信息系统审计安全.docVIP

信息系统安全审计 10司法信息安全班 王立鹏 随着信息化水平的快速提高和信息安全建设的逐渐深入，如何建立信息安全审计制度，有效加强内部信息安全管理、信息系统安全风险控制，满足政策合规的要求，成为企事业单位面临的普遍问题。绿盟科技信息安全审计专家，以自身多年信息安全审计的经验和认知，讲解信息安全审计的标准、趋势及要点。信息系统安全审计正逐渐成为国内信息安全系统建设热点。 　　一、 信息系统审计定义与发展历史 　　信息系统审计(Information System Audit, ISA)是通过收集和分析审计证据，对信息系统是否能够保护资产的安全、数据的完整、运营效率等方面做出判断的过程。 　　信息系统审计是计算机技术与数据处理电算化发展的结果。数据处理电算化对信息系统审计产生了重大影响，计算机在数据处理中的运用形成了电子数据处理系统，它产生于20世纪50年代。因此，信息系统审计的概念产生可追溯到20世纪60年代。信息系统审计系统的发展历史可以分为三个阶段： 　　 图1 信息系统审计发展历史 　　1960年-1970年，信息系统审计概念形成阶段 　　20世纪60年代，信息系统审计最早称为计算机审计，是随着计算机在财务会计领域的应用而产生。早期的计算机应用比较简单，计算机审计业务主要关注对被审计单位电子数据的取得、分析、计算等数据处理业务。1960年初，IBM出版了《Audit Encounters Electronic Data Processing》，该书首次提出了电子数据环境下的内部审计规则和组织方法。60年代中期，美国国防部海军审计局引进了通用审计软件包。1968年美国EDPAA协会(执业会计师协会)发表《电子数据处理系统与审计》，详细探讨了审计与电子数据处理系统的关系，并提出若干计算机辅助审计电子数据处理系统的方法。 　　1970年-1999年，信息系统审计成长阶段 　　70年代中期至80年代，美国、日本等先后成立计算机审计相关组织;国际开始兴起一系列信息安全管理标准的制定。1983年，日本通产省发布《系统审计标准》，开始培训信息系统审计人员。1984年美国EDPAA协会(执业会计师协会)发布一套EDP控制标准-《EDP控制目的》。 　　1996年，ISACA协会发布了COBIT(Control Objectives for Information and related Technology)标准，是国际上公认的安全与信息技术管理和控制的权威标准，也是国际通用的信息系统审计标准，已在100多个国家的重要组织和企业中应用。 　　1999年-至今，信息系统审计普及和行业应用阶段 　　2001年至今，美国安然事件及由此引发的一系列美国著名大公司在公司治理和财务管理力方面的问题，促使美国陆续出台了多个具有较强影响力的行业法案，如：2002年美国出台Sarbanes-Oxley法案(塞班斯—奥克斯利法案)，其中第404条款要求企业在财务报告方面加强内控，企业的CEO和CFO必须对本企业的内控系统的有效性发表诚信声明。因此，IT信息系统同样需要加强控制以达到SOX法案的合规要求; 2005年针对IT信息系统的SOX合规审计成为全球CIO最关注的事。目前，西方发达国家的信息系统审计应用已较为普遍，并发展到了较高的水平。 　二、 信息系统安全审计定义与发展 　　信息系统安全审计是信息系统审计全过程的组成部分，主要依据标准包括COBIT、CC、ITIL等信息安全管理标准。信息系统安全审计是评判一个信息系统是否真正安全的重要标准之一。通过安全审计收集、分析、评估安全信息、掌握安全状态，制定安全策略，确保整个安全体系的完备性、合理性和适用性，才能将系统调整到“最安全”和“最低风险”的状态。安全审计已成为企业内控、信息系统安全风险控制等不可或缺的关键手段，也是威慑、打击内部计算机犯罪的重要手段。 　　在国际通用的CC准则(即ISO/IEC15408-2:1999《信息技术安全性评估准则》)中对信息系统安全审计(ISSA，Information System Security Audit)给出了明确定义：信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析;审计记录的结果用于检查网络上发生了哪些与安全有关的活动，谁(哪个用户)对这个活动负责;主要功能包括：安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储等。 　　这是国际CC准则给出的一个比较抽象的概念，通俗来讲，信息安全审计就是信息网络中的“监控摄像头”，通过运用各种技术手