當前,我國審計機關不同程度地開展了信息系統審計,并取得了一定成果。信息系統審計不僅關注被審計單位信息系統的真實性、合規性,同時也是對被審計單位落實國家信息系統相關政策情況的檢驗。信息系統審計同樣可以開展“政策審計”,以政策措施為主線開展審計,特別關注政策措施是否落實、落實的時間、落實的效果、落實中出現的問題及新情況等方面,建立信息系統法律法規遵循性審計的方法和規范。充分體現審計這一高層次監督效能。
近幾年,為開展信息系統安全等級保護工作,國家頒布了一系列的法律法規和技術標準,如《信息安全等級保護管理辦法》(公通字[2007]43號)、《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安[2007]861號)、《信息系統安全等級保護定級指南》、《信息系統安全等級保護基本要求》等,建立起國家重要信息系統安全保護制度體系。而被審計單位通常信息化程度較高,且其重要業務均依賴信息系統完成,一般都納入國家重要信息系統等級保護體系。信息安全等級保護政策審計需要在深刻理解國家相關政策的基礎上,綜合運用多種審計方法,對被審計單位落實等級保護政策的情況做出綜合評價。
一、信息安全等級保護政策審計的審前調查
如同傳統審計,信息安全等級保護政策審計也需要做審前調查,制定詳細的實施方案。審前調查的主要工作內容包括:一是掌握被審計單位的整體信息部門的總體情況,包括信息部門的管理體制、機構設置、人員編制情況,規章制度、重要會議記錄和有關文件以及以往接受審計的相關情況等,做到心中有數,全面掌握。二是初步掌握被審計單位信息系統納入等級保護范圍的情況,包括了解所有信息系統的功能、在業務流程中扮演的角色、對社會秩序和國家安全的影響程度,重點關注影響國計民生和社會安全的重要信息系統。三是設計模擬定級流程,繪制模擬定級過程涉及的表單,確定量化定級的計算模型。四是調查被審計單位開展信息系統安全等級保護后續工作的情況,檢查被審計單位有無遵循相關法律法規的規定,是否將后續工作做到實處。
審前調查的首要任務是梳理國家和地方的相關政策,深刻理解政策頒布的初衷和內涵。以廣東省為例,除國家頒布的上述法規外,廣東省還頒布了《廣東省信息系統安全保護條例》,《廣州市重要信息系統安全等級保護定級工作實施方案》等。審計人員必須吃透這些法律法規,并對照其中的規定,制定可行的實施方案。
二、信息安全等級保護政策審計的實施過程
在審計實踐中,經常會遇到被審計單位為逃避有關部門監管,故意漏報應納入保護范疇的信息系統數目的情況,此時需要根據審前調查的結果,對整體信息系統進行評估,判定哪些信息系統應納而未納入等級保護體系。審計人員需要參考有關法規,按照信息系統的重要程度對系統進行分類判定,初步排查應納入等級保護體系的信息系統。在此過程中,審計人員可根據行業的重要程度、被審計單位在行業中的排名和地位、同行業相關系統對比、公安部門頒布的相關參考意見以及系統扮演的業務角色等方面進行綜合判斷。
對于已納入定級范圍的信息系統,應重點關注其定級是否合理,是否真實反映系統的重要程度。在時間緊、任務重的情況下,審計人員可選取被審計單位中某些信息安全等級高而實際中定級偏低的系統,在技術和管理的各個層面進行安全控制的整體性驗證。包括分析系統的業務流程,還原定級過程,重點揭示定級過程中可能存在的問題等。在模擬定級過程中,審計人員根據審前調查設計的表單,對照表單中需要驗證的內容進行專業評分,根據評分結果和審前調查確定的量化定級的計算模型,對系統的安全級別進行科學評定。,被審計單位有時出于多種目的,故意將信息系統定級偏低,審計人員必須堅持自己的判定,做到有理有據,不可聽信被審計單位的一面之詞,要站在政策審計的高度,指出被審計單位在定級過程中存在的問題。
對已納入定級范圍的信息系統還應重點檢查其是否按照相關規定開展后續工作,這是一般被審計單位落實等級保護政策的薄弱環節。審計人員可通過走訪、調查等方式,了解被審計單位是否已開展自查和整改等工作,必要的時候可展開差異測試,從而可評估被審計單位是否真正重視信息系統等級保護工作。
三、信息安全等級保護政策審計報告
一般而言,信息安全等級保護政策審計屬于信息系統審計的一個內容,其結果既可綜合到信息系統審計報告中,亦可出具單獨的審計報告。除反映被審計單位落實信息安全等級保護政策的情況外,可結合實際,注重從政策措施以及體制、機制、制度層面發現問題并提出審計意見和建議,充分發揮審計“免疫系統”的功能。
四、開展信息安全等級保護政策審計的一些體會
目前,信息安全等級保護政策審計仍然是一個新課題,還需要審計人員在實踐中加以探索。筆者有幸參加了我辦對某大型國企開展的經濟責任審計項目,對開展信息安全等級保護政策審計有一些小小的體會,愿與讀者共饗:
一是審計人員必須具備敏銳的政治敏感度,深刻理解政策出臺的背景和內涵,做到有的放矢。
二是審計人員必須具備良好的專業素養,有足夠的能力設計可行的實施方案,保證方案的制定、工作的實施、數據的采集整理以及審計報告的提交能按時按質按量完成。
三是審計人員必須堅持審計結果,做到有理有據。在審計過程中要爭取被審計單位的理解與支持,以確保工作的順利開展。
四是審計人員應拓展思路,跳出信息系統審計的傳統思維模式,不拘泥于技術的層面,而從國家政策的高度提出高質量的審計建議。
