收藏
下载资源

信息系统审计报告

上传人:新** 文档编号:548882403 上传时间:2022-09-02 格式:DOC 页数:26 大小:47KB
返回 下载 相关 举报
信息系统审计报告_第1页
第1页 / 共26页
信息系统审计报告_第2页
第2页 / 共26页
信息系统审计报告_第3页
第3页 / 共26页
信息系统审计报告_第4页
第4页 / 共26页
信息系统审计报告_第5页
第5页 / 共26页
点击查看更多>>
资源描述

《信息系统审计报告》由会员分享,可在线阅读,更多相关《信息系统审计报告(26页珍藏版)》请在金锄头文库上搜索。

1、标签:标题2016信息系统审计报告计算机和信息系统安全保密审计报告根据市国家保密局要求,公司领导非常重视计算机信息系统安全保密工作,在公司内部系统内开展自查,认真对待,不走过场,确保检查不漏一机一人。虽然在检查中没有发现违反安全保密规定的情况,但是,仍然要求计算机使用管理人员不能放松警惕,要时刻注意自己所使用和管理的计算机符合计算机信息系统安全保密工作的规定,做到专机专用,专人负责,专人管理,确保涉密计算机不上网,网上信息发布严格审查,涉密资料专门存储,不交叉使用涉密存储设备,严格落实计算机信息系统安全保密制度。通过检查,进一步提高了全公司各部门员工对计算机信息系统安全保密工作的认识,增强了责

2、任感和使命感。现将自查情况汇报如下:一、加大保密宣传教育,增强保密观念。始终把安全保密宣传教育作为一件大事来抓,经常性地组织全体职工认真学习各级有关加强安全保密的规定和保密常识,如看计算机泄密录像等,通过学习全公司各部门员工安全忧患意识明显增强,执行安全保密规定的自觉性和能力明显提高。二、明确界定涉密计算机和非涉密计算机。涉密计算机应有相应标识,设置开机、屏保口令,定期更换口令,存放环境要安全可靠。涉密移动硬盘、软盘、光盘、U盘等移动存储介质加强管理,涉密移动存储介质也应有标识,不得在非涉密计算机中使用,严防泄密。非涉密计算机、非涉密存储介质不得以任何理由处理涉密信息,非涉密存储介质不得在涉密

3、计算机中使用涉密信息。涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。计算机信息系统存储、处理、传递、输出的涉密信息要有相应的密级标识,密级标识不能与正文分离。涉密信息不得在与国际网络联接的计算机信息系统中存储、处理、传递。三、加强笔记本电脑的使用管理。笔记本电脑主要在公司内部用于学习计算机新软件、软件调试,不处理涉密数据或文件。四、计算机的使用人员要定期对电脑进行安全检查,及时升级杀毒软件,定时查杀病毒。对外来计算机介质必须坚持先交计算机管理人员查杀病毒再上中转机使用的原则。五、对需要维修的涉密计算机,各部门必须事先将计算机内的涉密信息进行清除;如需调换计算机硬盘,清除

4、涉密信息后方可允许维修人员将硬盘带走。对报废的涉密计算机必须彻底清除计算机内的信息,方可处理。六、小结安全审计作为一门新的信息安全技术,能够对整个计算机信息系统进行监控,如实记录系统内发生的任何事件,一个完善的安全审计系统可以根据一定的安全策略记录和分析历史操作事件及数据,有效的记录攻击事件的发生,提供有效改进系统性能和的安全性能的依据。本文从安全审计的概念、在涉密信息系统中需要审计的内容、安全审计的关键技术及安全审计系统应该注意的问题等几个方面讨论了安全审计在涉密信息系统中的应用。安全审计系统应该全面地对整个涉密信息系统中的网络、主机、应用程序、数据库及安全设备等进行审计,同时支持分布式跨网

5、段审计,集中统一管理,可对审计数据进行综合的统计与分析,从而可以更有效的防御外部的入侵和内部的非法违规操作,最终起到保护机密信息和资源的作用。计算机技术管理部2011.8.17信息系统审计电子数据处理系统发展分为三阶段:数据的单项处理阶段(1953-1965)、数据的综合处理阶段、数据的系统处理阶段,对传统审计产生了巨大的影响,主要表现在对审计线索的影响:传统的审计线索缺失;EDP下:数据处理、存储电子化,不可见,难辨真伪。对审计方法和技术的影响:技术方法复杂化;EDP下:利用计算机审计技术变得复杂化对审计人员的影响:知识构成要求发生变化;EDP下:会计、审计、计算机等知识和技能对审计准则的影

6、响:信息化下审计准则与标准的缺失;EDP下:在原有审计准则的基础上,建立一系列新的准则对内部控制的影响:内部控制方式发生改变:传统方式下:强调对业务活动及会计活动使用授权批准和职责分工等控制程序来保证。EDP下:数据处理根据既定的指令程序自动进行,信息的处理和存储高度集中于计算机,控制依赖于计算机信息系统,控制方式发生改变。2、信息系统审计的定义:指根据公认的标准和指导规范,对信息系统从计划、研发、实施到运行维护各个环节进行审查评价,对信息系统及其业务应用的完整、效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现,并提出一系列改进建议的管理活动。3、信息系统审计的特点审

7、计范围的广泛性审计线索的隐蔽性、易逝性审计取证的动态性审计技术的复杂性:首先,由于不同被审单位的信息系统所配备的计算机设备各式各样,各个机器的功能各异,所配备的系统软件也各不相同。审计人员在审计过程中,必然要和计算机的硬件和系统软件打交道,各种机型功能不一,配备的系统软件各异,必然增加了审计技术的复杂性,其次,由于不同被审单位的业务规模和性质不同,所采用的数据处理及存储方式也不同,不同的数据处理,存储方式,审计所采用的方法、技术也不同。此外,不同被审单位其应用软甲你的开发方式、软件开发的程序设计语言也不尽相同,不同开发方式以及用不同的程序设计语言开发的应用软件,其审计方法与技术也不一样。4、信

8、息系统审计的目标:保护资产的完整性:信息系统的资产包括硬件、软件、设备、人员、数据文件、系统档案等;保证数据的准确性:数据准确性是指数据能满足规定的条件,防止粗无信息的输入和输出,一级非授权状态下的修改信息所造成的无效操作和错误后果;提高系统的有效性:系统的有效性表明系统能否获得预期的目标;提高系统的效率性:系统效率是指系统达到预定目标所消耗的资源,一个效率高的信息系统能够以尽量少的资源达到需要的目标;保证信息系统的合规性合法性:信息系统及其运用必须遵守有关法律、法规和规章制度。5、信息系统审计的主要内容:内部控制系统审计内部控制系统包括一般控制系统应用控制系统;系统开发审计;应用程序审计;数

9、据文件审计、基本方法:绕过信息系统审计:基于黑箱原理,审计人员不审查系统内的程序和文件,只审查I/O数据及其管理制度。优点:审计技术简单、较少干扰被审系统。缺点:审计结果不太可靠、要求I/O联系紧密通过信息系统审计:基于黑箱原理,审计人员不审查系统内的程序和文件,只审查I/O数据及其管理制度。优点:审计技术简单、较少干扰被审系统。缺点:审计结果不太可靠、要求I/O联系紧密。7、步骤:准备阶段;实施阶段;终结阶段、发出审计结论和决定、审计资料的归档和档案)8、国际信息系统审计原则:审计标准;审计指南;作业程序9、审计师应具备的素质:应具备的理论知识:传统审计理论、信息系统管理理论、计算机科学、行

10、为科学理论应具有的实践技能:参加过不同类别的工作培训,尤其是在组织采用和实施新技术时,此外也参加过组织内部计划的制定等;参与专业的机构或厂商组织的研讨会,动态掌握信息技术的新发展对审计时间的影响;具有理解信息处理活动的各种技术,尤其是影响组织财务活动的技术,能够与来自各领域的管理者、用户、技术专家进行交流;理解并熟悉操作环境,评估内部控制的有效性;理解现有与未来系统的技术复杂性,以及它们对各级操作与决策的影响;能使用技术的方法去识别技术的完整性;要参与评估与使用信息技术相关的有效性、效率、风险等;能够提供审计集成服务并对审计员工提供指导,与财务审计师一起对公司财务状况作出声明;具备系统开发方法

11、论、安全控制设计、实施后评估等;掌握网络相关的安全事件、信息安全服务、灾难恢复与业务持续计划、异步传输模式等通信技术。10、IT治理德勤定义:IT治理是是一个含义广泛的概念,包括信息系统、技术、通信、商业、所有利益相关者、合法性和其他问题。其主要任务是保持IT与业务目标一致推动业务发展,促使收益最大化,合理利用IT资源,IT相关风险的适当管理。11、共同点:IT治理必须与企业战略目标一致,IT对于企业非常关键,也是战略规划的组成,影响战略竞争。IT治理保护利益相关者的权益,使风险透明化,知道和控制IT投资、机遇、利益、风险。IT治理和其他治理主题一样,是管理执行人员和利益相关者的责任IT治理包

12、括管理层、组织结构、过程,以确保IT维持和拓展组织战略目标应该合理利用企业的信息资源,有效地进程与协调。确保IT战略及时按照目标交付,有合适的功能和期望的收益,是一个一致性和价值传递的基本构建模块,有明确的期望值和衡量手段。引导IT战略平衡系统的投资,支持企业,变革企业,或者创建一个信息基础构架,保证业务增长,并在一个新的领域竞争。对于核心IT资源做出合理的决策,进入新的市场,驱动竞争策略,创造总的收入增长,改善客户满意度,维系客户关系。12、IT管理是公司的信息及信息系统的运营,确定IT目标以及实现此目标所采取的行动。IT治理是指最高管理层利用它来监督管理层在IT战略上的过程、结构和联系,以

13、确保这种运营处于正确的轨道之上。IT治理规定了整个企业IT运行的基本框架,IT管理则是在这个既定的框架下驾驭企业奔向目标。13、公司治理和IT治理:公司治理关注利益相关者权益和管理,驱动和调整IT治理。IT能够提供关键的输入,形成战略计划的一个重要组成部分,是公司治理的重要功能。14、ITIL:信息技术基础构架库;COBIT:信息和相关技术的控制目标;BS7799:国际安全管理标准体系;PRINCE2是一种对项目管理的某些特定方面提供支持的方法。15、IT治理成熟度模型:不存在、初始级、可重复级、已定义级、已管理级、优化级作用:IT治理成熟度模型制定了一个基准,组织可能根据上面的指标确定自己的

14、等级,从而了解自身的境界。在此基础上确定组织的关键成功因素,通过关键绩效指标进行监控,并衡量组织是否能达到关键目标指标中所设定的目标。16、信息系统内部控制:一个单位在信息系统环境下,为了保证业务活动的有效进行,保护资产的安全与完整,防止、发现、纠正错误与舞弊,确保信息系统提供信息的真实、合法、完整,而制定和实施的一系列政策与程序措施。17、一般控制系统:范围:应用于一个单位信息系统全部或较大范围的内部控制。对象:应为除信息系统应用程序以外的其他部分。基本目标:保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外情况下的持续运行等。18、良好的一般控制是应用控制的基础。如果一般控制

15、审计结果很差,应用控制审计就没有进行的必要。19、审计逻辑访问安全策略:此策略应当为逻辑访问建立“知所必需”的原则,并合理评估在访问过程中暴露的风险。20、审查离职员工的访问控制:一般来说,员工离职的情况主要有请辞、聘用合同期满和非自愿离职三种。对于非自愿离职的员工,组织应当在接触其职务之前,及时收回或严格限制其对组织信息资源的访问权,使其不能继续访问组织的机密信息,或使其不能破坏组织有价值的信息资产。如果对于这类员工还需要保留一部分访问权,必须得到相关管理层批准,并对其进行严格的监督。对其他两种离职的员工,由管理层批准是否保留他们的访问权,这取决于每一种人所处的特定环境、员工所访问IT资产的

16、敏感程度以及组织的信息安全策略、标准和程序的要求。21、系统访问:通过某种途径允许或限制对网络资源和数据的访问能力及范围。逻辑访问控制:通过一定的技术方法控制用户可以利用什么样的信息,可以运行什么程序与事务,可以修改什么信息与数据。物理访问控制:限制人员进出敏感区域。对极端及信息的物理访问与逻辑访问应当建立在“知所必需”的基础上,按照最小授权原则和职责分离原则来分配系统访问权限,并把这些访问规则与访问授权通过正式书面文件记录下来,作为信息安全的重要文件加以妥善管理。22、身份识别与验证:“只有你知道的事情”账号与口令,账号的控制、口令的控制;“只有你拥有的东西”令牌设备,发送许可权的特殊消息或一次性口令的设备;“只有你具有的特征”生物/行为测定,指纹、虹膜等和签名等。23、逻辑访问授权:一般情况下,逻辑访问控制基于最小授权原则,只对因工作需要访问信息系统的人员进行必要的

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号