GB-T 34960.4-2017信息技术服务治理第4部分审计导则

ICS 35.080 L 77 中华人民共和国国家标准 GB/T34960.42017 信息技术服务治理第4部分：审计导则 Information technology service--Governance- Part 4:Audit guidance 2017-11-01发布 2018-05-01实施中华人民共和国国家质量监督检验检疫总局发布中国国家标准化管理委员会 GB/T 34960.4--2017 目次前言 1 范围 2 规范性引用文件 3 术语和定义审计总则 4.1 审计与治理的关系 4.2 审计结构及其关系 4.3 审计依据 4.4 审计方法 4.5 审计技术 4.6 审计质量控制 4.7 审计业务类型 4.8 审计工作的执行 5 审计组织管理 5.1 总则 5.2 审计环境 5.3 审计机构 5.4 审计规章制度 6 审计人员 6.1 职业道德 6.2 知识、技能、资格与经验 6.3. 专业胜任能力 6.4: 利用外部专家服务内部控制审计 7.1 总则 7.2 组织控制审计 *+++ 7.3. 一般控制审计 10 7.4 应用控制审计 12 8 专项审计 13 8.1 总则 13 8.2 应用系统生命周期管理专项审计 13 8.3 信息安全专项审计 14 8.4 风险管理专项审计 8.5 供方管理专项审计 15 8.6 业务连续性管理专项审计 15 8.7 质量管理专项审计 15 8.8 服务管理专项审计 15 学兔兔www.bzfxw。com GB/T 34960.4--2017 8.9：项目管理专项审计** 15 8.10.资产管理专项审计 .16 8.11投资管理专项审计 16 8.12合规性专项审计 16 8.13数据治理专项审计 16 8.14 绩效专项审计 ,17 9：审计流程 17 9.1: 总则， 17 9.2 审计准备 17 9.3 审计实施 :17 9.4:. 审计终结 .18 9.5 后续审计 10：审计报告 18 附录A(资料性附录) 审计方法的应用 19 附录B（资料性附录）审计技术含义和应用说明 .21 附录C（资料性附录）审计报告 24 参考文献 26 学兔兔www.bzfxw.com GB/T 34960.4--2017 前言 GB/T34960《信息技术服务：治理》拟分为如下部分：第1部分：通用要求；第2部分：实施指南：第3部分：绩效评价；第4部分：审计导则；第5部分：数据治理规范；本部分为GB/T34960的第4部分。本部分按照GB/T1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本部分由全国信息技术标准化技术委员会（SAC/TC28)提出并归口。本部分起草单位：上海万隆信息技术咨询有限公司、中国电子技术标准化研究院、上海计算机软件技术开发中心、上海谷航信息科技发展有限公司、上海翰纬信息管理咨询有限公司、四川久远银海软件股份有限公司、北京华胜天成科技股份有限公司、瑞华会计师事务所（特殊普通合伙）上海分所、广州赛宝认证中心服务有限公司、北京久其软件股份有限公司、沈阳赛宝科技服务有限公司、用友网络科技股份有限公司、上海优刻得信息科技有限公司、深圳云塔信息技术有限公司、北京护航科技有限公司、联通系统集成有限公司、中金数据系统有限公司、深圳赛西信息技术有限公司、快威科技集团有限公司、上海市浦东新区信息化协会、上海翰昌信息科技发展有限公司、成都信息化技术应用发展中心上海企源科技有限公司、神州数码信息服务股份有限公司、北京神州泰岳软件股份有限公司、北京富通金信计算机系统服务有限公司、广州赛宝联睿信息科技有限公司、南威软件股份有限公司、深圳市艾泰克工程咨询监理有限公司、成都安美勤信息技术股份有限公司、北京北咨信息工程咨询有限公司、北京神州数码锐行快捷信息技术服务有限公司、上海北塔软件股份有限公司、宝钢资源控股（上海）有限公司、北京信城通数码科技有限公司。本部分主要起草人：俞文平、张明英、李鸣、韩佳赞、吴越、潘蓉、陆雷、宋俊典、左天祖、张绍华、宋跃武、李璐、孙佩、刘小茵、杨泉、季昕华、朱圣哲、于浩、徐飞、魏东、王春涛、向纪兰、肖建一、但强、宋长发、钱伟峰、杨琳、王静、王永军、甘琼、徐旭华、王庆磊、刘越男、李峰、张肠肠、沈国华、主东、梁晓雁、俞丽平、邱芃、张磊磊、何敏、郝守勤、陈宏峰、黄建新、乔春艳、李刚、孙军、谭燕齐、武艳、侯娜娜、马洪杰、刘玲、徐、金桥、陆雯珺。学兔兔www.bzfxw.com 学兔兔www.bzfxw.com GB/T 34960.4--2017 信息技术服务治理第4部分：审计导则 1 范围 GB/T34960的本部分规定了信息技术审计（以下简称IT审计）总则、审计组织管理、审计人员、审计流程、审计报告、审计适用对象和范围等内容。本部分适用于： a）组织治理主体实施IT审计监督职能； b)" 建立或完善组织的IT审计体系： c) 明确组织IT审计过程中的相关要求：规范组织IT审计业务的开展；建立或完善信息化下审计体系的指导： . 第三方或其他相关机构开展IT审计的指导；建立或未建立内部IT审计机构的组织，均可聘请第三方依据本标准的相关要求开展T 审计。各级各类信息化主管部门、监管机构及审计监督机构，可根据法律法规、部门规章的要求，使用本标准对所管辖各类组织的IT审计提出要求，并进行监督。 2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T34960.12017信息技术服务治理第1部分：通用要求 3术语和定义下列术语和定义适用于本文件。 3.1 信息技术治理 information technology governance 专注于信息技术体系及其绩效和风险管理的一组治理规则，由领导关系、组织结构和过程组成，以确保信息技术能够支撑组织的战略目标。 [GB/T29264--2012,定义2.6] 3.2 信息技术审计 ...information technology audit,IT audit 根据IT审计标准的要求，对信息系统及相关的IT内部控制和流程进行检查、评价，并发表审计意见。学兔兔www.bzfxw.com GB/T 34960.4--2017 信息技术审计章程 internal audit charter 确定IT审计活动的宗旨、权力和职责等的正式文件。 3.4 能力 capability 完成任务或履行角色责任所需知识、技能、经验及其他资源等的组合。 3.5 信息技术内部控制 internal control 由组织治理主体和全体员工实施的、旨在实现IT控制目标的过程。注：内部控制要索包括IT控制环境、风险评估、控制活动、信息与沟通及内部监督。 3.6 组织层面控制 organization control 在组织层面建立并实施的IT相关控制。注：控制要素包括IT控制环境、风险评估、控制活动、信息与沟通及内部监督。 3.7 组织控制审计 organization control audit 对组织层面控制开展的审计。 3.8 一般控制 general control 为了保证信息系统安全、稳定的运行，对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制。 3.9 二般控制审计 general control audit 对一般控制开展的审计。 3.10 应用控制 I...application control 在业务流程层面为合理保证应用系统准确、完整、及时的完成业务数据的生成、记录、处理、报告等功能，而设计、执行的IT控制。 3.11 应用控制审计 ...- application control audit 对应用控制开展的审计。 3.12 网络 ...network 利用通信线路将地理上分散的、具有独立功能的计算机系统和通信设备按不同的形式连接起来，以功能完善的网络软件及协议实现资源共享和信息传递的系统。 3.13 网络风险 network risk 组织在运用网络过程中，由于自然因素、人为因素、技术漏洞和管理缺陷等产生的风险。 3.14 审计方法 audit method 审计人员为完成IT审计任务所采取的方式和手段。 2 学兔兔www.bzfxw.com GB/T 34960.4--2017 3.15 审计流程 audit process 审计人员在其体审计过程中采取的行动和步骤。 3.16 审计报告 audit report 审计人员在完成对审计证据的整理、归纳、评价及确定审计发现后，形成审计意见和建议，并以适当格式提交的书面文件。审计总则 4.1审计与治理的关系 IT治理的任务包括评估、指导与监督，IT审计是监督的内容之一依据GB/T34960.1-2017的规定：治理主体以组织章程、监管职责、利益相关方期望、业务压力和业务要求为驱动力，建立评估、指导、监督的治理过程并明确任务。治理主体应通过IT战略和方针，指导管理者对IT及其应用的管理体系进行完善，并对IT相关的方案和规划进行评估、对IT应用的绩效和符合性进行监督。组织应结合治理原则和模型，在IT治理实施的过程中，开展自我监督、自我评估和审计工作，并持续改进。 4.2审计结构及其关系 IT审计包括审计组织管理体系、审计依据、审计方法、审计技术、审计质量控制、审计