對基于COBIT 的信息系統審計框架初探

彭鍇

（廣東電網有限責任公司汕頭供電局，廣東汕頭 515041）

0.引言

信息系統審計已經成為保障信息系統運行安全、穩定和有效的重要方法，眾多國際審計組織紛紛提出了信息系統審計標準和指南，其中最具影響力的就是COBIT 準則。為此，相關工作人員應該深入研究COBIT 準則，并且以此為基礎構建信息系統審計框架，為進一步提升信息系統審計質效奠定基礎。

1.信息系統審計概述

計算機軟硬件、信息資料、互聯網、通訊設備、信息用戶和規章制度共同組成了信息系統，該系統的主要作用是處理信息流，屬于人機一體化系統，可以為使用者提供管理和決策支持[1]。在實際作業環節，信息系統的應用將有效解決信息孤島問題，可以發揮巨大的實用價值。隨著信息系統應用的普及以及使用者對信息系統依賴性的增強，保障信息系統安全穩定運行變得尤為重要。在此環節，信息系統審計應運而生，這一工作基于特定準則和標準，對信息系統進行開發、維護等環節的檢測與評價，可為提升信息系統有效性奠定基礎。在實踐中，相關工作人員可以通過審計工作，保護信息系統的資產完整性和數據真實性，還能讓信息系統更具合法性、合規性、安全性和穩定性。

2.基于COBIT 的信息系統審計框架構建要點

信息系統審計必須基于相應的審計規則和目標開展，而在國際上與信息系統審計相關的準則十分豐富。比如，由國際信息系統審計與控制協會發布（ISACA）的COBIT準則；由國際內部審計師協會（IIA）發布的GTAG 準則和GAIT 準則；由美國審計署（GAO）發布的FISCAM準則；由英國中央計算機與電信局（CCTA）發布的TTIL準則；由國際標準化組織（ISO）發布的國際信息安全管理標準BS7799 和ISO17799 都屬于國際信息系統審計準則。雖然，不同的信息系統審計準則存在細微差異，但他們在系統控制和安全服務評價方面具有一致功能。因此，本文以COBIT 為審計準則，并以此為基礎對信息系統審計框架進行了簡要分析。

2.1 COBIT 準則

COBIT 是Control Objectives for Information and related Technology 的簡稱，在國內我們將之稱為信息系統和技術控制目標。這一標準是國際公認的IT 管理和控制標準，也是最受認可的信息系統審計準則，在全球范圍內100 多個國家和組織中得到了廣泛應用。與其他信息系統審計準則相比，COBIT 的架構體系更為科學，整體呈現業務中心、流程導向、控制基礎和績效測評驅動的特點，可以為實現信息系統全生命周期審計奠定基礎[2]。同時，這一準則的內容也十分完善，涵蓋了技術和非技術層面的內容。

2.2 信息系統審計框架

2.2.1 系統設計

在建立基于COBIT 的信息系統審計框架前，必須對信息技術的治理和管理原則進行明確。目前，治理和管理IT 業務的主要框架為COBIT5.0，它的5 大原則分別為：（1）滿足利益相關者需求；（2）端到端覆蓋；（3）采用單一集成框架；（4）啟用一種綜合的方法；（5）區分治理與管理。在構建基于COBIT 的信息系統審計框架時，必須嚴格遵守這幾大原則，并且要保證審計框架與實際要求相符。在實踐中，相關工作人員應該先對信息系統審計流程進行設計。對于信息系統而言，其整體生命周期應該涵蓋4 個階段，每個階段的任務各不相同。

在規劃階段，信息系統應該以制定企業IT 戰略、總體方案和評判方案可行性為任務；開發階段的任務則是做好信息系統開發形式選定并完成相應的系統開發和設計；接收和實現階段的任務是開展信息系統安全、性能以及容量測試和新舊系統轉換，并開展員工實操培訓；運行維護階段的任務則是有效開展系統運維，保障系統運行穩定和安全。在這一環節，COBIT 將貫穿系統的整體生命周期，其中，COBIT 的計劃與組織域與信息系統階段相對應、獲取與實施階段和信息系統的開發階段相對應、交付與支持階段跟信息系統的接收與實現階段相對應，而COBIT的監控與評價域則和信息系統的運行維護階段相對應。

在設計基于COBIT 的信息系統審計框架時，相關工作人員應該將框架核心設定為信息系統的控制目標。基于審計范圍，基于COBIT 的信息系統審計框架可將審計工作分為面向系統和數據兩種，前者是對信息系統一般控制的審計，后者則是對其應用控制的審計。

如圖1 所示，在基于COBIT 的信息系統審計框架中，系統層面包括組織管理、配置管理和信息系統生命周期管理3 部分；數據層面則包含應用程序和數據文件兩部分。在此環節，使用者可以基于COBIT 管理完成信息系統的數據和系統管控，又能基于該指南完成數據和系統審計，還能依托于審計證據來客觀評價信息系統性能，并提出相應的改進意見。

圖1 基于COBIT的信息系統審計框架

2.2.2 應用案例

在信息系統數量日漸增加，人員流動性大的情況下，容易出現事件無法定責和賬戶管理缺失等問題。而安全堡壘平臺產品可定義管理組織、運維組織，可配置人員權限、人員操作審計，使所有參與信息系統管理和運維的人員實名登錄系統，實現信息系統管理和運維人員的授權控制和過程監控并對管理運維操作進行全程記錄，為系統審計提供保障。在管理和運維合規的正常運行表象之下，系統實際可能存在諸多亟需改善的地方，例如用戶某些習慣性操作（或者嘗試性的dos 攻擊或賬戶竊取），長時間下來可能給信息系統累積了隱患，使系統性能逐漸下降。又或者運維人員升級了一部分代碼，而代碼存在bug，為系統埋下了不穩定因素。而信息系統數據審計工具可基于預定義或自定義的規則，對系統運行數據和代碼進行自動判別和警告，節省了大量的人力和時間，有利于管理員及時發現不當軌跡，采取措施予以遏制。

3.結語

COBIT 是實現信息系統審計的主要標準之一，在實踐中構建基于COBIT 的信息系統審計框架可以為有效開展信息系統審計提供保障。在實際作業環節，相關工作人員要深入研究和分析COBIT 的內涵、控制目標和價值，還應該對信息系統審計的目標加以確定，并利用COBIT構建完善的審計流程和框架，為提高信息系統審計工作質效提供指導。