略進行持續監控；如發現違背策略的事件，審 計引擎將產生報警，並標識事件的影響程度；在預定周期後，依據控制與審計框架的要求給 出綜合分析結論，為控制效果的評估提供輸入數據。
12.根據權利要求11所述的審計系統，其特徵在於，所述審計策略制定模塊進一步用於所述評估與度量模塊中，所述評估指標分成戰略目標、業務目標、控制目標三級結構； 戰略目標由一個或多個業務目標組成，業務目標由一個或多個控制目標組成，控制目標由 七元組組成，包括有效性、效率、機密性、完整性、可用性、一致性和可靠性；所述綜合評估結論通過如下方式確定依據戰略目標、業務目標、控制目標三級結構進 行逐級計算、由下至上匯總分析；被評估信息系統的度量結論包含戰略目標符合度分值、 業務目標符合度分值以及控制目標符合度分值三項結果。
全文摘要
本發明公開了一種信息系統的審計方法及系統。其中，該系統包括調查分析模塊、風險評估模塊、控制與審計框架定製模塊、審計引擎的部署模塊、審計策略制定模塊和評估與度量模塊。基於本發明，能夠綜合利用信息系統背景調查、信息系統分析、信息系統全生命周期風險評估和控制評估進行信息系統控制與審計框架基線的建立，部署審計引擎進行持續審計，獲取實際運行狀態信息，準確全面的評估信息系統是否滿足業務目標。
文檔編號G06Q10/00GK102063668SQ20111000252
公開日2011年5月18日 申請日期2011年1月7日 優先權日2011年1月7日
發明者俞晶晶, 劉江林, 常樂, 徐亞非, 曲明, 楊文勃, 董文英, 陳浙一 申請人:國都興業信息審計系統技術(北京)有限公司