或许对很多企业来说,安全审计只是个名词而已,并不清楚它的具体内容和作用;许多企业想要对自己的信息系统实施安全审计,管理层和技术人员也不知道如何开始,而同时受限于国内企业的信息化水平,企业也很难找到成体系的安全审计知识。
审计
审计,英文称之为“audit”,基维百科上给出的定义是评价一个人、组织、制度、程序、项目或产品。 审计执行是以确定有效性和可靠性的信息,还提供了一个可内控的评估系统。 审计的目标是在测试环境中进行评估工作,并表达人/组织/系统等的评估意见。 由于实际情况的限制,审计要求只提供合理、无重大错误的保证报表,审计往往是通过统计抽样。也可以这样理解审计,审计(Audit)是指检查、验证目标的准确性和完整性,用以检查和防止虚假数据和欺骗行为,以及是否符合既定的标准、标竿和其它审计原则。
各国各级政府、组织一般都设有专门独立的审计部、审计委员会、审计署等机构。以往的审计概念主要用于财务系统。财务审计是用真实的和公正的财务报表来体现的。传统的审计,主要是获取金融体系和金融记录的公司或企业的财务报表的相关信息。 而随着科技信息技术的发展,大部份的企业、机构和组织的财务系统都运行在信息系统上面,所以信息手段成为财务审计的一种技术的同时,财务审计也间接带动了通用信息系统的审计。审计已开始包括其他信息系统,如有关环境审计和信息技术审计。
IT审计
信息技术审计,或信息系统审计 ,是一个信息技术( IT ) 基础设施控制范围内的检查。 信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。
IT 审计最早出现在IT应用比较深入的金融业,后来逐渐扩展到其他行业。IT审计的目标是协助组织信息技术管理人员有效地履行其责任,以达成组织的信息技术管理目标。组织的信息技术管理目标是保证组织的信息技术战略,充分反映该组织的业务战略目标,提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性,提高信息系统运行的效果与效率,保证信息系统的运行符合法律、法规及监管的相关要求。
信息安全审计
随着2002年美国安然公司和世通的财务欺诈案爆发后,美国紧急出台了萨班斯法案(SOX),赋予了“审计”新的意义。《萨班斯-奥克斯利法案(2002 Sarbanes-Oxley Act)》的第302条款和第404条款中,强调通过内部控制加强公司治理,包括加强与财务报表相关的IT系统内部控制,其中,IT系统内部控制就是面向具体的业务,它是紧密围绕信息安全审计这一核心的。同时,2006年底生效的巴赛尔新资本协定(Basel II),要求全球银行必须针对其市场、信用及营运等三种金融作业风险提供相应水准的资金准备,迫使各银行必须做好风险控管(risk management),而这部“金融作业风险”的防范也正是需要业务信息安全审计为依托。“
信息安全审计”成为企业内控、信息系统治理、安全风险控制等的不可或缺的关键手段。美国信息系统审计的权威专家Ron Weber又将它定义为“收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标,同时最经济的使用资源”。
信息安全审计与信息安全管理密切相关,信息安全审计的主要依据为信息安全管理相关的标准,例如ISO/IEC 17799、ISO 17799/27001、COSO、COBIT、ITIL、NIST SP800系列等。这些标准实际上是出于不同的角度提出的控制体系,基于这些控制体系可以有效地控制信息安全风险,从而达到信息安全审计的目的,提高信息系统的安全性。
| 共2页: 1 [2] 下一页 | ||||
|
