信息系统审计的必要性

6.3.2  信息系统审计的必要性

信息系统审计是网络安全工作中的一个部分。在信息系统审计中，审计人员需要信息系统技术的支持，以高效地获取、分析和验证从信息系统输出的财务数据的准确性。信息系统审计是安全管理体系PDCA循环中c,heck阶段的主要手段之一。+一个组织要想实现真正的网络安全，应该准确职责分离的重要原则，在组织机构内部构造出承担不同职责的团队，相互协调配合，分工合作，并通过独立、有效的审计，提高组织的网络安全水平和台黾力。这三支团队可以成为组织信息安全的“三道防线”。

“一道防线”：业务及操作层面的自我约束，职责是识别和管理业务固有风险，对风险实时控制和自我监督，是风险管理的直接责任者；

“二道防线”：具体风险的专职管理，职责是建立风险管理框架，实施独立的风险计量、监测和报告等，确保风险管理政策及措施有效执行，将风险控制在可接受水平；

“三道防线”：独立的监督评价职能（通常指内部审计），职责是对风险管理的相关控制、流程和系统等进行独立审阅和检查，促进一、二道防线积极履职以及风险管理体系的健全和有效，从而保障业务的健康稳健发展及组织目标的实现。

而信息系统风险是企业风险管理中的重要内容，信息安全事故的发生会给企业正常的业务运行带来巨大隐患，影响企业的业务连续性。各组织为应对日益增加的信息安全问题，降低信息安全风险，应定期实施信息系统审计，将其作为第三道防线来保障企业的信息安全。