當前，我國審計機關不同程度地開展了信息系統(tǒng)審計，并取得了一定成果。信息系統(tǒng)審計不僅關注被審計單位信息系統(tǒng)的真實性、合規(guī)性，同時也是對被審計單位落實國家信息系統(tǒng)相關政策情況的檢驗。信息系統(tǒng)審計同樣可以開展“政策審計”，以政策措施為主線開展審計，特別關注政策措施是否落實、落實的時間、落實的效果、落實中出現(xiàn)的問題及新情況等方面，建立信息系統(tǒng)法律法規(guī)遵循性審計的方法和規(guī)范。充分體現(xiàn)審計這一高層次監(jiān)督效能。

　　近幾年，為開展信息系統(tǒng)安全等級保護工作，國家頒布了一系列的法律法規(guī)和技術標準，如《信息安全等級保護管理辦法》（公通字[2007]43號）、《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安[2007]861號）、《信息系統(tǒng)安全等級保護定級指南》、《信息系統(tǒng)安全等級保護基本要求》等，建立起國家重要信息系統(tǒng)安全保護制度體系。而被審計單位通常信息化程度較高，且其重要業(yè)務均依賴信息系統(tǒng)完成，一般都納入國家重要信息系統(tǒng)等級保護體系。信息安全等級保護政策審計需要在深刻理解國家相關政策的基礎上，綜合運用多種審計方法，對被審計單位落實等級保護政策的情況做出綜合評價。

　　一、信息安全等級保護政策審計的審前調(diào)查

　　如同傳統(tǒng)審計，信息安全等級保護政策審計也需要做審前調(diào)查，制定詳細的實施方案。審前調(diào)查的主要工作內(nèi)容包括：一是掌握被審計單位的整體信息部門的總體情況，包括信息部門的管理體制、機構設置、人員編制情況，規(guī)章制度、重要會議記錄和有關文件以及以往接受審計的相關情況等，做到心中有數(shù)，全面掌握。二是初步掌握被審計單位信息系統(tǒng)納入等級保護范圍的情況，包括了解所有信息系統(tǒng)的功能、在業(yè)務流程中扮演的角色、對社會秩序和國家安全的影響程度，重點關注影響國計民生和社會安全的重要信息系統(tǒng)。三是設計模擬定級流程，繪制模擬定級過程涉及的表單，確定量化定級的計算模型。四是調(diào)查被審計單位開展信息系統(tǒng)安全等級保護后續(xù)工作的情況，檢查被審計單位有無遵循相關法律法規(guī)的規(guī)定，是否將后續(xù)工作做到實處。

　　審前調(diào)查的首要任務是梳理國家和地方的相關政策，深刻理解政策頒布的初衷和內(nèi)涵。以廣東省為例，除國家頒布的上述法規(guī)外，廣東省還頒布了《廣東省信息系統(tǒng)安全保護條例》，《廣州市重要信息系統(tǒng)安全等級保護定級工作實施方案》等。審計人員必須吃透這些法律法規(guī)，并對照其中的規(guī)定，制定可行的實施方案。

　　二、信息安全等級保護政策審計的實施過程

　　在審計實踐中，經(jīng)常會遇到被審計單位為逃避有關部門監(jiān)管，故意漏報應納入保護范疇的信息系統(tǒng)數(shù)目的情況，此時需要根據(jù)審前調(diào)查的結(jié)果，對整體信息系統(tǒng)進行評估，判定哪些信息系統(tǒng)應納而未納入等級保護體系。審計人員需要參考有關法規(guī)，按照信息系統(tǒng)的重要程度對系統(tǒng)進行分類判定，初步排查應納入等級保護體系的信息系統(tǒng)。在此過程中，審計人員可根據(jù)行業(yè)的重要程度、被審計單位在行業(yè)中的排名和地位、同行業(yè)相關系統(tǒng)對比、公安部門頒布的相關參考意見以及系統(tǒng)扮演的業(yè)務角色等方面進行綜合判斷。

　　對于已納入定級范圍的信息系統(tǒng)，應重點關注其定級是否合理，是否真實反映系統(tǒng)的重要程度。在時間緊、任務重的情況下，審計人員可選取被審計單位中某些信息安全等級高而實際中定級偏低的系統(tǒng)，在技術和管理的各個層面進行安全控制的整體性驗證。包括分析系統(tǒng)的業(yè)務流程，還原定級過程，重點揭示定級過程中可能存在的問題等。在模擬定級過程中，審計人員根據(jù)審前調(diào)查設計的表單，對照表單中需要驗證的內(nèi)容進行專業(yè)評分，根據(jù)評分結(jié)果和審前調(diào)查確定的量化定級的計算模型，對系統(tǒng)的安全級別進行科學評定。，被審計單位有時出于多種目的，故意將信息系統(tǒng)定級偏低，審計人員必須堅持自己的判定，做到有理有據(jù)，不可聽信被審計單位的一面之詞，要站在政策審計的高度，指出被審計單位在定級過程中存在的問題。

　　對已納入定級范圍的信息系統(tǒng)還應重點檢查其是否按照相關規(guī)定開展后續(xù)工作，這是一般被審計單位落實等級保護政策的薄弱環(huán)節(jié)。審計人員可通過走訪、調(diào)查等方式，了解被審計單位是否已開展自查和整改等工作，必要的時候可展開差異測試，從而可評估被審計單位是否真正重視信息系統(tǒng)等級保護工作。

　　三、信息安全等級保護政策審計報告

　　一般而言，信息安全等級保護政策審計屬于信息系統(tǒng)審計的一個內(nèi)容，其結(jié)果既可綜合到信息系統(tǒng)審計報告中，亦可出具單獨的審計報告。除反映被審計單位落實信息安全等級保護政策的情況外，可結(jié)合實際，注重從政策措施以及體制、機制、制度層面發(fā)現(xiàn)問題并提出審計意見和建議，充分發(fā)揮審計“免疫系統(tǒng)”的功能。

　　四、開展信息安全等級保護政策審計的一些體會

　　目前，信息安全等級保護政策審計仍然是一個新課題，還需要審計人員在實踐中加以探索。筆者有幸參加了我辦對某大型國企開展的經(jīng)濟責任審計項目，對開展信息安全等級保護政策審計有一些小小的體會，愿與讀者共饗：

　　一是審計人員必須具備敏銳的政治敏感度，深刻理解政策出臺的背景和內(nèi)涵，做到有的放矢。

　　二是審計人員必須具備良好的專業(yè)素養(yǎng)，有足夠的能力設計可行的實施方案，保證方案的制定、工作的實施、數(shù)據(jù)的采集整理以及審計報告的提交能按時按質(zhì)按量完成。

　　三是審計人員必須堅持審計結(jié)果，做到有理有據(jù)。在審計過程中要爭取被審計單位的理解與支持，以確保工作的順利開展。

　　四是審計人員應拓展思路，跳出信息系統(tǒng)審計的傳統(tǒng)思維模式，不拘泥于技術的層面，而從國家政策的高度提出高質(zhì)量的審計建議。