11

（規(guī)范性）

信息系統(tǒng)審計師專業(yè)能力體系

信息系統(tǒng)審計師專業(yè)能力體系見表A.1

表A.1信息系統(tǒng)審計師專業(yè)能力體系

能力類別

能力項

能力細項

能力描述

審計專業(yè)能力

信息系統(tǒng)

審計

審計概論

應具有信息系統(tǒng)審計概念，國內(nèi)外信息系統(tǒng)和信息系統(tǒng)審計的建立和發(fā)展，信息系統(tǒng)審計種類和內(nèi)容，信息系統(tǒng)審計相關政策法規(guī)和標準規(guī)范等能力。

審計程序

應具有信息系統(tǒng)審計計劃、審前調(diào)查、審計實施、審計報告的審計程序能力。

審計方法

應具有信息系統(tǒng)審計方法、審計工具和第三方資源利用的能力。

審計判斷

應具有對信息系統(tǒng)管理控制、應用控制、數(shù)據(jù)控制、網(wǎng)絡控制、安全控制的合規(guī)性、可用性、安全性和經(jīng)濟性的審計判斷能力。

審計質(zhì)量

應具有對審計實施方案、審計取證、審計底稿、審計報告等流程的材料復核和審計目標質(zhì)量管控的能力。

技術專業(yè)

能力

管理控制

審計

組織管理控制審計

應具有對信息系統(tǒng)規(guī)劃建設的領導、實施、財務、運維、監(jiān)管等的組織結(jié)構和工作機制，具有對信息系統(tǒng)項目建議書、可行性研究報告和初步設計報告等立項報告控制的審計評價能力。

項目實施控制審計

應具有對信息系統(tǒng)招標投標和政府采購、詳細設計、系統(tǒng)建設、系統(tǒng)運行、系統(tǒng)維護等控制的審計評價能力。

項目投資控制審計

應具有對信息系統(tǒng)項目預算編制與批復、預算執(zhí)行、概算調(diào)整、決算編制等控制的審計評價能力。

項目驗收控制審計

應具有信息系統(tǒng)單項驗收、建設部門驗收、審批部門驗收控制的審計評價能力。

項目績效控制審計

應具有對信息系統(tǒng)的效能貢獻、業(yè)務信息化推動、可持續(xù)發(fā)展、能力適配指標等績效控制的審計評價能力。

應用控制

審計

應用規(guī)劃控制審計

應具有對政府治理、公共服務、企業(yè)和社會信息化等信息系統(tǒng)規(guī)劃控制的審計評價能力。

業(yè)務能力控制審計

應具有對門戶網(wǎng)站、管理系統(tǒng)、業(yè)務系統(tǒng)、數(shù)據(jù)中心、共享平臺、運維系統(tǒng)、安全系統(tǒng)等的系統(tǒng)整合，信息系統(tǒng)目錄的更新和總目錄的構建，信息系統(tǒng)的集約化、組件化、持續(xù)性、業(yè)務連續(xù)性等業(yè)務能力控制的審計評價能力；具備數(shù)據(jù)輸入、數(shù)據(jù)處理、數(shù)據(jù)輸出等控制審計能力，以及軟件工程化研制過程控制審計能力。

新技術運用控制審計

應具有移動互聯(lián)、物聯(lián)網(wǎng)、大數(shù)據(jù)、區(qū)塊鏈、人工智能等新一代信息技術運用的審計評價能力。

數(shù)據(jù)控制

審計

數(shù)據(jù)戰(zhàn)略控制審計

應具有對數(shù)據(jù)工作規(guī)劃、立項及相關政策標準制定的系統(tǒng)性、一致性、合規(guī)性控制的審計評價能力

數(shù)據(jù)質(zhì)量控制審計

應具有對數(shù)據(jù)采集、加工、匯聚與管理的質(zhì)量控制的審計評價能力。

數(shù)據(jù)共享控制審計

應具有數(shù)據(jù)共享開放的有效性、合規(guī)性、安全性控制的審計評價能力。

數(shù)據(jù)資產(chǎn)控制審計

應具有對數(shù)據(jù)資產(chǎn)管理、加工、流通、服務的合規(guī)性、有效性、安全控制的審計評價能力。

數(shù)據(jù)安全控制審計

應具有數(shù)據(jù)安全治理、數(shù)據(jù)安全保障等的國家數(shù)據(jù)安全法律規(guī)章的理解力和執(zhí)行力，具有對數(shù)據(jù)安全保護的合規(guī)性、有效性控制的審計評價能力。

網(wǎng)絡控制審計

網(wǎng)絡系統(tǒng)控制審計

應具有對信息系統(tǒng)利用的政務內(nèi)網(wǎng)、政務外網(wǎng)、互聯(lián)網(wǎng)，局域網(wǎng)、城域網(wǎng)、廣域網(wǎng)，多網(wǎng)互聯(lián)和網(wǎng)絡布線等控制的審計評價能力。

12

表A.1信息系統(tǒng)審計師專業(yè)能力體系（續(xù)）

能力類別

能力項

能力細項

能力描述

計算系統(tǒng)控制審計

應具有對計算系統(tǒng)的硬件、軟件、支撐系統(tǒng)、計算指標，以及分布式計算、虛擬化計算、云計算等控制的審計評價能力。

存儲系統(tǒng)控制審計

應具有對信息系統(tǒng)的存儲分類、存儲方式、存儲性能，以及通用存儲、云存儲等控制的審計評價能力。

備份系統(tǒng)控制審計

應具有對數(shù)據(jù)備份和系統(tǒng)備份、在線備份和離線備份、同城備份和異地備份，以及備份指標等控制的審計評價能力。

機房系統(tǒng)控制審計

應具有對計算機房物理選擇、功能布局，以及供電系統(tǒng)、空調(diào)系統(tǒng)、消防系統(tǒng)、防雷接地系統(tǒng)、監(jiān)視系統(tǒng)等輔助系統(tǒng)控制的審計評價能力。

安全控制

審計

網(wǎng)絡安全控制審計

應具有網(wǎng)絡安全組織管理體系、安全技術應用、確保信息系統(tǒng)持續(xù)運行等的國家網(wǎng)絡安全法律制度的理解力和執(zhí)行力，具有網(wǎng)絡區(qū)域邊界、通訊網(wǎng)絡、計算環(huán)境、應用系統(tǒng)、安全管理中心等方面安全控制的審計評價能力。

等級保護控制審計

應具有對信息系統(tǒng)網(wǎng)絡安全等級保護的基本要求、設計技術要求、測評要求的制度控制，包括通用技術控制和通用管理控制，云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制等網(wǎng)絡安全等級保護的審計評價能力。

風險評估控