网络信息系统审计与工程建设质量控制张昊(信息产业部电子第五研究所广州，510610)摘要:本文研究了网络信息系统审计的主要内容，论迷了开展信息系统市计对提高信息系统工程质t的意义.关艘词:可靠性，信息系统，审计，质t控制1前言近年来，我国电子政务建设和企业信息化建设纷纷投入大f的人力、物力、财力，一些国有大型金融机构每年投入资金多达上亿元。但是对于这个花费企业巨额资金的项目，其效果与效率如何?是否达到预期的目标?另外，随着信息系统在帮助企业处理业务和进行决策中扮演越来越重要的角色，它们也面临着越来越多的诸如数据丢失、决策的不准确性、黑客入俊、病毒感染、非法访问、滥用特权，计算机使用的控制环境等风险，如何消除或降低这些风险将是信息化建设过程中需要迫切解决的问题.计算机等信息技术产品的商家众多，竞争激烈，产品型号复杂，价格五花八门，信息系统使用和建设单位对市场不熟悉，在挑选工程承包单位和进行商务谈判时心中无底，比较被动·信息化系统的建设是一项十分复杂的系统工程·如何保证项目实施绒略的正确?如何保证项目目标和策略的合理?如何保证项目管理的科学?如何保证目标推进和有效?等等一系列问题，将直接关系到企业信息化的成败、实施质t的高低、实施成本的控制等最终结果。(信息系统工程监理暂行规定》的颁布，将对我国的信息系统工程建设质t在国家政策上提供强有力的保证.随着我国大力推进信息化，工程建设规模都有较大程度fei提高，涉及的范围也越来越宽。按照《信息系统工程监理暂行规定》，本规定所称信息系统工程是指信息化工程建设中的信息网络系统、信息资源系统、信息应用系统的新建、升级、改造工程.(一)倍息网络系统是指以信息技术为主要手段建立的信息处理、传输、交换和分发的计算机网络系统;(二)信息资源系统是指以信息技术为主要手段建立的信息资源采集、存储、处理的资源系统:(三)信息应用系统是指以信息技术为主要手段建立的各类业务管理的应用系统。在信息化建设过程中，工程监理的参与将对工程建设保证起到一定的作用，但仅仅有了工程监理，对于保证信息系统全寿命周期的质t与可靠性还是不够的，本文主要讨论在国际上普遍使用的信息系统审计，介绍信息系统审计的概念和国外的发展状况，引入信息系统审计的内容，希望从不同的角度，思考信息系统质A与可推性控制和保证的技术方法和管理策略，以期望对加强信息系统工程质f建设和信息系统的保障管理起到一定的促进-150-作用。2信息系统审计概念信息系统审计是全部审计程序的一部分，它有利于提供良好的公司治理环境。然而，现在还没有一个为大家普遍接受的信息系统审计定义，美国信息系统审计的权威专家RonWeber将它(即以前所说的EDP审计)定义为“收集和评价证据以决定一个计算机系统(信息系统)是否能够保护资产，维护数据的完整性，有效地达到组织目标和有效率地使用资源的过程”。而日本通产省情报处理开发协会IT审计委员会在1996年的定义;为了使信息系统的安全、可靠与有效，由独立于审计对象的IT审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向IT审计对象的最高领导，提出问题与建议的以系列活动。信息系统审计的主要特征:1.独立性为了确保信息系统审计的公正性，信息系统审计师必须独立于被审计的单位或个人，以第三方的客观立场对信息系统进行综合的检查与评价，因此信息系统审计是第三方的概念。2综合性信息系统审计是以信息系统的整体为对象的，必须采用综合的方法对信息系统的各个层次进行检查与评价，这远远区别于传统意义上的会计审计。3.系统性贯穿于信息系统的全寿命周期，管理是核心、技术是支撑。3信息系统审计发展过程信息系统审计最早称为计算机审计，是随着计算机在财务会计领域的应用而产生的。早期的计算机应用比较简单，相应地，计算机审计业务主要关注对被审计单位电子数据的取得、分析、计算等数据处理业务，还称不上信息系统审计.从财务报表审计的角度来看，这一阶段的主要业务内容是对交易金额和账户、报表余额进行检查，属于审计程序中的实质性测试环节。随着计算机技术应用范围的不断扩展，计算机对被审计单位各个业务环节的影响越来越大，计算机审计所关注的内容也从单纯的对电子的处理延伸到对计算机系统的可靠性、安全性进行了解和评价。在制度基础审计的模式下，计算机审计的业务内容己经扩展到了符合性测试领域。风险基础的审计模式的采用以及信息技术在被审计单位的各个领域的广泛应用，信息系统的安全性、可靠性与其所服务的组织所面临的各种风险的联系越来越紧密，并且直接或间接地影响到财务报表的真实、公允。在这种情况下，对被审计单位风险的评估必须将计算机信息系统纳入