IT审计专栏(一)-概念篇 软件测试
关键字:IT审计 概念
1 信息化的社会
近年来,随着信息技术的不断发展,信息系统日渐成为现代社会中不可缺少的“基础设施”。就在信息系统为人们提供便利,满足社会服务需求的同时,信息系统自身的结构、功能复杂度越来越高,使得信息系统本身由于复杂度增大导致的系统脆弱性隐患变得越发严重。对信息系统进行错误操作、滥用、不正当使用导致的社会问题屡见不鲜,给社会带来了巨大的经济损失,重者伤及人命。特别是近些年来的网络化趋势使得这种影响波及范围更为扩大,造成了极为恶劣的影响。因此,信息系统的安全性愈来愈为社会所关注。
信息系统给社会带来的危害主要体现在以下几方面:
(1) 致命的功能停止
● 由于1993年纽约世界贸易大厦爆炸事件,使得当时入住的多数企业的商业数据如数丧失,导致在企业这一年内的很多商业活动无法进行。(AIXCELLENCE 1995年秋冬号IBM社)
在现实生活中,这样的例子比比皆是。由于停电使医院信息系统的停止导致手术的病人致死这样的现象也时有发生。为此,如何给信息系统提供一个安全环境,如何使一个信息系统环境内信息流处处畅通,成为了一个新的课题。
(2) 错误操作、不正当使用和滥用信息技术
● 某都市银行支店副店长利用联机终端盗取3亿日币(折合2千多万人民币)(1998.1.14 日本经济新闻)
● 1998年发生的CIH病毒,导致全球数百万台计算机硬件损坏,导致近百亿美元的经济损失。
● 1997.8.1发生在东京证券交易所的系统当机造成了巨大的社会影响和经济损失。经调查,原因是处理程序在设计时出的一个小问题。(1997.8.15日经BUSINESS)
任何技术都是“双刃剑”,信息系统给社会带来巨大便利的同时,也往往会被“不法分子”所利用,如何杜绝这类现象,如何防止信息系统因为自身的缺陷给社会蒙受巨大损失,这又是我们面临的另外一个新课题。
此外如何对待信息系统投资也引起人们的逐步关注。不少信息系统建设项目劳民伤财,耗资巨大却无法为社会提供实际的服务价值,甚至还危害及社会。对于企业来说何尝不是一笔重大的经济损失。有例证:1994年,Standish Group对IT行业8400个项目(投资250亿美元)的研究结果表明有34%的项目彻底失败,50%的项目在补救后完成,预算平均超出90%,进度平均超出120%。这些失败和补救的项目中、不少未经过投资风险评估便匆匆上马,超成了极大的社会资源浪费,对信息系统投资方面起到了极其恶劣的影响。
从上面的事例我们可以看出:应对信息系统的建设我们需要引入一种新的管理机制来对信息系统的安全性、投资效果、实施进程和实施效果等进行评估、指导和改进。这种机制就是我们今天所提到的IT审计(System Audit,又称IT监查)。
2 IT审计的历史和发展
IT审计的出处源自60年代IBM出版的《Audit encounters Electronic Data Processing》等有关在EDI环境下进行审核和组织的论述。不久后有关该方面的研究结果不断涌现, IT审计的雏形初步形成。但是由于信息系统在社会上尚未得到较为广泛的应用,因此IT审计并未在社会上形成意识。
七十年代中后期到八十年代初由于计算机在发达国家的企业初步普及,利用计算机犯罪和计算机系统失效的事件频频出现,使得IT审计日益得到社会重视,美国、日本先后成立了IT审计方面的协会组织。从事对IT审计规则的制定和实施指导。值得注意的是1985年日本政府出台了《IT审计标准》并根据美国劳工部的《Skill Start》和Northwest Center for Engineering Technologies(NCET)对IT信息人员的从业技能的要求制订了IT审计师(系统监查员)的技能标准并以之作为新的“IT审计师(系统监查员)”级考试的参考标准。
九十年代是IT审计的普及期,这主要归功于互联网的普及。互联网的普及是利用计算机犯罪的人员温床,此外日益严重的软件项目失败问题引发了是否要对信息系统的投资和开发进行审计的深思。IT审计得到了前所未有的重视。
3 IT审计的对象、范围和意义