信息系统审计安全.pdfVIP

信息系统安全审计 10 司法信息安全班 王立鹏 随着信息化水平的快速提高和信息安全建设的逐渐深入，如何建立信息安全审计制度，有效加强内部信息安全管理、 信息系统安全风险控制，满足政策合规的要求，成为企事业单位面临的普遍问题。绿盟科技信息安全审计专家，以自 身多年信息安全审计的经验和认知，讲解信息安全审计的标准、趋势及要点。信息系统安全审计正逐渐成为国内信息 安全系统建设热点。 一、 信息系统审计定义与发展历史 信息系统审计 (Information System Audit, ISA) 是通过收集和分析审计证据， 对信息系统是否能够保护资产的安全、 数据的完整、运营效率等方面做出判断的过程。 信息系统审计是计算机技术与数据处理电算化发展的结果。数据处理电算化对信息系统审计产生了重大影响，计 算机在数据处理中的运用形成了电子数据处理系统，它产生于 20 世纪 50 年代。因此，信息系统审计的概念产生可追溯 到20 世纪 60 年代。信息系统审计系统的发展历史可以分为三个阶段： 图1 信息系统审计发展历史 1960 年 -1970 年，信息系统审计概念形成阶段 20 世纪 60 年代，信息系统审计最早称为计算机审计，是随着计算机在财务会计领域的应用而产生。早期的计算机 应用比较简单， 计算机审计业务主要关注对被审计单位电子数据的取得、 分析、 计算等数据处理业务。 1960 年初， IBM 出版了 《Audit Encounters Electronic Data Processing 》，该书首次提出了电子数据环境下的内部审计规则和组织方法。 60 年代中期，美国国防部海军审计局引进了通用审计软件包。 1968 年美国 EDPAA 协会 (执业会计师协会 )发表《电子 数据处理系统与审计》 ，详细探讨了审计与电子数据处理系统的关系， 并提出若干计算机辅助审计电子数据处理系统的 方法。 1970 年 -1999 年，信息系统审计成长阶段 70 年代中期至 80年代，美国、日本等先后成立计算机审计相关组织 ; 国际开始兴起一系列信息安全管理标准的制定。 1983 年，日本通产省发布《系统审计标准》 ，开始培训信息系统审计人员。 1984 年美国 EDPAA 协会 ( 执业会计师协会 ) 发布一套 EDP 控制标准 - 《EDP 控制目的》 。 1996 年， ISACA 协会发布了 COBIT(Control Objectives for Information and related Technology) 标准，是国际上 公认的安全与信息技术管理和控制的权威标准，也是国际通用的信息系统审计标准，已在 100 多个国家的重要组织和 企业中应用。 1999 年 -至今，信息系统审计普及和行业应用阶段 2001 年至今，美国安然事件及由此引发的一系列美国著名大公司在公司治理和财务管理力方面的问题，促使美国 陆续出台了多个具有较强影响力的行业法案，如： 2002 年美国出台 Sarbanes-Oxley 法案 (塞班斯 — 奥克斯利法案 )， 其中第 404 条款要求企业在财务报告方面加强内控，企业的 CEO 和 CFO 必须对本企业的内控系统的有效性发表诚信 声明。 因此，IT 信息系统同样需要加强控制以达到 SOX 法案的合规要求 ; 2005 年针对 IT 信息系统的 SOX 合规审计成 为全球 CIO 最关注的事。目前，西方发达国家的信息系统审计应用已较为普遍，并发展到了较高的水平。 二、 信息系统安全审计定义与发展 信息系统安全审计是信息系统审计全过程的组成部分，主要依据标准包括 COBIT 、CC、 ITIL 等信息安全管理标 准。信息系统安全审计是评判一个信息系统是否真正安全的重要标准之一。 通过安全审计收集、 分析、评估安全信息、 掌握安全状态，制定安全策略，确保整个安全体系的完备性、合理性和适用性，才能将系统调整到