欧美日操-欧美日韩91-欧美日韩99-欧美日韩ay在线观看-xxxx色-xxxx视频在线

淺談信息安全審計概念的由來

2014-11-08 20:42:45 大云網  點擊量: 評論 (0)
或許對很多企業來說,安全審計只是個名詞而已,并不清楚它的具體內容和作用;許多企業想要對自己的信息系統實施安全審計,管理層和技術人員也不知道如何開始,而同時受限于國內企業的信息化水平,企業也很難找到
或許對很多企業來說,安全審計只是個名詞而已,并不清楚它的具體內容和作用;許多企業想要對自己的信息系統實施安全審計,管理層和技術人員也不知道如何開始,而同時受限于國內企業的信息化水平,企業也很難找到成體系的安全審計知識。
    審計
    審計,英文稱之為“audit”,基維百科上給出的定義是評價一個人、組織、制度、程序、項目或產品。審計執行是以確定有效性和可靠性的信息,還提供了一個可內控的評估系統。 審計的目標是在測試環境中進行評估工作,并表達人/組織/系統等的評估意見。由于實際情況的限制,審計要求只提供合理、無重大錯誤的保證報表,審計往往是通過統計抽樣。也可以這樣理解審計,審計(Audit)是指檢查、驗證目標的準確性和完整性,用以檢查和防止虛假數據和欺騙行為,以及是否符合既定的標準、標竿和其它審計原則。
    各國各級政府、組織一般都設有專門獨立的審計部、審計委員會、審計署等機構。以往的審計概念主要用于財務系統。財務審計是用真實的和公正的財務報表來體現的。傳統的審計,主要是獲取金融體系和金融記錄的公司或企業的財務報表的相關信息。而隨著科技信息技術的發展,大部份的企業、機構和組織的財務系統都運行在信息系統上面,所以信息手段成為財務審計的一種技術的同時,財務審計也間接帶動了通用信息系統的審計。審計已開始包括其他信息系統,如有關環境審計和信息技術審計。
    IT審計
    信息技術審計,或信息系統審計 ,是一個信息技術( IT ) 基礎設施控制范圍內的檢查。信息系統審計是一個通過收集和評價審計證據,對信息系統是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源得到高效地使用等方面做出判斷的過程。
    IT 審計最早出現在IT應用比較深入的金融業,后來逐漸擴展到其他行業。IT審計的目標是協助組織信息技術管理人員有效地履行其責任,以達成組織的信息技術管理目標。組織的信息技術管理目標是保證組織的信息技術戰略,充分反映該組織的業務戰略目標,提高組織所依賴的信息系統的可靠性、穩定性、安全性及數據處理的完整性和準確性,提高信息系統運行的效果與效率,保證信息系統的運行符合法律、法規及監管的相關要求。
    信息安全審計
    隨著2002年美國安然公司和世通的財務欺詐案爆發后,美國緊急出臺了薩班斯法案(SOX),賦予了“審計”新的意義。《薩班斯-奧克斯利法案(2002 Sarbanes-Oxley Act)》的第302條款和第404條款中,強調通過內部控制加強公司治理,包括加強與財務報表相關的IT系統內部控制,其中,IT系統內部控制就是面向具體的業務,它是緊密圍繞信息安全審計這一核心的。同時,2006年底生效的巴賽爾新資本協定(Basel II),要求全球銀行必須針對其市場、信用及營運等三種金融作業風險提供相應水準的資金準備,迫使各銀行必須做好風險控管(risk management),而這部“金融作業風險”的防范也正是需要業務信息安全審計為依托。“
    信息安全審計”成為企業內控、信息系統治理、安全風險控制等的不可或缺的關鍵手段。美國信息系統審計的權威專家Ron Weber又將它定義為“收集并評估證據以決定一個計算機系統是否有效做到保護資產、維護數據完整、完成目標,同時最經濟的使用資源”。
    信息安全審計與信息安全管理密切相關,信息安全審計的主要依據為信息安全管理相關的標準,例如ISO/IEC 17799、ISO 17799/27001、COSO、COBIT、ITIL、NIST SP800系列等。這些標準實際上是出于不同的角度提出的控制體系,基于這些控制體系可以有效地控制信息安全風險,從而達到信息安全審計的目的,提高信息系統的安全性。
    我國的法律也針對信息安全審計制定出《企業內部控制規范》,主要內容如下:
    企業內部控制規范--基本規范的內部審計機制:
    第二十六條:健全內部審計機構、加強內部審計監督是營造守法、公平、正直的內部環境的重要保證。企業應當加強內部審計工作,在企業內部形成有權必有責、用權受監督的良好氛圍。
    第二十七條:在董事會下設立審計委員會的企業,應當保證審計委員會成員具備良好的職業操守和專業勝任能力,審計委員會及其成員應當具有相應的獨立性。審計委員會應當直接對董事會負責。上市公司的審計委員會主席一般應由獨立董事擔任,非上市公司的審計委員會主席應由獨立于企業管理層的人員擔任。
    第二十八條:企業應當賦予審計委員會監督企業內部控制建立和實施情況的相應職權。審計委員會在企業內部控制建立和實施中承擔的職責一般包括:
    (一)審核企業內部控制及其實施情況,并向董事會作出報告;
    (二)指導企業內部審計機構的工作,監督檢查企業的內部審計制度及其實施情況;
    (三)處理有關 投訴與舉報,督促企業建立暢通的投訴與舉報途徑;
    (四)審核企業的財務報告及有關信息披露內容;
    (五)負責內部審計與外部審計之間的溝通協調。
    未設立審計委員會的企業,應當由董事會授權或者企業章程規定的有關機構承擔上述職責。
    第二十九條:設立專門的內部審計機構的企業,應當保證內部審計機構具有相應的獨立性,并配備與履行內部審計職能相適應的人員和工作條件。未設立內部審計機構的企業,應當由董事會授權或者企業章程規定的有關機構承擔上述職責。
    內部審計機構的組織領導體制,依照法律規定和企業章程確定。內部審計機構不得置于財會機構的領導之下或者與財會機構合署辦公。
    內部審計機構依照法律規定和企業授權開展審計監督,其工作范圍不應受到人為限制。內部審計機構對審計過程中發現的重大問題,視具體情況,可以直接向審計委員會或者董事會報告。
    內部審計人員應當具備內審人員從業資格,擁有與工作職責相匹配備的道德操守和專業勝任能力。
    如今,信息技術越來越多的應用于企業業務的各個環節,并成為推動業務發展的關鍵因素,如何保證企業中所有信息系統的良好運作,怎樣有效的實施安全審計項目將成為企業面臨的最大挑戰。
大云網官方微信售電那點事兒

責任編輯:葉雨田

免責聲明:本文僅代表作者個人觀點,與本站無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
?
主站蜘蛛池模板: 亚洲69| 亚洲狠狠成人综合网| 青青青草视频在线| 深夜福利91| 日本深夜18免费看片高清网| 西西人体444www免费| 亚洲国产精品专区| 亚洲网站在线播放| 亚洲综合一二三区| 亚洲资源在线观看| 亚洲日本中文字幕在线| 日本高清视频一区二区三区| 午夜成年女人毛片免费观看| 香港aa三级久久三级不卡| 午夜欧美成人香蕉剧场| 亚洲a视频| 日产国产欧美韩国在线| 日本一本免费一二区| 欧美日韩亚洲m码色帝国| 欧美性色生活片天天看99顶级| 一道本高清香蕉网| 青青青视频精品中文字幕| 亚洲欧美日韩在线不卡| 亚洲欧美日韩综合二区三区| 午夜精品区| 亚洲精品黄色| 欧美一级片播放| 四级毛片| 日韩免费高清一级毛片久久| 日韩免费小视频| 亚洲国产剧情在线| 亚洲一区二区三区精品影院| 亚洲国产精品一区二区九九| 三级在线免费观看| 欧美一区二区三区男同| 日本看片网址| 日本aaaaa高清免费看| 欧美成人精品第一区| 一级看片免费视频| 亚洲成a人片77777潘金莲| 一级aa免费视频毛片|