计算机和信息系统安全保密审计报告

文件制修订记录
计算机和信息系统安全保密审计报告
根据市国家保密局要求，公司领导非常重视计算机信息系统安全保密工作，在公司内部系统内开展自查，认真对待，不走过场，确保检查不漏一机一人。

虽然在检查中没有发现违反安全保密规定的情况，但是，仍然要求计算机使用管理人员不能放松警惕，要时刻注意自己所使用和管理的计算机符合计算机信息系统安全保密工作的规定，做到专机专用，专人负责，专人管理，确保涉密计算机不上网，网上信息发布严格审查，涉密资料专门存储，不交叉使用涉密存储设备，严格落实计算机信息系统安全保密制度。

通过检查，进一步提高了全公司各部门员工对计算机信息系统安全保密工作的认识，增强了责任感和使命感。

现将自查情况汇报如下：
一、加大保密宣传教育，增强保密观念。

始终把安全保密宣传教育作为一件大事来抓，经常性地组织全体职工认真学习各级有关加强安全保密的规定和保密常识，如看计算机泄密录像等，通过学习全公司各部门员工安全忧患意识明显增强，执行安全保密规定的自觉性和能力明显提高。

二、明确界定涉密计算机和非涉密计算机。

涉密计算机应有相应标识，设置开机、屏保口令，定期更换口令，存放环境要安全可靠。

涉密移动硬盘、软盘、光盘、U盘等移动存储介质加强管理，涉密移动存储介质也应有标识，不得在非涉密计算机中使用，严防泄密。

非涉密计算机、非涉密存储介质不得以任何理由处理涉密信息，非涉密存储介质不得在涉密计算机中使用涉密信息。

涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。

计算机信息系统存储、处理、传递、输出的涉密信息要有相应的密级标识，密级标识不能与正文分离。

涉密信息不得在与国际网络联接的计算机信息系统中存储、处理、传递。

三、加强笔记本电脑的使用管理。

笔记本电脑主要在公司内部用于学习计算机新软件、软件调试，不处理涉密数据或文件。

四、计算机的使用人员要定期对电脑进行安全检查，及时升级杀毒软件，定时查杀病毒。

对外来计算机介质必须坚持先交计算机管理人员查杀病毒再上中转机使用的原则。

五、对需要维修的涉密计算机，各部门必须事先将计算机内的涉密信息进行清除；如需调换计算机硬盘，清除涉密信息后方可允许维修人员将硬盘带走。

对报废的涉密计算机必须彻底清除计算机内的信息，方可处理。

六、小结
安全审计作为一门新的信息安全技术，能够对整个计算机信息系统进行监控，如实记录系统内发生的任何事件，一个完善的安全审计系统可以根据一定的安全策略记录和分析历史操作事件及数据，有效的记录攻击事件的发生，提供有效改进系统性能和的安全性能的依据。

本文从安全审计的概念、在涉密信息系统中需要审计的内容、安全审计的关键技术及安全审计系统应该注意的问题等几个方面讨论了安全审计在涉密信息系统中的应用。

安全审计系统应该全面地对整个涉密信息系统中的网络、主机、应用程序、数据库及安全设备等进行审计，同时支持分布式跨网段审计，集中统一管理，可对审计数据进行综合的统计与分析，从而可以更有效的防御外部的入侵和内部的非法违规操作，最终起到保护机密信息和资源的作用。

篇二：
信息系统审计
1、信息系统审计
电子数据处理系统发展分为三阶段：数据的单项处理阶段(1953-1965)、数据的综合处理阶段（1965-1970）、数据的系统处理阶段（1970年以后），对传统审计产生了巨大的影响，主要表现在（1）对审计线索的影响：传统的审计线索缺失；EDP下：数据处理、存储电子化，不可见，难辨真伪。

（2）对审计方法和技术的影响：技术方法复杂化；EDP下：利用计算机——审计技术变得复杂化（3）对审计人员的影响：知识构成要求发生变化；EDP下：会计、审计、计算机等知识和技能（4）对审计准则的影响：信息化下审计准则与标准的缺失；EDP下：在原有审计准则的基础上，建立一系列新的准则（5）对内部控制的影响：内部控制方式发生改变：传统方式下：强调对业务活动及会计活动使用授权批准和职责分工等控制程序来保证。

EDP下：数据处理根据既定的指令程序自动进行，信息的处理和存储高度集中于计算机，控制依赖于计算机信息系统，控制方式发生改变。

2、信息系统审计的定义：指根据公认的标准和指导规范，对信息系统从计划、研发、实施到运行维护各个环节进行审查评价，对信息系统及其业务应用的完整、效能、效率、安全性进行监测、评估和控制的过程，以确认预定的业务目标得以实现，并提出一系列改进建议的管理活动。

3、信息系统审计的特点
（1）审计范围的广泛性
（2）审计线索的隐蔽性、易逝性
（3）审计取证的动态性
（4）审计技术的复杂性：首先，由于不同被审单位的信息系统所配备的计算机设备各式各样，各个机器的功能各异，所配备的系统软件也各不相同。

审计人员在审计过程中，必然要和计算机的硬件和系统软件打交道，各种机型功能不一，配备的系统软件各异，必然增加了审计技术的复杂性，其次，由于不同被审单位的业务规模和性质不同，所采用的数据处理及存储方式也不同，不同的数据处理，存储方式，审计所采用的方法、技术也不同。

此外，不同被审单位其应用软甲你的开发方式、软件开发的程序设计语言也不尽相同，不同开发方式以及用不同的程序设计语言开发的应用软件，其审计方法与技术也不一样。

4、信息系统审计的目标：
（1）保护资产的完整性：信息系统的资产包括硬件、软件、设备、人员、数据文件、系统档案等；
（2）保证数据的准确性：数据准确性是指数据能满足规定的条件，防止粗无信息的输入和输出，一级非授权状态下的修改信息所造成的无效操作和错误后果；
（3）提高系统的有效性：系统的有效性表明系统能否获得预期的目标；
（4）提高系统的效率性：系统效率是指系统达到预定目标所消耗的资源，一个效率高的信息系统能够以尽量少的资源达到需要的目标；
（5）保证信息系统的合规性合法性：信息系统及其运用必须遵守有关法律、法规和规章制度。

5、信息系统审计的主要内容：
内部控制系统审计
内部控制系统包括一般控制系统（包含组织控制、系统开发控制、系统安全控制、硬件和系统软件控制等方面）应用控制系统（输入、处理、输出）；
系统开发审计；应用程序审计（决定了数据处理的合规性、正确性目的：一是测试应用控制系统的符合性；二是通过检查程序运行和逻辑的正确性达到实质性测试目的。

测试应用控制的符合性是指对嵌入应用程序中的控制措施进行测试，看它们是否按设计要求在运行和起作用）；
数据文件审计（目的：一是数据文件进行实质性测试；而是通过数据文件的审计，测试一般控制或应用控制的复合型，但数据文件审计主要是为了实质性测试）
6、基本方法：绕过信息系统审计：基于黑箱（BLACK BOX）原理，审计人员不审查系统内的程序和文件，只审查I/O数据及其管理制度。

优点：审计技术简单、较少干扰被审系统。

缺点：审计结果不太可靠、要求I/O联系紧密
通过信息系统审计：基于黑箱（BLACK BOX）原理，审计人员不审查系统内的程序和文件，只审查I/O数据及其管理制度。

优点：审计技术简单、较少干扰被审系统。

缺点：审计结果不太可靠、要求I/O联系紧密。

7、步骤：准备阶段（明确审计任务、组成信息系统小组、了解被审系统的基本情况、制定信息系统审计方案、发出审计通知书）；实施阶段（对被审计系统的内部控制制度进行健全性调查和符合性测试、对张单证或数据文件的实质性审查）；终结阶段（整理归纳审计资
料、撰写审计报告（审计报告主要是对信息系统审计结果的综合归纳，由审计小组撰写）、发出审计结论和决定、审计资料的归档和档案）
8、国际信息系统审计原则：审计标准（是整个信息系统准则体系的总纲，是制定审计指南和作业程序的基础和依据）；审计指南（为审计标准的应用提供了指引，信息系统审计师在审计过程中应考虑如何应用指南以实现审计标准的要求，在应用过程中应灵活运用专业判
断并纠正任何偏离准则的行为）；作业程序（提供了信息系统审计师在审计过程中可能遇到的审计程序的示例）
9、审计师应具备的素质：
（1）应具备的理论知识：传统审计理论、信息系统管理理论、计算机科学、行为科学理论（2）应具有的实践技能：参加过不同类别的工作培训，尤其是在组织采用和实施新技术时，此外也参加过组织内部计划的制定等；参与专业的机构或厂商组织的研讨会，动态掌
握信息技术的新发展对审计时间的影响；具有理解信息处理活动的各种技术，尤其是影响
组织财务活动的技术，能够与来自各领域的管理者、用户、技术专家进行交流；理解并熟
悉操作环境，评估内部控制的有效性；理解现有与未来系统的技术复杂性，以及它们对各
级操作与决策的影响；能使用技术的方法去识别技术的完整性；要参与评估与使用信息技
术相关的有效性、效率、风险等；能够提供审计集成服务并对审计员工提供指导，与财务
审计师一起对公司财务状况作出声明；具备系统开发方法论、安全控制设计、实施后评估等；掌握网络相关的安全事件、信息安全服务、灾难恢复与业务持续计划、异步传输模式
等通信技术。

10、IT治理德勤定义：IT治理是是一个含义广泛的概念，包括信息系统、技术、通信、商业、所有利益相关者、合法性和其他问题。

其主要任务是保持IT与业务目标一致推动业务发展，促使收益最大化，合理利用IT 资源，IT相关风险的适当管理。

11、共同点：
（1）IT治理必须与企业战略目标一致，IT对于企业非常关键，也是战略规划的组成，影响战略竞争。

（2）IT治理保护利益相关者的权益，使风险透明化，知道和控制IT投资、机遇、利益、风险。

（3）IT治理和其他治理主题一样，是管理执行人员和利益相关者的责任（以董事会为代表）。

（4）IT治理包括管理层、组织结构、过程，以确保IT维持和拓展组织战略目标。

（5）应该合理利用企业的信息资源，有效地进程与协调。

（6）确保IT战略及时按照目标交付，有合适的功能和期望的收益，是一个一致性和价值传递的基本构建模块，有明确的期望值和衡量手段。

（7）引导IT战略平衡系统的投资，支持企业，变革企业，或者创建一个信息基础构架，保证业务增长，并在一个新的领域竞争。

（8）对于核心IT资源做出合理的决策，进入新的市场，驱动竞争策略，创造总的收入增长，改善客户满意度，维系客户关系。

12、IT管理是公司的信息及信息系统的运营，确定IT目标以及实现此目标所采取的行动。

IT治理是指最高管理层（董事会）利用它来监督管理层在IT战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。

IT治理规定了整个企业IT运行的基本框架，IT管理则是在这个既定的框架下驾驭企业奔向目标。

13、公司治理和IT治理：公司治理关注利益相关者权益和管理，驱动和调整IT治理。

IT 能够提供关键的输入，形成战略计划的一个重要组成部分，是公司治理的重要功能。

14、ITIL：信息技术基础构架库；COBIT：信息和相关技术的控制目标；BS 7799：国际安全管理标准体系；PRINCE2是一种对项目管理的某些特定方面提供支持的方法。

15、IT治理成熟度模型：不存在（0级）、初始级（1级）、可重复级（2级）、已定义级（3级）、已管理级（4级）、优化级（5级）作用：IT治理成熟度模型制定了一个基准，组织可能根据上面的指标确定自己的等级，从而了解自身的境界。

在此基础上确定组织的关键成功因素，通过关键绩效指标进行监控，并衡量组织是否能达到关键目标指标中所设定的目标。

16、信息系统内部控制：一个单位在信息系统环境下，为了保证业务活动的有效进行，保护资产的安全与完整，防止、发现、纠正错误与舞弊，确保信息系统提供信息的真实、合法、完整，而制定和实施的一系列政策与程序措施。

17、一般控制系统：范围：应用于一个单位信息系统全部或较大范围的内部控制。

对象：应为除信息系统应用程序以外的其他部分。

基本目标：保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外情况下的持续运行等。

18、良好的一般控制是应用控制的基础。

如果一般控制审计结果很差，应用控制审计就没有进行的必要。

19、审计逻辑访问安全策略：此策略应当为逻辑访问建立“知所必需”的原则，并合理评
估在访问过程中暴露的风险。

20、审查离职员工的访问控制：一般来说，员工离职的情况主要有请辞、聘用合同期满和非自愿离职三种。

对于非自愿离职的员工，组织应当在接触其职务之前，及时收回或严格限制其对组织信息资源的访问权，使其不能继续访问组织的机密信息，或使其不能破坏组织有价值的信息资产。

如果对于这类员工还需要保留一部分访问权，必须得到相关管理层批准，并对其进行严格的监督。

对其他两种离职的员工，由管理层批准是否保留他们的访问权，这取决于每一种人所处的特定环境、员工所访问IT资产的敏感程度以及组织的信息安全策略、标准和程序的要求。

21、系统访问：通过某种途径允许或限制对网络资源（软件和硬件）和数据（存储的和通信的）的访问能力及范围。

逻辑访问控制：通过一定的技术方法控制用户可以利用什么样的信息，可以运行什么程序与事务，可以修改什么信息与数据。

物理访问控制：限制人员进出敏感区域。

对极端及信息的物理访问与逻辑访问应当建立在“知所必需”的基础上，按照最小授权原则和职责分离原则来分配系统访问权限，并把这些访问规则与访问授权通过正式书面文件记录下来，作为信息安全的重要文件加以妥善管理。

22、身份识别与验证：（账号与口令，令牌设备，生物测定技术与行为测定技术）“只有你知道的事情”——账号与口令，账号的控制、口令的控制；“只有你拥有的东西”——令牌设备，发送许可权的特殊消息或一次性口令的设备；“只有你具有的特征”——生物/行为测定，指纹、虹膜等和签名等。

23、逻辑访问授权：一般情况下，逻辑访问控制基于最小授权原则，只对因工作需要访问信息系统的人员进行必要的授权，当用户在组织变换工作角色时，在赋予他们新访问权限时，一般没有及时取消旧的访问权限，这回产生访问控制上的风险。

所以当员工职位有变动时，信息系统审计是要及时审核访问控制列表是否做了有效变更。

24、BCP一般包括业务持续性计划（BCP）、业务恢复计划（BRP）、连续作业计划（COOP）、持续支持计划/IT应急计划、危机通信计划、事件响应计划、灾难恢复计划（DRP）、场所应急计划（OEP）
25、数据备份：完全备份、增量备份、差分备份等。

26、信息系统审计针对灾难恢复与业务连续性计划，其主要任务是理解预评价组织的业务连续性策略，及其与组织业务目标的符合性；参考相应的标准和法律法规，评估该计划的充分性和实效性；审核信息系统及终端用户对计划所做测试的结果，验证计划的有效性；
审核异地存储设施及其内容、安全和环境控制，以评估异地存储站点的适当性；通过审核应急措施、员工培训、测试结果，评估信息系统及其终端用户在紧急情况下的有效反应能力；确认组织对业务持续性计划的维护措施存在并有效。

27、应用控制市委适应各种数据处理的特殊控制要求，保证数据处理完整、准确地完成而建立的内部控制。

可将应用控制划分为输入控制、处理控制和输出控制。

应用控制也是由手工控制和程序化控制构成，但以程序化控制为主。

28、信息系统开发审计是对信息系统开发过程进行的审计，审计的目的一是要检查开发的方法、程序是否科学，是否含有恰当的控制；二是要检查开发过程中产生的系统文档资料室否规范。

29、系统开发过程审计：遵守标准与流程；有效的操作；使系统合乎法律要求；必要的控制，预防可能的损失及严重错误；为管理层、信息系统审计师、操作人员提供必要的审计轨迹；系统文档，便于系统维护与审计。

30、软件维护的种类：纠错性维护、适应性维护、完善性维护、预防性维护。

31、ITIL:六个主要模块:服务管理（SERVICE MANAGEMENT）、业务管理（BUSINESS MANAGEMENT）、信息与通信技术基础设施管理（ICT INFRASTRUCTURE）、应用管理（APPLICATION MANAGEMENT）、IT服务管理实施规划、安全管理（SECURITY MANAGEMENT）32、服务管理模块：面向IT基础设施管理的服务支持和面向业务管理的服务提供。

IT服务提供流程主要面对付费的机构和个人客户，负责为客户提供高质量、低成本的IT服务。

它的任务是根据组织的业务需求，对服务能力、持续性、可用性等服务级别目标进行规划和设计，同时，还必须考到这些服务目标所需要好费电成本。

IT 服务主要包括服务水平管理、IT服务财务管理、能力管理、IT 服务持续性管理和可用性管理五个服务管理流程。

IT 服务支持的服务支持流程主要面向终端用户，责任确保IT服务的稳定性与灵活性，用于确保终端用户得到适当的服务，以支持组织的业务功能。

服务支持流程包括体现服务接触和沟通的服务台职能和五个运作层次的流程，即配置管理、事故管理、问题管理、变更管理和发布管理等。

33、应用程序审计的内容：审查程序控制是否健全有效：程序中输入控制、处理控制、输出控制的审计；审查程序编码的合法性：是否含有为了舞弊目的而设计的非法编码；审查程序编码的正确性：是否编码有错误、目标和任务不明确，系统设计、程序设计错误；审查程序的有效性：是否有无效编码、是否有效率较差的编码。

34、应用程序审计方法：手工审计方法与计算机辅助审计方法相结合。

35、程序编码检查法：逐条审查被审程序，验证程序的合法性、完整性和逻辑的正确性。

36、检测数据法：审计人员把一批预先设计好的检测数据，利用被审程序加以处理，并把处理的结果与预期的结果做比较，以确定被审程序的控制与处理功能是否恰当、有效的一种方法。

37、平行模拟法是指审计人员自己或请计算机专业人员编写的具有和被审程序相同处理和控制功能的模拟程序，用这种程序处理档期的实际数据，并已处理的结果与被审计程序的处理结果进行比较，已评价被审程序的处理和控制功能是否可靠的一种方法。

38、嵌入审计程序法是指被审信息系统的设计和开发阶段，在被审的应用程序中嵌入未执行特定的审计功能而设计的程序段，这些程序段可以用来收集审计人员感兴趣的资料，并且建立一个审计控制文件，用来存储这些资料，审计人员通过这些资料的审核来确定被审程序的处理和控制功能的可靠性。

39、程序追踪法是一种对给定的业务，跟踪被审程序处理步骤的审查技术。

一般可由追踪软件来完成，也可利用某些高级语言或数据库管理系统中的跟踪指令跟踪被审程序的处理。