第三章  信息系统审计


              永久的维护小组。在对维护组织进行审计时，审计人员应该考虑维护组织的大小
              是否适应信息系统的规模的要求，组织中人员的职责分工是否明确，以及是否有
              一套科学的内部管理机制和协调工作机制。
                  当接到维护申请后，维护小组首先应根据具体情况制订维护计划，维护计划

              的主要内容包括：维护任务的性质和范围，维护任务所需要的资源，确认维护的
              要求、维护的费用预算以及进度计划等。审计人员在对维护计划进行审计时，主
              要审计维护计划的内容是否完整，维护资源的配置是否明确，维护费用的预算是
              否能满足维护活动的需要，进度安排是否合理等。

                  制订计划后，就可以开始实施具体的维护工作。系统测试人员一般要先分析
              和理解源程序，在分析和理解程序后再设计程序的修改计划，接着就可以对程序
              代码进行修改了。在整个过程中，审计人员应检查维护计划是否是在分析和理解
              程序后进行的；程序设计说明书是否按维护计划进行修改并得到了负责人的认可；

              程序的修改是否在得到维护负责人的同意后才得以实施，是否按照修改后的程序
              设计说明书进行的修改。
                  最后就是对维护活动的验收，即维护确认工作。审计人员要考虑修改程序的
              测试工作是否按照维护测试计划进行的，是否有用户参与到修改程序的测试中，

              修改后的程序是否进行了与新开发的程序同等程度的测试，最后是否得到开发、
              运行、维护及用户负责人的认可。对于测试数据及其结果要检查是否记录并妥善
              地保存下来。

                  四、信息系统安全审计


                  和传统的审计概念不同的是，安全审计应用于计算机网络信息安全领域，是
              对安全控制和事件的审查评价。国际标准 ISO/IEC 15408 对网络安全审计的概念
              和功能做了较为具体的定义。由于不存在绝对安全的系统，所以安全审计系统作
              为和其他安全措施相辅相成、互为补充的安全机制，是非常必要的。CC 准则特

              别规定了信息系统的安全审计功能需求。
                  （一）信息系统安全审计的概念
                  安全审计是在传统审计学、信息管理学、计算机安全、行为科学、人工智能

              等学科相互交叉基础上发展的一门新学科。和传统的审计概念不同的是，安全审
              计应用于计算机网络信息安全领域，是对安全控制和事件的审查评价。


                                                                                      51