國際內(nèi)審師考試輔導(dǎo):實務(wù)公告2100—2

實務(wù)公告 2100—2：信息安全性
    解釋《內(nèi)部審計專業(yè)實務(wù)標(biāo)準(zhǔn))中的第 2100 條標(biāo)準(zhǔn) 相關(guān)標(biāo)準(zhǔn)：第 2100 條標(biāo)準(zhǔn)
    工作性質(zhì) 內(nèi)部審計部門評價并幫助改進機構(gòu)的風(fēng)險管理、控制和治理體系。 本實務(wù)公告性質(zhì)
    在評價與信息安全性有關(guān)的機構(gòu)治理活動時，內(nèi)部審計師應(yīng)該考慮以下建議。本實務(wù)指 導(dǎo)無意囊括開展與信息安全性有關(guān)的綜合性保證活動或咨詢業(yè)務(wù)必須考慮的所有方面，只是 推薦一些 高層次的審計師職責(zé)，以補充董事會和管理層的相關(guān)責(zé)任。是否遵守本實務(wù)公告 由審計師自行選擇決定。
    1．內(nèi)部審計師應(yīng)該確定管理人員、董事會、審計委員會或其他管理機構(gòu)是否明確理解 信息安全性是一種管理責(zé)任。這種責(zé)任包括機構(gòu)的所有關(guān)鍵信息，信息通過何種媒介儲存則 無關(guān)緊要。
    2．審計執(zhí)行主管應(yīng)該確定，內(nèi)部審計活動擁有或有辦法獲取相關(guān)的審計資源，對信息 安全性和有關(guān)風(fēng)險進行評價，包括內(nèi)部和外部風(fēng)險，以及與機構(gòu)的對外關(guān)系有關(guān)的風(fēng)險。
    3．內(nèi)部審計師應(yīng)該確定管理人員是否已經(jīng)向董事會、審計委員會或其他管理機構(gòu)保證， 一旦出現(xiàn)威脅機構(gòu)的侵害信息安全的情況，管理人員將馬上把這些情況告知內(nèi)部審計人員。
    4．內(nèi)部審計師應(yīng)該評價針對過去侵害行為和可能發(fā)生的未來侵害企圖或事件的預(yù)防性、 發(fā)現(xiàn)性和減緩性措施的有效性。內(nèi)部審計師應(yīng)該核證董事會、審計委員會或其他治理機構(gòu)已 經(jīng)通過 恰當(dāng)途徑獲知侵害行為造成的威脅、侵害事件的具體情況、受到攻擊的薄弱環(huán)節(jié)以 及糾正性措施。
    5．內(nèi)部審計師應(yīng)該定期評價機構(gòu)的信息安全實務(wù)，在合適的條件下，加強或?qū)嵤┬碌?控制和保衛(wèi)措施，并根據(jù)評價結(jié)果為董事會、審計委員會或其他治理機構(gòu)提供保證報告。這 種評價工 作既可以以獨立業(yè)務(wù)的形式開展，也可以包括在其他審計或業(yè)務(wù)中以審批后的審 計計劃的組成部分的形式開展。