[发明专利]信息系统的审计方法及系统

说明书

技术领域

本发明涉及信息系统的审计，尤其涉及一种信息系统的审计方法及系统。

背景技术

目前，信息系统的审计技术主要存在如下缺陷：

第一、信息系统审计的对象是计算机信息系统，目前的技术只注重信息系统运行维护阶段数据方面的审计，只关注到信息系统数据处理的正确性，而不能对信息系统的业务目标、信息系统的整个生命周期进行综合全面的风险评估与控制审计。

第二、目前，信息系统审计项目中多以审计人员的经验判断为主，没有一套集成的、科学的信息系统审计评估与度量工具，来执行信息系统审计评估任务，同时，为了全面实现信息系统的控制与审计评估，需要从信息系统的组成、信息系统的生命周期和信息系统的管理三个纬度进行综合分析评价；但是，目前的信息系统审计技术和产品都只涉及这三个纬度中的某个部分，而不能对信息系统进行综合的控制与审计，也无法为信息系统业务目标的实现程度进行科学的效果评估。

第三、信息系统审计需要依据信息系统的特点及所处环境建立起一套能够实践的IT控制与审计标准，并在此基础上结合信息系统控制与审计工作的实务，构建信息系统审计框架并在实践中不断完善，这个过程是一个不断学习、借鉴、持续改进的过程。在这个过程中需要有一个功能强大且全面的知识库作为基础，而目前的技术和产品没有将信息及相关技术控制目标(Cobit)框架与风险评估管理知识库综合起来，为信息系统的控制与审计提供一套可实践的保准。

第四、更多的信息系统审计只关注信息系统或是信息技术环境中的安全问题，而不能为组织是否有效利用信息资源、是否有效管理与信息相关的风险、是否有效评估信息技术绩效等方面提供方法指导和度量工具。

发明内容

本发明的目的在于提供一种信息系统的审计方法及系统。基于本发明，能全面实现信息系统的控制与审计评估。

本发明提供了一种信息系统审计方法，所述方法包括如下步骤：调查分析步骤，确定评估审计对象的范围及业务运行情况；风险评估步骤，依据所述评估审计对象的范围及业务运行情况，进行信息系统的风险评估，获取第一评估结果；控制与审计框架定制步骤，依据所述第一评估结果，定制控制与审计框架；同时生成控制措施集合，依据所述控制措施集合，评估信息系统是否规避风险，获取第二评估结果；审计引擎的部署步骤，依据定制的所述控制与审计框架，确定审计引擎的部署方案；审计策略制定步骤，根据所述审计引擎的部署方案、所述第一评估结果和第二评估结果，为信息系统制定持续监控的审计策略；评估与度量步骤，依据所述审计策略，对信息系统进行审计；获取并分析数据，验证信息系统的风险是否被有效控制，控制措施是否满足控制目标；依据评估指标，给出信息系统控制与审计的综合评估结论。

上述信息系统审计方法，优选该方法基于知识库，所述知识库包括信息系统分析评估知识库、信息系统风险评估知识库和控制与审计框架知识库；其中，所述调查分析步骤基于所述信息系统分析评估知识库；所述风险评估步骤基于所述信息系统风险评估知识库；所述控制与审计框架定制步骤、审计引擎的部署步骤、审计策略制定步骤和所述评估与度量步骤基于所述控制与审计框架知识库。

上述信息系统审计方法，优选所述控制与审计框架定制步骤中，所述控制与审计框架的制定包括：确定通过信息系统达成的企业战略目标的步骤；确定信息系统满足支撑的业务目标的步骤；确定依据战略目标和业务目标，信息系统所需达成的控制目标的步骤；确定依据现有条件对信息系统的识别出控制措施及评估控制措施有效性的结论的步骤；确定依据风险评估及控制措施评估的结论，为信息系统的持续监控审计制定审计策略，获取并分析数据验证信息系统风险是否被有效控制，控制措施是否满足控制目标的步骤；确定对信息系统所需满足的战略目标和业务目标进行效果度量分析，给出信息系统控制与审计的综合评估结论的步骤。

上述信息系统审计方法，优选审计引擎的部署步骤中，基于旁路方式和审计代理方式相结合的方式部署审计引擎。

上述信息系统审计方法，优选所述审计策略制定步骤进一步为：将风险评估结果和控制措施评估结果转化为监控与审计策略；将转化后的策略发布到部署的审计引擎；审计引擎依据审计监控策略进行持续监控；如发现违背策略的事件，审计引擎将产生报警，并标识事件的影响程度；在预定周期后，依据控制与审计框架的要求给出综合分析结论，为控制效果的评估提供输入数据。