【文章內(nèi)容簡介】 否按照國家或者行業(yè)相關(guān)規(guī)定實(shí)現(xiàn)了有效的信息交換與共享機(jī)制，是否較好地支持了外部系統(tǒng)相關(guān)業(yè)務(wù)的協(xié)同發(fā)展。第四章 一般控制審計(jì)第一節(jié) 信息系統(tǒng)總體控制審計(jì)第三十一條 信息系統(tǒng)總體控制審計(jì)的目的是通過檢查被審計(jì)單位信息系統(tǒng)總體控制的戰(zhàn)略規(guī)劃、組織架構(gòu)、制度機(jī)制、崗位職責(zé)、內(nèi)部監(jiān)督等，分析信息系統(tǒng)在內(nèi)部環(huán)境、風(fēng)險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督方面的有效性及其風(fēng)險，形成信息系統(tǒng)總體控制的審計(jì)評價和結(jié)論，提出審計(jì)意見和建議，促進(jìn)信息系統(tǒng)總體控制的完善，并為審計(jì)項(xiàng)目對信息系統(tǒng)總體控制的審計(jì)評價提供支持。第三十二條 信息系統(tǒng)總體控制審計(jì)事項(xiàng)評價指標(biāo)：（三十一）戰(zhàn)略規(guī)劃評價。檢查被審計(jì)單位是否建立了信息系統(tǒng)戰(zhàn)略發(fā)展規(guī)劃，是否明確了戰(zhàn)略目標(biāo)、整體規(guī)劃、實(shí)現(xiàn)指標(biāo)和相應(yīng)的實(shí)施機(jī)制，以及規(guī)劃的業(yè)務(wù)和管理的覆蓋面、所轄行業(yè)的覆蓋面，是否能夠指導(dǎo)和推進(jìn)信息化環(huán)境下經(jīng)濟(jì)業(yè)務(wù)活動的戰(zhàn)略發(fā)展。（三十二）組織架構(gòu)評價。檢查被審計(jì)單位是否建立了與信息系統(tǒng)戰(zhàn)略發(fā)展規(guī)劃相匹配的決策與管理層領(lǐng)導(dǎo)機(jī)構(gòu)、項(xiàng)目實(shí)施層工作機(jī)構(gòu)，以及行業(yè)內(nèi)各層級的信息化工作機(jī)構(gòu)，是否建立了各類機(jī)構(gòu)的權(quán)力責(zé)任和制約機(jī)制，是否有效地發(fā)揮了各類機(jī)構(gòu)的作用。（三十三）制度體系評價。檢查被審計(jì)單位是否建立了與信息系統(tǒng)戰(zhàn)略規(guī)劃和組織架構(gòu)相匹配的項(xiàng)目管理制度、項(xiàng)目建設(shè)制度、質(zhì)量檢查制度等，是否建立了重大問題的決策機(jī)制，是否形成了領(lǐng)導(dǎo)機(jī)構(gòu)對項(xiàng)目實(shí)施機(jī)構(gòu)和行業(yè)工作機(jī)構(gòu)的統(tǒng)一領(lǐng)導(dǎo)，項(xiàng)目實(shí)施機(jī)構(gòu)是否形成了對項(xiàng)目建設(shè)進(jìn)度、項(xiàng)目質(zhì)量、投資效果和風(fēng)險防范的有效控制。（三十四）崗位職責(zé)評價。檢查被審計(jì)單位信息系統(tǒng)規(guī)劃、建設(shè)、運(yùn)維等方面的崗位設(shè)置、人員配置、崗位職責(zé)，是否建立了各類崗位職責(zé)的檢查考核機(jī)制，是否建立了信息系統(tǒng)建設(shè)和經(jīng)濟(jì)業(yè)務(wù)活動之間、信息系統(tǒng)建設(shè)的相關(guān)崗位之間有效的信息溝通與交互機(jī)制。（三十五）內(nèi)部監(jiān)督評價。檢查被審計(jì)單位是否建立健全了信息系統(tǒng)建設(shè)和運(yùn)維全過程的內(nèi)部監(jiān)督機(jī)構(gòu)和監(jiān)督機(jī)制，是否形成了對信息系統(tǒng)的風(fēng)險評估、控制活動和信息交互等方面的有效控制和監(jiān)督，是否較好地發(fā)揮了促進(jìn)信息系統(tǒng)健康運(yùn)行的監(jiān)督保障作用。第二節(jié) 信息安全技術(shù)控制審計(jì)第三十三條 信息安全技術(shù)控制審計(jì)的目的是通過檢查被審計(jì)單位信息系統(tǒng)的信息安全技術(shù)及其控制的整體方案，檢查安全計(jì)算環(huán)境、區(qū)域邊界、通訊網(wǎng)絡(luò)等方面的安全策略和技術(shù)設(shè)計(jì)，檢查信息系統(tǒng)的安全技術(shù)配置和防護(hù)措施，發(fā)現(xiàn)并揭示信息系統(tǒng)安全技術(shù)控制的缺失，分析并評價風(fēng)險程度，形成信息安全技術(shù)控制的審計(jì)結(jié)論，提出審計(jì)意見和建議，促進(jìn)信息系統(tǒng)安全技術(shù)及其相關(guān)控制的落實(shí)；為數(shù)據(jù)審計(jì)防范和控制審計(jì)風(fēng)險，以及審計(jì)項(xiàng)目對信息安全技術(shù)控制的審計(jì)評價提供支持。第三十四條 信息安全技術(shù)控制審計(jì)事項(xiàng)測評指標(biāo)：（三十六）物理安全控制測評。檢查系統(tǒng)機(jī)房及其重要工作房間的物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)等方面的安全策略和防護(hù)措施。（三十七）網(wǎng)絡(luò)安全控制測評。檢查網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)設(shè)備訪問控制、網(wǎng)絡(luò)設(shè)備安全審計(jì)、網(wǎng)絡(luò)邊界完整性、網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò)惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)的安全策略和防護(hù)措施。（三十八）主機(jī)安全控制測評。檢查主要服務(wù)器操作系統(tǒng)、重要終端操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)的身份鑒別、訪問控制、安全審計(jì)和剩余信息保護(hù)方面的安全策略和防護(hù)措施，檢查主要服務(wù)器的入侵防范、惡意代碼防范和資源控制措施。（三十九）應(yīng)用安全控制測評。檢查主要應(yīng)用系統(tǒng)的身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯和資源控制等方面的安全策略和防護(hù)措施。（四十）數(shù)據(jù)安全控制測評。檢查主要系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)的完整性、保密性、備份和恢復(fù)方面的安全策略和防護(hù)措施。（四十一）信息化裝備自主可控測評。檢查信息系統(tǒng)在網(wǎng)絡(luò)、主機(jī)、安全、系統(tǒng)軟件和應(yīng)用軟件等信息化裝備的自主可控情況，檢查是否能夠促進(jìn)信息系統(tǒng)內(nèi)外結(jié)合的安全防護(hù)，保障信息系統(tǒng)運(yùn)行安全。第三節(jié) 信息安全管理控制審計(jì)第三十五條 信息安全管理控制審計(jì)的目的是通過檢查被審計(jì)單位信息系統(tǒng)的信息安全管理，評價信息安全管理的完整性和有效性，揭示信息安全管理缺失的問題，形成信息安全管理控制的審計(jì)評價和結(jié)論，提出審計(jì)意見和建議，促進(jìn)信息系統(tǒng)安全管理的有效性；為數(shù)據(jù)審計(jì)防范和控制審計(jì)風(fēng)險，以及審計(jì)項(xiàng)目對系統(tǒng)安全管理的審計(jì)評價提供支持。第三十六條 信息安全管理控制審計(jì)事項(xiàng)評價指標(biāo)：（四十二）安全管理機(jī)構(gòu)評價。檢查安全管理機(jī)構(gòu)是否健全，檢查崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查等情況。（四十三）安全管理制度評價。檢查安全管理制度體系是否包含總體方針、安全策略、管理制度、操作規(guī)程等文件，是否覆蓋物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)的建設(shè)及管理等內(nèi)容，檢查安全管理制度的制定、評審、發(fā)布、修訂和實(shí)施等情況。（四十四）人員安全管理評價。檢查人員錄用、人員離崗、人員考核、安全意識教育和培訓(xùn)、外部人員訪問管理等情況。（四十五）系統(tǒng)建設(shè)安全管理評價。檢查信息系統(tǒng)的安全定級、安全方案設(shè)計(jì)、產(chǎn)品采購和使用、軟件的自行開發(fā)與外包開發(fā)、工程實(shí)施、測試驗(yàn)收、系統(tǒng)交付、系統(tǒng)安全備案和安全服務(wù)商選擇等情況。（四十六）系統(tǒng)運(yùn)維安全管理評價。檢查環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等情況。系統(tǒng)運(yùn)維采用第三方外包方式的，要重點(diǎn)檢查第三方運(yùn)維管理是否有利于系統(tǒng)運(yùn)維安全，是否存在影響信息系統(tǒng)安全性方面的問題。第五章 項(xiàng)目管理審計(jì)第一節(jié) 信息系統(tǒng)建設(shè)經(jīng)濟(jì)性評價第三十七條 信息系統(tǒng)建設(shè)經(jīng)濟(jì)性審計(jì)的目的是通過檢查 被審計(jì)單位信息系統(tǒng)規(guī)劃、建設(shè)、應(yīng)用和運(yùn)維的經(jīng)濟(jì)性，發(fā)現(xiàn)系統(tǒng)建設(shè)不經(jīng)濟(jì)的問題，形成審計(jì)結(jié)論，提出審計(jì)意見和建議，促進(jìn)信息化建設(shè)投資的有效性，并為審計(jì)項(xiàng)目對信息系統(tǒng)建設(shè)經(jīng)濟(jì)性的審計(jì)評價提供支持。第三十八條 信息系統(tǒng)規(guī)劃經(jīng)濟(jì)性審計(jì)事項(xiàng)評價指標(biāo)：（四十七）總體規(guī)劃經(jīng)濟(jì)性評價。檢查信息系統(tǒng)是否進(jìn)行了總體規(guī)劃，是否按照職能需求實(shí)施了總體目標(biāo)、分期建設(shè)目標(biāo)和考核指標(biāo)的整體設(shè)計(jì)，頂層設(shè)計(jì)總體框架是否具備業(yè)務(wù)發(fā)展的可擴(kuò)展性、信息系統(tǒng)的可持續(xù)性、系統(tǒng)應(yīng)用對經(jīng)濟(jì)社會發(fā)展的效益性。重點(diǎn)檢查信息系統(tǒng)及其各子系統(tǒng)的生命周期，評價總體規(guī)劃的經(jīng)濟(jì)性。（四十八）業(yè)務(wù)整合規(guī)劃經(jīng)濟(jì)性評價。檢查信息系統(tǒng)是否按照組織目標(biāo)和職能業(yè)務(wù)特征要求進(jìn)行了業(yè)務(wù)和管理的流程再造、信息共享、系統(tǒng)功能整合與復(fù)用等方面的整合規(guī)劃，避免信息孤島和投資浪費(fèi)。（四十九）行業(yè)整合規(guī)劃經(jīng)濟(jì)性評價。檢查信息系統(tǒng)是否按照行業(yè)信息化特征要求進(jìn)行了統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、推廣應(yīng)用、信息共享和業(yè)務(wù)協(xié)同，是否有效避免本行業(yè)同類業(yè)務(wù)的重復(fù)建設(shè)和重復(fù)投資。（五十）技術(shù)特征規(guī)劃經(jīng)濟(jì)性評價。檢查被審計(jì)單位按照經(jīng)濟(jì)業(yè)務(wù)活動對信息系統(tǒng)運(yùn)行的不可間斷性、并發(fā)性和系統(tǒng)響應(yīng)速度，以及數(shù)據(jù)存儲量、傳輸量和處理量等方面的技術(shù)特征需求，進(jìn)行的主機(jī)、網(wǎng)絡(luò)、安全、應(yīng)用等技術(shù)架構(gòu)和技術(shù)裝備性能配置方面的規(guī)劃設(shè)計(jì)，是否具有合理性、經(jīng)濟(jì)性和有效性，避免技術(shù)裝備性能過度冗余和投資浪費(fèi)。第三十九條 信息系統(tǒng)建設(shè)經(jīng)濟(jì)性審計(jì)事項(xiàng)評價指標(biāo)：（五十一）建設(shè)規(guī)劃經(jīng)濟(jì)性評價。檢查分期建設(shè)的信息系統(tǒng)是否按照總體規(guī)劃要求較好地實(shí)施了業(yè)務(wù)整合、管理整合及其行業(yè)應(yīng)用整合，技術(shù)架構(gòu)和技術(shù)性能裝備配置是否具有合理性、經(jīng)濟(jì)性和有效性，系統(tǒng)建設(shè)投資是否合理。（五十二）招標(biāo)采購經(jīng)濟(jì)性評價。檢查是否按照建設(shè)規(guī)劃進(jìn)行了利用原有信息資產(chǎn)和新購技術(shù)裝備的整體