信息系统审计方法是为了完成信息系统审计任务所采取的手段。在信息系统审计工作中,要完成每一项审计工作,都应选择合适的审计方法。信息系统审计方法主要包括访谈法、调查法、检查法、观察法、测试和平行模拟法、程序代码 检查、编码比较法、风险评估法等。
(一)访谈法
访谈法是指通过面对面或在线视频、音频等方式交谈来了解被审计对象的信息。依据不同问题的性质、目的或对象,采用不同的访谈形式。
(二)调查法
调查法是在制定调研计划的基础上,通过书面或口头回答问题的方式收集研究对象的相关资料,并做出分析综合,得到某一结论的研究方法。
(三)检查法
检查法是指内部审计人员对组织内部或外部生成的记录和文件(包括但不限于纸质、电子或其他介质形式存在的资料)进行检查,或对资产进行实物检查。
(四)观察法
内部审计人员运用观察法,观察被审计组织员工的职责履行情况以及业务操作程序等以识别员工的逻辑访问权限是否合规,软硬件物理控制是否有效,盘点信息资产是否安全。
(五)数据测试的黑、白盒法与平行模拟法
数据测试法:从计算机输入开始,跟踪某项业务直至计算机输出,以检验计算机应用程序、控制程序和系统可靠性。
黑盒法:当内部审计人员重点关注程序是否达到所需求的功能时,可采用黑盒法来设计测试数据。黑盒法设计出的测试数据除了可以检查程序功能上的错误和缺陷外,还可以审计系统用户界面、接口、效率、初始化和终止错误。
白盒法:当内部审计人员主要关注在程序中是否存在错误的执行路线时可以采用白盒法。白盒法是从程序内部的逻辑结构出发选取测试数据的方法,它的原理是通过审计程序中的所有执行路线来发现程序中的错误和缺陷。
平行模拟法:针对某应用程序,审计人员用一个独立的程序去模拟该程序的部分功能,对输入数据同时进行并行处理,其结果和该应用程序处理的结果进行比较以验证其功能正确性的方法。
(六)程序代码检查法、编码比较法
程序代码检查法是指对被审计程序的指令逐条审计,以验证程序的合法性、完整性和程序逻辑的正确性。
(七)风险评估法
风险评估常用技术。分级技术:根据审计对象的技术复杂性、现有控制程序的水平、可能造成的财务损失等各种因素的风险值累计为总风险值,根据分值大小进行排列分为高、中、低级风险。经验判断法:内部审计人员根据专业经验、业务知识、管理层的指导、业务目标、环境因素等进行判断,以决定风险大小。
二、信息系统审计的工具
(一)数据分析工具
数据分析工具主要有文件查找工具、数据检索工具、数据结构转换工具、指针检测工具、数据处理工具(包括但不限于排序、合并、复制、创建、修改、删除、重组)、文件打印工具、数据比较工具等。
(二)数据库审计工具
数据库审计工具是指跟踪数据和数据库结构变化的工具。包括本地数据库审计、安全信息和事件管理及日志管理、数据库活动监控等。
(三)源代码安全审计工具
源代码安全审计是依据公共漏洞字典表、开放式 Web 应用程序安全项目以及设备、软件厂商公布的漏洞库,结合专业源代码扫描工具对各种程序语言编写的源代码进行安全审计。可提供包括安全编码规范咨询、源代码安全现状测评、定位源代码中存在的安全漏洞、分析漏洞风险、提出修改建议等一系列服务。
(四)日志安全审计工具
日志安全审计目的是收集系统日志,通过从各种网络设备、服务器、用户计算机、数据库、应用系统和网络安全设备中收集日志,进行统一管理和分析。日志审计系统功能包括信息采集、信息分析、信息存储、信息展示等功能。
(五)网络安全审计工具
网络安全审计是指按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能的过程。也是检查评估系统安全风险并采取相应措施的一个过程。网络安全审计从审计级别上可分为三种类型:系统级审计、应用级审计和用户级审计。
(六)专用审计工具箱
包括病毒查杀软件、坏磁盘恢复软件、数据反删除软件、磁盘反格式化软件、静态安全分析软件、动态安全分析软件、访问控制分析软件、漏洞扫描及渗透测试等专用工具软件。