對基于COBIT 的信息系統(tǒng)審計框架初探

彭鍇

（廣東電網(wǎng)有限責(zé)任公司汕頭供電局，廣東汕頭 515041）

0.引言

信息系統(tǒng)審計已經(jīng)成為保障信息系統(tǒng)運行安全、穩(wěn)定和有效的重要方法，眾多國際審計組織紛紛提出了信息系統(tǒng)審計標(biāo)準(zhǔn)和指南，其中最具影響力的就是COBIT 準(zhǔn)則。為此，相關(guān)工作人員應(yīng)該深入研究COBIT 準(zhǔn)則，并且以此為基礎(chǔ)構(gòu)建信息系統(tǒng)審計框架，為進一步提升信息系統(tǒng)審計質(zhì)效奠定基礎(chǔ)。

1.信息系統(tǒng)審計概述

計算機軟硬件、信息資料、互聯(lián)網(wǎng)、通訊設(shè)備、信息用戶和規(guī)章制度共同組成了信息系統(tǒng)，該系統(tǒng)的主要作用是處理信息流，屬于人機一體化系統(tǒng)，可以為使用者提供管理和決策支持[1]。在實際作業(yè)環(huán)節(jié)，信息系統(tǒng)的應(yīng)用將有效解決信息孤島問題，可以發(fā)揮巨大的實用價值。隨著信息系統(tǒng)應(yīng)用的普及以及使用者對信息系統(tǒng)依賴性的增強，保障信息系統(tǒng)安全穩(wěn)定運行變得尤為重要。在此環(huán)節(jié)，信息系統(tǒng)審計應(yīng)運而生，這一工作基于特定準(zhǔn)則和標(biāo)準(zhǔn)，對信息系統(tǒng)進行開發(fā)、維護等環(huán)節(jié)的檢測與評價，可為提升信息系統(tǒng)有效性奠定基礎(chǔ)。在實踐中，相關(guān)工作人員可以通過審計工作，保護信息系統(tǒng)的資產(chǎn)完整性和數(shù)據(jù)真實性，還能讓信息系統(tǒng)更具合法性、合規(guī)性、安全性和穩(wěn)定性。

2.基于COBIT 的信息系統(tǒng)審計框架構(gòu)建要點

信息系統(tǒng)審計必須基于相應(yīng)的審計規(guī)則和目標(biāo)開展，而在國際上與信息系統(tǒng)審計相關(guān)的準(zhǔn)則十分豐富。比如，由國際信息系統(tǒng)審計與控制協(xié)會發(fā)布（ISACA）的COBIT準(zhǔn)則；由國際內(nèi)部審計師協(xié)會（IIA）發(fā)布的GTAG 準(zhǔn)則和GAIT 準(zhǔn)則；由美國審計署（GAO）發(fā)布的FISCAM準(zhǔn)則；由英國中央計算機與電信局（CCTA）發(fā)布的TTIL準(zhǔn)則；由國際標(biāo)準(zhǔn)化組織（ISO）發(fā)布的國際信息安全管理標(biāo)準(zhǔn)BS7799 和ISO17799 都屬于國際信息系統(tǒng)審計準(zhǔn)則。雖然，不同的信息系統(tǒng)審計準(zhǔn)則存在細微差異，但他們在系統(tǒng)控制和安全服務(wù)評價方面具有一致功能。因此，本文以COBIT 為審計準(zhǔn)則，并以此為基礎(chǔ)對信息系統(tǒng)審計框架進行了簡要分析。

2.1 COBIT 準(zhǔn)則

COBIT 是Control Objectives for Information and related Technology 的簡稱，在國內(nèi)我們將之稱為信息系統(tǒng)和技術(shù)控制目標(biāo)。這一標(biāo)準(zhǔn)是國際公認的IT 管理和控制標(biāo)準(zhǔn)，也是最受認可的信息系統(tǒng)審計準(zhǔn)則，在全球范圍內(nèi)100 多個國家和組織中得到了廣泛應(yīng)用。與其他信息系統(tǒng)審計準(zhǔn)則相比，COBIT 的架構(gòu)體系更為科學(xué)，整體呈現(xiàn)業(yè)務(wù)中心、流程導(dǎo)向、控制基礎(chǔ)和績效測評驅(qū)動的特點，可以為實現(xiàn)信息系統(tǒng)全生命周期審計奠定基礎(chǔ)[2]。同時，這一準(zhǔn)則的內(nèi)容也十分完善，涵蓋了技術(shù)和非技術(shù)層面的內(nèi)容。

2.2 信息系統(tǒng)審計框架

2.2.1 系統(tǒng)設(shè)計

在建立基于COBIT 的信息系統(tǒng)審計框架前，必須對信息技術(shù)的治理和管理原則進行明確。目前，治理和管理IT 業(yè)務(wù)的主要框架為COBIT5.0，它的5 大原則分別為：（1）滿足利益相關(guān)者需求；（2）端到端覆蓋；（3）采用單一集成框架；（4）啟用一種綜合的方法；（5）區(qū)分治理與管理。在構(gòu)建基于COBIT 的信息系統(tǒng)審計框架時，必須嚴(yán)格遵守這幾大原則，并且要保證審計框架與實際要求相符。在實踐中，相關(guān)工作人員應(yīng)該先對信息系統(tǒng)審計流程進行設(shè)計。對于信息系統(tǒng)而言，其整體生命周期應(yīng)該涵蓋4 個階段，每個階段的任務(wù)各不相同。

在規(guī)劃階段，信息系統(tǒng)應(yīng)該以制定企業(yè)IT 戰(zhàn)略、總體方案和評判方案可行性為任務(wù)；開發(fā)階段的任務(wù)則是做好信息系統(tǒng)開發(fā)形式選定并完成相應(yīng)的系統(tǒng)開發(fā)和設(shè)計；接收和實現(xiàn)階段的任務(wù)是開展信息系統(tǒng)安全、性能以及容量測試和新舊系統(tǒng)轉(zhuǎn)換，并開展員工實操培訓(xùn)；運行維護階段的任務(wù)則是有效開展系統(tǒng)運維，保障系統(tǒng)運行穩(wěn)定和安全。在這一環(huán)節(jié)，COBIT 將貫穿系統(tǒng)的整體生命周期，其中，COBIT 的計劃與組織域與信息系統(tǒng)階段相對應(yīng)、獲取與實施階段和信息系統(tǒng)的開發(fā)階段相對應(yīng)、交付與支持階段跟信息系統(tǒng)的接收與實現(xiàn)階段相對應(yīng)，而COBIT的監(jiān)控與評價域則和信息系統(tǒng)的運行維護階段相對應(yīng)。

在設(shè)計基于COBIT 的信息系統(tǒng)審計框架時，相關(guān)工作人員應(yīng)該將框架核心設(shè)定為信息系統(tǒng)的控制目標(biāo)。基于審計范圍，基于COBIT 的信息系統(tǒng)審計框架可將審計工作分為面向系統(tǒng)和數(shù)據(jù)兩種，前者是對信息系統(tǒng)一般控制的審計，后者則是對其應(yīng)用控制的審計。

如圖1 所示，在基于COBIT 的信息系統(tǒng)審計框架中，系統(tǒng)層面包括組織管理、配置管理和信息系統(tǒng)生命周期管理3 部分；數(shù)據(jù)層面則包含應(yīng)用程序和數(shù)據(jù)文件兩部分。在此環(huán)節(jié)，使用者可以基于COBIT 管理完成信息系統(tǒng)的數(shù)據(jù)和系統(tǒng)管控，又能基于該指南完成數(shù)據(jù)和系統(tǒng)審計，還能依托于審計證據(jù)來客觀評價信息系統(tǒng)性能，并提出相應(yīng)的改進意見。

圖1 基于COBIT的信息系統(tǒng)審計框架

2.2.2 應(yīng)用案例

在信息系統(tǒng)數(shù)量日漸增加，人員流動性大的情況下，容易出現(xiàn)事件無法定責(zé)和賬戶管理缺失等問題。而安全堡壘平臺產(chǎn)品可定義管理組織、運維組織，可配置人員權(quán)限、人員操作審計，使所有參與信息系統(tǒng)管理和運維的人員實名登錄系統(tǒng)，實現(xiàn)信息系統(tǒng)管理和運維人員的授權(quán)控制和過程監(jiān)控并對管理運維操作進行全程記錄，為系統(tǒng)審計提供保障。在管理和運維合規(guī)的正常運行表象之下，系統(tǒng)實際可能存在諸多亟需改善的地方，例如用戶某些習(xí)慣性操作（或者嘗試性的dos 攻擊或賬戶竊?。?，長時間下來可能給信息系統(tǒng)累積了隱患，使系統(tǒng)性能逐漸下降。又或者運維人員升級了一部分代碼，而代碼存在bug，為系統(tǒng)埋下了不穩(wěn)定因素。而信息系統(tǒng)數(shù)據(jù)審計工具可基于預(yù)定義或自定義的規(guī)則，對系統(tǒng)運行數(shù)據(jù)和代碼進行自動判別和警告，節(jié)省了大量的人力和時間，有利于管理員及時發(fā)現(xiàn)不當(dāng)軌跡，采取措施予以遏制。

3.結(jié)語

COBIT 是實現(xiàn)信息系統(tǒng)審計的主要標(biāo)準(zhǔn)之一，在實踐中構(gòu)建基于COBIT 的信息系統(tǒng)審計框架可以為有效開展信息系統(tǒng)審計提供保障。在實際作業(yè)環(huán)節(jié)，相關(guān)工作人員要深入研究和分析COBIT 的內(nèi)涵、控制目標(biāo)和價值，還應(yīng)該對信息系統(tǒng)審計的目標(biāo)加以確定，并利用COBIT構(gòu)建完善的審計流程和框架，為提高信息系統(tǒng)審計工作質(zhì)效提供指導(dǎo)。