當(dāng)前位置:工程項目OA系統(tǒng) > 泛普各地 > 黑龍江OA系統(tǒng) > 哈爾濱OA系統(tǒng) > 哈爾濱OA軟件行業(yè)資訊
信息安全審計概念的由來
或許對很多企業(yè)來說,安全審計只是個名詞而已,并不清楚它的具體內(nèi)容和作用;許多企業(yè)想要對自己的信息系統(tǒng)實施安全審計,管理層和技術(shù)人員也不知道如何開始,而同時受限于國內(nèi)企業(yè)的信息化水平,企業(yè)也很難找到成體系的安全審計知識。
審計
審計,英文稱之為“audit”,基維百科上給出的定義是評價一個人、組織、制度、程序、項目或產(chǎn)品。審計執(zhí)行是以確定有效性和可靠性的信息,還提供了一個可內(nèi)控的評估系統(tǒng)。 審計的目標(biāo)是在測試環(huán)境中進行評估工作,并表達人/組織/系統(tǒng)等的評估意見。由于實際情況的限制,審計要求只提供合理、無重大錯誤的保證報表,審計往往是通過統(tǒng)計抽樣。也可以這樣理解審計,審計(Audit)是指檢查、驗證目標(biāo)的準(zhǔn)確性和完整性,用以檢查和防止虛假數(shù)據(jù)和欺騙行為,以及是否符合既定的標(biāo)準(zhǔn)、標(biāo)竿和其它審計原則。
各國各級政府、組織一般都設(shè)有專門獨立的審計部、審計委員會、審計署等機構(gòu)。以往的審計概念主要用于財務(wù)系統(tǒng)。財務(wù)審計是用真實的和公正的財務(wù)報表來體現(xiàn)的。傳統(tǒng)的審計,主要是獲取金融體系和金融記錄的公司或企業(yè)的財務(wù)報表的相關(guān)信息。而隨著科技信息技術(shù)的發(fā)展,大部份的企業(yè)、機構(gòu)和組織的財務(wù)系統(tǒng)都運行在信息系統(tǒng)上面,所以信息手段成為財務(wù)審計的一種技術(shù)的同時,財務(wù)審計也間接帶動了通用信息系統(tǒng)的審計。審計已開始包括其他信息系統(tǒng),如有關(guān)環(huán)境審計和信息技術(shù)審計。
IT審計
信息技術(shù)審計,或信息系統(tǒng)審計 ,是一個信息技術(shù)( IT ) 基礎(chǔ)設(shè)施控制范圍內(nèi)的檢查。信息系統(tǒng)審計是一個通過收集和評價審計證據(jù),對信息系統(tǒng)是否能夠保護資產(chǎn)的安全、維護數(shù)據(jù)的完整、使被審計單位的目標(biāo)得以有效地實現(xiàn)、使組織的資源得到高效地使用等方面做出判斷的過程。
IT 審計最早出現(xiàn)在IT應(yīng)用比較深入的金融業(yè),后來逐漸擴展到其他行業(yè)。IT審計的目標(biāo)是協(xié)助組織信息技術(shù)管理人員有效地履行其責(zé)任,以達成組織的信息技術(shù)管理目標(biāo)。組織的信息技術(shù)管理目標(biāo)是保證組織的信息技術(shù)戰(zhàn)略,充分反映該組織的業(yè)務(wù)戰(zhàn)略目標(biāo),提高組織所依賴的信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)處理的完整性和準(zhǔn)確性,提高信息系統(tǒng)運行的效果與效率,保證信息系統(tǒng)的運行符合法律、法規(guī)及監(jiān)管的相關(guān)要求。
信息安全審計
隨著2002年美國安然公司和世通的財務(wù)欺詐案爆發(fā)后,美國緊急出臺了薩班斯法案(SOX),賦予了“審計”新的意義?!端_班斯-奧克斯利法案(2002 Sarbanes-Oxley Act)》的第302條款和第404條款中,強調(diào)通過內(nèi)部控制加強公司治理,包括加強與財務(wù)報表相關(guān)的IT系統(tǒng)內(nèi)部控制,其中,IT系統(tǒng)內(nèi)部控制就是面向具體的業(yè)務(wù),它是緊密圍繞信息安全審計這一核心的。同時,2006年底生效的巴賽爾新資本協(xié)定(Basel II),要求全球銀行必須針對其市場、信用及營運等三種金融作業(yè)風(fēng)險提供相應(yīng)水準(zhǔn)的資金準(zhǔn)備,迫使各銀行必須做好風(fēng)險控管(risk management),而這部“金融作業(yè)風(fēng)險”的防范也正是需要業(yè)務(wù)信息安全審計為依托。“
信息安全審計”成為企業(yè)內(nèi)控、信息系統(tǒng)治理、安全風(fēng)險控制等的不可或缺的關(guān)鍵手段。美國信息系統(tǒng)審計的權(quán)威專家Ron Weber又將它定義為“收集并評估證據(jù)以決定一個計算機系統(tǒng)是否有效做到保護資產(chǎn)、維護數(shù)據(jù)完整、完成目標(biāo),同時最經(jīng)濟的使用資源”。
信息安全審計與信息安全管理密切相關(guān),信息安全審計的主要依據(jù)為信息安全管理相關(guān)的標(biāo)準(zhǔn),例如ISO/IEC 17799、ISO 17799/27001、COSO、COBIT、ITIL、NIST SP800系列等。這些標(biāo)準(zhǔn)實際上是出于不同的角度提出的控制體系,基于這些控制體系可以有效地控制信息安全風(fēng)險,從而達到信息安全審計的目的,提高信息系統(tǒng)的安全性。
我國的法律也針對信息安全審計制定出《企業(yè)內(nèi)部控制規(guī)范》,主要內(nèi)容如下:
企業(yè)內(nèi)部控制規(guī)范--基本規(guī)范的內(nèi)部審計機制:
第二十六條:健全內(nèi)部審計機構(gòu)、加強內(nèi)部審計監(jiān)督是營造守法、公平、正直的內(nèi)部環(huán)境的重要保證。企業(yè)應(yīng)當(dāng)加強內(nèi)部審計工作,在企業(yè)內(nèi)部形成有權(quán)必有責(zé)、用權(quán)受監(jiān)督的良好氛圍。
第二十七條:在董事會下設(shè)立審計委員會的企業(yè),應(yīng)當(dāng)保證審計委員會成員具備良好的職業(yè)操守和專業(yè)勝任能力,審計委員會及其成員應(yīng)當(dāng)具有相應(yīng)的獨立性。審計委員會應(yīng)當(dāng)直接對董事會負(fù)責(zé)。上市公司的審計委員會主席一般應(yīng)由獨立董事?lián)?,非上市公司的審計委員會主席應(yīng)由獨立于企業(yè)管理層的人員擔(dān)任。
第二十八條:企業(yè)應(yīng)當(dāng)賦予審計委員會監(jiān)督企業(yè)內(nèi)部控制建立和實施情況的相應(yīng)職權(quán)。審計委員會在企業(yè)內(nèi)部控制建立和實施中承擔(dān)的職責(zé)一般包括:
(一)審核企業(yè)內(nèi)部控制及其實施情況,并向董事會作出報告;
(二)指導(dǎo)企業(yè)內(nèi)部審計機構(gòu)的工作,監(jiān)督檢查企業(yè)的內(nèi)部審計制度及其實施情況;
(三)處理有關(guān) 投訴與舉報,督促企業(yè)建立暢通的投訴與舉報途徑;
(四)審核企業(yè)的財務(wù)報告及有關(guān)信息披露內(nèi)容;
(五)負(fù)責(zé)內(nèi)部審計與外部審計之間的溝通協(xié)調(diào)。
未設(shè)立審計委員會的企業(yè),應(yīng)當(dāng)由董事會授權(quán)或者企業(yè)章程規(guī)定的有關(guān)機構(gòu)承擔(dān)上述職責(zé)。
第二十九條:設(shè)立專門的內(nèi)部審計機構(gòu)的企業(yè),應(yīng)當(dāng)保證內(nèi)部審計機構(gòu)具有相應(yīng)的獨立性,并配備與履行內(nèi)部審計職能相適應(yīng)的人員和工作條件。未設(shè)立內(nèi)部審計機構(gòu)的企業(yè),應(yīng)當(dāng)由董事會授權(quán)或者企業(yè)章程規(guī)定的有關(guān)機構(gòu)承擔(dān)上述職責(zé)。
內(nèi)部審計機構(gòu)的組織領(lǐng)導(dǎo)體制,依照法律規(guī)定和企業(yè)章程確定。內(nèi)部審計機構(gòu)不得置于財會機構(gòu)的領(lǐng)導(dǎo)之下或者與財會機構(gòu)合署辦公。
內(nèi)部審計機構(gòu)依照法律規(guī)定和企業(yè)授權(quán)開展審計監(jiān)督,其工作范圍不應(yīng)受到人為限制。內(nèi)部審計機構(gòu)對審計過程中發(fā)現(xiàn)的重大問題,視具體情況,可以直接向?qū)徲嬑瘑T會或者董事會報告。
內(nèi)部審計人員應(yīng)當(dāng)具備內(nèi)審人員從業(yè)資格,擁有與工作職責(zé)相匹配備的道德操守和專業(yè)勝任能力。
如今,信息技術(shù)越來越多的應(yīng)用于企業(yè)業(yè)務(wù)的各個環(huán)節(jié),并成為推動業(yè)務(wù)發(fā)展的關(guān)鍵因素,如何保證企業(yè)中所有信息系統(tǒng)的良好運作,怎樣有效的實施安全審計項目將成為企業(yè)面臨的最大挑戰(zhàn)。(CIO時代網(wǎng))
- 1重慶OA軟件
- 2OA軟件知識
- 3成都OA軟件
- 4福州OA軟件
- 5OA軟件研發(fā)
- 6OA軟件營銷
- 7OA軟件招投標(biāo)
- 8泛普OA軟件價格
- 9云OA軟件及OA租賃
- 10OA軟件人員招聘
- 11OA軟件破解
- 12好用的學(xué)校OA軟件
- 1虛擬化給操作系統(tǒng)帶來的改變
- 2探討精細(xì)化無線網(wǎng)絡(luò)覆蓋的趨勢
- 3經(jīng)濟危機下企業(yè)信息安全外包漸成趨勢
- 4連接模式:提高數(shù)據(jù)庫性能之捷徑
- 5無線路由解決ARP故障的幾種方法
- 6詳解數(shù)據(jù)庫備份常常遇見的九種狀況
- 7如何利用虛擬化技術(shù)提高安全性
- 8無線網(wǎng)絡(luò)加緊全國布局:用得上用得起
- 9云計算會遭遇和SOA一樣的衰敗嗎
- 10內(nèi)網(wǎng)安全管理系統(tǒng)的創(chuàng)新與技術(shù)應(yīng)用
- 11Web應(yīng)用程序管理的幾大策略
- 12牛志軍:ISMS實施過程常見困惑與應(yīng)對
- 13存儲業(yè)面臨決定性突破 信息化突飛猛進
- 14Web 2.0需要向SOA學(xué)習(xí)這五件大事
- 15對2009年虛擬化技術(shù)領(lǐng)域的六大預(yù)測
- 16專家答疑:虛擬世界中的動態(tài)能力規(guī)劃
- 17CIO看云計算:何日停止空談開始行動?
- 18存儲分析:如何能夠最大化云的性能
- 1909年中間件市場 行業(yè)細(xì)分受寵
- 20五個步驟改善數(shù)據(jù)中心的虛擬化安全
- 21虛擬化需要完善的網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃
- 22哈爾濱OA軟件的技術(shù)實現(xiàn)路徑的分布式計算技術(shù)
- 23信息安全十大關(guān)注確保公司渡過危機
- 24細(xì)看云計算安全 讓人歡喜讓人憂
- 25關(guān)于數(shù)據(jù)庫規(guī)范化與優(yōu)化問題的講解
- 26淺談可信計算芯片標(biāo)注TCM與TPM
- 27IT業(yè)界新風(fēng):綠色計算,計算未來
- 28IDC:云計算平臺只是提供云服務(wù)的第一步
- 29服務(wù)器開支將在經(jīng)濟衰退中保持增長
- 30盡在掌控 網(wǎng)絡(luò)流量管理面面觀
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓