把脉信息系统安全审计

随着信息化水平的快速提高和信息安全建设的逐渐深入，如何建立信息安全审计制度，有效加强内部信息安全管理、信息系统安全风险控制，满足政策合规的要求，成为企事业单位面临的普遍问题。绿盟科技信息安全审计专家，以自身多年信息安全审计的经验和认知，讲解信息安全审计的标准、趋势及要点。信息系统安全审计正逐渐成为国内信息安全系统建设热点。

一、 信息系统审计定义与发展历史

信息系统审计(Information System Audit, ISA)是通过收集和分析审计证据，对信息系统是否能够保护资产的安全、数据的完整、运营效率等方面做出判断的过程。

信息系统审计是计算机技术与数据处理电算化发展的结果。数据处理电算化对信息系统审计产生了重大影响，计算机在数据处理中的运用形成了电子数据处理系统，它产生于20世纪50年代。因此，信息系统审计的概念产生可追溯到20世纪60年代。信息系统审计系统的发展历史可以分为三个阶段：

图1 信息系统审计发展历史

1960年-1970年，信息系统审计概念形成阶段

20世纪60年代，信息系统审计最早称为计算机审计，是随着计算机在财务会计领域的应用而产生。早期的计算机应用比较简单，计算机审计业务主要关注对被审计单位电子数据的取得、分析、计算等数据处理业务。1960年初，IBM出版了《Audit Encounters Electronic Data Processing》，该书首次提出了电子数据环境下的内部审计规则和组织方法。60年代中期，美国国防部海军审计局引进了通用审计软件包。1968年美国EDPAA协会（执业会计师协会）发表《电子数据处理系统与审计》，详细探讨了审计与电子数据处理系统的关系，并提出若干计算机辅助审计电子数据处理系统的方法。

1970年-1999年，信息系统审计成长阶段

70年代中期至80年代，美国、日本等先后成立计算机审计相关组织；国际开始兴起一系列信息安全管理标准的制定。1983年，日本通产省发布《系统审计标准》，开始培训信息系统审计人员。1984年美国EDPAA协会（执业会计师协会）发布一套EDP控制标准-《EDP控制目的》。

1996年，ISACA协会发布了COBIT（Control Objectives for Information and related Technology）标准，是国际上公认的安全与信息技术管理和控制的权威标准，也是国际通用的信息系统审计标准，已在100多个国家的重要组织和企业中应用。

1999年-至今，信息系统审计普及和行业应用阶段

2001年至今，美国安然事件及由此引发的一系列美国著名大公司在公司治理和财务管理力方面的问题，促使美国陆续出台了多个具有较强影响力的行业法案，如：2002年美国出台Sarbanes-Oxley法案（塞班斯—奥克斯利法案)，其中第404条款要求企业在财务报告方面加强内控，企业的CEO和CFO必须对本企业的内控系统的有效性发表诚信声明。因此，IT信息系统同样需要加强控制以达到SOX法案的合规要求； 2005年针对IT信息系统的SOX合规审计成为全球CIO最关注的事。目前，西方发达国家的信息系统审计应用已较为普遍，并发展到了较高的水平。