信息系统安全性审计

信息系统安全性审计信息系统审计的一种01涵义依据图书目录内容主要内容目录03050204基本信息信息系统安全性审计是信息系统审计的一种，它与信息系统真实性审计、信息系统绩效审计等组成了信息系统审计。信息系统安全性审计的主要目标是审查企业信息系统和电子数据的安全性、可靠性、可用性、保密性等。一是预防来自互联对信息系统的威胁，二是预防来自企业内部对信息系统的危害。涵义涵义信息技术对企业发展的作用是一把双刃剑,既可以给企业创造巨大的价值,也可以给企业造成潜在的巨大风险。安全性审计的主要目标就是审查企业信息系统和电子数据的安全隐患。这种安全危害可能来自企业外部，如黑客攻击、数据外泄、系统瘫痪等；也可能来自企业内部，如舞弊、系统中断、非法更改、不恰当的访问等。这些安全隐患可能中断企业的正常经营活动，丢失宝贵的信息资产，泄露企业的商业机密等，因此，当企业管理当局权衡信息系统所带来的潜在风险时,他们需要通过中介机构对安全性做出检查和评价。审计师为投资者、债权人、经营者提供财务风险鉴证是远远不够的，他们还需要对企业的信息系统和信息资产安全提供鉴证。此外财务审计也需要对信息系统的安全状况做出评价，为正确判断财务信息的真实性、可靠性提供依据。我们很难想象一个在安全方面存在严重问题和缺陷的信息系统，它提供的数据会真实可靠。因此，信息系统的安全性审计也是真实性审计的前提。具体而言，安全性审计的目标是信息系统和电子数据的安全性、保密性、可靠性、可用性。

内容内容信息系统安全性审计主要包括数据安全，操作系统安全，数据库系统安全，络安全，设备安全，环境安全等方面。操作系统介于硬件和其他软件之间，是所有软件运行的基础，因此操作系统的安全性决定了整个软件系统的安全状。而环境安全，设备安全属于硬件安全。数据库系统是管理信息系统最重要的支撑软件,数据库系统是否安全直接影响企业数据(特别是财务数据)的真实性和安全性。长期积累下来的数据是企业最宝贵的数字资源，它们反映了企业的经营状况和财务状况，同时也为决策提供依据，甚至也隐藏着企业的许多商业秘密，这些宝贵的数据不能被恶意篡改，不能未经授权的访问，必须始终处于安全状态，这是安全性审计的根本目的。企业通过电子商务平台建立了采购络和销售络，可是信息系统受到的威胁也大量来自互联,如黑客攻击，木马钓鱼，病毒传播等，给企业运作造成极大的影响，甚至威胁企业的生存，如何抵御外部攻击,络安全至关重要。

依据依据（1）可信计算机系统评价准则美国国防部的可信计算机系统评价准则（TrustedComputerSystemEvaluationCriteria，TCSEC）是计算机系统安全评估的第一个正式标准，具有划时代的意义。该准则于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。TCSEC将安全分为四个要素：安全策略、责任、保证和文档。TCSEC根据这四个安全要素将计算机系统分为四类七个等级，按可信程度从最低到最高依次是D、C1、C2、B1、B2、B3、A1。

（2）信息技术安全评价通用准则在美国的TCSEC、欧洲的ITSEC、加拿大的CTCPEC、美国的FC等信息安全准则的基础上，由6个国家7方（美国国家安全局和国家技术标准研究所、加、英、法、德、荷）共同提出了“信息技术安全评价通用准则”（TheCommonCriteriaforInformationTechnologysecurityEvaluation），简称CC标准，它综合了已有的信息安全的准则和标准，形成了一个更全面的框架。制定CC标准的目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评估准则。1996年6月CC第一版发布,1998年5月CC第二版发布,1999年10月CCV2.1版发布，并且成为ISO标准。主要内容主要内容本书围绕现代信息系统审计的鄂三大基本职能（审计、控制、管理）进行编写，在审计职能方面，突出审计的目的与本质，按照真实性审计、安全性审计和绩效审计等三个基本审计类型展开；在控制职能中，以IT安全为核心介绍了IT内部控制的方方面面；在管理职能中，以IT风险为导向，围绕IT风险管理展开。本书结构新颖独特，既具有教好的系统性和理论性，又具有很强的实战性和可操作性。全书每一篇均包含一个案例，可以围绕案例组织教学，适用于高校信息管理类、会计、审计、财务管理、企业管理、计算机应用等专业本科生和研究生作为教材或参考书；书中还提供了大量实用表格等，为信息系统审计师、内部审计师、注册会计师、管理咨询师、企业管理人员等专业人士提供工作指导，是一本实用的工具书。图书目录图书目录第一篇总论第1章信息系统审计概述1.1信息系统审计的历史1.1.1早期的信息系统审计