當(dāng)前，我國審計機關(guān)不同程度地開展了信息系統(tǒng)審計，并取得了一定成果。信息系統(tǒng)審計不僅關(guān)注被審計單位信息系統(tǒng)的真實性、合規(guī)性，同時也是對被審計單位落實國家信息系統(tǒng)相關(guān)政策情況的檢驗。信息系統(tǒng)審計同樣可以開展“政策審計”，以政策措施為主線開展審計，特別關(guān)注政策措施是否落實、落實的時間、落實的效果、落實中出現(xiàn)的問題及新情況等方面，建立信息系統(tǒng)法律法規(guī)遵循性審計的方法和規(guī)范。充分體現(xiàn)審計這一高層次監(jiān)督效能。

　　近幾年，為開展信息系統(tǒng)安全等級保護(hù)工作，國家頒布了一系列的法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，如《信息安全等級保護(hù)管理辦法》（公通字[2007]43號）、《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》（公信安[2007]861號）、《信息系統(tǒng)安全等級保護(hù)定級指南》、《信息系統(tǒng)安全等級保護(hù)基本要求》等，建立起國家重要信息系統(tǒng)安全保護(hù)制度體系。而被審計單位通常信息化程度較高，且其重要業(yè)務(wù)均依賴信息系統(tǒng)完成，一般都納入國家重要信息系統(tǒng)等級保護(hù)體系。信息安全等級保護(hù)政策審計需要在深刻理解國家相關(guān)政策的基礎(chǔ)上，綜合運用多種審計方法，對被審計單位落實等級保護(hù)政策的情況做出綜合評價。

　　一、信息安全等級保護(hù)政策審計的審前調(diào)查

　　如同傳統(tǒng)審計，信息安全等級保護(hù)政策審計也需要做審前調(diào)查，制定詳細(xì)的實施方案。審前調(diào)查的主要工作內(nèi)容包括：一是掌握被審計單位的整體信息部門的總體情況，包括信息部門的管理體制、機構(gòu)設(shè)置、人員編制情況，規(guī)章制度、重要會議記錄和有關(guān)文件以及以往接受審計的相關(guān)情況等，做到心中有數(shù)，全面掌握。二是初步掌握被審計單位信息系統(tǒng)納入等級保護(hù)范圍的情況，包括了解所有信息系統(tǒng)的功能、在業(yè)務(wù)流程中扮演的角色、對社會秩序和國家安全的影響程度，重點關(guān)注影響國計民生和社會安全的重要信息系統(tǒng)。三是設(shè)計模擬定級流程，繪制模擬定級過程涉及的表單，確定量化定級的計算模型。四是調(diào)查被審計單位開展信息系統(tǒng)安全等級保護(hù)后續(xù)工作的情況，檢查被審計單位有無遵循相關(guān)法律法規(guī)的規(guī)定，是否將后續(xù)工作做到實處。

　　審前調(diào)查的首要任務(wù)是梳理國家和地方的相關(guān)政策，深刻理解政策頒布的初衷和內(nèi)涵。以廣東省為例，除國家頒布的上述法規(guī)外，廣東省還頒布了《廣東省信息系統(tǒng)安全保護(hù)條例》，《廣州市重要信息系統(tǒng)安全等級保護(hù)定級工作實施方案》等。審計人員必須吃透這些法律法規(guī)，并對照其中的規(guī)定，制定可行的實施方案。

　　二、信息安全等級保護(hù)政策審計的實施過程

　　在審計實踐中，經(jīng)常會遇到被審計單位為逃避有關(guān)部門監(jiān)管，故意漏報應(yīng)納入保護(hù)范疇的信息系統(tǒng)數(shù)目的情況，此時需要根據(jù)審前調(diào)查的結(jié)果，對整體信息系統(tǒng)進(jìn)行評估，判定哪些信息系統(tǒng)應(yīng)納而未納入等級保護(hù)體系。審計人員需要參考有關(guān)法規(guī)，按照信息系統(tǒng)的重要程度對系統(tǒng)進(jìn)行分類判定，初步排查應(yīng)納入等級保護(hù)體系的信息系統(tǒng)。在此過程中，審計人員可根據(jù)行業(yè)的重要程度、被審計單位在行業(yè)中的排名和地位、同行業(yè)相關(guān)系統(tǒng)對比、公安部門頒布的相關(guān)參考意見以及系統(tǒng)扮演的業(yè)務(wù)角色等方面進(jìn)行綜合判斷。

　　對于已納入定級范圍的信息系統(tǒng)，應(yīng)重點關(guān)注其定級是否合理，是否真實反映系統(tǒng)的重要程度。在時間緊、任務(wù)重的情況下，審計人員可選取被審計單位中某些信息安全等級高而實際中定級偏低的系統(tǒng)，在技術(shù)和管理的各個層面進(jìn)行安全控制的整體性驗證。包括分析系統(tǒng)的業(yè)務(wù)流程，還原定級過程，重點揭示定級過程中可能存在的問題等。在模擬定級過程中，審計人員根據(jù)審前調(diào)查設(shè)計的表單，對照表單中需要驗證的內(nèi)容進(jìn)行專業(yè)評分，根據(jù)評分結(jié)果和審前調(diào)查確定的量化定級的計算模型，對系統(tǒng)的安全級別進(jìn)行科學(xué)評定。，被審計單位有時出于多種目的，故意將信息系統(tǒng)定級偏低，審計人員必須堅持自己的判定，做到有理有據(jù)，不可聽信被審計單位的一面之詞，要站在政策審計的高度，指出被審計單位在定級過程中存在的問題。

　　對已納入定級范圍的信息系統(tǒng)還應(yīng)重點檢查其是否按照相關(guān)規(guī)定開展后續(xù)工作，這是一般被審計單位落實等級保護(hù)政策的薄弱環(huán)節(jié)。審計人員可通過走訪、調(diào)查等方式，了解被審計單位是否已開展自查和整改等工作，必要的時候可展開差異測試，從而可評估被審計單位是否真正重視信息系統(tǒng)等級保護(hù)工作。

　　三、信息安全等級保護(hù)政策審計報告

　　一般而言，信息安全等級保護(hù)政策審計屬于信息系統(tǒng)審計的一個內(nèi)容，其結(jié)果既可綜合到信息系統(tǒng)審計報告中，亦可出具單獨的審計報告。除反映被審計單位落實信息安全等級保護(hù)政策的情況外，可結(jié)合實際，注重從政策措施以及體制、機制、制度層面發(fā)現(xiàn)問題并提出審計意見和建議，充分發(fā)揮審計“免疫系統(tǒng)”的功能。

　　四、開展信息安全等級保護(hù)政策審計的一些體會

　　目前，信息安全等級保護(hù)政策審計仍然是一個新課題，還需要審計人員在實踐中加以探索。筆者有幸參加了我辦對某大型國企開展的經(jīng)濟(jì)責(zé)任審計項目，對開展信息安全等級保護(hù)政策審計有一些小小的體會，愿與讀者共饗：

　　一是審計人員必須具備敏銳的政治敏感度，深刻理解政策出臺的背景和內(nèi)涵，做到有的放矢。

　　二是審計人員必須具備良好的專業(yè)素養(yǎng)，有足夠的能力設(shè)計可行的實施方案，保證方案的制定、工作的實施、數(shù)據(jù)的采集整理以及審計報告的提交能按時按質(zhì)按量完成。

　　三是審計人員必須堅持審計結(jié)果，做到有理有據(jù)。在審計過程中要爭取被審計單位的理解與支持，以確保工作的順利開展。

　　四是審計人員應(yīng)拓展思路，跳出信息系統(tǒng)審計的傳統(tǒng)思維模式，不拘泥于技術(shù)的層面，而從國家政策的高度提出高質(zhì)量的審計建議。