國際內審師考試輔導:實務公告2100—2

實務公告 2100—2：信息安全性
    解釋《內部審計專業(yè)實務標準)中的第 2100 條標準 相關標準：第 2100 條標準
    工作性質 內部審計部門評價并幫助改進機構的風險管理、控制和治理體系。 本實務公告性質
    在評價與信息安全性有關的機構治理活動時，內部審計師應該考慮以下建議。本實務指 導無意囊括開展與信息安全性有關的綜合性保證活動或咨詢業(yè)務必須考慮的所有方面，只是 推薦一些 高層次的審計師職責，以補充董事會和管理層的相關責任。是否遵守本實務公告 由審計師自行選擇決定。
    1．內部審計師應該確定管理人員、董事會、審計委員會或其他管理機構是否明確理解 信息安全性是一種管理責任。這種責任包括機構的所有關鍵信息，信息通過何種媒介儲存則 無關緊要。
    2．審計執(zhí)行主管應該確定，內部審計活動擁有或有辦法獲取相關的審計資源，對信息 安全性和有關風險進行評價，包括內部和外部風險，以及與機構的對外關系有關的風險。
    3．內部審計師應該確定管理人員是否已經向董事會、審計委員會或其他管理機構保證， 一旦出現(xiàn)威脅機構的侵害信息安全的情況，管理人員將馬上把這些情況告知內部審計人員。
    4．內部審計師應該評價針對過去侵害行為和可能發(fā)生的未來侵害企圖或事件的預防性、 發(fā)現(xiàn)性和減緩性措施的有效性。內部審計師應該核證董事會、審計委員會或其他治理機構已 經通過 恰當途徑獲知侵害行為造成的威脅、侵害事件的具體情況、受到攻擊的薄弱環(huán)節(jié)以 及糾正性措施。
    5．內部審計師應該定期評價機構的信息安全實務，在合適的條件下，加強或實施新的 控制和保衛(wèi)措施，并根據評價結果為董事會、審計委員會或其他治理機構提供保證報告。這 種評價工 作既可以以獨立業(yè)務的形式開展，也可以包括在其他審計或業(yè)務中以審批后的審 計計劃的組成部分的形式開展。