当前,我国审计机关不同程度地开展了信息系统审计,并取得了一定成果。信息系统审计不仅关注被审计单位信息系统的真实性、合规性,同时也是对被审计单位落实国家信息系统相关政策情况的检验。信息系统审计同样可以开展“政策审计”,以政策措施为主线开展审计,特别关注政策措施是否落实、落实的时间、落实的效果、落实中出现的问题及新情况等方面,建立信息系统法律法规遵循性审计的方法和规范。充分体现审计这一高层次监督效能。
近几年,为开展信息系统安全等级保护工作,国家颁布了一系列的法律法规和技术标准,如《信息安全等级保护管理办法》(公通字[2007]43号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》等,建立起国家重要信息系统安全保护制度体系。而被审计单位通常信息化程度较高,且其重要业务均依赖信息系统完成,一般都纳入国家重要信息系统等级保护体系。信息安全等级保护政策审计需要在深刻理解国家相关政策的基础上,综合运用多种审计方法,对被审计单位落实等级保护政策的情况做出综合评价。
一、信息安全等级保护政策审计的审前调查
如同传统审计,信息安全等级保护政策审计也需要做审前调查,制定详细的实施方案。审前调查的主要工作内容包括:一是掌握被审计单位的整体信息部门的总体情况,包括信息部门的管理体制、机构设置、人员编制情况,规章制度、重要会议记录和有关文件以及以往接受审计的相关情况等,做到心中有数,全面掌握。二是初步掌握被审计单位信息系统纳入等级保护范围的情况,包括了解所有信息系统的功能、在业务流程中扮演的角色、对社会秩序和国家安全的影响程度,重点关注影响国计民生和社会安全的重要信息系统。三是设计模拟定级流程,绘制模拟定级过程涉及的表单,确定量化定级的计算模型。四是调查被审计单位开展信息系统安全等级保护后续工作的情况,检查被审计单位有无遵循相关法律法规的规定,是否将后续工作做到实处。
审前调查的首要任务是梳理国家和地方的相关政策,深刻理解政策颁布的初衷和内涵。以广东省为例,除国家颁布的上述法规外,广东省还颁布了《广东省信息系统安全保护条例》,《广州市重要信息系统安全等级保护定级工作实施方案》等。审计人员必须吃透这些法律法规,并对照其中的规定,制定可行的实施方案。
二、信息安全等级保护政策审计的实施过程
在审计实践中,经常会遇到被审计单位为逃避有关部门监管,故意漏报应纳入保护范畴的信息系统数目的情况,此时需要根据审前调查的结果,对整体信息系统进行评估,判定哪些信息系统应纳而未纳入等级保护体系。审计人员需要参考有关法规,按照信息系统的重要程度对系统进行分类判定,初步排查应纳入等级保护体系的信息系统。在此过程中,审计人员可根据行业的重要程度、被审计单位在行业中的排名和地位、同行业相关系统对比、公安部门颁布的相关参考意见以及系统扮演的业务角色等方面进行综合判断。
对于已纳入定级范围的信息系统,应重点关注其定级是否合理,是否真实反映系统的重要程度。在时间紧、任务重的情况下,审计人员可选取被审计单位中某些信息安全等级高而实际中定级偏低的系统,在技术和管理的各个层面进行安全控制的整体性验证。包括分析系统的业务流程,还原定级过程,重点揭示定级过程中可能存在的问题等。在模拟定级过程中,审计人员根据审前调查设计的表单,对照表单中需要验证的内容进行专业评分,根据评分结果和审前调查确定的量化定级的计算模型,对系统的安全级别进行科学评定。,被审计单位有时出于多种目的,故意将信息系统定级偏低,审计人员必须坚持自己的判定,做到有理有据,不可听信被审计单位的一面之词,要站在政策审计的高度,指出被审计单位在定级过程中存在的问题。
对已纳入定级范围的信息系统还应重点检查其是否按照相关规定开展后续工作,这是一般被审计单位落实等级保护政策的薄弱环节。审计人员可通过走访、调查等方式,了解被审计单位是否已开展自查和整改等工作,必要的时候可展开差异测试,从而可评估被审计单位是否真正重视信息系统等级保护工作。
三、信息安全等级保护政策审计报告
一般而言,信息安全等级保护政策审计属于信息系统审计的一个内容,其结果既可综合到信息系统审计报告中,亦可出具单独的审计报告。除反映被审计单位落实信息安全等级保护政策的情况外,可结合实际,注重从政策措施以及体制、机制、制度层面发现问题并提出审计意见和建议,充分发挥审计“免疫系统”的功能。