信息系统审计——网络空间安全保障第三道防线_信息科技三道防线

一、为什么做系统审计？

随着计算机技术的高速发展，信息系统已经成为当今社会最重要的生产工具，OA系统、营销系统、制造信息系统、财务系统、人力资源系统等系统成为当前不可或缺的应用系统。系统安全性和有效性已经成为生产安全的重要组成部分，并成为信息系统所有者及其用户最为关心的问题。

信息系统审计是国家网络空间安全保障战略中的重要环节，是第三道防线。同时，也是行业监管部门主要的监管内容。相关政策对于信息系统的安全性、稳定性提出了相对严格的要求，传统的审计方法和技术已经无法适应当前需求，导致信息系统审计陷入停滞不前的状态，对此，完善信息系统审计，更新审计方法和审计技术成了审计单位的首要任务。

审计具体依据以下三点：

1、国家政策和行业监管要求

①网络安全法

②行业监管指引：《商业银行信息科技风险管理指引》规定：“商业银行应根据业务性质、规模等，决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。”；《证券期货业信息安全保障管理办法》规定：“核心机构和经营机构应当建立信息安全内部审计制度，定期开展内部审计，对发现的问题进行整改。”

2、行业自身信息科技内控要求

①信息科技治理

②信息安全事件管理

3、用户等相关方要求

①供应链安全要求

②第二方审计要求

二、信息系统审计做什么？

信息系统审计是信息系统治理工作中的重要一环，它以合规性评价为出发点，以评审、检查和测试为主要手段，以发现信息系统治理过程中存在的风险为目标，帮助和促进用户全面预防和及时处置信息系统风险，从而有效提高信息系统的安全性和有效性。

审计内容包括但不限于系统安全管理总体架构、安全策略、安全管理；物理环