6.3.2 信息系统审计的必要性
信息系统审计是网络安全工作中的一个部分。在信息系统审计中,审计人员需要信息系统技术的支持,以高效地获取、分析和验证从信息系统输出的财务数据的准确性。信息系统审计是安全管理体系PDCA循环中c,heck阶段的主要手段之一。+一个组织要想实现真正的网络安全,应该准确职责分离的重要原则,在组织机构内部构造出承担不同职责的团队,相互协调配合,分工合作,并通过独立、有效的审计,提高组织的网络安全水平和台黾力。这三支团队可以成为组织信息安全的“三道防线”。
“一道防线”:业务及操作层面的自我约束,职责是识别和管理业务固有风险,对风险实时控制和自我监督,是风险管理的直接责任者;
“二道防线”:具体风险的专职管理,职责是建立风险管理框架,实施独立的风险计量、监测和报告等,确保风险管理政策及措施有效执行,将风险控制在可接受水平;
“三道防线”:独立的监督评价职能(通常指内部审计),职责是对风险管理的相关控制、流程和系统等进行独立审阅和检查,促进一、二道防线积极履职以及风险管理体系的健全和有效,从而保障业务的健康稳健发展及组织目标的实现。
而信息系统风险是企业风险管理中的重要内容,信息安全事故的发生会给企业正常的业务运行带来巨大隐患,影响企业的业务连续性。各组织为应对日益增加的信息安全问题,降低信息安全风险,应定期实施信息系统审计,将其作为第三道防线来保障企业的信息安全。