ICS 35.080 L 77 中华人民共和国国家标准 GB/T34960.42017 信息技术服务 治理 第4部分:审计导则 Information technology service--Governance- Part 4:Audit guidance 2017-11-01发布 2018-05-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T 34960.4--2017 目 次 前言 1 范围 2 规范性引用文件 3 术语和定义 审计总则 4.1 审计与治理的关系 4.2 审计结构及其关系 4.3 审计依据 4.4 审计方法 4.5 审计技术 4.6 审计质量控制 4.7 审计业务类型 4.8 审计工作的执行 5 审计组织管理 5.1 总则 5.2 审计环境 5.3 审计机构 5.4 审计规章制度 6 审计人员 6.1 职业道德 6.2 知识、技能、资格与经验 6.3. 专业胜任能力 6.4: 利用外部专家服务 内部控制审计 7.1 总则 7.2 组织控制审计 *+++ 7.3. 一般控制审计 10 7.4 应用控制审计 12 8 专项审计 13 8.1 总则 13 8.2 应用系统生命周期管理专项审计 13 8.3 信息安全专项审计 14 8.4 风险管理专项审计 8.5 供方管理专项审计 15 8.6 业务连续性管理专项审计 15 8.7 质量管理专项审计 15 8.8 服务管理专项审计 15 学兔兔www.bzfxw。com GB/T 34960.4--2017 8.9:项目管理专项审计** 15 8.10.资产管理专项审计 .16 8.11投资管理专项审计 16 8.12合规性专项审计 16 8.13数据治理专项审计 16 8.14 绩效专项审计 ,17 9:审计流程 17 9.1: 总则, 17 9.2 审计准备 17 9.3 审计实施 :17 9.4:. 审计终结 .18 9.5 后续审计 10:审计报告 18 附录A(资料性附录) 审计方法的应用 19 附录B(资料性附录) 审计技术含义和应用说明 .21 附录C(资料性附录) 审计报告 24 参考文献 26 学兔兔www.bzfxw.com GB/T 34960.4--2017 前言 GB/T34960《信息技术服务:治理》拟分为如下部分: 第1部分:通用要求; 第2部分:实施指南: 第3部分:绩效评价; 第4部分:审计导则; 第5部分:数据治理规范; 本部分为GB/T34960的第4部分。 本部分按照GB/T1.1-2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本部分由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。 本部分起草单位:上海万隆信息技术咨询有限公司、中国电子技术标准化研究院、上海计算机软件 技术开发中心、上海谷航信息科技发展有限公司、上海翰纬信息管理咨询有限公司、四川久远银海软件 股份有限公司、北京华胜天成科技股份有限公司、瑞华会计师事务所(特殊普通合伙)上海分所、广州赛 宝认证中心服务有限公司、北京久其软件股份有限公司、沈阳赛宝科技服务有限公司、用友网络科技股 份有限公司、上海优刻得信息科技有限公司、深圳云塔信息技术有限公司、北京护航科技有限公司、联通 系统集成有限公司、中金数据系统有限公司、深圳赛西信息技术有限公司、快威科技集团有限公司、上海 市浦东新区信息化协会、上海翰昌信息科技发展有限公司、成都信息化技术应用发展中心上海企源科 技有限公司、神州数码信息服务股份有限公司、北京神州泰岳软件股份有限公司、北京富通金信计算机 系统服务有限公司、广州赛宝联睿信息科技有限公司、南威软件股份有限公司、深圳市艾泰克工程咨询 监理有限公司、成都安美勤信息技术股份有限公司、北京北咨信息工程咨询有限公司、北京神州数码锐 行快捷信息技术服务有限公司、上海北塔软件股份有限公司、宝钢资源控股(上海)有限公司、北京信城 通数码科技有限公司。 本部分主要起草人:俞文平、张明英、李鸣、韩佳赞、吴越、潘蓉、陆雷、宋俊典、左天祖、张绍华、 宋跃武、李璐、孙佩、刘小茵、杨泉、季昕华、朱圣哲、于浩、徐飞、魏东、王春涛、向纪兰、肖建一、但强、 宋长发、钱伟峰、杨琳、王静、王永军、甘琼、徐旭华、王庆磊、刘越男、李峰、张肠肠、沈国华、主东、梁晓雁、 俞丽平、邱芃、张磊磊、何敏、郝守勤、陈宏峰、黄建新、乔春艳、李刚、孙军、谭燕齐、武艳、侯娜娜、马洪杰、 刘玲、徐、金桥、陆雯珺。 学兔兔www.bzfxw.com 学兔兔www.bzfxw.com GB/T 34960.4--2017 信息技术服务治理 第4部分:审计导则 1 范围 GB/T34960的本部分规定了信息技术审计(以下简称IT审计)总则、审计组织管理、审计人员、审 计流程、审计报告、审计适用对象和范围等内容。 本部分适用于: a) 组织治理主体实施IT审计监督职能; b)" 建立或完善组织的IT审计体系: c) 明确组织IT审计过程中的相关要求: 规范组织IT审计业务的开展; 建立或完善信息化下审计体系的指导: . 第三方或其他相关机构开展IT审计的指导; 建立或未建立内部IT审计机构的组织,均可聘请第三方依据本标准的相关要求开展T 审计。 各级各类信息化主管部门、监管机构及审计监督机构,可根据法律法规、部门规章的要求,使用本标 准对所管辖各类组织的IT审计提出要求,并进行监督。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T34960.12017信息技术服务治理第1部分:通用要求 3术语和定义 下列术语和定义适用于本文件。 3.1 信息技术治理 information technology governance 专注于信息技术体系及其绩效和风险管理的一组治理规则,由领导关系、组织结构和过程组成,以 确保信息技术能够支撑组织的战略目标。 [GB/T29264--2012,定义2.6] 3.2 信息技术审计 ...information technology audit,IT audit 根据IT审计标准的要求,对信息系统及相关的IT内部控制和流程进行检查、评价,并发表审计 意见。 学兔兔www.bzfxw.com GB/T 34960.4--2017 信息技术审计章程 internal audit charter 确定IT审计活动的宗旨、权力和职责等的正式文件。 3.4 能力 capability 完成任务或履行角色责任所需知识、技能、经验及其他资源等的组合。 3.5 信息技术内部控制 internal control 由组织治理主体和全体员工实施的、旨在实现IT控制目标的过程。 注:内部控制要索包括IT控制环境、风险评估、控制活动、信息与沟通及内部监督。 3.6 组织层面控制 organization control 在组织层面建立并实施的IT相关控制。 注:控制要素包括IT控制环境、风险评估、控制活动、信息与沟通及内部监督。 3.7 组织控制审计 organization control audit 对组织层面控制开展的审计。 3.8 一般控制 general control 为了保证信息系统安全、稳定的运行,对整个信息系统以及外部各种环境要素实施的、对所有的应 用或控制模块具有普遍影响的控制。 3.9 二般控制审计 general control audit 对一般控制开展的审计。 3.10 应用控制 I...application control 在业务流程层面为合理保证应用系统准确、完整、及时的完成业务数据的生成、记录、处理、报告等 功能,而设计、执行的IT控制。 3.11 应用控制审计 ...- application control audit 对应用控制开展的审计。 3.12 网络 ...network 利用通信线路将地理上分散的、具有独立功能的计算机系统和通信设备按不同的形式连接起来,以 功能完善的网络软件及协议实现资源共享和信息传递的系统。 3.13 网络风险 network risk 组织在运用网络过程中,由于自然因素、人为因素、技术漏洞和管理缺陷等产生的风险。 3.14 审计方法 audit method 审计人员为完成IT审计任务所采取的方式和手段。 2 学兔兔www.bzfxw.com GB/T 34960.4--2017 3.15 审计流程 audit process 审计人员在其体审计过程中采取的行动和步骤。 3.16 审计报告 audit report 审计人员在完成对审计证据的整理、归纳、评价及确定审计发现后,形成审计意见和建议,并以适当 格式提交的书面文件。 审计总则 4.1审计与治理的关系 IT治理的任务包括评估、指导与监督,IT审计是监督的内容之一 依据GB/T34960.1-2017的规定:治理主体以组织章程、监管职责、利益相关方期望、业务压力和 业务要求为驱动力,建立评估、指导、监督的治理过程并明确任务。治理主体应通过IT战略和方针,指 导管理者对IT及其应用的管理体系进行完善,并对IT相关的方案和规划进行评估、对IT应用的绩效 和符合性进行监督。组织应结合治理原则和模型,在IT治理实施的过程中,开展自我监督、自我评估 和审计工作,并持续改进。 4.2审计结构及其关系 IT审计包括审计组织管理体系、审计依据、审计方法、审计技术、审计质量控制、审计

pdf文档 GB-T 34960.4-2017信息技术服务治理第4部分审计导则

文档预览
中文文档 36 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共36页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
GB-T 34960.4-2017信息技术服务治理第4部分审计导则 第 1 页 GB-T 34960.4-2017信息技术服务治理第4部分审计导则 第 2 页 GB-T 34960.4-2017信息技术服务治理第4部分审计导则 第 3 页
下载文档到电脑,方便使用
本文档由 思安 于 2023-01-15 17:30:12上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。