6.3.2  信息系統(tǒng)審計(jì)的必要性

信息系統(tǒng)審計(jì)是網(wǎng)絡(luò)安全工作中的一個(gè)部分。在信息系統(tǒng)審計(jì)中，審計(jì)人員需要信息系統(tǒng)技術(shù)的支持，以高效地獲取、分析和驗(yàn)證從信息系統(tǒng)輸出的財(cái)務(wù)數(shù)據(jù)的準(zhǔn)確性。信息系統(tǒng)審計(jì)是安全管理體系PDCA循環(huán)中c,heck階段的主要手段之一。+一個(gè)組織要想實(shí)現(xiàn)真正的網(wǎng)絡(luò)安全，應(yīng)該準(zhǔn)確職責(zé)分離的重要原則，在組織機(jī)構(gòu)內(nèi)部構(gòu)造出承擔(dān)不同職責(zé)的團(tuán)隊(duì)，相互協(xié)調(diào)配合，分工合作，并通過獨(dú)立、有效的審計(jì)，提高組織的網(wǎng)絡(luò)安全水平和臺(tái)黽力。這三支團(tuán)隊(duì)可以成為組織信息安全的“三道防線”。

“一道防線”：業(yè)務(wù)及操作層面的自我約束，職責(zé)是識(shí)別和管理業(yè)務(wù)固有風(fēng)險(xiǎn)，對風(fēng)險(xiǎn)實(shí)時(shí)控制和自我監(jiān)督，是風(fēng)險(xiǎn)管理的直接責(zé)任者；

“二道防線”：具體風(fēng)險(xiǎn)的專職管理，職責(zé)是建立風(fēng)險(xiǎn)管理框架，實(shí)施獨(dú)立的風(fēng)險(xiǎn)計(jì)量、監(jiān)測和報(bào)告等，確保風(fēng)險(xiǎn)管理政策及措施有效執(zhí)行，將風(fēng)險(xiǎn)控制在可接受水平；

“三道防線”：獨(dú)立的監(jiān)督評(píng)價(jià)職能（通常指內(nèi)部審計(jì)），職責(zé)是對風(fēng)險(xiǎn)管理的相關(guān)控制、流程和系統(tǒng)等進(jìn)行獨(dú)立審閱和檢查，促進(jìn)一、二道防線積極履職以及風(fēng)險(xiǎn)管理體系的健全和有效，從而保障業(yè)務(wù)的健康穩(wěn)健發(fā)展及組織目標(biāo)的實(shí)現(xiàn)。

而信息系統(tǒng)風(fēng)險(xiǎn)是企業(yè)風(fēng)險(xiǎn)管理中的重要內(nèi)容，信息安全事故的發(fā)生會(huì)給企業(yè)正常的業(yè)務(wù)運(yùn)行帶來巨大隱患，影響企業(yè)的業(yè)務(wù)連續(xù)性。各組織為應(yīng)對日益增加的信息安全問題，降低信息安全風(fēng)險(xiǎn)，應(yīng)定期實(shí)施信息系統(tǒng)審計(jì)，將其作為第三道防線來保障企業(yè)的信息安全。