论文部分内容阅读
随着信息技术和信息系统的迅速发展,越来越多企业开始运用信息系统,提高服务和管理水平,增强企业的竞争力,特别是互联网的迅猛发展,使得信息系统已无所不在地影响着企业经营管理和社会生活的方方面面,与此同时,信息技术固有的安全风险,以及针对重要信息系统和信息资产的入侵行为也呈上升趋势,信息系统的安全问题已引起社会各界的广泛关注。如何通过信息系统的安全性审计,以认证企业(单位)所使用的信息系统的安全性是否达到企业或使用者的安全需求,已逐渐成为审计业务新增长点,但在我国,信息系统审计尚没有一套专业技术规范,更没有针对信息系统安全性审计的技术规范及实施指南,目前不仅对信息系统安全性审计的目标和范围不明确,而且所采用的通过对系统生命周期内相关活动、系统功能及构件的审计,来评价系统安全性的审计方法,也存在审计周期长、审计成本高的缺陷,针对这些问题,本论文探讨了信息系统安全性审计的目标和范围,以及运用风险导向审计方法进行信息系统安全性审计的办法,并对审计过程必须考虑的风险识别和审计风险评估等有关问题进行研究,为今后开展信息系统安全性审计工作打下理论和实践基础。本论文分为六个部分:第一章分析了信息系统的组成、发展及其所存在的风险,以及实施信息系统安全防御的策略;第二章通过对信息系统安全性内涵的探讨,阐述了信息系统安全性审计含义、产生及其发展概况;第三章探讨了信息系统安全性审计目标、范围及常用信息系统安全性审计技术及其特点,为实施信息系统安全性审计打下基础;第四章阐述了风险导向审计概念及其特点,并提出了风险导向审计方法在信息系统安全性审计中的应用方法,同时,对信息系统风险识别和评估、信息系统安全性审计计划制定和审计风险评估等有关问题进行研究;第五章探讨了如何评价被审计信息系统安全性,并提出了从信息系统安全治理的成熟度和计算机信息系统的安全级别两个方面,对被审计系统安全性发表审计意见的方法;第六章通过对我国现有信息系统安全性审计现状的分析,提出我国信息系统安全性审计的发展策略。