什么是信息系统安全审计？

 

 

信息生命周期管理模型（Information Lifecycle Management）以为信息有一个从产生、维护、读取、更改、迁移、存档、回收的周期、再次激活以及退出的生命周期，对信息停止贯串其整个生命的管理需求相应的战略和技术完成手腕。其目的在于协助企业在信息生命周期的各个阶段以最低的本钱取得最大的价值。信息从产生的那一刻起就自然地进入到了一个循环，经过搜集、复制、访问、迁移、退出等多个步骤，最终完成一个生命周期，而这个过程必然需求良好管理的配合，假如不能停止很好地规划，结果就会是，要么是糜费了过多的资源；要么是资源缺乏降低了工作效率

同时，价值追求过程意味着风险，所以为了可以躲避风险保证信息价值的完成，很多企业都会在信息生命周期管理中着重对信息安全停止相关审计，办法普通会采取普通审计或专项审计等。关于信息审计（美国信息系统审计的权威专家Ron Weber又将它定义为“搜集并评价证据以决议一个计算机系统能否有效做到维护资产、维护数据完好、完成目的，同时最经济的运用资源”）的概念，信息安全审计是要处理信息系统的安全性风险，其它还包括牢靠性的风险，有效性的风险还有完好性等等。

 

 

 

 

信息安全审计是要树立和增强信息安全的一个管控和监管方面的工作。自身信息安全审计技术也就在这方面提供了一个在这方面监管和管控工作的技术手腕。目的就是对信息安全的整个防护体系的有效性停止辨认、判别和评价。由于安全防护体系有很多的局部组成，有很多的安全产品组成，包括防火墙，IPS，防病毒等等，自身有机地组织起来。但是它总体的安全体系运转怎样样是很重要的，必需是有机的一个整体。信息安全审计实践上就是对整体性、有效性的一个评判。去评判你的信息安全防护体系战略的有效性，战略设置的有效性，依照我们所说的安全战略，防火墙有防火墙的战略，防黑客、防IDS，防黑客的病毒，每个安全产品都要经过配置安全战略去执行，那么就是安全战略设置的有效性，安全战略执行的有效性。

 

 

 

 

信息安全审计主要内容掩盖了信息系统和业务系统在运转过程中所面临的各种潜在的风险以及面对的风险所可以去处置的这些对策，包括信息系统的根底设备的安全的风险，还有一些牢靠性的风险和合规性的风险，以及在业务的过程中一些操作风险和合规性的风险。它自身的信息系统审计及时地处理，及时地发如今各种潜在的，在信息系统中各种潜在的风险，它的目的主要是去发现风险，评价以及安全风险的怎样来去针对风险施行安全审计以及安全审计的效劳，效劳费用户它去剖析风险然后提出一个处理的对策。因而，信息安全审计须遵照一些准绳，从而使得审计可以保证价值的完成。

信息安全审计是一个复杂的系统工程。在审计中有着一点精华“哪里有风险就在哪里下重药”。风险点在你的系统越庞大，这个风险就越大，风险越大，你就要把它肯定成你搜集的审计对象。审计数据和对象也比拟多。同时随着各项审计的开展，安全审计开展成为从处理计划和技术手腕交融的手腕，然后在一些关键部位装置一些审计产品，搜集一些审计数据来停止剖析，到了后面效劳的方面更多的是一种领悟，来提供剖析数据，展示风险所在，提出应对的战略。我们想的是这么一个一体化的东西，而不是仅卖一个安全审计产品就完了。因而，我们在做企业信息安全审计时，须应用ILM的思想来对企业中信息安全风险停止辨认、挑选、剖析和控制，从而完成企业信息安全价值化。

 

 

信息安全审计必需有一套规范和标准。国外的信息安全审计曾经根本上处于一个成熟的应用阶段，主要得益于她们的一套比拟完善的信息安全审计规范和标准。有了这些标准和规范来支撑它，所以他在展开在应用上就有一个很好的条件。在国内，我们国度鼎力推进信息安全等级维护这个工作，从客观上对企业信息安全提出了审计请求。信息安全审计与信息安全管理亲密相关，信息安全审计的主要根据为信息安全管理相关的规范，例如ISO/IEC 17799、ISO 17799/27001、COSO、COBIT、ITIL、NIST SP800系列等。这些规范实践上是出于不同的角度提出的控制体系，基于这些控制体系能够有效地控制信息安全风险，从而到达信息安全审计的目的，进步信息系统的安全性。