信息系統(tǒng)安全性審計(jì)

信息系統(tǒng)安全性審計(jì)信息系統(tǒng)審計(jì)的一種01涵義依據(jù)圖書目錄內(nèi)容主要內(nèi)容目錄03050204基本信息信息系統(tǒng)安全性審計(jì)是信息系統(tǒng)審計(jì)的一種，它與信息系統(tǒng)真實(shí)性審計(jì)、信息系統(tǒng)績(jī)效審計(jì)等組成了信息系統(tǒng)審計(jì)。信息系統(tǒng)安全性審計(jì)的主要目標(biāo)是審查企業(yè)信息系統(tǒng)和電子數(shù)據(jù)的安全性、可靠性、可用性、保密性等。一是預(yù)防來自互聯(lián)對(duì)信息系統(tǒng)的威脅，二是預(yù)防來自企業(yè)內(nèi)部對(duì)信息系統(tǒng)的危害。涵義涵義信息技術(shù)對(duì)企業(yè)發(fā)展的作用是一把雙刃劍,既可以給企業(yè)創(chuàng)造巨大的價(jià)值,也可以給企業(yè)造成潛在的巨大風(fēng)險(xiǎn)。安全性審計(jì)的主要目標(biāo)就是審查企業(yè)信息系統(tǒng)和電子數(shù)據(jù)的安全隱患。這種安全危害可能來自企業(yè)外部，如黑客攻擊、數(shù)據(jù)外泄、系統(tǒng)癱瘓等；也可能來自企業(yè)內(nèi)部，如舞弊、系統(tǒng)中斷、非法更改、不恰當(dāng)?shù)脑L問等。這些安全隱患可能中斷企業(yè)的正常經(jīng)營活動(dòng)，丟失寶貴的信息資產(chǎn)，泄露企業(yè)的商業(yè)機(jī)密等，因此，當(dāng)企業(yè)管理當(dāng)局權(quán)衡信息系統(tǒng)所帶來的潛在風(fēng)險(xiǎn)時(shí),他們需要通過中介機(jī)構(gòu)對(duì)安全性做出檢查和評(píng)價(jià)。審計(jì)師為投資者、債權(quán)人、經(jīng)營者提供財(cái)務(wù)風(fēng)險(xiǎn)鑒證是遠(yuǎn)遠(yuǎn)不夠的，他們還需要對(duì)企業(yè)的信息系統(tǒng)和信息資產(chǎn)安全提供鑒證。此外財(cái)務(wù)審計(jì)也需要對(duì)信息系統(tǒng)的安全狀況做出評(píng)價(jià)，為正確判斷財(cái)務(wù)信息的真實(shí)性、可靠性提供依據(jù)。我們很難想象一個(gè)在安全方面存在嚴(yán)重問題和缺陷的信息系統(tǒng)，它提供的數(shù)據(jù)會(huì)真實(shí)可靠。因此，信息系統(tǒng)的安全性審計(jì)也是真實(shí)性審計(jì)的前提。具體而言，安全性審計(jì)的目標(biāo)是信息系統(tǒng)和電子數(shù)據(jù)的安全性、保密性、可靠性、可用性。

內(nèi)容內(nèi)容信息系統(tǒng)安全性審計(jì)主要包括數(shù)據(jù)安全，操作系統(tǒng)安全，數(shù)據(jù)庫系統(tǒng)安全，絡(luò)安全，設(shè)備安全，環(huán)境安全等方面。操作系統(tǒng)介于硬件和其他軟件之間，是所有軟件運(yùn)行的基礎(chǔ)，因此操作系統(tǒng)的安全性決定了整個(gè)軟件系統(tǒng)的安全狀。而環(huán)境安全，設(shè)備安全屬于硬件安全。數(shù)據(jù)庫系統(tǒng)是管理信息系統(tǒng)最重要的支撐軟件,數(shù)據(jù)庫系統(tǒng)是否安全直接影響企業(yè)數(shù)據(jù)(特別是財(cái)務(wù)數(shù)據(jù))的真實(shí)性和安全性。長(zhǎng)期積累下來的數(shù)據(jù)是企業(yè)最寶貴的數(shù)字資源，它們反映了企業(yè)的經(jīng)營狀況和財(cái)務(wù)狀況，同時(shí)也為決策提供依據(jù)，甚至也隱藏著企業(yè)的許多商業(yè)秘密，這些寶貴的數(shù)據(jù)不能被惡意篡改，不能未經(jīng)授權(quán)的訪問，必須始終處于安全狀態(tài)，這是安全性審計(jì)的根本目的。企業(yè)通過電子商務(wù)平臺(tái)建立了采購絡(luò)和銷售絡(luò)，可是信息系統(tǒng)受到的威脅也大量來自互聯(lián),如黑客攻擊，木馬釣魚，病毒傳播等，給企業(yè)運(yùn)作造成極大的影響，甚至威脅企業(yè)的生存，如何抵御外部攻擊,絡(luò)安全至關(guān)重要。

依據(jù)依據(jù)（1）可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)則美國國防部的可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)則（TrustedComputerSystemEvaluationCriteria，TCSEC）是計(jì)算機(jī)系統(tǒng)安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn)，具有劃時(shí)代的意義。該準(zhǔn)則于1970年由美國國防科學(xué)委員會(huì)提出，并于1985年12月由美國國防部公布。TCSEC將安全分為四個(gè)要素：安全策略、責(zé)任、保證和文檔。TCSEC根據(jù)這四個(gè)安全要素將計(jì)算機(jī)系統(tǒng)分為四類七個(gè)等級(jí)，按可信程度從最低到最高依次是D、C1、C2、B1、B2、B3、A1。

（2）信息技術(shù)安全評(píng)價(jià)通用準(zhǔn)則在美國的TCSEC、歐洲的ITSEC、加拿大的CTCPEC、美國的FC等信息安全準(zhǔn)則的基礎(chǔ)上，由6個(gè)國家7方（美國國家安全局和國家技術(shù)標(biāo)準(zhǔn)研究所、加、英、法、德、荷）共同提出了“信息技術(shù)安全評(píng)價(jià)通用準(zhǔn)則”（TheCommonCriteriaforInformationTechnologysecurityEvaluation），簡(jiǎn)稱CC標(biāo)準(zhǔn)，它綜合了已有的信息安全的準(zhǔn)則和標(biāo)準(zhǔn)，形成了一個(gè)更全面的框架。制定CC標(biāo)準(zhǔn)的目的是建立一個(gè)各國都能接受的通用的信息安全產(chǎn)品和系統(tǒng)的安全性評(píng)估準(zhǔn)則。1996年6月CC第一版發(fā)布,1998年5月CC第二版發(fā)布,1999年10月CCV2.1版發(fā)布，并且成為ISO標(biāo)準(zhǔn)。主要內(nèi)容主要內(nèi)容本書圍繞現(xiàn)代信息系統(tǒng)審計(jì)的鄂三大基本職能（審計(jì)、控制、管理）進(jìn)行編寫，在審計(jì)職能方面，突出審計(jì)的目的與本質(zhì)，按照真實(shí)性審計(jì)、安全性審計(jì)和績(jī)效審計(jì)等三個(gè)基本審計(jì)類型展開；在控制職能中，以IT安全為核心介紹了IT內(nèi)部控制的方方面面；在管理職能中，以IT風(fēng)險(xiǎn)為導(dǎo)向，圍繞IT風(fēng)險(xiǎn)管理展開。本書結(jié)構(gòu)新穎獨(dú)特，既具有教好的系統(tǒng)性和理論性，又具有很強(qiáng)的實(shí)戰(zhàn)性和可操作性。全書每一篇均包含一個(gè)案例，可以圍繞案例組織教學(xué)，適用于高校信息管理類、會(huì)計(jì)、審計(jì)、財(cái)務(wù)管理、企業(yè)管理、計(jì)算機(jī)應(yīng)用等專業(yè)本科生和研究生作為教材或參考書；書中還提供了大量實(shí)用表格等，為信息系統(tǒng)審計(jì)師、內(nèi)部審計(jì)師、注冊(cè)會(huì)計(jì)師、管理咨詢師、企業(yè)管理人員等專業(yè)人士提供工作指導(dǎo)，是一本實(shí)用的工具書。圖書目錄圖書目錄第一篇總論第1章信息系統(tǒng)審計(jì)概述1.1信息系統(tǒng)審計(jì)的歷史1.1.1早期的信息系統(tǒng)審計(jì)