返回
【精品】浅析信息系统审计内容

【精品】浅析信息系统审计内容

ID:46310749

大小:76.00 KB

页数:9页

时间:2019-11-22

【精品】浅析信息系统审计内容_第1页
【精品】浅析信息系统审计内容_第2页
【精品】浅析信息系统审计内容_第3页
【精品】浅析信息系统审计内容_第4页
【精品】浅析信息系统审计内容_第5页
资源描述:

《【精品】浅析信息系统审计内容》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、关于信息系统审计内容的研究摘要:信息系统审计在我国尽管起步较晚,但其重要性日渐明显。刘家义审计长明确指出,信息系统审计要抓住三个关键点,即安全性、有效性(可靠性)和经济性。因此信息系统审计的内容也成为审计人员关注的问题,本文将通过分析信息系统审计的概念及目标,总结并详细阐述审计机关进行信息系统审计的主要内容。关键词:信息系统审计安全我国信息系统审计发展现状2005年3月21日大连中行员工翟昌平因利用银行系统漏洞窃取银行800万美元现金而落网,同年,相继在黑龙江、重庆类似的案件频有发生。这些案件的破获均是在企业进行内部信息系统审

2、计时发现的。2006年4月21日许霆因利用银行取款机漏洞窃取银行17.5万元现金的落网。2008年4月18日浙江龙游县一盲人利用通讯系统漏洞实施诈骗27万多元。各地“网络大盗”利用漏洞破密码盗窃案件接连不断。特别近两年以来时有地方政府网站被恶意篡改,2008年12月荆州市商务局的网站被“黑”,据国内信息安全机构报道,整个2009年10月,全国平均每天有1%的政府网站被“黑”,其中主要原因是口令过于简单和文件漏洞太多。以上种种案件表明,所有案件均是在事后,都是已经对国家人民财产造成了危害损失后发现的,怎样才能避免这类情况的发生,

3、信息系统安全防范工作已经成为信息时代的主要问题,对信息系统开展安全审计已经成为审计机关保护国家财政财务安全,充分发挥审计“免疫系统”功能的重要措施。国家对信息系统审计给予了高度重视,早在2001年国务院办公厅下发的《关于利用计算机信息系统开展审计工作有关问题的通知》,明确规定审计机关有权检查被审计单位运用计算机管理财政收支、财务收支的信息系统。审计署在过去五年规划中也对中国国家审计工作重点作出了一个里程碑式的转变。中国审计机关从此也可能开始逐渐关注信息系统整体的安全、风险、管理、控制。信息系统审计概念与目标随着会计电算化的普及

4、、ERP的应用,信息系统审计也有了用武之地,因为账不再仅仅是纸质的。信息化条件下,审计人员如果仅仅对计算机、财务软件中保存运行的数据进行计算、核对,很可能形成信息化条件下的“假账真查”。由此审计人员注意到了处理财政财务业务的信息系统,于是信息系统审计应运而生,从这一方面看,可以说信息系统审计是为财政财务审计服务的。关于信息系统审计,美国信息系统审计学科的领军者RonWeber给信息系统审计做出了如下概括:“收集并评估证据,以判断一个信息系统是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。审计机关所审计

5、的信息系统狭义上讲就是被审计单位运用计算机管理财政收支、财务收支的信息系统。审计署曾给审计下过一个简明定义:“审计是独立检查会计账目,监督财政财务收支真实、合法、效益的行为综合起来讲,信息系统审计就是收集并评估证据,确认信息系统是否能够做到真实、合法、安全的管理国家财政财务收支。根据信息系统审计的概念,我们可以总结出审计机关开展信息系统审计的目标是:确认资产安全性、保证数据完整性、认定系统合规性。三.审计机关开展信息系统审计的内容“信息系统审计注重应用系统审计,开发流程,已建立系统的应用,它是基于应用系统的。”那么针对已经建立

6、的应用系统我们应该具体审计那些内容呢?我们还是要关注信息系统审计的目的一一资产安全性、数据完整性、系统合规性,我们要考虑的就是针对这三个方面,开展信息系统审计。(一)信息系统资产安全性审计翟昌平案和许霆案都是在事后发现了系统漏洞,国家财产已经遭受了损失,如何才能有效防止此类案件发生,资产安全审计已经迫在眉睫。那么信息系统审记需要做那些事情才能有效控制资产安全呢?我们要从以下几个方面着手:1、组织管理架构审计。主要审计IT岗位分工与制度一致,例如,申请、审批双岗同人;权责是否一致,例如,高层领导将系统密码给下属,允许其代替办公;

7、员工安全意识,女口,911之前,美国审计署检查了全国30多个机场,对机场的安检设施和制度提出了警告,还乔装打份,试探美国国防部的保卫工作,结果连过三道门岗如入无人之境,审计报告引起轩然大波;系统流程与实际流程是否一致。2、对系统基础设施及环境的审计。审计范畴为:硬件环境与防灾、主机硬件安全、底层支撑系统安全、通信线路安全、数据存储/IO安全、物理访问控制。3、网络安全审计。目前的网络安全审计的解决方案有以下几类:日志审计:目的是收集日志,通过SNMP、SYSLOG.OPSEC或者其他的日志接口从各种网络设备、服务器、用户电脑、

8、数据库、应用系统和网络安全设备中收集日志,进行统一管理、分析和报藝主机审计:通过在服务器、用户电脑或其他审计对象中安装客户端的方式来进行审计,可达到审计安全漏洞、审计合法和非法或入侵操作、监控上网行为和内容以及向外拷贝文件行为、监控用户非工作行为等目的。网络审计:通过旁路和串

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。