如同开展业务审计要具有相关法律法规作为审计依据一样,开展信息系统审计同样需要审计依据。国内信息系统审计方面的工作近几年才刚刚开始,基本仍处于摸索阶段,而在国家审计中更是如此。目前,由于国内关于信息系统审计方面的标准尚处于空白状态,在国家审计中开展信息系统审计时,主要以国际公认的相关信息系统审计标准为依据,同时积极参考我国相关法律法规来进行。
目前,国际上关于信息系统审计方面可以参考的标准主要有信息及相关技术控制目标COBIT(Control Objectives for Information and related Technology)、ISO17799、能力成熟度集成模型CMMI(Capability Maturity Model Integration)和IT基础架构库ITIL(Information Technology Infrastructure Library)等。
COBIT是信息系统审计与控制协会ISACA(Information System Audit and Control Association)于1996年公布的目前国际上通用的信息系统审计的标准。它是一个在国际上公认为最先进、最权威的安全与信息技术管理和控制的标准,目前已经更新至第四版。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。
COBIT将IT 过程,IT资源及信息与企业的策略与目标联系起来,形成一个三维的体系结构。其中,IT准则维集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性; IT资源维主要包括以信息、应用系统、设施及人在内的信息相关的资源,这是IT治理过程的主要对象;IT过程维则是在IT准则的指导下,对信息及相关资源进行规划与处理,从信息技术的规划与组织、获取与实施、交付与支持、监督与评估等四个方面确定了34个信息技术处理过程,每个处理过程还包括更加详细的控制目标和审计方针以对IT处理过程进行评估。
COBIT真正关注的问题是一个企业是否具备适当的控制力,以确保其符合相关的管理规定。它可以帮助企业确定他们是否正在做他们想要做的事,以及他们是否可以证明这一点。例如,如果一家企业声称可以通过登录过程保证用户进入其数据中心的安全性,它就可以出示某一时段基于COBIT的完整日志。同时,通过使用COBIT标准可以使企业检查ITIL的执行情况,以确保企业正确应对经营活动中存在的风险。
ISO17799出自英国国家标准局制定的BS7799-1《信息安全管理实践规范》,该规范于2000年12月被国际标准化组织采纳,成为ISO17799。我国也即将采用BS7799-1使其成为CNS17799,因此在国内采纳BS7799-1是适宜的。 BS 7799-1包含100多个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素。这100多个控制措施被分成10个方面,成为组织实施信息安全管理的实用指南,这十个方面分别是:方针、安全组织、信息分类与控制、人事安全、物理与环境安全、通信与运营安全、访问控制、系统开发与维护、商务可持续运营、法律符合等。
2005年,ISO发布了新版的信息安全管理实施细则,即ISO/IEC17799-2005,对2000年版的标准进行了修订,更加注重标准的通用性和实用性。实施证明:ISO/IEC17799关于信息安全策略,资产管理,薄弱点、故障、事故的管理,业务连续性管理方面都为组织提供了很好的实践指南。实施信息安全管理体系的组织在树立了风险管理的理念后,不论在组织的IT治理还是信息系统安全性上都有显著的提升。
ISO17799标准所建立的最佳实践标准不但可以用来确保在信息系统故障或发生其他中断时,业务能够持续运行,而且能够控制对数据、系统和网络的访问,保护信息的机密性和完整性,防止对业务设施的非授权访问,同时还能保证系统符合相关的管理规定。事实上,ITIL的安全管理指导方针就是建立在ISO 17799标准之上的。
CMMI于1991年由卡内基梅隆大学软件工程协会发布。早期的CMMI1.02版本是应用于软件业项目的管理方法,而CMMI1.1版本已经演进为一种为软件开发、系统工程及研发提供流程改进指导的框架,其专业领域已覆盖软件工程、系统工程、集成产品开发和系统采购等。CMMI虽然源于美国,但在世界各地得到了广泛的推广与接受。在日本、欧洲、台湾、印度等地都有很多企业在推广与应用CMMI模型,尤其在印度CMMI的应用甚至超过了美国。有专家预测在未来的几年内,CMMI将成为ISO9000之后的又一个国际上普遍接受的标准。
CMMI框架通常被用来提高产品和服务质量,加快开发效率以及降低与开发项目相关的风险。CMMI具有5个不同的“成熟度”级别,分别是完成级、管理级、定义级、量化管理级和优化极,每个级别都代表着一套企业在实施流程改进时所必须的最佳实践标准。
CMMI目前有两种不同的实施方法,分别是连续式模式和阶段式模式。连续式模式主要衡量一个企业的项目能力。企业在接受评估时可以选择自己希望评估的项目来进行评估。因为是企业自己挑选项目,其评估通过的可能性就较大一点。但是,它反映的内容也比较窄,它仅仅表示企业在该项目或类似项目的实施能力达到了某一等级;阶段式模式则主要衡量一个企业的成熟度,也就是企业在项目实施上的综合实力。企业在进行评估时,一定要由评估师来挑选企业内部的任何项目,甚至于任何项目的任何部分。一般地讲,一个企业要想在阶段性评估中得到三级,其企业内部的大部分项目要达到三级,小部分项目可以在二级,但绝不能够有一级。
【责编:admin】
[1] [2] 
相关文章
2008-2-22
