对基于COBIT 的信息系统审计框架初探

彭锴

（广东电网有限责任公司汕头供电局，广东汕头 515041）

0.引言

信息系统审计已经成为保障信息系统运行安全、稳定和有效的重要方法，众多国际审计组织纷纷提出了信息系统审计标准和指南，其中最具影响力的就是COBIT 准则。为此，相关工作人员应该深入研究COBIT 准则，并且以此为基础构建信息系统审计框架，为进一步提升信息系统审计质效奠定基础。

1.信息系统审计概述

计算机软硬件、信息资料、互联网、通讯设备、信息用户和规章制度共同组成了信息系统，该系统的主要作用是处理信息流，属于人机一体化系统，可以为使用者提供管理和决策支持[1]。在实际作业环节，信息系统的应用将有效解决信息孤岛问题，可以发挥巨大的实用价值。随着信息系统应用的普及以及使用者对信息系统依赖性的增强，保障信息系统安全稳定运行变得尤为重要。在此环节，信息系统审计应运而生，这一工作基于特定准则和标准，对信息系统进行开发、维护等环节的检测与评价，可为提升信息系统有效性奠定基础。在实践中，相关工作人员可以通过审计工作，保护信息系统的资产完整性和数据真实性，还能让信息系统更具合法性、合规性、安全性和稳定性。

2.基于COBIT 的信息系统审计框架构建要点

信息系统审计必须基于相应的审计规则和目标开展，而在国际上与信息系统审计相关的准则十分丰富。比如，由国际信息系统审计与控制协会发布（ISACA）的COBIT准则；由国际内部审计师协会（IIA）发布的GTAG 准则和GAIT 准则；由美国审计署（GAO）发布的FISCAM准则；由英国中央计算机与电信局（CCTA）发布的TTIL准则；由国际标准化组织（ISO）发布的国际信息安全管理标准BS7799 和ISO17799 都属于国际信息系统审计准则。虽然，不同的信息系统审计准则存在细微差异，但他们在系统控制和安全服务评价方面具有一致功能。因此，本文以COBIT 为审计准则，并以此为基础对信息系统审计框架进行了简要分析。

2.1 COBIT 准则

COBIT 是Control Objectives for Information and related Technology 的简称，在国内我们将之称为信息系统和技术控制目标。这一标准是国际公认的IT 管理和控制标准，也是最受认可的信息系统审计准则，在全球范围内100 多个国家和组织中得到了广泛应用。与其他信息系统审计准则相比，COBIT 的架构体系更为科学，整体呈现业务中心、流程导向、控制基础和绩效测评驱动的特点，可以为实现信息系统全生命周期审计奠定基础[2]。同时，这一准则的内容也十分完善，涵盖了技术和非技术层面的内容。

2.2 信息系统审计框架

2.2.1 系统设计

在建立基于COBIT 的信息系统审计框架前，必须对信息技术的治理和管理原则进行明确。目前，治理和管理IT 业务的主要框架为COBIT5.0，它的5 大原则分别为：（1）满足利益相关者需求；（2）端到端覆盖；（3）采用单一集成框架；（4）启用一种综合的方法；（5）区分治理与管理。在构建基于COBIT 的信息系统审计框架时，必须严格遵守这几大原则，并且要保证审计框架与实际要求相符。在实践中，相关工作人员应该先对信息系统审计流程进行设计。对于信息系统而言，其整体生命周期应该涵盖4 个阶段，每个阶段的任务各不相同。

在规划阶段，信息系统应该以制定企业IT 战略、总体方案和评判方案可行性为任务；开发阶段的任务则是做好信息系统开发形式选定并完成相应的系统开发和设计；接收和实现阶段的任务是开展信息系统安全、性能以及容量测试和新旧系统转换，并开展员工实操培训；运行维护阶段的任务则是有效开展系统运维，保障系统运行稳定和安全。在这一环节，COBIT 将贯穿系统的整体生命周期，其中，COBIT 的计划与组织域与信息系统阶段相对应、获取与实施阶段和信息系统的开发阶段相对应、交付与支持阶段跟信息系统的接收与实现阶段相对应，而COBIT的监控与评价域则和信息系统的运行维护阶段相对应。

在设计基于COBIT 的信息系统审计框架时，相关工作人员应该将框架核心设定为信息系统的控制目标。基于审计范围，基于COBIT 的信息系统审计框架可将审计工作分为面向系统和数据两种，前者是对信息系统一般控制的审计，后者则是对其应用控制的审计。

如图1 所示，在基于COBIT 的信息系统审计框架中，系统层面包括组织管理、配置管理和信息系统生命周期管理3 部分；数据层面则包含应用程序和数据文件两部分。在此环节，使用者可以基于COBIT 管理完成信息系统的数据和系统管控，又能基于该指南完成数据和系统审计，还能依托于审计证据来客观评价信息系统性能，并提出相应的改进意见。

图1 基于COBIT的信息系统审计框架

2.2.2 应用案例

在信息系统数量日渐增加，人员流动性大的情况下，容易出现事件无法定责和账户管理缺失等问题。而安全堡垒平台产品可定义管理组织、运维组织，可配置人员权限、人员操作审计，使所有参与信息系统管理和运维的人员实名登录系统，实现信息系统管理和运维人员的授权控制和过程监控并对管理运维操作进行全程记录，为系统审计提供保障。在管理和运维合规的正常运行表象之下，系统实际可能存在诸多亟需改善的地方，例如用户某些习惯性操作（或者尝试性的dos 攻击或账户窃取），长时间下来可能给信息系统累积了隐患，使系统性能逐渐下降。又或者运维人员升级了一部分代码，而代码存在bug，为系统埋下了不稳定因素。而信息系统数据审计工具可基于预定义或自定义的规则，对系统运行数据和代码进行自动判别和警告，节省了大量的人力和时间，有利于管理员及时发现不当轨迹，采取措施予以遏制。

3.结语

COBIT 是实现信息系统审计的主要标准之一，在实践中构建基于COBIT 的信息系统审计框架可以为有效开展信息系统审计提供保障。在实际作业环节，相关工作人员要深入研究和分析COBIT 的内涵、控制目标和价值，还应该对信息系统审计的目标加以确定，并利用COBIT构建完善的审计流程和框架，为提高信息系统审计工作质效提供指导。