利用信息系统审计建立我国网络安全的第三道防线

自上世纪六十年代开始，信息技术发展较早的西方国家和地区，就已经开始信息系统审计工作。如美国自1964年开始，就对其联邦政府机构和企业开展了信息系统审计工作，并逐渐形成了法规、标准和操作指南

自上世纪六十年代开始，信息技术发展较早的西方国家和地区，就已经开始信息系统审计工作。如美国自1964年开始，就对其联邦政府机构和企业开展了信息系统审计工作，并逐渐形成了法规、标准和操作指南。1977年美国信息系统审计与控制协会（ISACA）发布了《信息技术控制目标》（COBIT，其5.0版本于2013年发布，名称随之改为“企业IT管理框架”），被普遍用于信息系统审计的依据。2002年美国审计署（GAO）发布了《联邦信息系统控制审计手册》（FISCAM），要求联邦政府各部门据此开展信息系统审计。随着2002年美国萨班斯法案的推出，美国逐渐将信息系统审计作为一种信息安全控制的手段，通过ISACA、“四大会计师事务所”等在全球推行。2000年前后，信息系统审计逐渐进入我国。

一、信息系统审计在网络安全保障工作中的位置

在一个组织环境中，信息系统审计与网络安全和传统财务审计之间的关系如下图所示：

网络安全工作包含着信息系统审计。美国ISACA对信息系统审计的定义是：“信息系统审计是获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源实现组织目标的过程”。从审计工作实践上看，信息系统审计包括了网络安全工作的保密性、完整性和可用性等方面内容。

    传统财务审计中，一方面需要信息系统审计的支持，以判断支持组织业务和财务工作的IT系统是否安全有效；另一方面，还需要计算机技术的支持，以高效地获取、分析和验证从IT系统输出的财务数据的准确性，这一部分称为计算机辅助审计。

网络安全、信息系统审计和计算机辅助审计，其所需知识和技术属于IT范畴；财务审计属于财务和经济范畴；虽然都叫“审计”，但是两种不同类型的工作。 

二、利用信息系统审计建立网络安全的第三道防线

根据国际标准ISO/IEC27001信息安全管理体系要求，网络安全保障工作看做是可持续改进的“PDCA循环”（如下图），其中P（PLAN）是规划和建设；D（DO）是实施和运行；C（CHECK）是监督和检查；A（ACT）是保持和改进。

回顾十几年来我国信息安全保障工作，普遍重视了P和D两个阶段，通常是采购信息安全产品，以建设和运行维护为主；而忽视了C和A阶段，即监督检查和持续改进，尤其是独立于IT部门的监督检查。从而未能将其形成一个有效的、可持续改进的闭环。

信息系统审计是C阶段监督检查的主要手段，审计结论是D阶段的输入。它应独立于IT部门，利用传统财务审计和稽核工作的规范与严谨，结合信息和保密技术的工具与手段，对网络安全和信息化工作的成效和不足给出客观、确定的审计结论，并根据审计结果，提出改进措施。

职责分离是网络安全保障工作中的重要原则。一个组织要想实现真正的网络安全，就应该在组织内部构造三支对网络安全承担不同职责的团队，相互协调配合，分工合作，并通过独立、有效的审计，提高组织的网络安全水平和能力。这三支团队可称为“三道防线”，如下图： 

“一道防线”：组织业务及操作层面的网络安全管理，由组织的一线业务部门负责。职责是识别和管理网络安全固有风险，并对风险实施有效的控制措施，是整个网络安全保障工作的基础。

“二道防线”：网络安全风险的专职管理，由组织的风险管理部门和IT部门负责。职责是建立网络安全风险管理框架，实施独立的风险评估、计量、监测和报告，确保网络安全风险管理政策及措施有效执行，将风险控制在可接受水平。

“三道防线”：对网络安全独立的监督评价，即审计，由组织的审计监督部门负责。职责是对网络安全风险管理的相关控制、流程和系统进行独立审阅和检查，促进一、二道防线积极履职，进一步揭示网络安全风险，为一、二道防线提供改进建议。 

三、我国信息系统审计存在的问题与不足

与信息技术发达国家比较，我国信息系统审计起步较晚，大致自2000年前后开始，先是银行等金融企业自发开展信息系统内部审计，如建行、工行、人行等在2000年就已经在其内部审计部门设置“IT审计处”。我国审计署自2005年前后，开始信息系统国家审计的尝试和探索，基本上与传统财务财政收支审计、经济责任审计和重大项目审计等结合在一起开展。

由于我国信息系统审计缺少自身的理论研究和工程实践，十几年来，无论是内部审计，还是国家审计，均受制于以“四大”为代表的国外会计事务所。他们通过审计手段，包括传统财务审计和信息系统审计，不仅占领了我国信息系统审计的市场，还掌握了我国大量重要领域经济数据，包括金融、电信、能源等行业数据,对我国网络安全带来了隐患。

随着我国信息技术在各个行业领域的广泛应用，我国行业自身的信息系统审计工作也逐渐开展起来。自2009年以来，银监会、证监会、财政部、国资委等行业监管部门陆续出台了许多行业政策或监管要求，纷纷要求监管企业和行业企业开展信息系统审计。但因部门不同、职能不同，无法建立起全国统一的信息系统审计制度和规范。国内提供信息系统审计的企业或事务所没有成长起来。 

四、加强信息系统审计工作管理的措施建议

对信息系统审计工作的管理和规范，应从信息系统审计需求、信息系统审计服务机构、信息系统审计人员，以及信息系统审计相关的技术标准、实施指南等做出规定和安排。具体建议如下：

（一）制定信息系统审计的规章制度。从法规上提出我国境内开展信息系统审计的规范和要求。国家主管部门或行业主管部门，一方面应从制度上要求重要信息系统行业和用户单位，如金融、能源、电信、海关、税务、政务等领域，定期开展信息系统审计。另一方面对从事信息系统审计服务的机构，也要提出规范要求，以降低由于审计本身而带来的网络安全风险。

（二）制定信息系统审计国家标准。信息系统审计需要系列标准作为支撑，如信息系统审计要求标准，提出对信息系统审计机构和被审计方的具体审计要求。信息系统审计指南标准，可以详细阐述如何实施信息系统审计，包括审计计划和方案，审计方法和流程，审计依据和内容，审计发现和报告，以及后续审计活动等。信息系统审计人员要求标准，可以提出从事信息系统审计的专业人员的要求，包括职业道德、应具备的知识、能力和技能等。

（三）在网络安全保障工作中开展信息系统审计试点。信息系统审计是一项目标明确、流程规范、范围清晰的服务性质的工作，其目的就是帮助被审计方揭示网络安全风险，提供改进建议。除银行业外，其它行业少有开展。建议能源、电信、政务、海关、税务等重要信息系统行业部门选择若干单位试点开展信息系统审计，为今后制度化定期开展信息系统审计积累经验。