关于铁路信息系统全生命周期审计的探讨

　　[DOI]1013939/jcnkizgsc201533080

　　1信息系统审计概述

　　现代各个行业都需要进行信息审计，以便国家进行宏观调控，同时也便于企业领导制定下一步的规划。信息系统审计并没有统一的概念，不同的学者站在不同的角度对其进行了阐释，但是大家都比较认可ISACA对信息系统审计所下的定义，即信息系统审计是一个过程，在这一过程中，相关人员需要获取证据，同时对证据进行评价，以此为依据来评判计算机系统中的数据是否真实可靠，其中所记录的资产是否安全等。信息系统审计主要包含三方面内容：首先，真实性审计，这种审计主要是为了补充传统审计，确保财务管理真实准确，杜绝假账的出现；其次，安全性审计，其针对的是信启以及资产，避免因为信息系统的问题，而为企业带来经营风险；最后，绩效审计，其针对的是投入与产出。这3个方向的审计实际上都是按照审计目标要求，来对证据进行详细的评价，最终得出相应的评价结果。信息系统审计所要达到的目标就是确保数据真实、合法、可靠，以此保证信息系统安全、保密、可用。审计目标贯穿于审计工作始终，是每个审计人员都要遵循的准则。

　　2现阶段铁路信息系统全生命周期审计的现状

　　21很多信息系统全生命周期审计只是事后审计

　　很多铁路信息系统审计人员，并不关注事前、事中审计，而是注重事后审计，这样难以发现问题，解决问题。现阶段我国在铁路信息系统审计方面，通常都是在信息系统建设完成之后才开展审计工作，尤其是绩效以及专项审计更加明显，这是事后审计。尽管事后审计也十分重要，但是只是单纯地依靠事后审计，必定会造成审计不全面，而且即使在审计过程中，发现了问题，也难以追根溯源，可能整个项目都会受到影响。但是如果能够在事前、事中就进行审计，发现问题之后，可以立即解决，对整个项目不会造成过于严重的影响。

　　22不注重信息系统运营维护期间的审计工作

　　因为受到信息系统固有特点的影响，其在整个生命周期之内，存有很大的安全隐患，经过调查显示，这些隐患通常出现在运营维护期间。信息系统的产生、发展、灭亡，这是一个全生命周期，其与其他行业最大的区别在于，信息系统投入使用之后，依然需要工作人员从事大量的工作，以便能够随时纠正软件错误，保证信息系统可以随时随地满足社会需求。相关数据显示，铁路信息系统在维护期间，所花费的成本几乎达到了整个项目的一半以上，但是纠正与修改，会影响信息系统的安全性，这对铁路经营有着更大的风险。因此做好信息系统运营维护期间的审计工作十分必要，既可以节约成本，也可以提高信息系统软件的使用年限。

　　23专业化程度不高

　　信息系统审计所使用的技术专业性并不强，因此很多审计人员在规定的审计时间内，并没有检查出特别有价值的东西。现阶段，我国铁路企业所使用信息系统通常都是大型网络数据库系统，此种类型的系统不仅规模比较大，而且设计程序十分复杂，审计工作者难以找到有效的信息数据。同时铁路信息系统在正式应用之前，会对其测试，因此正常的运营环境很难发现系统漏洞，而在铁路信息系统项目展开审计时，有一些项目未投产，不允许测试，所以审计人员难以发现系统漏洞问题。

　　3铁路信息系统全生命周期审计的策略

　　铁路信息系统全生命周期审计，需要与信息系统建设全生命周期有效地结合起来，但是因为信息系统之间的差异，也就影响了生命周期模型的选择，比较常见的生命周期模型有瀑布模型、螺旋模型、迭代模型。但是就铁路企业来说，所使用模型主要是瀑布模式，有些铁路所选择模型尽管不是瀑布模式，但是也是在其基础上演化而来的模型。本文正是以瀑布模型为阐释重点。

　　31系统研发设计阶段

　　这一阶段主要包括了总体规划、需求分析、系统设计、系统实现四个环节。这一阶段，有关人员需要进行总体规划，其重点工作就是项目立项，同时对项目是否具有可行性进行系统分析，总体规划可以说是整个铁路信息系统建设得以完成的初始环节，同时也是对风险投资进行控制的最为重要的环节。因其重要性以及特殊性，所以审计人员的工作就是对可行性研究进行审计，查看其是否科学合理，其所规定的投资决策是否具有科学性。需求分析针对的是用户需求，有关人员需要对用户的需求进行调节，以此依据其需求开发设计信息系统，这一环节审计工作的重点就是考察需求调研是否充分可靠，而依据用户需求所进行的开发是否具有准确性以及追溯性等。铁路信息系统的设计与实现环节，因为需要大量的技术工作，所以常常不会引起审计部门的重视，但是事实上，这一环节需要审计的内容有很多，比如信息系统研发应该遵循的标准。

　　32系统验收审计

　　系统测试除了进行功能测试外，还应包括审计关注的安全性测试、防灾应急预案的测试等。系统切换至关重要，关乎既有系统的安全，切换方案的周密和合理性应是关注的重点。审计人员还应对资产的移交进行审计，审核资产库中正式运行版本与源程序代码、技术文档、运营维护手册的一致性、完整性，以及知识产权的确认等，这些既是企业资产的重要组成部分，也是系统运营维护阶段必要的技术基础。

　　33系统运营维护审计

　　系统运营维护审计对应于系统正式运行后的运营维护阶段。这一阶段主要有两方面的工作，即纠错和改进。软件系统是一项复杂的人机系统，错误在所难免，需要通过修改予以纠正。另外，信息系统是由多种软、硬件系统集成的，任何一个系统发生改变，必将引起其他系统的相应修改，另外，随着信息系统的使用，也会不断产生新的业务需求，这就要求信息系统进行相应的修改。对已经过严密测试的既有系统进行改动，将会给其安全性、可靠性带来隐患，为避免和减少这种风险，系统维护审计责任重大。近年来，许多投产项目的维护费用已经超过了系统的研发费用，而且大有上升的趋势，因此对维护成本进行审计也很必要。

　　4结论

　　对铁路信息系统全生命周期审计进行探讨十分必要，因为我国早期使用的铁路信息系统无论是在设计、发展、维护等方面都存在非常大的问题。进行全生命周期审计之后，有很多问题都可以避免，这对促进我国铁路事业的发展有着积极的作用，同时也利于我国信息技术在铁路企业中的应用。

本文链接：http://www.qk112.com/lwfw/huijilunwen/shenjihuiji/147460.html