信息安全审计报告

信息安全审计报告（精选6篇）

信息安全审计报告 第1篇

涉密计算机安全保密审计报告

审计对象：xx计算机 审计日期：xxxx年xx月xx日 审计小组人员组成： 姓名：xx 部门：xxx 姓名：xxx 部门：xxx 审计主要内容清单： 1.安全策略检查 2.外部环境检查 3.管理人员检查 审计记录 篇二：审计报告格式

审计报告格式

一、引言

随着网络的发展，网络信息的安全越来越引起世界各国的重视，防病毒产品、防火墙、入侵检测、漏洞扫描等安全产品都得到了广泛的应用，但是这些信息安全产品都是为了防御外部的入侵和窃取。随着对网络安全的认识和技术的发展，发现由于内部人员造成的泄密或入侵事件占了很大的比例，所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到重视，要做到这点就需要在网络中实现对网络资源的使用进行审计。

在当今的网络中各种审计系统已经有了初步的应用，例如：数据库审计、应用程序审计以及网络信息审计等，但是，随着网络规模的不断扩大，功能相对单一的审计产品有一定的局限性，并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一，跨地区、跨网段、集中管理才是综合审计系统最终的发展目标。

本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后的发展方向做出了讨论。

二、什么是安全审计

国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖)，简称“五性”。安全审计是这“五性”的重要保障之一，它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进行安全审计，记录所有发生的事件，提供给系统管理员作为系统维护以及安全防范的依据。安全审计如同银行的监控系统，不论是什么人进出银行，都进行如实登记，并且每个人在银行中的行动，乃至一个茶杯的挪动都被如实的记录，一旦有突发事件可以快速的查阅进出记录和行为记录，确定问题所在，以便采取相应的处理措施。

近几年，涉密系统规模不断扩大，系统中使用的设备也逐渐增多，每种设备都带有自己的审计模块，另外还有专门针对某一种网络应用设计的审计系统，如：操作系统的审计、数据库审计系统、网络安全审计系统、应用程序审计系统等，但是都无法做到对计算机信息系统全面的安全审计，另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况，就需要对每种设备的审计模块熟练操作，并且结合多种专用审计产品才能够做到。

为了能够方便地对整个计算机信息系统进行审计，就需要设计综合的安全审计系统。它的目标是通过数据挖掘和数据仓库等技术，实现在不同网络环境中对网络设备、终端、数据资源等进行监控和管理，在必要时通过多种途径向管理员发

出警告或自动采取排错措施，并且能够对历史审计数据进行分析、处理和追踪。主要作用有以下几个方面： 1.对潜在的攻击者起到震慑和警告的作用;2.对于已经发生的系统破坏行为提供有效的追究证据;3.为系统管理员提供有价值的系统使用日志，从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞;4.为系统管理员提供系统的统计日志，使系统管理员能够发现系统性能上的不足或需要改进和加强的地方。

三、涉密信息系统安全审计包括的内容

《中华人民共和国计算机信息系统安全保护条例》中定义的计算机信息系统，是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。涉密计算机信息系统(以下简称“涉密信息系统”)在《计算机信息系统保密管理暂行规定》中定义为：采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。所以针对涉密信息系统的安全审计的内容就应该针对涉密信息系统的每一个方面，应该对计算机及其相关的和配套的设备、设施(含网络)，以及对信息的采集、加工、存储、传输和检索等方面进行审计。

具体来说，应该对一个涉密信息系统中的以下内容进行安全审计：

被审计资源安全审计内容

重要服务器主机操作系统系统启动、运行情况，管理员登录、操作情况，系统配置更改(如注册表、配置文件、用户系统等)以及病毒或蠕虫感染、资源消耗情况的审计，硬盘、cpu、内存、网络负载、进程、操作系统安全日志、系统内部事件、对重要文件的访问等。

重要服务器主机应用平台软件重要应用平台进程的运行、web server、mail server、lotus、exchange server、中间件系统、健康状况(响应时间等)等。

重要数据库操作数据库进程运转情况、绕过应用软件直接操作数据库的违规访问行为、对数据库配置的更改、数据备份操作和其他维护管理操作、对重要数据的访问和更改、数据完整性等的审计。

重要应用系统办公自动化系统、公文流转和操作、网页完整性、相关业务系统(包括业务系统正常运转情况、用户开设/中止等重要操作、授权更改操作、数据提交/处理/访问/发布操作、业务流程等内容)等。

重要网络区域的客户机病毒感染情况、通过网络进行的文件共享操作、文件拷贝/打印操作、通过modem擅自连接外网的情况、非业务异常软件的安装和运行等的审计

四、安全审计系统使用的关键技术

根据在涉密信息系统中要进行安全审计的内容，我们可以从技术上分为以下几个模块： 1.网络审计模块：主要负责网络通信系统的审计;2.操作系统审计模块：主要负责对重要服务器主机操作系统的审计;3.数据库审计模块：主要负责对重要数据库操作的审计;4.主机审计模块：主要负责对网络重要区域的客户机进行审计;5.应用审计模块：主要负责重要服务器主机的应用平台软件，以及重要应用系统进行审计。

还需要配备一个数据库系统，负责以上审计模块生成的审计数据的存储、检索、数据分析等操作，另外，还需要设计一个统一管理平台模块，负责接收各审计模块发送的审计数据，存入数据库，以及向审计模块发布审计规则。如下图所示：

安全审计系统中应解决如下的关键技术： 1.网络监听： 2.内核驱动技术：

是主机审计模块、操作系统审计模块的核心技术，它可以做到和操作系统的无缝连接，可以方便的对硬盘、cpu、内存、网络负载、进程、文件拷贝/打印操作、通过modem擅自连接外网的情况、非业务异常软件的安装和运行等进行审计。3.应用系统审计数据读取技术：

大多数的多用户操作系统(windows、unix等)、正规的大型软件(数据库系统等)、多数安全设备(防火墙、防病毒软件等)都有自己的审计功能，日志通常用于检查用户的登录、分析故障、进行收费管理、统计流量、检查软件运行情况和调试软件，系统或设备的审计日志通常可以用作二次开发的基础，所以如何读取多种系统和设备的审计日志将是解决操作系统审计模块、数据库审计模块、应用审计模块的关键所在。4.完善的审计数据分析技术：

审计数据的分析是一个安全审计系统成败的关键，分析技术应该能够根据安全策略对审计数据具备评判异常和违规的能力，分为实时分析和事后分析： 实时分析：提供或获取审计数据的设备和软件应该具备预分析能力，并能够进行第一道筛选;事后分析：统一管理平台模块对记录在数据库中的审计记录进行事后分析，包括统计分析和数据挖掘。

五、安全审计系统应该注意的问题

安全审计系统的设计应该注意以下几个问题： 1.审计数据的安全：

在审计数据的获取、传输、存储过程中都应该注意安全问题，同样要保证审计信息的“五性”。在审计数据获取过程中应该防止审计数据的丢失，应该在获取后尽快传输到统一管理平台模块，经过滤后存入数据库，如果没有连接到管理平台模块，则应该在本地进行存储，待连接后再发送至管理平台模块，并且应该采取措施防止审计功能被绕过;在传输过程中应该防止审计数据被截获、篡改、丢失等，可以采用加密算法以及数字签名方式进行控制;在审计数据存储时应注意数据库的加密，防止数据库溢出，当数据库发生异常时，有相应的应急措施，而且应该在进行审计数据读取时加入身份鉴别机制，防止非授权的访问。2.审计数据的获取

首先要把握和控制好数据的来源，比如来自网络的数据截取;来自系统、网络、防火墙、中间件等系统的日志;通过嵌入模块主动收集的系统内部信息;通过网络主动访问获取的信息;来自应用系统或安全系统的审计数据等。有数据源的要积极获取;没有数据源的要设法生成数据。对收集的审计数据性质也要分清哪些是已经经过分析和判断的数据，哪些是没有分析的原始数据，要做出不同的处理。

另外，应该设计公开统一的日志读取api，使应用系统或安全设备开发时，就可以将审计日志按照日志读取api的模式进行设计，方便日后的审计数据获取。3.管理平台分级控制

由于涉密信息系统的迅速发展，系统规模也在不断扩大，所以在安全审计设计的初期就应该考虑分布式、跨网段，能够进行分级控制的问题。也就是说一个涉密信息系统中可能存在多个统一管理平台，各自管理一部分审计模块，管理平台之间是平行关系或上下级关系，平级之间不能互相管理，上级可以向下级发布审计规则，下级根据审计规则向上级汇报审计数据。这样能够根据网络规模及安全域的划分灵活的进行扩充和改变，也有利于整个安全审计系统的管理，减轻网络的通信负担。4.易于升级维护

安全审计系统应该采用模块设计，这样有利于审计系统的升级和维护。

专家预测，安全审计系统在2003年是最热门的信息安全技术之一。国内很多信息安全厂家都在进行相关技术的研究，有的已经推出了成型的产品，另一方面，相关的安全审计标准也在紧锣密鼓的制定当中，看来一个安全审计的春天已经离我们越来越近了。但是信息系统的安全从来都是一个相对的概念，只有相对的安全，而没有绝对的安全。安全也是一个动态发展的过程，随着网络技术的发展，安全审计还有很多值得关注的问题，如： 1.网络带宽由现在的100兆会增加到1g，安全审计如何对千兆网络进行审计就是值得关注的问题;2.当前还没有一套为各信息安全厂商承认的安全审计接口标准，标准的制定与应用将会使安全审计跨上一个新的台阶;篇三：计算机信息安全检查与审计报告

计算机信息安全检查与审计

一、取硬盘序列号及涉密计算机安全检查 1.双击打开“取硬盘序列号.exe”文件，之后点“显示”，可获得硬盘序列号。2.双击打开“涉密计算机安全检查系统.exe”文件，填入计算机型号与使用人。点击“确定”会出现如下对话框进入涉密计算机安全检查系统主界面。会发现该检查系统分为常规检查和强力检查，其中①常规检查分为：“上网行为检查”、“文件检查”、“系统消息检查”、“开放资源检查”、“系统运行消息检查”。②强力检查分为：“上网行为检查”、“近期处理过的文件检查”。

对计算机进行检查的时候会在该文件夹下创建一个“用户名_机器型号”的文件夹。如：“weiman2_wd-wmav2ad63642”。对机器的检查记录会以txt形式保存在该目录下。其中强力检查用时最长且文件最大。

可以分别打开文档对该计算机的信息进行查看。例如开放端口信息、近期处理过的文件强力检查列表、运行进程列表、上网记录强力检查列表。

二、viewurl和wsyscheck

三、usb检查

打开“usbdeview.exe”可对该机器usb借口进行检查。篇四：××单位信息安全评估报告

××单位 信息安全评估报告(管理信息系统)××单位 二零一一年九月 1 目标

××单位信息安全检查工作的主要目标是通过自评估工作，发现本局信息系统当前面临的主要安全问题，边检查边整改，确保信息网络和重要信息系统的安全。2 评估依据、范围和方法 2.1 评估依据

根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》（信安通［2006］15号）、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》（办信息[2006]48号）以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。2.2 评估范围

本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等，管理信息系统中业务种类相对较多、网络和业务结构较为复杂，在检查工作中强调对基础信息系统和重点业务系统进行安全性评估，具体包括：基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。2.3 评估方法

采用自评估方法。3 重要资产识别

对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总，形成重要资产清单。资产清单见附表1。4 安全事件

对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录，形成本单位的安全事件列表。安全事件列表见附表2。5 安全检查项目评估

5.1 规章制度与组织管理评估 5.1.1 组织机构 5.1.1.1 评估标准

信息安全组织机构包括领导机构、工作机构。5.1.1.2 现状描述

本局已成立了信息安全领导机构，但尚未成立信息安全工作机构。5.1.1.3 评估结论

完善信息安全组织机构，成立信息安全工作机构。5.1.2 岗位职责 5.1.2.1 评估标准

岗位要求应包括：专职网络管理人员、专职应用系统管理人员和专职系统管理人员；专责的工作职责与工作范围应有制度明确进行界定；岗位实行主、副岗备用制度。5.1.2.2 现状描述 5.1.2.3 评估结论

本局已有兼职网络管理员、应用系统管理员和系统管理员，在条件许可下，配置专职管理人员；专责的工作职责与工作范围没有明确制度进行界定，根据实际情况制定管理制度；岗位没有实行主、副岗备用制度，在条件许可下，落实主、副岗备用制度。5.1.3 病毒管理 5.1.3.1 评估标准

病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、病毒预警和报告机制、病毒扫描策略（1周内至少进行一次扫描）。5.1.3.2 现状描述

本局使用symantec防病毒软件进行病毒防护，定期从省公司病毒库服务器下载、升级安全策略；病毒预警是通过第三方和网上提供信息来源，每月统计、汇总病毒感染情况并提交局生技部和省公司生技部；每周进行二次自动病毒扫描；没有制定计算机病毒防治管理制度。5.1.3.3 评估结论

完善病毒预警和报告机制，制定计算机病毒防治管理制度。5.1.4 运行管理 5.1.4.1 评估标准

运行管理应制定信息系统运行管理规程、缺陷管理制度、统计汇报制度、运

维流程、值班制度并实行工作票制度；制定机房出入管理制度并上墙，对进出机房情况记录。

5.1.4.2 现状描述

没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度，没有实行工作票制度；机房出入管理制度上墙，但没有机房进出情况记录。5.1.4.3 评估结论

结合本局具体情况，制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度，实行工作票制度；机房出入管理制度上墙，记录机房进出情况。5.1.5 账号与口令管理 5.1.5.1 评估标准

制订了账号与口令管理制度；普通用户账户密码、口令长度要求符合大于6字符，管理员账户密码、口令长度大于8字符；半年内账户密码、口令应变更并保存变更相关记录、通知、文件，半年内系统用户身份发生变化后应及时对其账户进行变更或注销。5.1.5.2 现状描述

没有制订账号与口令管理制度，普通用户账户密码、口令长度要求大部分都不符合大于6字符；管理员账户密码、口令长度大于8字符，半年内账户密码、口令有过变更，但没有变更相关记录、通知、文件；半年内系统用户身份发生变化后能及时对其账户进行变更或注销。

5.1.5.3 评估结论

制订账号与口令管理制度，完善普通用户账户与管理员账户密码、口令长度要求；对账户密码、口令变更作相关记录；及时对系统用户身份发生变化后对其账户进行变更或注销。篇五：计算机和信息系统安全保密审计报告

计算机和信息系统安全保密审计报告

根据市国家保密局要求，公司领导非常重视计算机信息系统安全保密工作，在公司内部系统内开展自查，认真对待，不走过场，确保检查不漏一机一人。虽然在检查中没有发现违反安全保密规定的情况，但是，仍然要求计算机使用管理人员不能放松警惕，要时刻注意自己所使用和管理的计算机符合计算机信息系统安全保密工作的规定，做到专机专用，专人负责，专人管理，确保涉密计算机不上网，网上信息发布严格审查，涉密资料专门存储，不交叉使用涉密存储设备，严格落实计算机信息系统安全保密制度。通过检查，进一步提高了全公司各部门员工对计算机信息系统安全保密工作的认识，增强了责任感和使命感。现将自查情况汇报如下：

一、加大保密宣传教育，增强保密观念。始终把安全保密宣传教育作为一件大事来抓，经常性地组织全体职工认真学习各级有关加强安全保密的规定和保密常识，如看计算机泄密录像等，通过学习全公司各部门员工安全忧患意识明显增强，执行安全保密规定的自觉性和能力明显提高。

二、明确界定涉密计算机和非涉密计算机。涉密计算机应有相应标识，设置开机、屏保口令，定期更换口令，存放环境要安全可靠。涉密移动硬盘、软盘、光盘、u盘等移动存储介质加强管理，涉密移动存储介质也应有标识，不得在非涉密计算机中使用，严防泄密。非涉密计算

机、非涉密存储介质不得以任何理由处理涉密信息，非涉密存储介质不得在涉密计算机中使用涉密信息。涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。计算机信息系统存储、处理、传递、输出的涉密信息要有相应的密级标识，密级标识不能与正文分离。涉密信息不得在与国际网络联接的计算机信息系统中存储、处理、传递。

三、加强笔记本电脑的使用管理。笔记本电脑主要在公司内部用于学习计算机新软件、软件调试，不处理涉密数据或文件。

四、计算机的使用人员要定期对电脑进行安全检查，及时升级杀毒软件，定时查杀病毒。对外来计算机介质必须坚持先交计算机管理人员查杀病毒再上中转机使用的原则。

五、对需要维修的涉密计算机，各部门必须事先将计算机内的涉密信息进行清除；如需调换计算机硬盘，清除涉密信息后方可允许维修人员将硬盘带走。对报废的涉密计算机必须彻底清除计算机内的信息，方可处理。

六、小结 安全审计作为一门新的信息安全技术，能够对整个计算机信息系统进行监控，如实记录系统内发生的任何事件，一个完善的安全审计系统可以根据一定的安全策略记录和分析历史操作事件及数据，有效的记录 攻击事件的发生，提供有效改进系统性能和的安全性能的依据。本文从安全审计的概念、在涉密信息系统中需要审计的内容、安全审计的关键技术及安全审计系统应该注意的问题等几个方面讨论了安全审计在涉密信息系统中的应用。安全审计系统应该全面地对整个涉密信息系统中的网络、主机、应用程序、数据库及安全设备等进行审计，同时支持分布式跨网段审计，集中统一管理，可对审计数据进行综合的统计与分析，从而可以更有效的防御外部的入侵和内部的非法违规操作，最终起到保护机密信息和资源的作用。

信息安全审计报告 第2篇

一、检查报告名称

**市审计局2011年度政府信息系统安全检查情况报告。

二、检查报告组成检查报告包括主和附表两部分。

三、主要内容

（一）信息安全状况总体评价

我局信息安全工作严格按照有关要求，对涉及到的信息进行安全检查，严格执行信息安全工作相关条例，与上一年度相比信息安全工作取得新的进展。近年来我局无信息安全事故发生。

（二）2011年信息安全主要工作情况

1、信息安全组织机构落实情况

为规范信息公开工作，落实好信息安全的相关规定，我局成立了信息安全工作领导小组，落实了管理机构，由办公室负责信息安全的日常管理工作，明确了信息安全的主管领导、分管领导和具体管理人员。

2、日常信息安全管理落实情况

根据工作实际，我局信息安全工作主要涉及上级下发的涉密文件管理、政府信息公开工作信息管理、业务工作相关数据信息管理、根据这些实际，我局已从落实管理机构和人 1

员、加强教育培训、更新设备、健全完善相关制度等方面对信息安全的人员、资产、运行和维护管理进行了落实。

（1）落实具体负责信息安全工作的人员，对涉密信息文件、材料实行专人管理；对重要办公区、办公计算机等进行严格管理，确保信息安全工作。

（2）结合工作实际，对涉密文件材料管理和计算机、移动存储设备等的维修、报废、销毁管理进行了规定。对日常信息办公软件、应用软件等的安装使用，均按照上级部门的要求和规定，严格进行操作管理。

（3）结合政府信息公开工作，按照信息公开的相关保密规定和程序，初步建立了《**市审计局政府信息公开保密审查制度（试行）》，对信息公开、阳光政府四项制度等公开发布信息保密审查机制、程序进行了规范，完善。

3、安全防范措施落实情况

（1）涉密计算机经过了保密技术检查，并安装了防火墙。同时配置安装了专业杀毒软件，加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。

（2）计算机都设有开机密码，由专人保管负责。同时，涉密计算机相互共享之间设有严格的身份认证和访问控制。

（3）网络终端没有违规上国际互联网及其他的信息网的现象，没有安装无线网络等。

（4）安装了针对移动存储设备的专业杀毒软件。

4、应急响应机制建设情况

（1）坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜，并商定给予应急技术以最大程度的支持。

（2）严格文件的收发，完善了清点、修理、编号、签收制度，并要求信息管理员每天下班前进行系统备份。

（3）及时对系统和软件进行更新，对重要文件、信息资源做到及时备份，数据恢复。

5、信息技术产品和服务国产化情况

（1）终端计算机的保密系统和防火墙、杀毒软件等，皆为国产产品。

（2）工资系统、年报系统等皆为市委、市政府统一指定产品系统。

6、安全教育培训情况

对全体计算机使用人员开展了操作培训，并讲解了网络安全的一些知识。

（三）信息安全检查发现的主要问题及整改情况

根据《通知》中的具体要求，在自查过程中我们也发现了一些不足，一是专业技术人员较少，信息系统安全方面可投入的力量有限;二是规章制度体系初步建立，但还不完善，未能覆盖相关信息系统安全的所有方面;三是遇到计算机病毒侵袭等突发事件处理不够及时。

针对存在的问题：一是要继续加强对干部的安全意识教

育，提高做好安全工作的主动性和自觉性;二是要切实增强信息安全制度的落实工作，不定期的对安全制度执行情况进行检查，对于导致不良后果的责任人，要严肃追究责任，从而提高人员安全防护意识;三是要以制度为根本，在进一步完善信息安全制度的同时，安排专人，完善设施，密切监测，随时随地解决可能发生的信息系统安全事故;四是要加大对线路、系统等的及时维护和保养，加大更新力度;五是要提高安全工作的现代化水平，便于我们进一步加强对计算机信息系统安全的防范和保密工作。

（五）对信息安全检查工作的意见和建议

1、加强信息网络安全技术人员培训，使安全技术人员及时更新信息网络安全管理知识，提高相关管理及法律法规等的认识，不断地加强信息网络安全管理和技术防范水平。

2、加大网络安全设备的投入。

**市审计局

浅谈信息系统的安全审计 第3篇

关键词：信息系统审计(IT审计),信息系统安全审计

“审计”(Audit)这个词起源于会计审计和账目稽查。从相关文献来看,系统审计(System Audit)、电子数据处理审计(EDP Audit)和计算机审计(Computer Audit)没有很明确的界限划分,这些都是在计算机大量进入实用阶段后开始的。“信息系统审计”指的是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。

1 IT审计的社会背景

IT审计是社会信息化的基础,是企业变革的需要。随着社会信息化程度越来越高,信息将是维持社会经济活动及生产活动的重要的基础性资源,成为政治、经济、军事、文化乃至社会一切领域的基础。信息系统广泛深入地渗透到各个领域,其结果导致了社会、企业等对信息系统的极大的依赖性。也就是说,当系统发生故障,停止运行或系统发生错误而丧失其有效功能时,该领域的各种活动就失去了支撑与 保障,甚至还要影响到社会、生活等许多方面。因此,实施“IT审计”确保信息系统的可靠、安全及有效是信息化的基础,已成为健全地进入信息化社会必不可少的重要环节,并越来越多地受到国际国内的关注。

2 IT审计的定义

有关审计的定义,这里引入1985年日本通产省情报处理开发协会IT审计委员会的定义:“所谓IT审计是指独立于审计对象的IT审计师站在客观立场上,对以计算机为核心的信息系统进行综合的检查、评价,向有关人员提出问题与劝告,追求系统的有效利用和故障排除,使系统更加健全。”

2.1 IT审计的意义、目的

为了保证信息系统的安全、可靠与有效,需要开展由独立的具有资格的第三方进行的IT审计,对以计算机为核心的信息系统从计划开始,到设计、编程、测试、运行、维护直至淘汰的整个生命周期实施IT审计。IT审计(System Audit)与项目监理(Project Management)的差异,工程监理是国际上对项目进行管理的普遍的做法,从由第三方实施的角度来看与IT审计是相同的,但项目监理的对象是工程项目,而且仅覆盖开发阶段,即在一定的成本、进度和质量目标下,控制项目的开发,当项目完成验收后,监理工作结束。而对IT审计来说,不仅是信息系统的开发阶段,开发完成后的运行维护阶段(占系统全生命周期60%-70%)还要继续进行IT审计,它覆盖信息系统的全生命周期。

2.2 IT审计的对象

IT审计的对象是指以电子计算机为核心的信息系统,并覆盖信息系统从计划、分析、设计、编程、测试、运行维护到该系统报废为止的全生命周期的各种业务。所谓IT审计,用一句话来说是对信息系统的审计。今天信息系统已发展成为几乎所有企业的中枢,起到关键作用。随着网络的普及,与信息系统有关的业务范围也越来越广泛。如把IT审计仅仅理解为是对硬件与软件的审计是不够的,IT审计必须是针对整体的信息系统进行的,而整体信息系统是包括信息系统环境以及与此业务等在内的有机结合的整体,是以促使企业整体的健全信息化为目标的。要进行IT审计,必须熟悉IT审计对象的业务,在信息系统计划、开发、运行和维护的各个阶段,必须明确IT审计各个项目及各个项目的衡量标准。因此,明确对象业务、明确IT审计的要点、选定对象业务及找出问题的所在,使IT审计真正起到效果是十分重要的。2.3 IT审计的业务内容

IT审计的业务内容归纳如下:

* 计算机资源管理审计

* 硬件、软件等获取审计

* 系统软件审计

* 程序审计

* 数据完整性审计

* 系统生命周期审计

* 应用系统开发审计

* 系统维护审计

* 操作审计

* 安全审计

3 信息系统安全审计

谈到系统的安全,有“计算机安全”、“系统安全”、“物理安全”、“数据安全”等分类。对于信息系统的安全可给出如下定义:“确保以电磁信号为主要形式的,在计算机网络化系统中进行自动通信、处理和利用的信息,在各个物理位置、逻辑区域、存储和传输介质中,处于动态和静态过程中的机密性、完整性、可用性、可审查性和抗抵赖性的,与人、网络、环境有关的技术安全、结构安全和管理安全的总和。”人是信息系统的主体,包括各类用户、维护人员及技术管理与行政管理人员;网络则指以计算机、网络互连设备、传输介质及其操作系统、通信协议和应用程序所构成的物理的和逻辑的完整体系;环境则是系统稳定和可靠运行所需的保证体系,包括建筑物、机房、动力保障与备份及应急与恢复体系。

系统安全是指在以计算机为核心的信息系统中,为确保所有的资源安全性的广义概念,正好与系统概念相反,是包括从广义到狭义的种种范围,它一般包括由硬件(包括网络)与软件构成的系统的安全。要确保信息系统安全,即系统所有资源的安全,就要进行安全控制。

“信息安全审计”成为企业内控、信息系统治理、安全风险控制等不可或缺的关键手段。美国信息系统审计的权威专家Ron Weber又将它定义为“收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标,同时最经济的使用资源”。

信息系统的安全审计主要指的是对信息系统安全框架的审计(Auditing Information Security Framework)。信息安全框架的审计包括以下几个方面。

3.1 审计书面策略、流程与标准

策略、流程与标准为组织维持正常的运营与管理提供框架和指南。在审计的时候应该先检查这些策略及程序,以决定公司是否建立了正确的安全方针,是否为安全的计算机处理环境建立明确的责任归属和操作程序。

3.2 逻辑访问安全策略

此策略应当为逻辑访问建立“知所必需”的原则,并合理评估在访问过程中暴露的风险。

3.3 安全意识的培训及养成

有效的安全管理需要人来维护。只有员工知道他们的责任,以及组织对他们的要求是什么,安全才能真正有效。员工应该了解某些安全措施的真实目的及意义,以及违反时应受的惩罚。

提倡及宣传安全意识是一种预防性控制方法。通过这种方法,使员工意识到他们维护良好的物理和逻辑安全的责任。这也可以被视为一种检测性控制,因为它鼓励员工举报违反安全规定的行为。

安全培训要从新员工的入职教育开始,并通过公司的刊物、公告、安全人员的检查及部门会议中强调等一系列的活动来进行经常性的安全宣传。应当由安全管理员直接负责安全意识教育的管理及执行。信息系统安全审计包括抽查公司员工的计算机安全意识状况。

3.4 数据的所有权(Data Ownership)

数据的所有权指的是在信息资源适当分类的基础上,对保护信息资源机密性、完整性、准确性方面的责任分配。建立数据的所有权的关键点是针对特点的员工赋予保管计算机资源的相应责任,并确保这种责任的可追查性。信息系统安全审计应检查组织中是否建立了数据所有权关系,并根据所有权向员工落实具体责任。在审核数据所有权时,应当抽样检查员工的工作描述,以确认其工作职责与所有权关系相一致,同时应判断对信息资产的分类是否适当。

3.5 数据所有人(Data Owner)

数据所有人通常是那些对运营和控制业务活动负责的管理人员,他们的安全责任包括对系统访问进行授权;确保人员责任发生变动时,访问规则要及时更新;定期检查访问规则及被保护的计算机数据。

3.6 数据保管员(Data Custodians)

数据保管员是负责保存并看管计算机数据的人员。一些信息部门人员,如系统分析员和计算机操作人员也有此职责。

3.7 安全管理员(Security Administrator)

安全管理员负责为信息系统程序、数据和设备提供充分的物理与逻辑安全(物理安全也可能由其他专人来管理)。通常,组织制定的信息安全策略要对安全管理员提供基本的指南。

3.8 数据使用者(Data Users)

这里指最终用户,包括内部和外部用户或用户组。数据使用者要访问计算机数据,必须 事先获得数据所有者批准,并由安全管理员监控和管理其使用。用户必须遵守组织制订的安全政策与程序,并对其工作区域中的非授权人员的物理与逻辑访问保持警觉。

3.9 书面授权(Documented Authorizations)

数据访问必须经书面核准与授权。信息系统安全审计应包括抽样检查这些授权情况,判断授权等级是否充分和合理,是否只有数据所有人才能核准数据访问权限。

3.10 离职员工的访问控制(Terminated Employee Access)

一般来说,员工离职的情况主要有以下几种:

* 员工自己请辞

* 聘用合同期满(正常退休或合同完成)

* 非自愿离职(被组织开除、辞退等)

对于非自愿离职的员工,组织应当在解除其职务前,及时收回或严格限制其对组织信息资源的访问权,使其不能继续访问组织的机密信息,或使其不能破坏组织有价值的信息资产。如果对于这类员工还需要保留一部分访问权,必须得到相关管理层批准,并对其进行严格的监督。

对其他两种离职的员工,由管理层批准是否保留他们访问权,这取决于:

* 考虑每一种人所处的特定的环境

* 员工所访问的IT资产的敏感程度

* 组织的信息安全政策、标准和程序的要求

3.11 安全基线

安全基线计划是实现IT安全的第一步,完成基线计划后,应当进行安全评估和进一步的安全计划。

3.12 访问标准

信息系统安全审计在审核访问标准时,应确保符合组织职责划分的原则,避免错误和舞弊现象的发生,降低非授权访问的风险。

安全标准一般定义如下。

* 建立基本要求(密码至少6位)

* 为特定机器的使用建立规则(如:所有Unix机器设定每30日强制换密码)

* 为特定的应用系统建立规则(如:负责销售账的员工被允许访问输入的销货发票,但不允许访问支票授权功能选项)

信息安全审计与信息安全管理密切相关,信息安全审计的主要依据为信息安全管理相关的标准,例如ISO/IEC 17799、ISO 17799/27001、COSO、COBIT、ITIL、NIST SP800系列等。这些标准实际上是出于不同的角度提出的控制体系,基于这些控制体系可以有效地控制信息安全风险,从而达到信息安全审计的目的,提高信息系统的安全性。信息系统安全审计,正在被越来越多的行业和机构所重视,它代表着由传统信息安全向业务信息安全领域纵深发展的必然的趋势要求。

参考文献

[1]　胡克瑾等.IT审计.

审计系统在电力信息安全中的运用 第4篇

一个完整信息安全保障体系,应该由预警、防护、监控、应急响应、灾难恢复等系统组成。审计系统是整个监控和预警体系的关键组成部分,做好安全审计工作,能够增强电力企业对故障、风险的预警能力和监控能力,也能够为防护体系和企业的内部管理体系提供客观、有效的改进依据。

审计系统组成要素

信息系统的运行由一系列的人员行为和系统行为组成,信息系统安全审计就是采集、监控、分析信息系统各组成部分的系统行为(日志)和操作行为的过程。

全面采集。审计信息的采集过程是整个审计体系的基础。采集过程应侧重于采集方式的灵活性及采集对象的全面性。审计系统应提供多种信息采集方式对审计信息源进行数据采集,对电力系统而言,审计系统应尽量避免在主机中安装软件,串接设备方式进行采集,而应尽量通过系统自身的日志协议(如syslog协议)、旁路(如端口镜像)等更安全的方式进行。电力公司信息系统中包含有各种各样的设备,服务器系统、路由器、交换机、工作站、终端等硬件设备;各类数据库、电力应用系统、中间件、OA、WEB等软件应用系统以及管理员的维护系统、普通用户的业务操作行为、上网行为等等人员的访问行为,审计系统应该通过不同方式灵活实现对上述相关系统日志和行为的采集。

采集过程还应保障信息源的客观性,不应篡改信息的原有属性。

实时监控。利用审计系统对采集到的日志信息、行为信息进行实时分析。通过审计系统的实时监控、告警功能,定制符合电力信息系统安全需求的规则库,规则库内容应涵盖各类操作系统、网络设备、人员操作规范等范围。实时监控还应该对每台设备的日志量进行监控,对日志量剧增、剧减等情况进行提醒。

审计分析。安全审计分析是整个信息安全体系的核心组成部分之一,电力系统应该利用审计系统对网络、应用的运行情况、企业内部信息安全制度的执行情况进行周期性审计。周期性的审计是整个审计系统发挥作用的关键,没有周期性的审计,就无法及时发现信息系统中存在的安全隐患。

实施审计系统的意义

保障数据的客观性。使用第三方审计产品对各类信息系统组成要素、人员行为进行安全审计,可以避免完全由技术人员进行手工审计带来因数据恶意篡改、人为疏忽而造成数据变化,从而保证审计数据源的客观性。

保障数据的安全性。信息系统的日志、行为记录默认状态下分散存储在各主机、应用系统当中。 一旦主机操作黑客破坏,或者磁盘损坏等意外事件都有可能导致数据丢失或破坏。第三方专业审计系统在设计、开发时对安全性、可靠性均做了充分设计,可以有效地保障数据的安全性,避免上述情况的发生。

提高审计工作效率。信息安全审计工作在没有专业审计系统的情况下是一项繁重的工作,技术人员要面对数个甚至数十个主机、数据库、设备的海量日志,依靠人力根本无法完成周期性的日志审计工作,工作量的巨大直接导致目前日志分析工作都是在出现安全事件之后,有针对性的进行事后分析。

依赖于专业化的审计系统,电力信息系统可以将所有系统的运行日志均集中到审计系统中,利用审计系统高效的检索功能及自动化的审计功能帮助审计人员进行日常审计工作,从而大大减轻审计人员的工作负担,而且能够增加审计的准确性,避免了人为失误。

落实安全管理规范。在未部署审计系统之前,由于缺乏对维护人员操作的监控能力,大量的操作规范无法真正落到实处,如无法实现对telnet、ssh、RDP等维护协议的指令还原就无法知道维护人员每次维护时在操作系统内部输入了何种指令。在部署审计系统之后,通过对维护人员操作指令的定期审计,指出维护人员操作的不当或违规之处,经过一段时间的运行,就能逐步树立维护人员良好的操作习惯,避免由于人员疏忽造成的安全事故。

另外,通过审计系统也能检测维护人员是否按照信息安全管理规范对信息系统进行维护,如定期修改密码、定期备份关键数据等等。

作为信息安全体系建设的一个重要环节,日志综合审计系统在电力系统中比不可少;通过日志安全审计系统的运用,不仅能提高员工工作效率,规范维护人员良好的工作习惯,也能及时发现信息系统中潜在的安全隐患,在满足合规要求的同时,真正提高了信息系统的安全性。

审计局信息公开报告 第5篇

县审计局根据《中华人民共和国政府信息公开条例》的规定，制定《县审计局2021政府信息公开报告》。

报告由组织建设、主动公开情况、依申请公开、公开形式、监督保障五部分组成。本报告中所列数据的统计期限自2021年1月1日起至2021年12月31日止。报告通过县政府门户网站形式向社会公布。

一、组织建设情况

（一）机构概况。

县审计局内设办公室、法制科、财金科、社保科、行文科、经贸科、投资科、经责科8个职能科室。建立政务公开领导小组，局长张立峰任组长，副局长陈广炬任副组长，各科室负责人为组员。

（二）2021政府信息公开工作基本情况。

一是明确政府信息公开的职责、内容、程序、方式和时限要求。

二是按照有关规定，将属于审计保密范围以外的财政行政管理等事项向社会公开。

二、主动公开信息情况

（一）主动公开政府信息情况。

县审计局2021主动公开信息108条，依申请公开信息0条。

（二）主动公开信息的形式。

根据《条例》第15条的规定，行政机关应当将主动公开的政府信息通过政府公报、政府网站、新闻发布会以及报刊、广播、电视等便于公众知晓的方式公开。2021年县审计局利用县政府网站主动公开政府信息108条。

三、依申请公开政府信息办理情况

全年未接到公民当面提出的公开政府信息申请。现场接受咨询0人次、电话咨询0人次、网上咨询0人次。

（一）受理申请的数量。

2021年未接受依申请公开办理件。

（二）对申请的办理情况。

2021无待答复件。

四、政府信息公开的收费及减免情况

为体现为民、便民服务，目前我局对公民、法人及其他组织申请公开政府信息一律免收相关费用。

五、因政府信息公开申请行政复议、提起行政诉讼的情况

信息系统安全审计管理制度 第6篇

第一章 工作职责安排

第一条 安全审计员的职责是： 1.制定信息安全审计的范围和日程； 2.管理具体的审计过程；

3.分析审计结果并提出对信息安全管理体系的改进意见；

4.召开审计启动会议和审计总结会议； 5.向主管领导汇报审计的结果及建议； 6.为相关人员提供审计培训。

第二条 评审员由审计负责人指派，协助主评审员进行评审，其职责是：

1.准备审计清单； 2.实施审计过程； 3.完成审计报告；

4.提交纠正和预防措施建议； 5.审查纠正和预防措施的执行情况。第三条 受审员来自相关部门，其职责是： 1.配合评审员的审计工作； 2.落实纠正和预防措施； 3.提交纠正和预防措施的实施报告。

第二章 审计计划的制订

第四条 审计计划应包括以下内容： 1.审计的目的； 2.审计的范围； 3.审计的准则； 4.审计的时间；

5.主要参与人员及分工情况。第五条 制定审计计划应考虑以下因素： 1.每年应进行至少一次涵盖所有部门的审计； 2.当进行重大变更后（如架构、业务方向等），需要进行一次涵盖所有部门的审计。

第三章 安全审计实施

第六条 审计的准备：

1.评审员需事先了解审计范围相关的安全策略、标准和程序；

2.准备审计清单，其内容主要包括： 1)需要访问的人员和调查的问题； 2)需要查看的文档和记录（包括日志）； 3)需要现场查看的安全控制措施。

第七条 在进行实际审计前，召开启动会议，其内容主要包括：

1.评审员与受审员一起确认审计计划和所采用的审计方式，如在审计的内容上有异议，受审员应提出声明（例如：限制可访问的人员、可调查的系统等）； 2.向受审员说明审计通过抽查的方式来进行。第八条 审计方式包括面谈、现场检查、文档的审查、记录（包括日志）的审查。

第九条 评审员应详细记录审计过程的所有相关信息。在审计记录中应包含下列信息：

1.审计的时间；

2.被审计的部门和人员； 3.审计的主题 ； 4.观察到的违规现象；

5.相关的文档和记录，比如操作手册、备份记录、操作员日志、软件许可证、培训记录等； 6.审计参考的文档，比如策略、标准和程序等； 7.参考所涉及的标准条款； 8.审计结果的初步总结。

第十条 如怀疑与相关安全标准有不符合项的情况，审计员应记录所观察到的详细信息(如在何处、何时，所涉及的人员、事项，和具体的情况等)并描述其为什么不符合。关于不符合的情况应与受审员达成共识。

第十一条 在每项审计结束时应准备审计报告，审计报告应包括：

1.审计的范围；

2.审计所覆盖的安全领域； 3.审计结果的总结；

4.不符合项，不符合项的具体描述和相关证据； 5.纠正和预防措施的建议。

第十二条 不符合项是指与等级保护基本要求不一致的情况。产生不符合项可能是由于与相关的规定不一致，包括：

1.等级保护基本要求； 2.信息安全策略； 3.相关标准和程序； 4.相关法律条款； 5.本单位的相关规定；

6.任何其它在客户合同中规定的要求。

第十三条 不符合项可以细分为“主要”或“次要”。如果所发现的不符合项属于下列任何一种情况，此不符合项应被分类为 “主要”的：

1.会导致系统、程序或控制措施整体失效； 2.操作过程没有形成标准的文档；

3.累计多个同一类型的“次要”不符合项； 4.对信息安全管理体系的未授权变更。

如果所发现的不符合项属于个别事件，此不符合项将被分类为 “次要”的，例如：

1.未标识信息安全分类的文档； 2.没有被管理层审阅的事故报告； 3.不完整的变更记录； 4.不完整的机房进出记录。

第十四条 造成不符合项的原因可以分为以下几种： 1.其文档化的标准和程序与信息安全策略不一致； 2.实际的操作与文档化的标准和程序要求不一致； 3.实际的操作没有达到预期效果。

第四章 安全审计汇报

第十五条 召开审计总结会议。应总结汇报以下内容： 1.审计的目标和范围； 2.审计的时间； 3.参与审计的人员；

4.审计报告（包括纠正和预防措施的建议）； 5.提交审计报告的副本供受审员参考。第十六条 在总结会议上，受审员应阐述任何疑问。

第五章 纠正和预防措施

第十七条 纠正和预防措施应该包括问题描述、根本原因、应急措施（可选）、纠正措施以及预防措施。

第十八条 受审员必须制定纠正和预防措施的实施计划。

第十九条 受审员应在规定时间内向评审员提交纠正和预防措施的实施报告。

第六章 审计纠正和预防措施的实施状况

第二十条 评审员应在受审员提交报告的3个月内，审计纠正和预防措施的实施状况。

第二十一条 审计纠正和预防措施应包括：面谈、现场检查、文档的审查以及记录（包括日志）的审查。

第二十二条 评审员根据受审员提交的纠正和预防措施实施报告，收集、记录和审查相关证据。

第七章 审计结果的审阅

第二十三条 安全审计员应审阅和分析所有审计结果。第二十四条 受审员的领导在审阅审计结果时，应分析的事件包括审计计划、此次审计结果和上次审计结果的比较、纠正和预防措施。

第八章 附 则