【正文】 建設(shè)經(jīng)濟性評價第三十七條 信息系統(tǒng)建設(shè)經(jīng)濟性審計的目的是通過檢查 被審計單位信息系統(tǒng)規(guī)劃、建設(shè)、應(yīng)用和運維的經(jīng)濟性，發(fā)現(xiàn)系統(tǒng)建設(shè)不經(jīng)濟的問題，形成審計結(jié)論，提出審計意見和建議，促進信息化建設(shè)投資的有效性，并為審計項目對信息系統(tǒng)建設(shè)經(jīng)濟性的審計評價提供支持。檢查環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等情況。檢查信息系統(tǒng)的安全定級、安全方案設(shè)計、產(chǎn)品采購和使用、軟件的自行開發(fā)與外包開發(fā)、工程實施、測試驗收、系統(tǒng)交付、系統(tǒng)安全備案和安全服務(wù)商選擇等情況。檢查人員錄用、人員離崗、人員考核、安全意識教育和培訓(xùn)、外部人員訪問管理等情況。檢查安全管理制度體系是否包含總體方針、安全策略、管理制度、操作規(guī)程等文件，是否覆蓋物理、網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)的建設(shè)及管理等內(nèi)容，檢查安全管理制度的制定、評審、發(fā)布、修訂和實施等情況。檢查安全管理機構(gòu)是否健全，檢查崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查等情況。第三節(jié) 信息安全管理控制審計第三十五條 信息安全管理控制審計的目的是通過檢查被審計單位信息系統(tǒng)的信息安全管理，評價信息安全管理的完整性和有效性，揭示信息安全管理缺失的問題，形成信息安全管理控制的審計評價和結(jié)論，提出審計意見和建議，促進信息系統(tǒng)安全管理的有效性；為數(shù)據(jù)審計防范和控制審計風(fēng)險，以及審計項目對系統(tǒng)安全管理的審計評價提供支持。（四十一）信息化裝備自主可控測評。（四十）數(shù)據(jù)安全控制測評。（三十九）應(yīng)用安全控制測評。（三十八）主機安全控制測評。（三十七）網(wǎng)絡(luò)安全控制測評。第三十四條 信息安全技術(shù)控制審計事項測評指標(biāo)：（三十六）物理安全控制測評。檢查被審計單位是否建立健全了信息系統(tǒng)建設(shè)和運維全過程的內(nèi)部監(jiān)督機構(gòu)和監(jiān)督機制，是否形成了對信息系統(tǒng)的風(fēng)險評估、控制活動和信息交互等方面的有效控制和監(jiān)督，是否較好地發(fā)揮了促進信息系統(tǒng)健康運行的監(jiān)督保障作用。檢查被審計單位信息系統(tǒng)規(guī)劃、建設(shè)、運維等方面的崗位設(shè)置、人員配置、崗位職責(zé)，是否建立了各類崗位職責(zé)的檢查考核機制，是否建立了信息系統(tǒng)建設(shè)和經(jīng)濟業(yè)務(wù)活動之間、信息系統(tǒng)建設(shè)的相關(guān)崗位之間有效的信息溝通與交互機制。檢查被審計單位是否建立了與信息系統(tǒng)戰(zhàn)略規(guī)劃和組織架構(gòu)相匹配的項目管理制度、項目建設(shè)制度、質(zhì)量檢查制度等，是否建立了重大問題的決策機制，是否形成了領(lǐng)導(dǎo)機構(gòu)對項目實施機構(gòu)和行業(yè)工作機構(gòu)的統(tǒng)一領(lǐng)導(dǎo)，項目實施機構(gòu)是否形成了對項目建設(shè)進度、項目質(zhì)量、投資效果和風(fēng)險防范的有效控制。檢查被審計單位是否建立了與信息系統(tǒng)戰(zhàn)略發(fā)展規(guī)劃相匹配的決策與管理層領(lǐng)導(dǎo)機構(gòu)、項目實施層工作機構(gòu)，以及行業(yè)內(nèi)各層級的信息化工作機構(gòu)，是否建立了各類機構(gòu)的權(quán)力責(zé)任和制約機制，是否有效地發(fā)揮了各類機構(gòu)的作用。檢查被審計單位是否建立了信息系統(tǒng)戰(zhàn)略發(fā)展規(guī)劃，是否明確了戰(zhàn)略目標(biāo)、整體規(guī)劃、實現(xiàn)指標(biāo)和相應(yīng)的實施機制，以及規(guī)劃的業(yè)務(wù)和管理的覆蓋面、所轄行業(yè)的覆蓋面，是否能夠指導(dǎo)和推進信息化環(huán)境下經(jīng)濟業(yè)務(wù)活動的戰(zhàn)略發(fā)展。第四章 一般控制審計第一節(jié) 信息系統(tǒng)總體控制審計第三十一條 信息系統(tǒng)總體控制審計的目的是通過檢查被審計單位信息系統(tǒng)總體控制的戰(zhàn)略規(guī)劃、組織架構(gòu)、制度機制、崗位職責(zé)、內(nèi)部監(jiān)督等，分析信息系統(tǒng)在內(nèi)部環(huán)境、風(fēng)險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督方面的有效性及其風(fēng)險，形成信息系統(tǒng)總體控制的審計評價和結(jié)論，提出審計意見和建議，促進信息系統(tǒng)總體控制的完善，并為審計項目對信息系統(tǒng)總體控制的審計評價提供支持。（三十）供給外部數(shù)據(jù)有效性評估。第三十條 供給外部數(shù)據(jù)審計事項測評指標(biāo)：（二十九）供給外部數(shù)據(jù)測評。（二十八）共享外部數(shù)據(jù)有效性評估。第二十九條 共享外部數(shù)據(jù)審計事項測評指標(biāo)：（二十七）共享外部數(shù)據(jù)測評。（二十六）信息共享平臺建設(shè)測評。（二十五）其他共享信息建設(shè)測評。第二十八條 共享信息建設(shè)審計事項測評指標(biāo)：（二十四）公共基礎(chǔ)信息建設(shè)測評。（二十三）信息資源標(biāo)準(zhǔn)化測評。（二十二）內(nèi)部數(shù)據(jù)和外部數(shù)據(jù)測評。（二十一）數(shù)據(jù)元素和數(shù)據(jù)庫表測評。（二十）元數(shù)據(jù)和主數(shù)據(jù)測評。（十九）信息資源交換體系測評。第二十七條 信息共享與業(yè)務(wù)協(xié)同審計事項測評指標(biāo)：（十八）信息資源目錄體系測評。檢查運行系統(tǒng)向備份系統(tǒng)、備份系統(tǒng)向恢復(fù)系統(tǒng)數(shù)據(jù)輸出的身份與權(quán)限控制是否合理、有效。檢查系統(tǒng)內(nèi)部相關(guān)子系統(tǒng)之間、系統(tǒng)與外部系統(tǒng)之間通過信息交換或者信息共享方式數(shù)據(jù)輸出功能的身份與權(quán)限控制。檢查利用單項檢索、組合檢索等檢索工具對系統(tǒng)中部分?jǐn)?shù)據(jù)或者全部數(shù)據(jù)的檢索輸出功能的身份與權(quán)限控制。檢查計算機顯示、打印和介質(zhì)拷貝等數(shù)據(jù)輸出功能的身份與權(quán)限控制。檢查系統(tǒng)中經(jīng)濟業(yè)務(wù)活動的財政財務(wù)科目匯總、報表匯總和相關(guān)業(yè)務(wù)匯總等功能實現(xiàn)的控制，是否符合國家、行業(yè)或者單位的相關(guān)規(guī)定和規(guī)范。檢查系統(tǒng)中經(jīng)濟業(yè)務(wù)活動的計量、計費、核算、分析，以及數(shù)據(jù)勾稽、數(shù)據(jù)平衡、斷號重號等計算功能的控制，是否符合國家、行業(yè)或者單位的相關(guān)規(guī)定和規(guī)范。檢查采集數(shù)據(jù)的分類入庫、數(shù)據(jù)庫中相關(guān)數(shù)據(jù)的清洗、數(shù)據(jù)庫間和數(shù)據(jù)表間的數(shù)據(jù)抽取與合并、數(shù)據(jù)庫或者數(shù)據(jù)表的生成與廢除等功能的控制，是否符合系統(tǒng)需求和設(shè)計要求。檢查系統(tǒng)采集外部數(shù)據(jù)和轉(zhuǎn)換過程中的各項控制，是否符合國家、行業(yè)或者單位的數(shù)據(jù)轉(zhuǎn)換標(biāo)準(zhǔn)和格式規(guī)范。檢查數(shù)據(jù)備份與恢復(fù)的數(shù)據(jù)接收功能的身份與權(quán)限控制是否合理、有效，接收數(shù)據(jù)與輸出數(shù)據(jù)是否一致。檢查系統(tǒng)有無設(shè)置不符合國家、行業(yè)或者單位規(guī)范的數(shù)據(jù)共享與交換功能，用戶或者系統(tǒng)的數(shù)據(jù)共享與交換的身份與權(quán)限控制是否合理、有效。檢查錄入、導(dǎo)入接口等采集的數(shù)據(jù)、緩沖區(qū)數(shù)據(jù)與進入數(shù)據(jù)庫的最終數(shù)據(jù)是否一致。檢查數(shù)據(jù)錄入、導(dǎo)入接口等數(shù)據(jù)采集功能的校驗控制是否符合國家、行業(yè)或者單位的規(guī)定，校驗控制是否有效。檢查系統(tǒng)有無設(shè)置不符合國家、行業(yè)或者單位規(guī)范的數(shù)據(jù)修改或者刪除功能，用戶數(shù)據(jù)修改和刪除等身份與權(quán)限控制是否合理、有效。檢查系統(tǒng)有無設(shè)置不符合國家、行業(yè)或者單位規(guī)范的數(shù)據(jù)錄入、導(dǎo)入接口等數(shù)據(jù)采集功能，數(shù)據(jù)采集的身份與權(quán)限控制是否合理、有效。第二十二條 審計人員應(yīng)當(dāng)在調(diào)查了解被審計單位信息系統(tǒng)所承載的經(jīng)濟業(yè)務(wù)活動的業(yè)務(wù)流、資金流和信息流基礎(chǔ)上，按照不同經(jīng)濟業(yè)務(wù)活動的數(shù)據(jù)輸入、處理和輸出功能，分類建立測評指標(biāo)，開展測評和審計分析。檢查系統(tǒng)業(yè)務(wù)流程實現(xiàn)功能的合理性，各類功能操作是否能夠滿足經(jīng)濟業(yè)務(wù)活動的需要，問題管理、應(yīng)急處理和系統(tǒng)控制等功能是否有效。檢查系統(tǒng)業(yè)務(wù)處理的正確性和控制的有效性，各流程節(jié)點的操作是否反映了經(jīng)濟業(yè)務(wù)活動的審批及處理過程要求，是否設(shè)置了相同業(yè)務(wù)處理的自動批量操作，是否對重要的業(yè)務(wù)流程處理實施了有效的控制和校驗，接口處理是否正確，控制是否有效等。檢查業(yè)務(wù)流程設(shè)計的完備性，是否滿足經(jīng)濟業(yè)務(wù)活動的需求，是否實施了業(yè)務(wù)流程整合、還原或者再造，是否避免了重復(fù)操作，關(guān)鍵環(huán)節(jié)、關(guān)鍵節(jié)點和關(guān)鍵崗位是否具備不相容職責(zé)分離等必要的控制。第三章 應(yīng)用控制審計第一節(jié) 信息系統(tǒng)業(yè)務(wù)流程控制審計第十九條 信息系統(tǒng)業(yè)務(wù)流程控制審計的目的是通過檢查被審計單位信息系統(tǒng)承載的經(jīng)濟業(yè)務(wù)活動的發(fā)生、處理、記錄和報告的業(yè)務(wù)流程和業(yè)務(wù)循環(huán)過程，評價系統(tǒng)業(yè)務(wù)流程控制的合理性和有效性，揭示系統(tǒng)業(yè)務(wù)流程設(shè)計缺陷、控制缺失等問題，形成審計結(jié)論，提出審計意見和建議；為防范和控制數(shù)據(jù)審計風(fēng)險，以及審計項目對信息系統(tǒng)業(yè)務(wù)流程控制的審計評價提供支持。必要時可聘請外部專家或者委托專業(yè)機構(gòu)開展專項檢查和評價。第十八條 審計人員應(yīng)當(dāng)具備信息系統(tǒng)審計的基本知識和技能。第十七條