信息系统审计报告

计算机和信息系统安全保密审计报告

根据市国家保密局要求，公司领导非常重视计算机信息系统安全保密工作，在公司内部系统内开展自查，认真对待，不走过场，确保检查不漏一机一人。虽然在检查中没有发现违反安全保密规定的情况，但是，仍然要求计算机使用管理人员不能放松警惕，要时刻注意自己所使用和管理的计算机符合计算机信息系统安全保密工作的规定，做到专机专用，专人负责，专人管理，确保涉密计算机不上网，网上信息发布严格审查，涉密资料专门存储，不交叉使用涉密存储设备，严格落实计算机信息系统安全保密制度。通过检查，进一步提高了全公司各部门员工对计算机信息系统安全保密工作的认识，增强了责任感和使命感。现将自查情况汇报如下：

一、加大保密宣传教育，增强保密观念。始终把安全保密宣传教育作为一件大事来抓，经常性地组织全体职工认真学习各级有关加强安全保密的规定和保密常识，如看计算机泄密录像等，通过学习全公司各部门员工安全忧患意识明显增强，执行安全保密规定的自觉性和能力明显提高。

二、明确界定涉密计算机和非涉密计算机。涉密计算机应有相应标识，设置开机、屏保口令，定期更换口令，存放环境要安全可靠。涉密移动硬盘、软盘、光盘、u盘等移动存储介质加强管理，涉密移动存储介质也应有标识，不得在非涉密计算机中使用，严防泄密。非涉密计算

机、非涉密存储介质不得以任何理由处理涉密信息，非涉密存储介质不得在涉密计算机中使用涉密信息。涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。计算机信息系统存储、处理、传递、输出的涉密信息要有相应的密级标识，密级标识不能与正文分离。涉密信息不得在与国际网络联接的计算机信息系统中存储、处理、传递。

三、加强笔记本电脑的使用管理。笔记本电脑主要在公司内部用于学习计算机新软件、软件调试，不处理涉密数据或文件。

四、计算机的使用人员要定期对电脑进行安全检查，及时升级杀毒软件，定时查杀病毒。对外来计算机介质必须坚持先交计算机管理人员查杀病毒再上中转机使用的原则。

五、对需要维修的涉密计算机，各部门必须事先将计算机内的涉密信息进行清除；如需调换计算机硬盘，清除涉密信息后方可允许维修人员将硬盘带走。对报废的涉密计算机必须彻底清除计算机内的信息，方可处理。

六、小结

安全审计作为一门新的信息安全技术，能够对整个计算机信息系统进行监控，如实记录系统内发生的任何事件，一个完善的安全审计系统可以根据一定的安全策略记录和分析历史操作事件及数据，有效的记录

攻击事件的发生，提供有效改进系统性能和的安全性能的依据。本文从安全审计的概念、在涉密信息系统中需要审计的内容、安全审计的关键技术及安全审计系统应该注意的问题等几个方面讨论了安全审计在涉密信息系统中的应用。安全审计系统应该全面地对整个涉密信息系统中的网络、主机、应用程序、数据库及安全设备等进行审计，同时支持分布式跨网段审计，集中统一管理，可对审计数据进行综合的统计与分析，从而可以更有效的防御外部的入侵和内部的非法违规操作，最终起到保护机密信息和资源的作用。

计算机技术管理部

2011.8.17篇二：信息系统审计

信息系统审计

电子数据处理系统发展分为三阶段：数据的单项处理阶段(1953-1965)、数据的综合处理阶段（1965-1970）、数据的系统处理阶段（1970年以后），对传统审计产生了巨大的影响，主要表现在（1）对审计线索的影响：传统的审计线索缺失；edp下：数据处理、存储电子化，

不可见，难辨真伪。（2）对审计方法和技术的影响：技术方法复杂化；edp下：利用计算机——审计技术变得复杂化（3）对审计人员的影响：知识构成要求发生变化；edp下：会计、审计、计算机等知识和技能（4）对审计准则的影响：信息化下审计准则与标准的缺失；edp 下：在原有审计准则的基础上，建立一系列新的准则（5）对内部控制的影响：内部控制方式发生改变：传统方式下：强调对业务活动及会计活动使用授权批准和职责分工等控制程序来保证。edp下：数据处理根据既定的指令程序自动进行，信息的处理和存储高度集中于计算机，控制依赖于计算机信息系统，控制方式发生改变。

2、信息系统审计的定义：指根据公认的标准和指导规范，对信息系统从计划、研发、实施到运行维护各个环节进行审查评价，对信息系统及其业务应用的完整、效能、效率、安全性进行监测、评估和控制的过程，以确认预定的业务目标得以实现，并提出一系列改进建议的管理活动。

3、信息系统审计的特点（1）审计范围的广泛性（2）审计线索的隐蔽性、易逝性（3）审计取证的动态性（4）审计技术的复杂性：首先，由于不同被审单位的信息系统所配备的计算机设备各式各样，各个机器的功能各异，所配备的系统软件也各不相同。审计人员在审计过程中，必然要和计算机的硬件和系统软件打交道，各种机型功能不一，配备的系统软件各异，必然增加了审计技术的复杂性，其次，由于不同被审单位的业务规模和性质不同，所采用的数据处理及存储方式也不同，不同的数据处理，存储方式，审计所采用的方法、技术也不同。此外，不同被审单位其应用软甲你的开发方式、软件开发的程序设计语言也不尽相同，不同开发方式以及用不同的程序设计语言开发的应用软件，其审计方法与技术也不一样。

4、信息系统审计的目标：（1）保护资产的完整性：信息系统的资产包括硬件、软件、设备、人员、数据文件、系统档案等；（2）保证数据的准确性：数据准确性是指数据能满足规定的条件，防止粗无信息的输入和输出，一级非授权状态下的修改信息所造成的无效操作和错误后果；（3）提高系统的有效性：系统的有效性表明系统能否获得预期的目标；（4）提高系统的效率性：系统效率是指系统达到预定目标所消耗的资源，一个效率高的信息系统能够以尽量少的资源达到需要的目标；（5）保证信息系统的合规性合法性：信息系统及其运用必须遵守有关法律、法规和规章制度。

5、信息系统审计的主要内容：内部控制系统审计内部控制系统包括一般控制系统（包含组织控制、系统开发控制、系统安全控制、硬件和系统软件控制等方面）应用控制系统（输入、处理、输出）；系统开发审计；应用程序审计（决定了数据处理的合规性、正确性目的：一是测试应用控制系统的符合性；二是通过检查程序运行和逻辑的正确性达到实质性测试目的。测试应用控制的符合性是指对嵌入应用程序中的控制措施进行测试，看它们是否按设计要求在运行和起作用）；数据文件审计（目的：一是数据文件进行实质性测试；而是通过数据文件的审计，测试一般控制或应用控制的复合型，但数据文件审计主要是为了实质性测试）

6、基本方法：绕过信息系统审计：基于黑箱（black box）原理，审计人员不审查系统内的程序和文件，只审查i/o数据及其管理制度。优点：审计技术简单、较少干扰被审系统。缺点：审计结果不太可靠、要求i/o联系紧密

通过信息系统审计：基于黑箱（black box）原理，审计人员不审查系统内的程序和文件，只审查i/o数据及其管理制度。优点：审计技术简单、较少干扰被审系统。缺点：审计结果不太可靠、要求i/o联系紧密。

7、步骤：准备阶段（明确审计任务、组成信息系统小组、了解被审系统的基本情况、制定

信息系统审计方案、发出审计通知书）；实施阶段（对被审计系统的内部控制制度进行健全性调查和符合性测试、对张单证或数据文件的实质性审查）；终结阶段（整理归纳审计资料、撰写审计报告（审计报告主要是对信息系统审计结果的综合归纳，由审计小组撰写）、发出审