新岳乱合集目录500伦_在教室里被强h_幸福的一家1—6小说_美女mm131爽爽爽作爱

［摘要］在分析中觀信息系統(tǒng)風(fēng)險與損失的成因基礎(chǔ)上，借鑒BS7799標(biāo)準(zhǔn)，一方面從物理層次與邏輯層次兩個方面研究中觀信息系統(tǒng)固有風(fēng)險的評價模式；另一方面從一般控制與應(yīng)用控制兩個層面探索中觀信息系統(tǒng)內(nèi)部控制的評價機(jī)制?；贐S7799標(biāo)準(zhǔn)對中觀信息系統(tǒng)審計進(jìn)行研究，旨在為IT審計師有效實(shí)施中觀信息系統(tǒng)審計提供應(yīng)用指南。
　　
　?。坳P(guān)鍵詞］BS7799標(biāo)準(zhǔn)；中觀審計；信息系統(tǒng)審計；內(nèi)部控制；中觀信息系統(tǒng)；中觀信息系統(tǒng)風(fēng)險
　　
　　［中圖分類號］F239.4［文獻(xiàn)標(biāo)識碼］A［文章編號］10044833(2012)03005007
　　
　　
　　所謂中觀信息系統(tǒng)審計就是指審計主體依據(jù)特定的規(guī)范，運(yùn)用科學(xué)系統(tǒng)的程序方法，對中觀信息系統(tǒng)網(wǎng)絡(luò)的運(yùn)行規(guī)程與應(yīng)用政策實(shí)施的一種監(jiān)督活動，旨在增強(qiáng)中觀經(jīng)濟(jì)主體特定信息網(wǎng)絡(luò)的有效性、安全性、機(jī)密性與一致性，以保障中觀信息系統(tǒng)的高效運(yùn)行［1］。中觀信息系統(tǒng)的審計主體即IT審計師需要重視中觀信息系統(tǒng)審計的復(fù)雜性，且有必要借助BS7799標(biāo)準(zhǔn)，構(gòu)建并完善中觀信息系統(tǒng)審計的實(shí)施流程，優(yōu)化中觀信息系統(tǒng)審計工作，提高審計質(zhì)量。之所以需要借助BS7799標(biāo)準(zhǔn)，是因為BS7799標(biāo)準(zhǔn)的眾多功能可以滿足中觀信息系統(tǒng)審計工作的需求。在尚未有詳細(xì)信息系統(tǒng)審計（以下簡稱“IS審計”）規(guī)范的條件下，中觀信息系統(tǒng)審計對信息安全管理策略的需求巨大，而BS7799標(biāo)準(zhǔn)恰恰是問世較早且相對成熟的信息安全管理標(biāo)準(zhǔn)，它能夠確保在計算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行自動通信、信息處理和利用時，在各個物理位置、邏輯區(qū)域、存儲和傳媒介質(zhì)中，較好地實(shí)現(xiàn)保密性、完整性、有效性與可用性，能夠在信息管理與計算機(jī)科學(xué)兩個層面加強(qiáng)信息安全管理向中觀信息系統(tǒng)審計的理論轉(zhuǎn)化，中觀信息系統(tǒng)審計的需求與BS7799標(biāo)準(zhǔn)的功能具備整合的可行性。
　　
　　
　　一、 BS7799標(biāo)準(zhǔn)
　　
　　1995年，英國貿(mào)工部制定了世界首部信息安全管理體系標(biāo)準(zhǔn)“BS77991：1995《信息安全管理實(shí)施規(guī)則》”，并作為各類組織實(shí)施信息安全管理的指南［2］，由于該標(biāo)準(zhǔn)采用建議和指導(dǎo)的方式編寫，因而不作為認(rèn)證標(biāo)準(zhǔn)使用；1998年，英國又制定了信息安全管理體系認(rèn)證標(biāo)準(zhǔn)“BS77992：1998《信息安全管理體系規(guī)范》”，作為對組織信息安全管理體系進(jìn)行評審認(rèn)證的標(biāo)準(zhǔn)［3］；1999年，英國再次對信息安全管理體系標(biāo)準(zhǔn)進(jìn)行了修訂，形成“BS77991：1999”與“BS77992：1999”這一對配套標(biāo)準(zhǔn)；2000年12月，“BS77991：1999”被ISO/IEC正式采納為國際標(biāo)準(zhǔn)“ISO/IEC17799：2000《信息技術(shù)：信息安全管理實(shí)施規(guī)則》”，此外，“BS77992：1999”也于2002年底被ISO/IEC作為藍(lán)本修訂，成為可用于認(rèn)證的“ISO/IEC《信息安全管理體系規(guī)范》”；2005年，BS77991與BS77992再次改版，使得體系更為完善。BS7799標(biāo)準(zhǔn)體系包含10個管理要項、36個管理目標(biāo)、127個控制目標(biāo)及500多個管理要點(diǎn)。管理要項如今已成為組織實(shí)施信息安全管理的實(shí)用指南；安全控制目標(biāo)能夠幫助組織識別運(yùn)作過程中影響信息安全的因素。BS77991幾乎涵蓋了所有的安全議題，它主要告訴IT審計師安全管理的注意事項與安全制度。BS77992詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理的要求，指出組織在實(shí)施過程中需要遵循的風(fēng)險評估等級，從而識別最應(yīng)該控制的對象并對自身需求進(jìn)行適當(dāng)控制。BS77991為信息系統(tǒng)提供了通用的控制措施，BS77992則為BS77991的具體實(shí)施提供了應(yīng)用指南。
　　
　　國外相對成熟的信息安全管理理論較多，它們各有千秋，彼此之間相互補(bǔ)充且有交叉。BS7799標(biāo)準(zhǔn)僅是眾多信息安全管理理論中的一種，與傳統(tǒng)審計方法相比，僅適用于IS審計范疇。然而，BS7799標(biāo)準(zhǔn)的特別之處表現(xiàn)在：其一，它是一部通用的信息安全管理指南，呈現(xiàn)了較為全面的系統(tǒng)安全控制措施，闡述了安全策略和優(yōu)秀的、具有普遍意義的安全操作方法，能夠為IT審計師開展審計工作提供全程支持；其二，它遵循“計劃-行動-控制-改善方案”的風(fēng)險管理思想，首先幫助IT審計師規(guī)劃信息安全審計的方針和范圍，其次在審計風(fēng)險評估的基礎(chǔ)上選擇適當(dāng)?shù)膶徲嫹椒帮L(fēng)險控制策略并予以實(shí)施，制定持續(xù)性管理規(guī)劃，建立并運(yùn)行科學(xué)的中觀信息系統(tǒng)審計執(zhí)行體系。
　　
　　
　　二、 中觀信息系統(tǒng)的風(fēng)險與損失
　　
　　中觀信息系統(tǒng)風(fēng)險是指成功利用中觀信息系統(tǒng)的脆弱性或漏洞，并造成系統(tǒng)損害的可能性。中觀信息系統(tǒng)風(fēng)險極其龐雜且非常普遍，每個中觀信息系統(tǒng)面臨的風(fēng)險都是不同的，這種風(fēng)險可能是單一的，也可能是組合的［4］。中觀信息系統(tǒng)風(fēng)險包括：人員風(fēng)險、組織風(fēng)險、物理環(huán)境風(fēng)險、信息機(jī)密性風(fēng)險、信息完整性風(fēng)險、系統(tǒng)風(fēng)險、通信操作風(fēng)險、設(shè)施風(fēng)險、業(yè)務(wù)連續(xù)性風(fēng)險、法律風(fēng)險及黏合風(fēng)險（見圖1），它們共同構(gòu)成了中觀信息系統(tǒng)的風(fēng)險體系，各種風(fēng)險除具有各自的特性外，有時還可能相互作用。
　　
　　中觀信息系統(tǒng)風(fēng)險的成因離不開外來威脅與系統(tǒng)自身的脆弱性，且風(fēng)險的最終后果就是損失。圖1中的“a.威脅性”是系統(tǒng)的“風(fēng)險源”，它是由于未授權(quán)訪問、毀壞、數(shù)據(jù)修改以及拒絕服務(wù)等給系統(tǒng)造成潛在危害的任何事件。中觀信息系統(tǒng)的威脅來自于人為因素及非人為因素兩個方面。人為因素是對中觀信息系統(tǒng)造成威脅的決定性力量，人為因素造成威脅的主體有競爭對手、網(wǎng)絡(luò)黑客、不滿員工或正常員工。圖1中的“b.脆弱性”是指在系統(tǒng)安全程序、管理控制、物理設(shè)計中存在的、可能被攻擊者利用來獲得未授權(quán)信息或破壞關(guān)鍵處理的弱點(diǎn)，由物理環(huán)境、技術(shù)問題、管理問題、法律問題四個方面組成。圖1中的“d.風(fēng)險承受力”是指在中觀信息系統(tǒng)遭遇風(fēng)險或受到攻擊時，維持業(yè)務(wù)運(yùn)行最基本的服務(wù)和保護(hù)信息資產(chǎn)的抵抗力、識別力、恢復(fù)力和自適應(yīng)能力。
　　
　　中觀信息系統(tǒng)風(fēng)險的產(chǎn)生有兩種方式：一是遵循“a→b→c”路徑，這條路徑形成的風(fēng)險為中觀信息系統(tǒng)“固有風(fēng)險”，即假定中觀信息系統(tǒng)中不存在內(nèi)部控制制度，從而造成系統(tǒng)存在嚴(yán)重錯誤與不法行為的可能性。該路徑的作用形式為人為因素或非人為因素是風(fēng)險源，對中觀信息系統(tǒng)構(gòu)成威脅，該威脅產(chǎn)生后尋找并利用系統(tǒng)的脆弱點(diǎn)（假定中觀信息系統(tǒng)對該脆弱點(diǎn)沒有設(shè)計內(nèi)控制度），當(dāng)威脅成功作用于脆弱點(diǎn)后，就對系統(tǒng)進(jìn)行有效攻擊，進(jìn)而產(chǎn)生中觀信息系統(tǒng)風(fēng)險。二是遵循“a→b→P→c”路徑，該路徑所形成的風(fēng)險為中觀信息系統(tǒng)的“控制風(fēng)險”，即內(nèi)部控制制度體系未能及時預(yù)防或發(fā)現(xiàn)系統(tǒng)中的某些錯誤或不法行為，以致中觀信息系統(tǒng)遭受損失的可能性。與“a→b→c”路徑比較，該路徑多出“P.內(nèi)部控制”過程，這說明當(dāng)威脅已產(chǎn)生并將利用系統(tǒng)的脆弱點(diǎn)時，中觀經(jīng)濟(jì)主體已經(jīng)對該脆弱點(diǎn)設(shè)計了內(nèi)控制度體系，但是由于內(nèi)部控制制度設(shè)計的不科學(xué)、不完善或沒有得到有效執(zhí)行，從而造成內(nèi)部控制未能阻止“威脅”，致使中觀信息系統(tǒng)形成風(fēng)險。中觀信息系統(tǒng)損失的形成遵循“c→d→e”路徑。然而，由于中觀信息系統(tǒng)自身具有一定的風(fēng)險防御能力（即“d.風(fēng)險承受力”），因而并非所有風(fēng)險都將造成損失。當(dāng)中觀信息系統(tǒng)識別并抵抗部分風(fēng)險后，最終未能消除的風(fēng)險通過對系統(tǒng)的負(fù)面作用，會給中觀信息系統(tǒng)造成間接或直接的損失。







　　
　　
　　三、 中觀信息系統(tǒng)固有風(fēng)險的評價模式
　　
　　圖1中的“a→b→c”路徑是中觀信息系統(tǒng)固有風(fēng)險產(chǎn)生的路徑，固有風(fēng)險形成的條件是“假定不存在內(nèi)部控制制度”。評價固有風(fēng)險是中觀信息系統(tǒng)審計準(zhǔn)備階段的一項基礎(chǔ)工作，只有正確評價固有風(fēng)險，才能合理評估審計風(fēng)險，準(zhǔn)確確定審計范圍并制定審計計劃［56］。筆者認(rèn)為，BS7799標(biāo)準(zhǔn)之所以能夠有效評價中觀信息系統(tǒng)的固有風(fēng)險，是因為BS7799標(biāo)準(zhǔn)的管理要項、管理目標(biāo)，控制措施與管理要點(diǎn)組成了信息安全管理體系，這個體系為IT審計師確定與評價系統(tǒng)固有風(fēng)險提供了指南［7］。BS7799標(biāo)準(zhǔn)對IT審計師評價固有風(fēng)險的貢獻(xiàn)見上表1。
　　
　　(一) 物理層次的風(fēng)險評價
　　
　　物理層次的內(nèi)容包括物理環(huán)境安全與物理環(huán)境設(shè)備［7］，其中，物理環(huán)境安全包括硬件接觸控制、預(yù)防災(zāi)難措施和網(wǎng)絡(luò)環(huán)境安全；物理環(huán)境設(shè)備包括支持設(shè)施、硬件設(shè)備和網(wǎng)絡(luò)物理環(huán)境。針對上述分類，下面對物理層次風(fēng)險評價進(jìn)行具體分析。
　　
　　首先是物理環(huán)境安全風(fēng)險評價。在評價物理環(huán)境安全風(fēng)險時，可以借鑒BS7799標(biāo)準(zhǔn)A、B、D1、D3、E、G8、H5、I、J。例如，IT審計師在了解被審中觀信息系統(tǒng)的“預(yù)防災(zāi)難措施”時，可參照“A.安全方針”，依據(jù)BS7799對“安全方針”進(jìn)行闡述，了解被審系統(tǒng)的“信息安全方針”，關(guān)注被審系統(tǒng)在相關(guān)的“方針與策略”中是否估計到了系統(tǒng)可能遭遇的所有內(nèi)外部威脅；當(dāng)威脅發(fā)生時，是否有具體的安全保護(hù)規(guī)定及明確的預(yù)防措施；對于方針的執(zhí)行，是否對每位員工都有所要求。假若IT審計師在審計中未找到被審系統(tǒng)的“安全方針”，或找到了但“安全方針”并未涉及有關(guān)“災(zāi)難預(yù)防”方面的安全措施，則IT審計師可直接認(rèn)定被審系統(tǒng)在這方面存在固有風(fēng)險。其次，物理環(huán)境設(shè)備風(fēng)險評價。在評價物理環(huán)境設(shè)備風(fēng)險時，可以借鑒BS7799標(biāo)準(zhǔn)A、B、C1、D、E2、E3、F6、G3、G8、H5、I、J。例如，IT審計師在了解被審系統(tǒng)有關(guān)“硬件設(shè)備”的情況時，可參照“C1.資產(chǎn)責(zé)任”。BS7799標(biāo)準(zhǔn)對“資產(chǎn)責(zé)任”的說明有“組織可根據(jù)運(yùn)作流程與系統(tǒng)結(jié)構(gòu)識別資產(chǎn)，列出清單”，“組織的管理者應(yīng)該確定專人負(fù)責(zé)相關(guān)資產(chǎn)，防止資產(chǎn)的被盜、丟失與濫用”。借鑒C1的信息安全管理目標(biāo)與措施，IT審計師可以關(guān)注被審單位是否列出了系統(tǒng)硬件設(shè)備的清單，是否有專人對資產(chǎn)負(fù)責(zé)。如果相關(guān)方面的管理完備，則說明“硬件設(shè)備”在責(zé)任方面不存在固有風(fēng)險，IT審計師也不需要再對此方面的固有風(fēng)險進(jìn)行評價。再如，IT審計師在確認(rèn)“硬件設(shè)備”方面的固有風(fēng)險時，還可參照“E3.通用控制”。BS7799標(biāo)準(zhǔn)對“通用控制”的說明有“定期進(jìn)行資產(chǎn)清查”，“未經(jīng)授權(quán)，資產(chǎn)不能隨便遷移”等。借鑒這一措施，IT審計師需要了解被審系統(tǒng)的有關(guān)資產(chǎn)清查記錄以及資產(chǎn)轉(zhuǎn)移登記手續(xù)，如果相關(guān)記錄不完整或手續(xù)不完備，則IT審計師可直接認(rèn)定“硬件設(shè)備”在控制方面存在固有風(fēng)險。
　　
　　(二) 邏輯層次的風(fēng)險評價
　　
　　邏輯層次的內(nèi)容包括軟件環(huán)境、系統(tǒng)生命周期和邏輯安全［7］。其中，軟件環(huán)境包括系統(tǒng)軟件、網(wǎng)絡(luò)軟件與應(yīng)用軟件；系統(tǒng)生命周期包括系統(tǒng)規(guī)劃、分析、設(shè)計、編碼、測試、試運(yùn)行以及維護(hù)；邏輯安全包括軟件與數(shù)據(jù)接觸、數(shù)據(jù)加密機(jī)制、數(shù)據(jù)完整性、入侵檢測、病毒與惡意代碼以及防火墻。針對以上分類，下面對邏輯層次風(fēng)險評價進(jìn)行具體分析。
　　
　　首先是軟件環(huán)境風(fēng)險評價。在評價軟件環(huán)境風(fēng)險時可以借鑒BS7799標(biāo)準(zhǔn)A、B、C1、D、E1、E3、F、G、H、I、J。例如，IT審計師在掌握被審系統(tǒng)有關(guān)“網(wǎng)絡(luò)軟件”的情況時，可借鑒“G2.用戶訪問管理”標(biāo)準(zhǔn)。BS7799對該標(biāo)準(zhǔn)的闡述包括“建立用戶登記過程，對用戶訪問實(shí)施授權(quán)”，“對特權(quán)實(shí)行嚴(yán)格管理”，“對用戶口令進(jìn)行嚴(yán)格管理”等。借鑒G2下相關(guān)信息安全管理措施，IT審計師可以詳細(xì)核查被審網(wǎng)絡(luò)軟件是否建立了用戶注冊與登記過程、被審軟件的特權(quán)管理是否嚴(yán)格、是否要求用戶秘密保守口令。假若IT審計師發(fā)現(xiàn)用戶并未得到訪問網(wǎng)絡(luò)軟件的權(quán)限卻可以輕易訪問網(wǎng)絡(luò)軟件，則該軟件必然存在風(fēng)險，IT審計師就可通過與BS7799標(biāo)準(zhǔn)比照并發(fā)表評價結(jié)論。又如，IT審計師在評價“系統(tǒng)軟件”固有風(fēng)險時，可借鑒“G5.系統(tǒng)訪問與使用的監(jiān)控”標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)的闡述有“使用終端安全登陸程序來訪問信息服務(wù)”，“對高風(fēng)險的不活動終端采取時限措施”。IT審計師在評價“系統(tǒng)軟件”自身風(fēng)險時，可套用上述安全措施，逐項分析被審系統(tǒng)軟件是否完全達(dá)到上述標(biāo)準(zhǔn)并作出合理的風(fēng)險評價。其次是系統(tǒng)生命周期的風(fēng)險評價。在評價系統(tǒng)生命周期風(fēng)險時，可借鑒BS7799標(biāo)準(zhǔn)A、B、D1、D3、E、F1、F2、F3、F4、F6、F7、G、H、I、J。如IT審計師在檢查被審系統(tǒng)的“系統(tǒng)設(shè)計”時，可參照“H1.系統(tǒng)安全要求”。H1的解釋為“系統(tǒng)設(shè)計階段應(yīng)該充分考慮系統(tǒng)安全性，組織在項目開始階段需要識別所有的安全要求，并將其作為系統(tǒng)設(shè)計開發(fā)不可或缺的一部分進(jìn)行調(diào)整與確認(rèn)”。因而，IT審計師在檢查系統(tǒng)設(shè)計有關(guān)資料時，需要分析被審單位是否把上述解釋融入系統(tǒng)設(shè)計中，或是否全面、有效地融入設(shè)計過程，如果被審單位考慮了諸因素，IT審計師就可以確認(rèn)被審系統(tǒng)的設(shè)計環(huán)節(jié)在此方面不存在風(fēng)險。假若IT審計師發(fā)現(xiàn)在系統(tǒng)設(shè)計階段被審單位沒有考慮到需要“引入控制”，且在系統(tǒng)運(yùn)營期間對系統(tǒng)的“控制”也不夠重視，則IT審計師可以作出系統(tǒng)自身安全及系統(tǒng)設(shè)計開發(fā)過程存在風(fēng)險的結(jié)論。第三是邏輯安全的風(fēng)險評價。在評價邏輯安全風(fēng)險時，可以借鑒BS7799標(biāo)準(zhǔn)A、B、C2、D、E1、E3、F、G1、G2、G4、G5、G6、G7、G8、H、I、J。IT審計師在檢查被審系統(tǒng)的“病毒與惡意代碼”時，可借鑒“G4.網(wǎng)絡(luò)訪問控制”。BS7799對該標(biāo)準(zhǔn)的闡述有“建立并實(shí)施網(wǎng)絡(luò)用戶服務(wù)使用方針”，“從用戶終端到網(wǎng)絡(luò)服務(wù)的路徑必須受到控制”以及“對外部鏈接的用戶進(jìn)行身份鑒別”等。IT審計師在審計過程中，應(yīng)該關(guān)注被審系統(tǒng)在上述方面的執(zhí)行思路與執(zhí)行程度，假若被審單位對上述方面缺乏重視，則惡意用戶未經(jīng)授權(quán)或未受限制就能輕易訪問系統(tǒng)，系統(tǒng)遭受病毒或惡意代碼損害的風(fēng)險會相應(yīng)加大。再如，IT審計師在評價系統(tǒng)“數(shù)據(jù)完整性”的風(fēng)險時，可借鑒“F1.操作程序與職責(zé)”。該標(biāo)準(zhǔn)的描述有“在執(zhí)行作業(yè)的過程中，提供差錯處理及例外情況的指導(dǎo)”，“進(jìn)行職責(zé)分離，減少出現(xiàn)非授權(quán)更改與數(shù)據(jù)信息濫用的機(jī)會”等。結(jié)合上述措施，IT審計師應(yīng)該關(guān)注被審單位是否通過外鍵、約束、規(guī)則等方式保障數(shù)據(jù)的完整性，如果被審單位沒有按照上述方法操作，則被審系統(tǒng)將會在“數(shù)據(jù)完整性”方面存在風(fēng)險。
　　
　　需要強(qiáng)調(diào)的是中觀信息系統(tǒng)固有風(fēng)險的評價較為復(fù)雜。在理論研究中，本文僅選取BS7799的某些標(biāo)準(zhǔn)舉例進(jìn)行闡述，但在實(shí)踐中，IT審計師不應(yīng)只借鑒BS7799標(biāo)準(zhǔn)的單個或部分標(biāo)準(zhǔn)，就做出某方面存在“固有風(fēng)險”的結(jié)論。如僅從C1看，“硬件設(shè)備”無固有風(fēng)險，但從E3看，“硬件設(shè)備”確實(shí)存在固有風(fēng)險。鑒于此，IT審計師應(yīng)由“點(diǎn)”及“面”，全面借鑒BS7799標(biāo)準(zhǔn)的整個體系。只有如此，才能更科學(xué)具體地進(jìn)行物理及邏輯層次的風(fēng)險評價。
　　
　　
　　四、 中觀信息系統(tǒng)內(nèi)部控制的評價機(jī)制
　　
　　圖1中的“a→b→P→c”路徑是中觀信息系統(tǒng)控制風(fēng)險產(chǎn)生的路徑，控制風(fēng)險的形成條件是“假定存在內(nèi)部控制制度，但是內(nèi)控制度不科學(xué)、不健全或執(zhí)行不到位”，產(chǎn)生控制風(fēng)險最主要的原因是內(nèi)部控制機(jī)制失效，即“P”過程出現(xiàn)問題。評價內(nèi)部控制是IT審計師防范審計風(fēng)險的關(guān)鍵，也是中觀信息系統(tǒng)審計實(shí)施階段的一項重要工作。然而，當(dāng)前我國信息系統(tǒng)審計方面的標(biāo)準(zhǔn)與規(guī)范僅有四項，因而IT審計師對信息系統(tǒng)內(nèi)部控制的評價還處于摸索階段，急需詳細(xì)的流程與規(guī)范進(jìn)行指導(dǎo)。筆者認(rèn)為，BS77991《信息安全管理實(shí)施細(xì)則》與BS77992《信息安全管理體系規(guī)范》能夠為IT審計師評價中觀信息系統(tǒng)的內(nèi)部控制提供思路。BS7799是一套完備的信息安全管理體系，IT審計師完全可以借鑒其體系與框架來設(shè)計中觀信息系統(tǒng)內(nèi)部控制評價流程，構(gòu)建適用于中觀信息系統(tǒng)的審計流程。BS7799標(biāo)準(zhǔn)的具體借鑒思路見表1，具體闡述如下。







　　
　　(一) 一般控制的評價
　　
　　1. 組織管理的內(nèi)部控制評價
　　
　　在評價組織管理的內(nèi)控時，可借鑒BS7799標(biāo)準(zhǔn)A、B、C1、D1、D3、E、F、G、H、I、J。IT審計師可將BS7799標(biāo)準(zhǔn)體系作為信息系統(tǒng)組織管理內(nèi)部控制的衡量標(biāo)準(zhǔn)，并以此確認(rèn)被審系統(tǒng)組織管理內(nèi)控制度的科學(xué)性與健全性。假若某中觀經(jīng)濟(jì)主體將信息系統(tǒng)的部分管理活動外包，則IT審計師可借鑒BS7799中的“B3.外包控制”標(biāo)準(zhǔn)，檢查外包合同的全面性與合理性。如果被審單位在外包合同中規(guī)定了信息系統(tǒng)的風(fēng)險、承包主客體各自的系統(tǒng)安全控制程序，并明確規(guī)定了“哪些措施必須到位，以保證涉及外包的所有各方關(guān)注各自的安全責(zé)任”，“哪些措施用以確定與檢測信息資產(chǎn)的完整性和保密性”，“采取哪些實(shí)物的和邏輯的控制以限制和限定授權(quán)用戶對系統(tǒng)敏感信息的訪問”以及“發(fā)生災(zāi)難時，采用怎樣的策略來維持服務(wù)可用性”，則IT審計師就可確認(rèn)被審系統(tǒng)在外包方面的控制設(shè)計具有科學(xué)性與全面性，只需再對外包控制條款的執(zhí)行效果進(jìn)行評價就可以得出對被審單位外包活動評價的整體結(jié)論。
　　
　　2. 數(shù)據(jù)資源管理的內(nèi)部控制評價
　　
　　在評價數(shù)據(jù)資源管理的內(nèi)控時，可以借鑒BS7799標(biāo)準(zhǔn)A、B、C、D、E1、E3、F、G、H、I、J。信息系統(tǒng)數(shù)據(jù)包括數(shù)據(jù)字典、權(quán)限設(shè)置、存儲分配、網(wǎng)絡(luò)地址、硬件配置與系統(tǒng)配置參數(shù)，系統(tǒng)數(shù)據(jù)資源管理有數(shù)據(jù)存放、備份、恢復(fù)等，內(nèi)容相對復(fù)雜。IT審計師在評價數(shù)據(jù)資源管理的內(nèi)部控制時，也需要借鑒BS7799標(biāo)準(zhǔn)體系。例如，IT審計師可借鑒“F1.操作程序與職責(zé)”或“G6.應(yīng)用訪問控制”評價數(shù)據(jù)資源管理。F1與G6的闡述有“識別和記錄重要數(shù)據(jù)的更改”、“對數(shù)據(jù)更改的潛在影響作出評估”、“向所有相關(guān)人員傳達(dá)更改數(shù)據(jù)的細(xì)節(jié)”、“數(shù)據(jù)更改不成功的恢復(fù)措施”、“控制用戶的數(shù)據(jù)訪問權(quán)，如對讀、寫、刪除等進(jìn)行限制”、“在系統(tǒng)共享中，對敏感的數(shù)據(jù)實(shí)施高級別的保護(hù)”。IT審計師在審計時，有必要根據(jù)上述思路對系統(tǒng)數(shù)據(jù)管理的控制制度進(jìn)行深層次評價。在當(dāng)前缺乏信息系統(tǒng)審計規(guī)范的情況下，以BS7799體系作為評價數(shù)據(jù)資源管理內(nèi)部控制的指南，不失為一種好的審計策略。
　　
　　3. 環(huán)境安全管理的內(nèi)部控制評價
　　
　　在評價環(huán)境安全管理的內(nèi)控時可以借鑒BS7799標(biāo)準(zhǔn)A、B、C1、D、E、F、G、H、I、J。信息系統(tǒng)的環(huán)境安全管理包括物理環(huán)境安全管理與軟件環(huán)境安全管理，系統(tǒng)環(huán)境是否安全決定著危險因素對脆弱性的攻擊程度，進(jìn)而決定著信息系統(tǒng)風(fēng)險。IT審計師在審計系統(tǒng)環(huán)境的安全管理過程時，需要關(guān)注設(shè)備、網(wǎng)絡(luò)、軟件以及硬件等方面。在評價系統(tǒng)環(huán)境安全管理的內(nèi)部控制時，IT審計師有必要借助上述BS7799標(biāo)準(zhǔn)體系。例如，BS7799的“E1.安全區(qū)域”標(biāo)準(zhǔn)與“E2.設(shè)備安全”標(biāo)準(zhǔn)的解釋有“信息處理設(shè)施可能受到非法物理訪問、盜竊、泄密等威脅，通過建立安全區(qū)域、嚴(yán)格進(jìn)入控制等控制措施對重要的系統(tǒng)設(shè)施進(jìn)行全面保護(hù)”，“應(yīng)該對信息處理設(shè)施運(yùn)作產(chǎn)生不良影響的環(huán)境條件加以監(jiān)控，如，濕度與溫度的影響”。類似上述的BS7799系列標(biāo)準(zhǔn)都為IT審計師如何確認(rèn)環(huán)境安全管理的內(nèi)控提供了審計指導(dǎo)，且其指導(dǎo)思路清晰、全面。IT審計師通過借鑒BS7799系列標(biāo)準(zhǔn)，可以深層次挖掘系統(tǒng)環(huán)境安全管理規(guī)章制度中存在的疏漏以及執(zhí)行中存在的問題，從而有效評判環(huán)境安全管理的控制風(fēng)險。
　　
　　4. 系統(tǒng)運(yùn)行管理的內(nèi)部控制評價
　　
　　在評價系統(tǒng)運(yùn)行管理的內(nèi)控時，可以借鑒BS7799標(biāo)準(zhǔn)A、B、C1、D、E1、E3、F、G、H、I、J。中觀經(jīng)濟(jì)主體對運(yùn)行系統(tǒng)的管理相對復(fù)雜，涉及到系統(tǒng)組織、系統(tǒng)維護(hù)、系統(tǒng)完善等多個方面。由于系統(tǒng)運(yùn)行中需要管理的環(huán)節(jié)繁多，而且目前也沒有規(guī)范與流程可以參考，因而，評價系統(tǒng)運(yùn)行管理的內(nèi)控也有必要借鑒上述BS7799標(biāo)準(zhǔn)體系。例如，BS7799標(biāo)準(zhǔn)“D2.設(shè)備安全”與“H5.開發(fā)與支持過程中的安全”的闡述有“信息系統(tǒng)操作者需要接受安全意識培訓(xùn)，熟悉與系統(tǒng)運(yùn)行相關(guān)的安全職責(zé)、安全程序與故障制度”，“系統(tǒng)運(yùn)行中，建立并實(shí)施更改控制程序”以及“對操作系統(tǒng)的更改進(jìn)行技術(shù)評審”等方面。IT審計師采用詢問、觀察、檢查、穿行測試等方法評審系統(tǒng)運(yùn)行管理的內(nèi)部控制，需要有上述明細(xì)的、清晰的信息安全管理規(guī)則予以指導(dǎo)，這些標(biāo)準(zhǔn)可以指導(dǎo)IT審計師了解被審系統(tǒng)是否有健全的運(yùn)行管理規(guī)范及是否得到有效運(yùn)行，借此，IT審計師可以作出全面的內(nèi)控判斷，進(jìn)而出具正確的審計結(jié)論。
　　
　　(二) 應(yīng)用控制的評價
　　
　　信息系統(tǒng)的應(yīng)用控制包括輸入控制、處理控制與輸出控制。在評價系統(tǒng)輸入控制、處理控制以及輸出控制三者的內(nèi)控時，同樣有必要借鑒BS7799標(biāo)準(zhǔn)，且BS7799標(biāo)準(zhǔn)中A、B、D、E1、E3、F1、F2、F3、F4、F5、F7、G1、G2、G4、G5、G6、G7、G8、H、I、J相對應(yīng)的信息安全管理目標(biāo)與措施能夠在IT審計師對三者進(jìn)行內(nèi)控評價時提供相對詳盡的審計框架。為確保信息系統(tǒng)輸入、處理與輸出的信息完整、正確，中觀經(jīng)濟(jì)主體需要加強(qiáng)對信息系統(tǒng)的應(yīng)用控制。IT審計師在中觀信息系統(tǒng)審計的過程中，需要做到對被審系統(tǒng)應(yīng)用控制進(jìn)行正確評價。
　　
　　在IT審計師對應(yīng)用控制的符合性測試過程中，上述BS7799標(biāo)準(zhǔn)體系可以對應(yīng)用控制評價進(jìn)行全程指導(dǎo)。例如，BS7799標(biāo)準(zhǔn)中“H2.應(yīng)用系統(tǒng)的安全”提到“數(shù)據(jù)輸入的錯誤，可以通過雙重輸入或其他輸入檢查偵測，建立用于響應(yīng)輸入錯誤的程序”，“已正確輸入的數(shù)據(jù)可因處理錯誤或故意行為而被破壞，系統(tǒng)應(yīng)有確認(rèn)檢查功能以探測數(shù)據(jù)的破壞”，“為確保所存儲的信息相對于各種情況的處理是正確而恰當(dāng)?shù)?，來自?yīng)用系統(tǒng)的輸出數(shù)據(jù)應(yīng)該得到確認(rèn)”等控制策略，并提出了相對詳細(xì)的控制措施。應(yīng)用控制環(huán)節(jié)是信息處理的脆弱集結(jié)點(diǎn)，IT審計師在進(jìn)行應(yīng)用控制的符合性測試環(huán)節(jié)時有必要考慮周全，詳盡規(guī)劃。IT審計師可以遵循H2全面實(shí)施針對應(yīng)用控制的審計，依照BS7799標(biāo)準(zhǔn)體系，檢查被審系統(tǒng)對于超范圍數(shù)值、數(shù)據(jù)區(qū)中的無效字符、丟失的數(shù)據(jù)、未經(jīng)認(rèn)可的控制數(shù)據(jù)等系統(tǒng)輸入問題的控制措施以及應(yīng)急處理能力；檢查是否對系統(tǒng)產(chǎn)生的數(shù)據(jù)進(jìn)行了確認(rèn)，系統(tǒng)的批處理控制措施、平衡控制措施等，以及相關(guān)控制行為的執(zhí)行力度；檢查信息輸出是否實(shí)施了可信性檢查、一致性控制等措施，如果有相關(guān)措施，那么執(zhí)行力度如何。BS7799標(biāo)準(zhǔn)體系較為全面，對于IT審計師評價系統(tǒng)的應(yīng)用控制貢獻(xiàn)很大，如果IT審計師能夠創(chuàng)造性借鑒該標(biāo)準(zhǔn)，必可做好符合性測試，為實(shí)質(zhì)性測試夯實(shí)基礎(chǔ)，也定會提高審計質(zhì)量。
　　
　　
　　五、 結(jié)束語
　　
　　表1是筆者在分析某商業(yè)銀行信息系統(tǒng)與某區(qū)域物流信息系統(tǒng)的基礎(chǔ)上，對“BS7799標(biāo)準(zhǔn)如何應(yīng)用于信息系統(tǒng)審計”所進(jìn)行的設(shè)計，當(dāng)針對其他行業(yè)時，或許需要對表1進(jìn)行適當(dāng)調(diào)整。不同行業(yè)、不同特性的中觀經(jīng)濟(jì)主體在信息系統(tǒng)審計中運(yùn)用BS7799標(biāo)準(zhǔn)時側(cè)重點(diǎn)會有所不同。本文以分析中觀信息系統(tǒng)風(fēng)險為著手點(diǎn)，沿用BS7799標(biāo)準(zhǔn)對中觀信息系統(tǒng)審計進(jìn)行研究，旨在拋磚引玉。