信息系统审计 课件 【ch05】信息系统生命周期审计

信息系统生命周期审计第五章高等院校公共课系列精品教材信息系统审计信息化建设全过程0101信息化建设全过程信息化建设流程信息化建设流程如表5-1所示。01信息化建设全过程01信息化建设全过程系统战略规划阶段战略规划阶段是信息化建设的第一阶段，是软件开发过程中的第一步，也是描绘信息系统建设远景目标的关键一步。由于企业或组织的信息化建设一般投资大、周期长且系统工程较复杂，系统规划的质量对未来的系统建设和运行至关重要，一旦规划有偏差，就会出现系统成本高、开发周期长、系统功能缺失等各种问题。因此在系统开发的早期阶段，做好战略规划工作十分重要。一个比较完整的战略规划应包括信息系统开发的范围、总体结构、实现目标、组织管理体系、管理流程、建设计划、技术规范等。系统需求分析阶段系统需求分析阶段的任务是：结合对相关文档资料的研究和分析，梳理出业务流程、数据流程、组织结构和详细功能需求，以此在对现有业务流程进行详细了解和分析的基础上，确定信息系统必须完成的总目标，并提交系统建设方案说明，确定方案的可行性，导出实现方案目标应该采取的策略及系统必须完成的功能，估计完成该项工程需要的资源和成本，并且制定工程进度表。01信息化建设全过程资源获取阶段信息系统的建设需要多种IT资源的获取与整合。这些IT资源包括各种IT相关人员、软件和硬件等。企业或组织根据对自身情况的评估，其软硬件资源可以自行设计开发，也可以选择部分或全部进行市场化采购，即采购能够满足业务需求的成熟的商品化软件和配套硬件，由第三方提供安装、培训、实施和维护等工作。这类采购任务，应根据系统建设方案选择合适的商业软件，对项目进行立项、招标、评标和签订合同，完成软件系统采购工作。系统开发阶段系统开发阶段可进一步分为系统设计、系统编码和系统测试三个阶段。系统设计阶段的任务是：提供信息系统的概括的解决方案，主要内容包括信息系统的功能模块的划分，功能模块之间的层次结构和关系。进而对系统进行详细设计。系统编码阶段的任务是：将上述系统设计阶段的蓝图，通过编写程序的方式在计算机上实现，将原来纸面上的。系统测试阶段的任务是：充分运行系统，尽可能多地发现软件的缺陷和潜在的问题，验证系统各部件能否正常工作并完成所赋予的任务。01信息化建设全过程系统实施与试运行阶段系统实施阶段包括基础平台实施和应用系统实施两部分内容。基础平台实施是指将计算机硬件、操作系统、数据库和网络架构等作为企业或组织信息系统的基础设施搭建完成。而应用系统实施是将采购的商品软件或开发出的软件具体应用到现实的业务中。系统的设施是人和设备相互配合的过程，相关的部门和人员需从原有的业务处理方式过渡到以信息系统为支撑的新方式上去。系统实施工作需分阶段、分步骤、有组织地进行，这也是对系统的质量、运行效率、稳定性和可维护性等的全面验证。系统维护阶段系统维护是系统投入正常运行之后一件长期而又艰巨的工作。维护时期的主要任务是使系统持久地满足用户的需要。具体地说，系统维护的任务包括：当系统在使用过程中发现错误时，应该加以改正；当环境改变时，应该修改系统以适应新的环境；当企业或组织有新的需求时，应该及时改进信息系统以满足需求。每一次维护活动本质上都是一次压缩和简化了的系统定义和开发过程。信息系统战略规划审计0201信息系统战略规划审计信息系统战略规划审计的目标信息系统战略规划审计的目标是：评价信息系统的规划是否满足被审计单位战略需求，使其与业务目标保持一致，信息系统资源得以统一管理和优化；风险得到有效控制，信息技术业务活动符合法律法规和行业规范要求，保障信息系统战略规划制定及实施过程得到合理的控制、监督并持续改进；促进组织价值最大化。01信息系统战略规划审计信息系统战略规划审计的内容信息系统战略规划审计的主要内容包括两个方面：一方面是跟踪整个系统规划的过程，判断整个规划是否是按照必要的可行性分析步骤进行的，是否越过了某些必要的关键步骤，或其规划步骤是否存在着明显的不合理性；另一方面是审计规划的内容。规划内容的审计的一个重要依据就是分析员提交的文档，其中包括可行性分析报告及相应的系统流程图、数据流程图、数据字典或成本效益分析等。01信息系统战略规划审计信息系统战略规划的风险信息系统战略规划的风险包括：(1)缺少信息系统战略规划目标；(2)信息系统目标与组织战略规划不一致或更新不及时；(3)信息系统目标与组织信息系统能力不符，缺乏实用性；(4)信息系统目标与其他管理控制流程不符，缺乏可操作性；(5)信息系统目标缺少保障措施；(6)信息系统投资立项与信息系统战略规划、业务目标不符；(7)信息系统投资项目未经信息系统决策部门批准；(8)信息系统投资项目流程控制不足。01信息系统战略规划审计信息系统战略规划审计的主要方法和程序信息系统战略规划审计的主要方法和程序如表5-2所示。信息系统需求分析审计0301信息系统需求分析审计信息系统需求分析审计的目标信息系统需求分析审计的目标是：确保被开发信息系统的经济可行性、技术可行性和管理可行性。对经济可行性的审查，要评价其建立信息系统所投入的成本，并客观地评估系统运行后可能带来的收益，比如缩短了生产或服务周期、精简了人员岗位等，保证系统的开发符合成本效益原则。对技术可行性的审查，可以咨询相关计算机专业人士，看系统使用的软硬件是否能满足被审计单位数据处理的需要，并预留足够的空间用于系统兼容性和软硬件设备升级。既要满足被审计单位的现实，又要有一定的远见。对管理可行性的审查，主要看信息系统如何被人们有效地利用，比如提升了生产办公效率、简化了操作、优化了办公流程、促进了知识积累和传递等。但从不好的方面说，也可能出现被审计单位的员工素质不足以使用新系统、管理流程老化、管理思维僵化等情况，那么就会大大降低信息系统开发的可行性。01信息系统需求分析审计信息系统需求分析审计的内容对信息系统需求分析的审计可以是事前审计，也可以是事后审计。如果是事前审计，审计人员对于系统需求分析的适当控制就具有很大的作用。审计人员在参与式审计过程中，配合系统设计人员共同研究新系统在技术、经济、管理方面的可行性，审核资金、人力、物力的投入及来源是否恰当等；如果是事后审计，则需查阅需求分析相关文档，包括需求调研报告、系统论证报告、用户确认文档和会议纪要等，以此来检查系统分析过程中是否有精通业务的人员参与，使用的分析模型是否方便分析师与用户沟通，系统的逻辑模型是否满足用户的需求等。01信息系统需求分析审计信息系统需求分析的风险(1)未制定合理的项目生命周期管理方案和符合质量管理标准的质量控制体系，不能有效控制开发质量；开发过程未进行必要的安全控制，未对源代码进行有效管理和严格审查可能导致的风险。(2)项目需求说明书阐述业务范围及内容不清晰，未能结合需求制定出最优化的技术设计方案的风险。开发环境、测试环境和生产环境未分离，网络未有效隔离，设备未独立于生产系统，开发人员直接接触生产系统，直接使用未经批准并脱敏的生产数据，导致泄密或造成生产系统受损的风险。01信息系统需求分析审计信息系统需求分析审计的主要方法和程序信息系统需求分析审计的主要方法和程序如表5-4所示。信息系统资源获取审计0401信息系统资源获取审计资源获取审计的目标资源获取审计的目标包括：合理地保证信息化项目计划与组织的发展战略、年度计划一致，立项流程遵循了被审计单位的规章制度，并得到正式的审批；保证预算编制及执行审计检查预算的合理性、预算执行的真实性、合法性；对于系统功能是否达到标准、规范及业务处理的要求，能可靠地运行以实现业务目标，审计人员可通过对信息系统招投标和采购环节的各个阶段的目标、可靠性、安全性、合法性和效益性需求及其执行情况的检查，评价系统采购是否符合信息系统建设的需要，合理保证采购行为的合法性、真实性、准确性、经济性。01信息系统资源获取审计资源获取审计的主要内容资源获取审计的主要内容包括：对信息化项目年度计划的编制、上报、汇总、审批、发布等环节进行审计。审计项目建设背景、必要性、项目的目标、范围和主要内容、初步业务需求分析、实施周期、投资估算及系统所需要软硬件环境等内容。检查信息系统立项与年度计划的一致性，检查项目的可行性研究报告，重点关注需求提报、上报、技术经济论证、办理批复和项目备案管理的过程。审计预算目标的科学性，编制程序的合规性，预算内容的完整性、准确性，相关费用支出、资金支付的真实性及合规性。对信息化项目招标管理情况、投标管理情况、评标管理情况、中标及合同签订情况、采购行为及合同的合法性、真实性、准确性、经济性等方面的内容进行监督。01信息系统资源获取审计资源获取的风险资源获取的风险包括以下几方面。(1)信息化项目计划未制定或未落实造成的项目资金、工期、责任等风险。(2)信息化项目管理缺失或失当造成的立项、审批、技术、资金等风险。(3)信息化项目预算不准确或不规范造成的项目投入超预算风险。(4)信息化项目招投标、采购和验收不规范造成的法律和经济风险。01信息系统资源获取审计资源获取审计的主要方法和程序资源获取审计的主要方法和程序如表5-5所示。01信息系统资源获取审计信息系统开发审计0501信息系统开发审计信息系统开发的内容信息系统开发的主要内容包括三部分：信息系统设计(总体框架设计、结构设计、数据库设计、输入输出设计)、信息系统实现(流程处理及功能模块的开发)、信息系统测试。信息系统开发流程图如图5-1所示。01信息系统开发审计信息系统开发的内容01信息系统开发审计信息系统开发的内容01信息系统开发审计信息系统开发的内容01信息系统开发审计信息系统开发审计的目标实施信息系统开发审计是为了确保信息系统开发的控制得到有效实施，使设计的系统具有较高的水平，并在投入使用后能顺畅运行，最终实现被审计单位的组织目标。信息系统开发审计的目标是：通过规范开发程序，提高信息系统开发的可控性、安全性、可靠性和经济性，揭示信息系统开发环节存在的风险及问题，提出完善信息系统开发控制的审计意见和建议，实现组织目标。信息系统开发审计的内容检查信息系统开发项目的组织机构设置、资源配置情况；开发过程中与业务部门的沟通情况；系统开发全过程的需求分析、架构设计、软件实现、系统测试、用户测试、系统试运行、系统验收、系统上线和数据迁移、产品维护等内容的质量、安全管理情况。01信息系统开发审计信息系统开发的风险信息系统审计人员需要评估信息系统开发过程中可能存在的控制风险和项目风险。常见的风险包括以下几种。(1)缺少开发统一的标准，如编码规则、命名规则等，或未遵循开发标准和规程。(2)缺少明确的开发目标。(3)缺乏有效的控制，导致开发周期延长、成本超支。(4)采用了不当的技术方案。(5)需求变化频繁或变化较大。(6)相关文档不完整、不规范。(7)配置管理不合理。01信息系统开发审计信息系统开发的风险(8)数据开放接口不合理或不规范。(9)现有资源不可用。(10)项目较复杂，现有技术人员在能力上不能胜任。(11)测试计划、标准、步骤、用例和所需的系统设置要求不清晰、不明确，特别是缺少最终用户测试，导致无法实现需求功能，或实现的功能不符合设计目标。(12)在系统测试完成后，未提交测试报告；未及时为用户测试准备数据，测试数据脱离生产环境的实际数据或与系统所实现的设计要求不符。(13)系统安装部署手册、功能测试报告、集成测试报告、性能测试报告、用户培训教材等测试文档不全或缺失。(14)系统未经充分测试即投入使用，程序、功能上的缺陷或系统配置上的错误未能及时发现，导致系统运行不稳定或业务功能失效。01信息系统开发审计信息系统开发审计的方法和程序信息系统实施审计0601信息系统实施审计信息系统实施审计的目标信息系统实施审计的审计目标包括以下几方面。(1)确认信息系统的基础平台是否达到要求。(2)确认信息系统的各项功能是否有效。(3)确认信息系统的可控制性是否达到要求。(4)确认信息系统的可维护性是否达到标准。(5)确认信息系统是否已经备案。01信息系统实施审计信息系统实施审计的内容信息系统实施审计包括基础平台审计、系统上线审计和系统备案审计三部分内容。(1)基础平台审计。基础平台审计主要包括硬件系统审计、操作系统审计、数据库审计和网络架构审计，其中涉及硬件设备规格和硬件设备采购计划的评价、系统容量管理程序测试、操作系统安全和稳定性测评、软件可行性和兼容性分析、操作系统软件成本和效益分析、操作系统软件安装及维护测试和数据库管理系统的设计、访问、管理及界面测试，以及网络构架、协议、加密标准和拓扑结构的先进性和可扩展性的评估。(2)系统上线审计。系统上线审计的对象则包括上线评审、试运行评审等。信息系统审计人员要对信息系统上线后的情况进行评审，对于新老系统切换上线情况，还需提交新老系统详细迁移方案和系统应急预案。上线评审应重点检查合同对照表，确保合同任务目标达到要求；对功能测试、性能测试、文档检查、数据准备、数据备份、管理办法等进行评审，检查项目文档的完整性、系统测试结果的合理性和系统上线前各项准备工作的完备性。01信息系统实施审计信息系统实施审计的内容(3)系统备案审计。信息安全等级备案审核是根据《信息安全等级保护管理办法》对信息安全等级备案的明确规定，要求新投入使用的信息系统在设计和规划阶段确定安全保护等级。新建(运营)二级以上信息系统，应当在投入运营或者安全防护等级确定后30日内向所在地市级以上公安机关办理备案手续。进行信息系统等级备案，对于各类信息系统的安全有效管理具有重要意义。在实践中，可能由于被审计单位或管理单位的疏忽，很多按要求应记录信息安全等级的系统并没有做相应的备案工作。在审核过程中，应特别注意信息系统等级备案情况。01信息系统实施审计信息系统实施的风险信息系统实施的风险主要包括以下几种。(1)系统基础平台不稳定或安全性不达标而导致的风险。(2)系统不能有效使用而导致的系统可用性风险。(3)未经授权访问系统所导致的系统安全性风险。(4)系统不能完整、准确、及时地处理数据或未经授权处理数据而导致的系统完整性风险；(5)需要对系统更新维护或升级，但为了保持系统的可用性、安全性和完整性，未能更新系统而导致的系统漏洞风险。(6)与数据完整性、保密性和准确性有关的风险。(7)新系统未经过信息安全等级备案即上线使用的安全风险。01信息系统实施审计信息系统实施审计的方法和程序具体而言，信息系统审计人员应根据试运行计划对系统的试运行准备、试运行期间的实施和检测反馈进行审计。信息系统实施审计的主要方法和程序如表5-10所示。01信息系统实施审计信息系统实施审计的方法和程序信息系统维护审计0701信息系统维护审计信息系统维护的内容信息系统维护工作应建立明确的软件质量目标和优先级，并有计划、有步骤地统筹安排。按照维护工作的范围、严重程度等因素确定优先级，安排合理的维护计划，然后通过一定的流程对系统进行维护。针对信息系统中不同的维护对象，系统的维护工作主要包括以下几种。(1)应用维护。应用维护，即程序的维护。由于信息系统的程序处理流程对应的是实际的经营管理业务流程，所以当实际业务流程出现改变时，对应的应用程序处理流程也要做相应的改变，也就是需要重新设计某段程序来适应业务的变化。因此，应用维护是系统运行与维护中最重要的部分。(2)数据维护。在应用维护中提到，业务流程一旦改变就需要对程序重新设计，同时，对应的业务数据及其数据结构也将发生改变，包括添加新数据表、删除旧数据表、修改配置数据、定期备份数据和恢复数据等。01信息系统维护审计信息系统维护的内容(3)代码维护。由于信息系统应用范围扩大或应用环境的变化，信息系统所依赖的软硬件环境也在发生变化，这导致系统中的各种功能代码需要进行一些必要的调整或者设置新的代码，这些都属于代码维护工作。(4)计算机硬件设备的维护。计算机硬件设备是保障系统运行的基础设施，操作人员应严格遵守操作规程，维修人员也应及时处理突发故障，更换易损零部件，做好日常维护和管理工作。维护人员须有效监控设备的工作状态，特别是对重要设备应时刻监控，及时发现系统报警或异常情况，以便在发生故障前采取必要措施。对计算机设备应做好定期检查和维护，同时做好系统维护记录。(5)数据库维护。数据库对信息系统存取数据信息提供支持，系统的良好运行依赖于数据库的稳定状态。为了防止在断电、火灾等情况下对数据库的破坏，也为了满足业务变化引发的数据库变更的要求，必须对数据库进行维护。为了防止数据库的损坏或数据丢失，应定期进行数据库备份。一旦发生意外，备份的数据库应仍能保证信息系统的正常运行。01信息系统维护审计信息系统维护的内容(6)系统安全维护。系统安全维护是指对软件、硬件和数据的安全维护。为了保证系统安全，应建立严格的内部管理制度，如对系统进行权限控制；对重要文件进行定期备份；禁止非法进入机房；对重要数据需加密传输和存储，以防止数据被窃取、篡改或破坏。(7)日志管理。日志管理是指企业或组织为满足法律和行业监管的合规要求，对日常的交易记录采取必要的程序和技术加以保存，确保存档数据信息的完整性，满足安全保存和可恢复的要求。(8)系统监控与故障管理。系统监控是指为确保信息系统的运行安全，针对其所处的基础物理环境、系统性能(如网络、主机等)及其运行状况