6.3.2  信息系統審計的必要性

信息系統審計是網絡安全工作中的一個部分。在信息系統審計中，審計人員需要信息系統技術的支持，以高效地獲取、分析和驗證從信息系統輸出的財務數據的準確性。信息系統審計是安全管理體系PDCA循環中c,heck階段的主要手段之一。+一個組織要想實現真正的網絡安全，應該準確職責分離的重要原則，在組織機構內部構造出承擔不同職責的團隊，相互協調配合，分工合作，并通過獨立、有效的審計，提高組織的網絡安全水平和臺黽力。這三支團隊可以成為組織信息安全的“三道防線”。

“一道防線”：業務及操作層面的自我約束，職責是識別和管理業務固有風險，對風險實時控制和自我監督，是風險管理的直接責任者；

“二道防線”：具體風險的專職管理，職責是建立風險管理框架，實施獨立的風險計量、監測和報告等，確保風險管理政策及措施有效執行，將風險控制在可接受水平；

“三道防線”：獨立的監督評價職能（通常指內部審計），職責是對風險管理的相關控制、流程和系統等進行獨立審閱和檢查，促進一、二道防線積極履職以及風險管理體系的健全和有效，從而保障業務的健康穩健發展及組織目標的實現。

而信息系統風險是企業風險管理中的重要內容，信息安全事故的發生會給企業正常的業務運行帶來巨大隱患，影響企業的業務連續性。各組織為應對日益增加的信息安全問題，降低信息安全風險，應定期實施信息系統審計，將其作為第三道防線來保障企業的信息安全。