［收稿日期］20110324

［基金項(xiàng)目］教育部人文社會(huì)科學(xué)研究規(guī)劃項(xiàng)目（10YJA790182）；南京審計(jì)學(xué)院校級(jí)一般項(xiàng)目（NSK2009/B22）；江蘇省優(yōu)勢(shì)學(xué)科“審計(jì)科學(xué)與技術(shù)”研究項(xiàng)目

［作者簡(jiǎn)介］劉國(guó)城（1978— ），男，內(nèi)蒙古赤峰人，南京審計(jì)學(xué)院講師，碩士，從事審計(jì)理論研究。

第27卷第3期2012年5月審計(jì)與經(jīng)濟(jì)研究JOURNAL OF AUDIT & ECONOMICSVol.27, No. 3May, 2012

［摘要］在分析中觀信息系統(tǒng)風(fēng)險(xiǎn)與損失的成因基礎(chǔ)上，借鑒BS7799標(biāo)準(zhǔn)，一方面從物理層次與邏輯層次兩個(gè)方面研究中觀信息系統(tǒng)固有風(fēng)險(xiǎn)的評(píng)價(jià)模式；另一方面從一般控制與應(yīng)用控制兩個(gè)層面探索中觀信息系統(tǒng)內(nèi)部控制的評(píng)價(jià)機(jī)制?；贐S7799標(biāo)準(zhǔn)對(duì)中觀信息系統(tǒng)審計(jì)進(jìn)行研究，旨在為IT審計(jì)師有效實(shí)施中觀信息系統(tǒng)審計(jì)提供應(yīng)用指南。

［關(guān)鍵詞］BS7799標(biāo)準(zhǔn)；中觀審計(jì)；信息系統(tǒng)審計(jì)；內(nèi)部控制；中觀信息系統(tǒng)；中觀信息系統(tǒng)風(fēng)險(xiǎn)

［中圖分類號(hào)］F239.4［文獻(xiàn)標(biāo)識(shí)碼］A［文章編號(hào)］10044833(2012)03005007

所謂中觀信息系統(tǒng)審計(jì)就是指審計(jì)主體依據(jù)特定的規(guī)范，運(yùn)用科學(xué)系統(tǒng)的程序方法，對(duì)中觀信息系統(tǒng)網(wǎng)絡(luò)的運(yùn)行規(guī)程與應(yīng)用政策實(shí)施的一種監(jiān)督活動(dòng)，旨在增強(qiáng)中觀經(jīng)濟(jì)主體特定信息網(wǎng)絡(luò)的有效性、安全性、機(jī)密性與一致性，以保障中觀信息系統(tǒng)的高效運(yùn)行［1］。中觀信息系統(tǒng)的審計(jì)主體即IT審計(jì)師需要重視中觀信息系統(tǒng)審計(jì)的復(fù)雜性，且有必要借助BS7799標(biāo)準(zhǔn)，構(gòu)建并完善中觀信息系統(tǒng)審計(jì)的實(shí)施流程，優(yōu)化中觀信息系統(tǒng)審計(jì)工作，提高審計(jì)質(zhì)量。之所以需要借助BS7799標(biāo)準(zhǔn)，是因?yàn)锽S7799標(biāo)準(zhǔn)的眾多功能可以滿足中觀信息系統(tǒng)審計(jì)工作的需求。在尚未有詳細(xì)信息系統(tǒng)審計(jì)（以下簡(jiǎn)稱“IS審計(jì)”）規(guī)范的條件下，中觀信息系統(tǒng)審計(jì)對(duì)信息安全管理策略的需求巨大，而BS7799標(biāo)準(zhǔn)恰恰是問世較早且相對(duì)成熟的信息安全管理標(biāo)準(zhǔn)，它能夠確保在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行自動(dòng)通信、信息處理和利用時(shí)，在各個(gè)物理位置、邏輯區(qū)域、存儲(chǔ)和傳媒介質(zhì)中，較好地實(shí)現(xiàn)保密性、完整性、有效性與可用性，能夠在信息管理與計(jì)算機(jī)科學(xué)兩個(gè)層面加強(qiáng)信息安全管理向中觀信息系統(tǒng)審計(jì)的理論轉(zhuǎn)化，中觀信息系統(tǒng)審計(jì)的需求與BS7799標(biāo)準(zhǔn)的功能具備整合的可行性。

一、 BS7799標(biāo)準(zhǔn)

1995年，英國(guó)貿(mào)工部制定了世界首部信息安全管理體系標(biāo)準(zhǔn)“BS77991：1995《信息安全管理實(shí)施規(guī)則》”，并作為各類組織實(shí)施信息安全管理的指南［2］，由于該標(biāo)準(zhǔn)采用建議和指導(dǎo)的方式編寫，因而不作為認(rèn)證標(biāo)準(zhǔn)使用；1998年，英國(guó)又制定了信息安全管理體系認(rèn)證標(biāo)準(zhǔn)“BS77992：1998《信息安全管理體系規(guī)范》”，作為對(duì)組織信息安全管理體系進(jìn)行評(píng)審認(rèn)證的標(biāo)準(zhǔn)［3］；1999年，英國(guó)再次對(duì)信息安全管理體系標(biāo)準(zhǔn)進(jìn)行了修訂，形成“BS77991：1999”與“BS77992：1999”這一對(duì)配套標(biāo)準(zhǔn)；2000年12月，“BS77991：1999”被ISO/IEC正式采納為國(guó)際標(biāo)準(zhǔn)“ISO/IEC17799：2000《信息技術(shù)：信息安全管理實(shí)施規(guī)則》”，此外，“BS77992：1999”也于2002年底被ISO/IEC作為藍(lán)本修訂，成為可用于認(rèn)證的“ISO/IEC《信息安全管理體系規(guī)范》”；2005年，BS77991與BS77992再次改版，使得體系更為完善。BS7799標(biāo)準(zhǔn)體系包含10個(gè)管理要項(xiàng)、36個(gè)管理目標(biāo)、127個(gè)控制目標(biāo)及500多個(gè)管理要點(diǎn)。管理要項(xiàng)如今已成為組織實(shí)施信息安全管理的實(shí)用指南；安全控制目標(biāo)能夠幫助組織識(shí)別運(yùn)作過程中影響信息安全的因素。BS77991幾乎涵蓋了所有的安全議題，它主要告訴IT審計(jì)師安全管理的注意事項(xiàng)與安全制度。BS77992詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理的要求，指出組織在實(shí)施過程中需要遵循的風(fēng)險(xiǎn)評(píng)估等級(jí)，從而識(shí)別最應(yīng)該控制的對(duì)象并對(duì)自身需求進(jìn)行適當(dāng)控制。BS77991為信息系統(tǒng)提供了通用的控制措施，BS77992則為BS77991的具體實(shí)施提供了應(yīng)用指南。

國(guó)外相對(duì)成熟的信息安全管理理論較多，它們各有千秋，彼此之間相互補(bǔ)充且有交叉。BS7799標(biāo)準(zhǔn)僅是眾多信息安全管理理論中的一種，與傳統(tǒng)審計(jì)方法相比，僅適用于IS審計(jì)范疇。然而，BS7799標(biāo)準(zhǔn)的特別之處表現(xiàn)在：其一，它是一部通用的信息安全管理指南，呈現(xiàn)了較為全面的系統(tǒng)安全控制措施，闡述了安全策略和優(yōu)秀的、具有普遍意義的安全操作方法，能夠?yàn)镮T審計(jì)師開展審計(jì)工作提供全程支持；其二，它遵循“計(jì)劃-行動(dòng)-控制-改善方案”的風(fēng)險(xiǎn)管理思想，首先幫助IT審計(jì)師規(guī)劃信息安全審計(jì)的方針和范圍，其次在審計(jì)風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上選擇適當(dāng)?shù)膶徲?jì)方法及風(fēng)險(xiǎn)控制策略并予以實(shí)施，制定持續(xù)性管理規(guī)劃，建立并運(yùn)行科學(xué)的中觀信息系統(tǒng)審計(jì)執(zhí)行體系。

二、 中觀信息系統(tǒng)的風(fēng)險(xiǎn)與損失

中觀信息系統(tǒng)風(fēng)險(xiǎn)是指成功利用中觀信息系統(tǒng)的脆弱性或漏洞，并造成系統(tǒng)損害的可能性。中觀信息系統(tǒng)風(fēng)險(xiǎn)極其龐雜且非常普遍，每個(gè)中觀信息系統(tǒng)面臨的風(fēng)險(xiǎn)都是不同的，這種風(fēng)險(xiǎn)可能是單一的，也可能是組合的［4］。中觀信息系統(tǒng)風(fēng)險(xiǎn)包括：人員風(fēng)險(xiǎn)、組織風(fēng)險(xiǎn)、物理環(huán)境風(fēng)險(xiǎn)、信息機(jī)密性風(fēng)險(xiǎn)、信息完整性風(fēng)險(xiǎn)、系統(tǒng)風(fēng)險(xiǎn)、通信操作風(fēng)險(xiǎn)、設(shè)施風(fēng)險(xiǎn)、業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)及黏合風(fēng)險(xiǎn)（見圖1），它們共同構(gòu)成了中觀信息系統(tǒng)的風(fēng)險(xiǎn)體系，各種風(fēng)險(xiǎn)除具有各自的特性外，有時(shí)還可能相互作用。

中觀信息系統(tǒng)風(fēng)險(xiǎn)的成因離不開外來威脅與系統(tǒng)自身的脆弱性，且風(fēng)險(xiǎn)的最終后果就是損失。圖1中的“a.威脅性”是系統(tǒng)的“風(fēng)險(xiǎn)源”，它是由于未授權(quán)訪問、毀壞、數(shù)據(jù)修改以及拒絕服務(wù)等給系統(tǒng)造成潛在危害的任何事件。中觀信息系統(tǒng)的威脅來自于人為因素及非人為因素兩個(gè)方面。人為因素是對(duì)中觀信息系統(tǒng)造成威脅的決定性力量，人為因素造成威脅的主體有競(jìng)爭(zhēng)對(duì)手、網(wǎng)絡(luò)黑客、不滿員工或正常員工。圖1中的“b.脆弱性”是指在系統(tǒng)安全程序、管理控制、物理設(shè)計(jì)中存在的、可能被攻擊者利用來獲得未授權(quán)信息或破壞關(guān)鍵處理的弱點(diǎn)，由物理環(huán)境、技術(shù)問題、管理問題、法律問題四個(gè)方面組成。圖1中的“d.風(fēng)險(xiǎn)承受力”是指在中觀信息系統(tǒng)遭遇風(fēng)險(xiǎn)或受到攻擊時(shí)，維持業(yè)務(wù)運(yùn)行最基本的服務(wù)和保護(hù)信息資產(chǎn)的抵抗力、識(shí)別力、恢復(fù)力和自適應(yīng)能力。

中觀信息系統(tǒng)風(fēng)險(xiǎn)的產(chǎn)生有兩種方式：一是遵循“a→b→c”路徑，這條路徑形成的風(fēng)險(xiǎn)為中觀信息系統(tǒng)“固有風(fēng)險(xiǎn)”，即假定中觀信息系統(tǒng)中不存在內(nèi)部控制制度，從而造成系統(tǒng)存在嚴(yán)重錯(cuò)誤與不法行為的可能性。該路徑的作用形式為人為因素或非人為因素是風(fēng)險(xiǎn)源，對(duì)中觀信息系統(tǒng)構(gòu)成威脅，該威脅產(chǎn)生后尋找并利用系統(tǒng)的脆弱點(diǎn)（假定中觀信息系統(tǒng)對(duì)該脆弱點(diǎn)沒有設(shè)計(jì)內(nèi)控制度），當(dāng)威脅成功作用于脆弱點(diǎn)后，就對(duì)系統(tǒng)進(jìn)行有效攻擊，進(jìn)而產(chǎn)生中觀信息系統(tǒng)風(fēng)險(xiǎn)。二是遵循“a→b→P→c”路徑，該路徑所形成的風(fēng)險(xiǎn)為中觀信息系統(tǒng)的“控制風(fēng)險(xiǎn)”，即內(nèi)部控制制度體系未能及時(shí)預(yù)防或發(fā)現(xiàn)系統(tǒng)中的某些錯(cuò)誤或不法行為，以致中觀信息系統(tǒng)遭受損失的可能性。與“a→b→c”路徑比較，該路徑多出“P.內(nèi)部控制”過程，這說明當(dāng)威脅已產(chǎn)生并將利用系統(tǒng)的脆弱點(diǎn)時(shí)，中觀經(jīng)濟(jì)主體已經(jīng)對(duì)該脆弱點(diǎn)設(shè)計(jì)了內(nèi)控制度體系，但是由于內(nèi)部控制制度設(shè)計(jì)的不科學(xué)、不完善或沒有得到有效執(zhí)行，從而造成內(nèi)部控制未能阻止“威脅”，致使中觀信息系統(tǒng)形成風(fēng)險(xiǎn)。中觀信息系統(tǒng)損失的形成遵循“c→d→e”路徑。然而，由于中觀信息系統(tǒng)自身具有一定的風(fēng)險(xiǎn)防御能力（即“d.風(fēng)險(xiǎn)承受力”），因而并非所有風(fēng)險(xiǎn)都將造成損失。當(dāng)中觀信息系統(tǒng)識(shí)別并抵抗部分風(fēng)險(xiǎn)后，最終未能消除的風(fēng)險(xiǎn)通過對(duì)系統(tǒng)的負(fù)面作用，會(huì)給中觀信息系統(tǒng)造成間接或直接的損失。

三、 中觀信息系統(tǒng)固有風(fēng)險(xiǎn)的評(píng)價(jià)模式

圖1中的“a→b→c”路徑是中觀信息系統(tǒng)固有風(fēng)險(xiǎn)產(chǎn)生的路徑，固有風(fēng)險(xiǎn)形成的條件是“假定不存在內(nèi)部控制制度”。評(píng)價(jià)固有風(fēng)險(xiǎn)是中觀信息系統(tǒng)審計(jì)準(zhǔn)備階段的一項(xiàng)基礎(chǔ)工作，只有正確評(píng)價(jià)固有風(fēng)險(xiǎn)，才能合理評(píng)估審計(jì)風(fēng)險(xiǎn)，準(zhǔn)確確定審計(jì)范圍并制定審計(jì)計(jì)劃［56］。筆者認(rèn)為，BS7799標(biāo)準(zhǔn)之所以能夠有效評(píng)價(jià)中觀信息系統(tǒng)的固有風(fēng)險(xiǎn)，是因?yàn)锽S7799標(biāo)準(zhǔn)的管理要項(xiàng)、管理目標(biāo)，控制措施與管理要點(diǎn)組成了信息安全管理體系，這個(gè)體系為IT審計(jì)師確定與評(píng)價(jià)系統(tǒng)固有風(fēng)險(xiǎn)提供了指南［7］。BS7799標(biāo)準(zhǔn)對(duì)IT審計(jì)師評(píng)價(jià)固有風(fēng)險(xiǎn)的貢獻(xiàn)見上表1。

(一) 物理層次的風(fēng)險(xiǎn)評(píng)價(jià)

物理層次的內(nèi)容包括物理環(huán)境安全與物理環(huán)境設(shè)備［7］，其中，物理環(huán)境安全包括硬件接觸控制、預(yù)防災(zāi)難措施和網(wǎng)絡(luò)環(huán)境安全；物理環(huán)境設(shè)備包括支持設(shè)施、硬件設(shè)備和網(wǎng)絡(luò)物理環(huán)境。針對(duì)上述分類，下面對(duì)物理層次風(fēng)險(xiǎn)評(píng)價(jià)進(jìn)行具體分析。

首先是物理環(huán)境安全風(fēng)險(xiǎn)評(píng)價(jià)。在評(píng)價(jià)物理環(huán)境安全風(fēng)險(xiǎn)時(shí)，可以借鑒BS7799標(biāo)準(zhǔn)A、B、D1、D3、E、G8、H5、I、J。例如，IT審計(jì)師在了解被審中觀信息系統(tǒng)的“預(yù)防災(zāi)難措施”時(shí)，可參照“A.安全方針”，依據(jù)BS7799對(duì)“安全方針”進(jìn)行闡述，了解被審系統(tǒng)的“信息安全方針”，關(guān)注被審系統(tǒng)在相關(guān)的“方針與策略”中是否估計(jì)到了系統(tǒng)可能遭遇的所有內(nèi)外部威脅；當(dāng)威脅發(fā)生時(shí)，是否有具體的安全保護(hù)規(guī)定及明確的預(yù)防措施；對(duì)于方針的執(zhí)行，是否對(duì)每位員工都有所要求。假若IT審計(jì)師在審計(jì)中未找到被審系統(tǒng)的“安全方針”，或找到了但“安全方針”并未涉及有關(guān)“災(zāi)難預(yù)防”方面的安全措施，則IT審計(jì)師可直接認(rèn)定被審系統(tǒng)在這方面存在固有風(fēng)險(xiǎn)。其次，物理環(huán)境設(shè)備風(fēng)險(xiǎn)評(píng)價(jià)。在評(píng)價(jià)物理環(huán)境設(shè)備風(fēng)險(xiǎn)時(shí)，可以借鑒BS7799標(biāo)準(zhǔn)A、B、C1、D、E2、E3、F6、G3、G8、H5、I、J。例如，IT審計(jì)師在了解被審系統(tǒng)有關(guān)“硬件設(shè)備”的情況時(shí)，可參照“C1.資產(chǎn)責(zé)任”。BS7799標(biāo)準(zhǔn)對(duì)“資產(chǎn)責(zé)任”的說明有“組織可根據(jù)運(yùn)作流程與系統(tǒng)結(jié)構(gòu)識(shí)別資產(chǎn)，列出清單”，“組織的管理者應(yīng)該確定專人負(fù)責(zé)相關(guān)資產(chǎn)，防止資產(chǎn)的被盜、丟失與濫用”。借鑒C1的信息安全管理目標(biāo)與措施，IT審計(jì)師可以關(guān)注被審單位是否列出了系統(tǒng)硬件設(shè)備的清單，是否有專人對(duì)資產(chǎn)負(fù)責(zé)。如果相關(guān)方面的管理完備，則說明“硬件設(shè)備”在責(zé)任方面不存在固有風(fēng)險(xiǎn)，IT審計(jì)師也不需要再對(duì)此方面的固有風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)。再如，IT審計(jì)師在確認(rèn)“硬件設(shè)備”方面的固有風(fēng)險(xiǎn)時(shí)，還可參照“E3.通用控制”。BS7799標(biāo)準(zhǔn)對(duì)“通用控制”的說明有“定期進(jìn)行資產(chǎn)清查”，“未經(jīng)授權(quán)，資產(chǎn)不能隨便遷移”等。借鑒這一措施，IT審計(jì)師需要了解被審系統(tǒng)的有關(guān)資產(chǎn)清查記錄以及資產(chǎn)轉(zhuǎn)移登記手續(xù)，如果相關(guān)記錄不完整或手續(xù)不完備，則IT審計(jì)師可直接認(rèn)定“硬件設(shè)備”在控制方面存在固有風(fēng)險(xiǎn)。

(二) 邏輯層次的風(fēng)險(xiǎn)評(píng)價(jià)

邏輯層次的內(nèi)容包括軟件環(huán)境、系統(tǒng)生命周期和邏輯安全［7］。其中，軟件環(huán)境包括系統(tǒng)軟件、網(wǎng)絡(luò)軟件與應(yīng)用軟件；系統(tǒng)生命周期包括系統(tǒng)規(guī)劃、分析、設(shè)計(jì)、編碼、測(cè)試、試運(yùn)行以及維護(hù)；邏輯安全包括軟件與數(shù)據(jù)接觸、數(shù)據(jù)加密機(jī)制、數(shù)據(jù)完整性、入侵檢測(cè)、病毒與惡意代碼以及防火墻。針對(duì)以上分類，下面對(duì)邏輯層次風(fēng)險(xiǎn)評(píng)價(jià)進(jìn)行具體分析。

首先是軟件環(huán)境風(fēng)險(xiǎn)評(píng)價(jià)。在評(píng)價(jià)軟件環(huán)境風(fēng)險(xiǎn)時(shí)可以借鑒BS7799標(biāo)準(zhǔn)A、B、C1、D、E1、E3、F、G、H、I、J。例如，IT審計(jì)師在掌握被審系統(tǒng)有關(guān)“網(wǎng)絡(luò)軟件”的情況時(shí)，可借鑒“G2.用戶訪問管理”標(biāo)準(zhǔn)。BS7799對(duì)該標(biāo)準(zhǔn)的闡述包括“建立用戶登記過程，對(duì)用戶訪問實(shí)施授權(quán)”，“對(duì)特權(quán)實(shí)行嚴(yán)格管理”，“對(duì)用戶口令進(jìn)行嚴(yán)格管理”等。借鑒G2下相關(guān)信息安全管理措施，IT審計(jì)師可以詳細(xì)核查被審網(wǎng)絡(luò)軟件是否建立了用戶注冊(cè)與登記過程、被審軟件的特權(quán)管理是否嚴(yán)格、是否要求用戶秘密保守口令。假若IT審計(jì)師發(fā)現(xiàn)用戶并未得到訪問網(wǎng)絡(luò)軟件的權(quán)限卻可以輕易訪問網(wǎng)絡(luò)軟件，則該軟件必然存在風(fēng)險(xiǎn)，IT審計(jì)師就可通過與BS7799標(biāo)準(zhǔn)比照并發(fā)表評(píng)價(jià)結(jié)論。又如，IT審計(jì)師在評(píng)價(jià)“系統(tǒng)軟件”固有風(fēng)險(xiǎn)時(shí)，可借鑒“G5.系統(tǒng)訪問與使用的監(jiān)控”標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)的闡述有“使用終端安全登陸程序來訪問信息服務(wù)”，“對(duì)高風(fēng)險(xiǎn)的不活動(dòng)終端采取時(shí)限措施”。IT審計(jì)師在評(píng)價(jià)“系統(tǒng)軟件”自身風(fēng)險(xiǎn)時(shí)，可套用上述安全措施，逐項(xiàng)分析被審系統(tǒng)軟件是否完全達(dá)到上述標(biāo)準(zhǔn)并作出合理的風(fēng)險(xiǎn)評(píng)價(jià)。其次是系統(tǒng)生命周期的風(fēng)險(xiǎn)評(píng)價(jià)。在評(píng)價(jià)系統(tǒng)生命周期風(fēng)險(xiǎn)時(shí)，可借鑒BS7799標(biāo)準(zhǔn)A、B、D1、D3、E、F1、F2、F3、F4、F6、F7、G、H、I、J。如IT審計(jì)師在檢查被審系統(tǒng)的“系統(tǒng)設(shè)計(jì)”時(shí)，可參照“H1.系統(tǒng)安全要求”。H1的解釋為“系統(tǒng)設(shè)計(jì)階段應(yīng)該充分考慮系統(tǒng)安全性，組織在項(xiàng)目開始階段需要識(shí)別所有的安全要求，并將其作為系統(tǒng)設(shè)計(jì)開發(fā)不可或缺的一部分進(jìn)行調(diào)整與確認(rèn)”。因而，IT審計(jì)師在檢查系統(tǒng)設(shè)計(jì)有關(guān)資料時(shí)，需要分析被審單位是否把上述解釋融入系統(tǒng)設(shè)計(jì)中，或是否全面、有效地融入設(shè)計(jì)過程，如果被審單位考慮了諸因素，IT審計(jì)師就可以確認(rèn)被審系統(tǒng)的設(shè)計(jì)環(huán)節(jié)在此方面不存在風(fēng)險(xiǎn)。假若IT審計(jì)師發(fā)現(xiàn)在系統(tǒng)設(shè)計(jì)階段被審單位沒有考慮到需要“引入控制”，且在系統(tǒng)運(yùn)營(yíng)期間對(duì)系統(tǒng)的“控制”也不夠重視，則IT審計(jì)師可以作出系統(tǒng)自身安全及系統(tǒng)設(shè)計(jì)開發(fā)過程存在風(fēng)險(xiǎn)的結(jié)論。第三是邏輯安全的風(fēng)險(xiǎn)評(píng)價(jià)。在評(píng)價(jià)邏輯安全風(fēng)險(xiǎn)時(shí)，可以借鑒BS7799標(biāo)準(zhǔn)A、B、C2、D、E1、E3、F、G1、G2、G4、G5、G6、G7、G8、H、I、J。IT審計(jì)師在檢查被審系統(tǒng)的“病毒與惡意代碼”時(shí)，可借鑒“G4.網(wǎng)絡(luò)訪問控制”。BS7799對(duì)該標(biāo)準(zhǔn)的闡述有“建立并實(shí)施網(wǎng)絡(luò)用戶服務(wù)使用方針”，“從用戶終端到網(wǎng)絡(luò)服務(wù)的路徑必須受到控制”以及“對(duì)外部鏈接的用戶進(jìn)行身份鑒別”等。IT審計(jì)師在審計(jì)過程中，應(yīng)該關(guān)注被審系統(tǒng)在上述方面的執(zhí)行思路與執(zhí)行程度，假若被審單位對(duì)上述方面缺乏重視，則惡意用戶未經(jīng)授權(quán)或未受限制就能輕易訪問系統(tǒng)，系統(tǒng)遭受病毒或惡意代碼損害的風(fēng)險(xiǎn)會(huì)相應(yīng)加大。再如，IT審計(jì)師在評(píng)價(jià)系統(tǒng)“數(shù)據(jù)完整性”的風(fēng)險(xiǎn)時(shí)，可借鑒“F1.操作程序與職責(zé)”。該標(biāo)準(zhǔn)的描述有“在執(zhí)行作業(yè)的過程中，提供差錯(cuò)處理及例外情況的指導(dǎo)”，“進(jìn)行職責(zé)分離，減少出現(xiàn)非授權(quán)更改與數(shù)據(jù)信息濫用的機(jī)會(huì)”等。結(jié)合上述措施，IT審計(jì)師應(yīng)該關(guān)注被審單位是否通過外鍵、約束、規(guī)則等方式保障數(shù)據(jù)的完整性，如果被審單位沒有按照上述方法操作，則被審系統(tǒng)將會(huì)在“數(shù)據(jù)完整性”方面存在風(fēng)險(xiǎn)。

需要強(qiáng)調(diào)的是中觀信息系統(tǒng)固有風(fēng)險(xiǎn)的評(píng)價(jià)較為復(fù)雜。在理論研究中，本文僅選取BS7799的某些標(biāo)準(zhǔn)舉例進(jìn)行闡述，但在實(shí)踐中，IT審計(jì)師不應(yīng)只借鑒BS7799標(biāo)準(zhǔn)的單個(gè)或部分標(biāo)準(zhǔn)，就做出某方面存在“固有風(fēng)險(xiǎn)”的結(jié)論。如僅從C1看，“硬件設(shè)備”無(wú)固有風(fēng)險(xiǎn)，但從E3看，“硬件設(shè)備”確實(shí)存在固有風(fēng)險(xiǎn)。鑒于此，IT審計(jì)師應(yīng)由“點(diǎn)”及“面”，全面借鑒BS7799標(biāo)準(zhǔn)的整個(gè)體系。只有如此，才能更科學(xué)具體地進(jìn)行物理及邏輯層次的風(fēng)險(xiǎn)評(píng)價(jià)。

四、 中觀信息系統(tǒng)內(nèi)部控制的評(píng)價(jià)機(jī)制

圖1中的“a→b→P→c”路徑是中觀信息系統(tǒng)控制風(fēng)險(xiǎn)產(chǎn)生的路徑，控制風(fēng)險(xiǎn)的形成條件是“假定存在內(nèi)部控制制度，但是內(nèi)控制度不科學(xué)、不健全或執(zhí)行不到位”，產(chǎn)生控制風(fēng)險(xiǎn)最主要的原因是內(nèi)部控制機(jī)制失效，即“P”過程出現(xiàn)問題。評(píng)價(jià)內(nèi)部控制是IT審計(jì)師防范審計(jì)風(fēng)險(xiǎn)的關(guān)鍵，也是中觀信息系統(tǒng)審計(jì)實(shí)施階段的一項(xiàng)重要工作。然而，當(dāng)前我國(guó)信息系統(tǒng)審計(jì)方面的標(biāo)準(zhǔn)與規(guī)范僅有四項(xiàng)，因而IT審計(jì)師對(duì)信息系統(tǒng)內(nèi)部控制的評(píng)價(jià)還處于摸索階段，急需詳細(xì)的流程與規(guī)范進(jìn)行指導(dǎo)。筆者認(rèn)為，BS77991《信息安全管理實(shí)施細(xì)則》與BS77992《信息安全管理體系規(guī)范》能夠?yàn)镮T審計(jì)師評(píng)價(jià)中觀信息系統(tǒng)的內(nèi)部控制提供思路。BS7799是一套完備的信息安全管理體系，IT審計(jì)師完全可以借鑒其體系與框架來設(shè)計(jì)中觀信息系統(tǒng)內(nèi)部控制評(píng)價(jià)流程，構(gòu)建適用于中觀信息系統(tǒng)的審計(jì)流程。BS7799標(biāo)準(zhǔn)的具體借鑒思路見表1，具體闡述如下。

(一) 一般控制的評(píng)價(jià)

1. 組織管理的內(nèi)部控制評(píng)價(jià)

在評(píng)價(jià)組織管理的內(nèi)控時(shí)，可借鑒BS7799標(biāo)準(zhǔn)A、B、C1、D1、D3、E、F、G、H、I、J。IT審計(jì)師可將BS7799標(biāo)準(zhǔn)體系作為信息系統(tǒng)組織管理內(nèi)部控制的衡量標(biāo)準(zhǔn)，并以此確認(rèn)被審系統(tǒng)組織管理內(nèi)控制度的科學(xué)性與健全性。假若某中觀經(jīng)濟(jì)主體將信息系統(tǒng)的部分管理活動(dòng)外包，則IT審計(jì)師可借鑒BS7799中的“B3.外包控制”標(biāo)準(zhǔn)，檢查外包合同的全面性與合理性。如果被審單位在外包合同中規(guī)定了信息系統(tǒng)的風(fēng)險(xiǎn)、承包主客體各自的系統(tǒng)安全控制程序，并明確規(guī)定了“哪些措施必須到位，以保證涉及外包的所有各方關(guān)注各自的安全責(zé)任”，“哪些措施用以確定與檢測(cè)信息資產(chǎn)的完整性和保密性”，“采取哪些實(shí)物的和邏輯的控制以限制和限定授權(quán)用戶對(duì)系統(tǒng)敏感信息的訪問”以及“發(fā)生災(zāi)難時(shí)，采用怎樣的策略來維持服務(wù)可用性”，則IT審計(jì)師就可確認(rèn)被審系統(tǒng)在外包方面的控制設(shè)計(jì)具有科學(xué)性與全面性，只需再對(duì)外包控制條款的執(zhí)行效果進(jìn)行評(píng)價(jià)就可以得出對(duì)被審單位外包活動(dòng)評(píng)價(jià)的整體結(jié)論。

2. 數(shù)據(jù)資源管理的內(nèi)部控制評(píng)價(jià)

在評(píng)價(jià)數(shù)據(jù)資源管理的內(nèi)控時(shí)，可以借鑒BS7799標(biāo)準(zhǔn)A、B、C、D、E1、E3、F、G、H、I、J。信息系統(tǒng)數(shù)據(jù)包括數(shù)據(jù)字典、權(quán)限設(shè)置、存儲(chǔ)分配、網(wǎng)絡(luò)地址、硬件配置與系統(tǒng)配置參數(shù)，系統(tǒng)數(shù)據(jù)資源管理有數(shù)據(jù)存放、備份、恢復(fù)等，內(nèi)容相對(duì)復(fù)雜。IT審計(jì)師在評(píng)價(jià)數(shù)據(jù)資源管理的內(nèi)部控制時(shí)，也需要借鑒BS7799標(biāo)準(zhǔn)體系。例如，IT審計(jì)師可借鑒“F1.操作程序與職責(zé)”或“G6.應(yīng)用訪問控制”評(píng)價(jià)數(shù)據(jù)資源管理。F1與G6的闡述有“識(shí)別和記錄重要數(shù)據(jù)的更改”、“對(duì)數(shù)據(jù)更改的潛在影響作出評(píng)估”、“向所有相關(guān)人員傳達(dá)更改數(shù)據(jù)的細(xì)節(jié)”、“數(shù)據(jù)更改不成功的恢復(fù)措施”、“控制用戶的數(shù)據(jù)訪問權(quán)，如對(duì)讀、寫、刪除等進(jìn)行限制”、“在系統(tǒng)共享中，對(duì)敏感的數(shù)據(jù)實(shí)施高級(jí)別的保護(hù)”。IT審計(jì)師在審計(jì)時(shí)，有必要根據(jù)上述思路對(duì)系統(tǒng)數(shù)據(jù)管理的控制制度進(jìn)行深層次評(píng)價(jià)。在當(dāng)前缺乏信息系統(tǒng)審計(jì)規(guī)范的情況下，以BS7799體系作為評(píng)價(jià)數(shù)據(jù)資源管理內(nèi)部控制的指南，不失為一種好的審計(jì)策略。

3. 環(huán)境安全管理的內(nèi)部控制評(píng)價(jià)

在評(píng)價(jià)環(huán)境安全管理的內(nèi)控時(shí)可以借鑒BS7799標(biāo)準(zhǔn)A、B、C1、D、E、F、G、H、I、J。信息系統(tǒng)的環(huán)境安全管理包括物理環(huán)境安全管理與軟件環(huán)境安全管理，系統(tǒng)環(huán)境是否安全決定著危險(xiǎn)因素對(duì)脆弱性的攻擊程度，進(jìn)而決定著信息系統(tǒng)風(fēng)險(xiǎn)。IT審計(jì)師在審計(jì)系統(tǒng)環(huán)境的安全管理過程時(shí)，需要關(guān)注設(shè)備、網(wǎng)絡(luò)、軟件以及硬件等方面。在評(píng)價(jià)系統(tǒng)環(huán)境安全管理的內(nèi)部控制時(shí)，IT審計(jì)師有必要借助上述BS7799標(biāo)準(zhǔn)體系。例如，BS7799的“E1.安全區(qū)域”標(biāo)準(zhǔn)與“E2.設(shè)備安全”標(biāo)準(zhǔn)的解釋有“信息處理設(shè)施可能受到非法物理訪問、盜竊、泄密等威脅，通過建立安全區(qū)域、嚴(yán)格進(jìn)入控制等控制措施對(duì)重要的系統(tǒng)設(shè)施進(jìn)行全面保護(hù)”，“應(yīng)該對(duì)信息處理設(shè)施運(yùn)作產(chǎn)生不良影響的環(huán)境條件加以監(jiān)控，如，濕度與溫度的影響”。類似上述的BS7799系列標(biāo)準(zhǔn)都為IT審計(jì)師如何確認(rèn)環(huán)境安全管理的內(nèi)控提供了審計(jì)指導(dǎo)，且其指導(dǎo)思路清晰、全面。IT審計(jì)師通過借鑒BS7799系列標(biāo)準(zhǔn)，可以深層次挖掘系統(tǒng)環(huán)境安全管理規(guī)章制度中存在的疏漏以及執(zhí)行中存在的問題，從而有效評(píng)判環(huán)境安全管理的控制風(fēng)險(xiǎn)。

4. 系統(tǒng)運(yùn)行管理的內(nèi)部控制評(píng)價(jià)

在評(píng)價(jià)系統(tǒng)運(yùn)行管理的內(nèi)控時(shí)，可以借鑒BS7799標(biāo)準(zhǔn)A、B、C1、D、E1、E3、F、G、H、I、J。中觀經(jīng)濟(jì)主體對(duì)運(yùn)行系統(tǒng)的管理相對(duì)復(fù)雜，涉及到系統(tǒng)組織、系統(tǒng)維護(hù)、系統(tǒng)完善等多個(gè)方面。由于系統(tǒng)運(yùn)行中需要管理的環(huán)節(jié)繁多，而且目前也沒有規(guī)范與流程可以參考，因而，評(píng)價(jià)系統(tǒng)運(yùn)行管理的內(nèi)控也有必要借鑒上述BS7799標(biāo)準(zhǔn)體系。例如，BS7799標(biāo)準(zhǔn)“D2.設(shè)備安全”與“H5.開發(fā)與支持過程中的安全”的闡述有“信息系統(tǒng)操作者需要接受安全意識(shí)培訓(xùn)，熟悉與系統(tǒng)運(yùn)行相關(guān)的安全職責(zé)、安全程序與故障制度”，“系統(tǒng)運(yùn)行中，建立并實(shí)施更改控制程序”以及“對(duì)操作系統(tǒng)的更改進(jìn)行技術(shù)評(píng)審”等方面。IT審計(jì)師采用詢問、觀察、檢查、穿行測(cè)試等方法評(píng)審系統(tǒng)運(yùn)行管理的內(nèi)部控制，需要有上述明細(xì)的、清晰的信息安全管理規(guī)則予以指導(dǎo)，這些標(biāo)準(zhǔn)可以指導(dǎo)IT審計(jì)師了解被審系統(tǒng)是否有健全的運(yùn)行管理規(guī)范及是否得到有效運(yùn)行，借此，IT審計(jì)師可以作出全面的內(nèi)控判斷，進(jìn)而出具正確的審計(jì)結(jié)論。

(二) 應(yīng)用控制的評(píng)價(jià)

信息系統(tǒng)的應(yīng)用控制包括輸入控制、處理控制與輸出控制。在評(píng)價(jià)系統(tǒng)輸入控制、處理控制以及輸出控制三者的內(nèi)控時(shí)，同樣有必要借鑒BS7799標(biāo)準(zhǔn)，且BS7799標(biāo)準(zhǔn)中A、B、D、E1、E3、F1、F2、F3、F4、F5、F7、G1、G2、G4、G5、G6、G7、G8、H、I、J相對(duì)應(yīng)的信息安全管理目標(biāo)與措施能夠在IT審計(jì)師對(duì)三者進(jìn)行內(nèi)控評(píng)價(jià)時(shí)提供相對(duì)詳盡的審計(jì)框架。為確保信息系統(tǒng)輸入、處理與輸出的信息完整、正確，中觀經(jīng)濟(jì)主體需要加強(qiáng)對(duì)信息系統(tǒng)的應(yīng)用控制。IT審計(jì)師在中觀信息系統(tǒng)審計(jì)的過程中，需要做到對(duì)被審系統(tǒng)應(yīng)用控制進(jìn)行正確評(píng)價(jià)。

在IT審計(jì)師對(duì)應(yīng)用控制的符合性測(cè)試過程中，上述BS7799標(biāo)準(zhǔn)體系可以對(duì)應(yīng)用控制評(píng)價(jià)進(jìn)行全程指導(dǎo)。例如，BS7799標(biāo)準(zhǔn)中“H2.應(yīng)用系統(tǒng)的安全”提到“數(shù)據(jù)輸入的錯(cuò)誤，可以通過雙重輸入或其他輸入檢查偵測(cè)，建立用于響應(yīng)輸入錯(cuò)誤的程序”，“已正確輸入的數(shù)據(jù)可因處理錯(cuò)誤或故意行為而被破壞，系統(tǒng)應(yīng)有確認(rèn)檢查功能以探測(cè)數(shù)據(jù)的破壞”，“為確保所存儲(chǔ)的信息相對(duì)于各種情況的處理是正確而恰當(dāng)?shù)?，來自?yīng)用系統(tǒng)的輸出數(shù)據(jù)應(yīng)該得到確認(rèn)”等控制策略，并提出了相對(duì)詳細(xì)的控制措施。應(yīng)用控制環(huán)節(jié)是信息處理的脆弱集結(jié)點(diǎn)，IT審計(jì)師在進(jìn)行應(yīng)用控制的符合性測(cè)試環(huán)節(jié)時(shí)有必要考慮周全，詳盡規(guī)劃。IT審計(jì)師可以遵循H2全面實(shí)施針對(duì)應(yīng)用控制的審計(jì)，依照BS7799標(biāo)準(zhǔn)體系，檢查被審系統(tǒng)對(duì)于超范圍數(shù)值、數(shù)據(jù)區(qū)中的無(wú)效字符、丟失的數(shù)據(jù)、未經(jīng)認(rèn)可的控制數(shù)據(jù)等系統(tǒng)輸入問題的控制措施以及應(yīng)急處理能力；檢查是否對(duì)系統(tǒng)產(chǎn)生的數(shù)據(jù)進(jìn)行了確認(rèn)，系統(tǒng)的批處理控制措施、平衡控制措施等，以及相關(guān)控制行為的執(zhí)行力度；檢查信息輸出是否實(shí)施了可信性檢查、一致性控制等措施，如果有相關(guān)措施，那么執(zhí)行力度如何。BS7799標(biāo)準(zhǔn)體系較為全面，對(duì)于IT審計(jì)師評(píng)價(jià)系統(tǒng)的應(yīng)用控制貢獻(xiàn)很大，如果IT審計(jì)師能夠創(chuàng)造性借鑒該標(biāo)準(zhǔn)，必可做好符合性測(cè)試，為實(shí)質(zhì)性測(cè)試夯實(shí)基礎(chǔ)，也定會(huì)提高審計(jì)質(zhì)量。

五、 結(jié)束語(yǔ)

表1是筆者在分析某商業(yè)銀行信息系統(tǒng)與某區(qū)域物流信息系統(tǒng)的基礎(chǔ)上，對(duì)“BS7799標(biāo)準(zhǔn)如何應(yīng)用于信息系統(tǒng)審計(jì)”所進(jìn)行的設(shè)計(jì)，當(dāng)針對(duì)其他行業(yè)時(shí)，或許需要對(duì)表1進(jìn)行適當(dāng)調(diào)整。不同行業(yè)、不同特性的中觀經(jīng)濟(jì)主體在信息系統(tǒng)審計(jì)中運(yùn)用BS7799標(biāo)準(zhǔn)時(shí)側(cè)重點(diǎn)會(huì)有所不同。本文以分析中觀信息系統(tǒng)風(fēng)險(xiǎn)為著手點(diǎn)，沿用BS7799標(biāo)準(zhǔn)對(duì)中觀信息系統(tǒng)審計(jì)進(jìn)行研究，旨在拋磚引玉。

參考文獻(xiàn)：

［1］王會(huì)金,劉國(guó)城.中觀經(jīng)濟(jì)主體信息系統(tǒng)審計(jì)的理論分析及實(shí)施路徑探索［J］.審計(jì)與經(jīng)濟(jì)研究,2009(5):2731.

［2］BSI.ISO/IEC17799-2000 Information technology瞔ode of practice for information security management［S］. London:British Standards Institation,2000:179202.

［3］BSI.BS779922002 information security management瞫pecification for information security management systems［S］. London: British Standards Institation,2002:267280

［4］孫強(qiáng).信息系統(tǒng)審計(jì)［M］.北京:機(jī)械工業(yè)出版社,2003.

［5］劉國(guó)城,王會(huì)金.中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的理論探索與體系構(gòu)架［J］.審計(jì)研究,2011(2):2128.

［6］王會(huì)金.中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系研究——以COBIT框架與數(shù)據(jù)挖掘技術(shù)相結(jié)合為視角［J］.審計(jì)與經(jīng)濟(jì)研究，2012（1）：1623.

［7］科飛管理咨詢公司.信息安全管理概論-BS7799理解與實(shí)施［M］.北京:機(jī)械工業(yè)出版社, 2002.

［責(zé)任編輯：劉茜，高婷］

BS7799 Criterion and Its Application in Meso瞚nformation Systems Audit

LIU Guocheng

（Jinshen College of Nanjing Audit University, Nanjing 210029, China）

Abstract: Starting with the genetic analysis of meso瞚nformation system risks and losses, this paper first studies the evaluation model of meso瞚nformation system inherent risks from both physical and logical levels based on the BS7799 standards, and then explores the inner control evaluation model of meso瞚nformation system from two levels of general control and application control,in order to provide an application guidance for IT auditors in their practice of meso瞚nformation system audit.

Key Words: BS7799 criterion; meso瞐udit; information system audit; internal control; meso瞚nformation system; meso瞚nformation system risks