某政府机构业务审计系统技术建议书.docVIP

某政府机构业务审计系统技术建议书 篇一：某政府机构业务审计系统技术建议书 数据安全平台 --基础安全平台设计与开发项目 审计系统部分 技术建议书 上海信息技术有限公司 2015年1月 目录 1. 1.1. TOC \o 1-5 \h \z 述 1 遵循的标准 1 遵循 的国际 国内标 准 和 规 范 1 参考的企业标准、规范和指 南 1 1.1.1. 1.1.2. 2. 1. 2. 2. 析 2现 状 2需 求分析 2 用 户 权 限 分 配… 2 数据操 作命 令、 内容 审 计… …2 核 心 数 据 访 问 控 制... ?2 审 计 数 据 收 集 、 报 告 2 2. 2. 1. 2?2?2? 2. 2. 3 2. 2. 4. 3. 3.1. 审 计 系 统 设 计 方 案… .3SIW系统工作 原理? 4 基 本 工 作 原 理… 4 系 统 安 全 性 设 计… ?…7 负 面 影 响 评 交 换 机 性 能 影 响 评 价 8 3.1.1. 3.1.2. 3 1 ? 3 3. 1.4. 3 2. 3. 2.1. 设计方案及系统配 置 10 详细配置方 案 10功能内容 实现 11 3. 3. 3. 4. 3. 4.1. 3. 4. 2. 3. 4. 3. 主要功能介绍 13审计及响应 13 面向业务禾口操作者的审计和响 应 13定制审计事件规 14则 13基于业务特征 14 的规则库 3. 4. 4. 3. 4. 5. 3. 4. 5. 多式 种 响 应 方 14实时跟踪 14 14 和回放 3. 5.1. 审 计 报 告 输 出 15基于审计策 略生成审计报告 15多种筛选 TOC \o 1-5 \h \z 条件 15 审 计 管 理 第 三 方 接 口 15 15 综述 遵循的标准 遵循的国际国内标准和规范 ?符合 ISQ ITUTS ETSI、IMU IEEE、IETF 等有关标 准。 ? I SO 17799/ BS 7799信息安全管理体系国际标准 ? CC I SOI 5408和GB/T18336信息技术安全性评估准则 ? ISO 13335 IT安全管理指南 ?工作流管理联盟伸応定义的工作流标准 ?软件开发服从ISC9001 ? AS/NZS 4360:风险管理 参考的企业标准、规范和指南 ?熙菱信息信息安全保障框架(VISAF)系列模型 ?熙菱信息安全管理支撑平台(V- SMS/SCSS)系列规范书 需求分析 2.1 ?现状 敏感信息可能遭受越权访问、违规操作、恶意篡改、信 敏感信息可能遭受越权访问、 违规操作、恶意篡改、信 息泄漏等威胁，数据中心操作人员等合法用户的权限也有可 能被误用或滥用，如其对数据库进行日常管理的过程中，对 数据库中的对象进行的误操作。 22需求分析 2. 2.1.用户权限分配 对每个用户分配最小权限，限定其执行特定操作的能力 和其对特定方案对象执行操作的能力。 2?2?2?数据操作命令、内容审计 对数据库中的某些关键对象(例如考生基本信成绩、 对数据库中的某些关键对象(例如考生基本信 成绩、 录取情况等表对象)进行重点保护，对针对这些数据的操作 命令和操作内容进行审计。防止这些核心业务对象被具有数 据库系统访问权限的用户有意或无意的删除或破坏。 2.2.3核心数据访问控制 进一步控制入侵者可能对数据库系统产生的攻击，规范 考试院数据库的使用制度。实现对于非内部IP、非正常工作 时间段，非应用系统的各类客户端等禁止访问核心数据。 2?2?4?审计数据收集、报告 提供审计自动收集、监视和报告流程，及时发现和追踪 各种违规操作。 篇二：审计建议书格式 管理建议书XX建字［2012］第01001号被审计 单位：审计项目：XX集团 审计部 年月日地址：邮编：电话：传真：管理建议书 XX集团董事会、XX公司总经理：XX建字【2012】第 01001号 我们根据xx集团董事会批准的年度审计计划，集 团审计部内部审计有关规定和本月的审 计计划，报经公司领导批准，对XX有限公司（以下简称 公司）XX年度XX实施了遵循性审计， 审计的主要内容：XX年XX月XX至XX月XX日止所发生 的管理费用、销售费用、财务费用。 因为我们是对公司的中期费用进行遵循性审计，审计范 围有限，不可能全面了解公司所有的 内部控制，所以我们提供的这份管理建议书仅是我们在 进行遵循性审计过程中注意到的费用 方面的，不应被视为对内部控制发表的鉴证意见，所提 建议不具有强制性。在审计过程中，我们了解了公司的《XX 制度》的相关规定及各项费用的审批权限，会计 科目的设置和运用等有关方面的情况，并做了分析研究。 我们认为，公司现有的《XX制度》 总体上还是控制有效，但有的方面还存在需进一步完善