请问我们进行IT审计，有没有国家标准

jerryhero

原帖由 落日孤帆 于 2008-11-18 23:36 发表
无论是IT审计，还是业务审计，国家规定的流程制度都是比较粗的，一般其他银行或企业会细化制度稳定。
在审计过程中，如果找不到相关制度，又碰上了“别的部门一直追问，为什么我这么做不行？你建议的我们为什么要遵守？我们怎么办？”这样的问题：
1、关键还是找出风险点，在风险面前，制度标准也无非是防范风险，如果你能把风险点讲清楚，也就回答了客户的“为什么我这么做不行？”；
2、审计人员会给出建议，但也可能就是无法给出建议，前者当然要考虑建议的可执行性，后者也正常，因为IT技术很复杂，我们找出风险，不代表我们是该领域的专家，如何修复风险需要IT和相关部门共同研究，甚至，管理层评估下来认为可以接受这个风险，都是可接受的。

cisamaqing

规定永远是粗线条的，尤其是主管部门的，但是没有红头文件的客户认为不权威，我们要做的就是和客户沟通，这个流程你做了什么，为什么这样做，这样做是否能够达到可容忍的风险水平。

knight_cao

从信息化事业整体来看，安全已经是标准性比较强的了，有很多标准需要遵照或者可以参考。
   但就审计而言，不同的环境下，审计的含义又是不同的，首先应该确定你的审计是做什么？一个含义是对信息系统或企业信息安全的审计、一个含义是对用户操作的审计、另一个含义是针对管理员操作进行审计。
   看前几楼的帖子都是就第一个含义而说的，就这个意义上，信息系统等级保护应该是全行业都需要遵照的，而且等级保护目前已经有了非常明确的，可执行和评准的标准，可以参考《基本要求》等。
   其它各行业多数有标准或红头文件要求，金融业需要参照《银监发[2007]63号》、证监会也有相关文件对证券行业做出要求，人民银行在94年发过一个计算机管理办法。虽然说这些要求是相对比较粗的，但实际能够100%达到要求的企业又是聊聊无几。涉及国家秘密的信息系统需要遵BMB标准，目前主要是17，20，22，23。军队系统的需要遵国军标。
   最后就是一些国际标准可以参考，总体结构可参考ISO17799、ISO27001等，具体问题可参考的标准就更多了，如应急预案可以参考NIST SP.800等。
   总体而言信息安全方面标准还是比较丰富的。

wx0112

原帖由 knight_cao 于 2008-12-24 13:50 发表
从信息化事业整体来看，安全已经是标准性比较强的了，有很多标准需要遵照或者可以参考。
   但就审计而言，不同的环境下，审计的含义又是不同的，首先应该确定你的审计是做什么？一个含义是对信息系统或企业信息安全的审计、一个含义是对用户操作的审计、另一个含义是针对管理员操作进行审计。
   看前几楼的帖子都是就第一个含义而说的，就这个意义上，信息系统等级保护应该是全行业都需要遵照的，而且等级保护目前已经有了非常明确的，可执行和评准的标准，可以参考《基本要求》等。
   其它各行业多数有标准或红头文件要求，金融业需要参照《银监发[2007]63号》、证监会也有相关文件对证券行业做出要求，人民银行在94年发过一个计算机管理办法。虽然说这些要求是相对比较粗的，但实际能够100%达到要求的企业又是聊聊无几。涉及国家秘密的信息系统需要遵BMB标准，目前主要是17，20，22，23。军队系统的需要遵国军标。
   最后就是一些国际标准可以参考，总体结构可参考ISO17799、ISO27001等，具体问题可参考的标准就更多了，如应急预案可以参考NIST SP.800等。
   总体而言信息安全方面标准还是比较丰富的。

谢谢指教。关于证监会方面的，能不能给几个网站什么的。你说的“基本要求”都在那里能够下载或者购买或者阅读？

谢谢

appppa

很多时候应该设身处地为客户or auditee 想想，确实很多时候没必要这么做。从综合的环境去看风险，去提建议，考虑客户的企业性质，考虑客户的财力人力物力，再给建议。
为什么我这么做不行？为什么我要去遵守？---
原因1：风险很大；-----------（一个控制点的风险大，可以想想有没有其他的控制点或着客观环境可以mitigate这个风险）
原因2：我们公司（auditor）审计标准手册要求（暂且这么叫，说了这个原因，同样会招鄙视）
原因3：你们公司（auditee）控制目标要求（HIGHLEVEL）
原因4：比如SOX,ISO等其他（除非这家公司有必要符合这些要求，不然告诉他sox要求的，他会很鄙视的）

[ 本帖最后由 appppa 于 2008-12-28 11:03 编辑 ]