畢業(yè)論文：信息安全審計(jì)程序

畢業(yè)論文：信息安全審計(jì)程序

摘要：近幾年來(lái)，網(wǎng)絡(luò)攻擊和數(shù)據(jù)x_m大量增加而且成為了永久性威脅，全球的企業(yè)也認(rèn)識(shí)到信息安全在現(xiàn)代社會(huì)中的重要性，沒(méi)有任何企業(yè)可以獨(dú)善其身。隨著網(wǎng)絡(luò)a全威脅和數(shù)據(jù)x_m訴訟的上升，企業(yè)面臨著尋找信息安全框架和標(biāo)準(zhǔn)的壓力。同時(shí)，信息技術(shù)的日新月異也帶來(lái)了很多新的網(wǎng)絡(luò)和信息系統(tǒng)安全問(wèn)題，所以對(duì)系統(tǒng)安全保護(hù)的定期評(píng)估非常重要，通過(guò)對(duì)信息系統(tǒng)的評(píng)估可以保證組織完成目標(biāo)，信息系統(tǒng)審計(jì)師主要關(guān)注數(shù)據(jù)的b_m性、完整性和可用性，這三個(gè)概念構(gòu)成了信息安全的總體目標(biāo)。
關(guān)鍵詞：信息系統(tǒng)審計(jì)；審計(jì)程序模型；教育機(jī)構(gòu)；
Abstract：Cyber-attacks and data breaches over the past few years have multiplied and become a persistent threat. Businesses around the world recognize the reality that information security is vital in the modern era and that no company is safe from the threat. As the threat and litigation of
……（新文秘網(wǎng)http://www.120pk.cn省略911字，正式會(huì)員可完整閱讀）……　
內(nèi)部控制系統(tǒng)的設(shè)計(jì)和運(yùn)行中被普遍認(rèn)可的標(biāo)準(zhǔn)。由于其對(duì)控制環(huán)境的概念討論、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、交流和監(jiān)測(cè)，COSO框架被認(rèn)為是設(shè)計(jì)、執(zhí)行、監(jiān)測(cè)、評(píng)估內(nèi)部控制和內(nèi)控審計(jì)的首選框架。COBIT是由信息系統(tǒng)審計(jì)和控制委員會(huì)（ISACA）在1996年首次公布的，現(xiàn)在已經(jīng)從審計(jì)基本框架發(fā)展成為包括控制，管理和治理的信息系統(tǒng)審計(jì)框架。COBIT包含34個(gè)信息技術(shù)過(guò)程控制，并歸集為四個(gè)控制域：IT規(guī)劃和組織（Planning and Organization）、系統(tǒng)獲得和實(shí)施（Acquisition and Implementation）、交付與支持（Delivery and Support）以及信息系統(tǒng)運(yùn)行性能監(jiān)控（Monitoring）。 COBIT目前已成為國(guó)際上公認(rèn)的IT管理與控制標(biāo)準(zhǔn)。
本文借鑒以上內(nèi)部控制框架和COBIT信息系統(tǒng)審計(jì)框架，結(jié)合教育機(jī)構(gòu)的自身特性，提出了教育機(jī)構(gòu)審計(jì)模型，以及在審計(jì)過(guò)程中運(yùn)用定量分析方法，可以使審計(jì)模型更加精確和可靠。
二 IT控制框架
這一框架由AICPA和CICA創(chuàng)立，旨在為信息系統(tǒng)的可靠性提供專(zhuān)業(yè)指導(dǎo)。IT控制分為五個(gè)部分，這五部分共同作用確保信息系統(tǒng)的可靠性。在這五部分中，信息安全是其他四部分完成設(shè)定目標(biāo)的核心和基礎(chǔ)。信息安全控制程序僅允許經(jīng)授權(quán)的用戶(hù)訪(fǎng)問(wèn)，因此保護(hù)了組織數(shù)據(jù)的b_m性和個(gè)人信息的私密性。此外，信息安全程序保護(hù)信息完整性不受未經(jīng)授權(quán)的數(shù)據(jù)篡改影響，并且通過(guò)防御攻擊和風(fēng)險(xiǎn)確保系統(tǒng)的可用性。


圖1：IT控制的五個(gè)方面
三 COSO內(nèi)控框架和ISO/IEC27000
COSO的內(nèi)控整合框架可以幫助組織高效率評(píng)估和管理網(wǎng)絡(luò)風(fēng)險(xiǎn)，其為評(píng)估信息技術(shù)控制的有效性提供了指導(dǎo)方針，圖2展示了COSO內(nèi)控內(nèi)容是怎樣運(yùn)用于信息安全控制當(dāng)中的。
國(guó)際標(biāo)準(zhǔn)化組織和國(guó)際電工組織發(fā)布了ISO/IEC27000系列信息安全國(guó)際標(biāo)準(zhǔn)，這一標(biāo)準(zhǔn)的核心是ISO/IEC27002，ISO/IEC27002稱(chēng)為“信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施準(zhǔn)則”。ISO/IEC27002設(shè)立了可審計(jì)的的實(shí)施準(zhǔn)則并且包括18個(gè)總類(lèi)下5000多個(gè)適用控制程序，如表1所示。
總之一個(gè)有效的信息安全控制程序應(yīng)該集預(yù)防、發(fā)現(xiàn)和修復(fù)控制于一體，并且使用大量重復(fù)和完整的控制來(lái)增加總體控制的有效性，多層控制組成了一個(gè)信息防御系統(tǒng)，從而可以阻止某一點(diǎn)的失效帶來(lái)的損失。
1. 預(yù)防控制。預(yù)防控制可以增加外部攻擊者攻破系統(tǒng)的時(shí)間，例如為組織的內(nèi)部系統(tǒng)安裝防火墻。其他的預(yù)防控制還有認(rèn)證控制，比如通過(guò)生物識(shí)別認(rèn)證和密碼控制。設(shè)計(jì)良好的預(yù)防控制可以起到減緩攻擊者突破防護(hù)的作用，從而防止攻擊者進(jìn)入系統(tǒng)，保證系統(tǒng)安全。
2. 發(fā)現(xiàn)控制。這類(lèi)控制減少發(fā)現(xiàn)攻擊的時(shí)間，比如，一個(gè)機(jī)構(gòu)可以升級(jí)入侵偵察系統(tǒng)。另外的發(fā)現(xiàn)控制就是系統(tǒng)日志分析，_測(cè)試和持續(xù)監(jiān)視。發(fā)現(xiàn)控制可以及時(shí)識(shí)別信息泄露并且使管理層及時(shí)評(píng)估風(fēng)險(xiǎn)并采取行動(dòng)。
3. 修復(fù)控制。這一控制可以減少應(yīng)對(duì)攻擊的時(shí)間，比如，一個(gè)機(jī)構(gòu)可以投資一個(gè)新的方法來(lái)應(yīng)對(duì)信息安全事故。
總而言之，組織應(yīng)該構(gòu)造一個(gè)有效的信息安全項(xiàng)目，從而使攻破預(yù)防控制的時(shí)間比發(fā)現(xiàn)攻擊、應(yīng)對(duì)攻擊和采取修復(fù)措施的時(shí)間長(zhǎng)，也就是說(shuō)，一個(gè)有效的信息安全項(xiàng)目應(yīng)該有核心的預(yù)防控制，并輔以發(fā)現(xiàn)事故的方法和采取修復(fù)行動(dòng)的程序。










圖2：COSO內(nèi)部控制框架在信息安全中的應(yīng)用

分類(lèi) 目標(biāo) 簡(jiǎn)介
0-4介紹、范圍、條款、定義和結(jié)構(gòu) 對(duì)信息安全管理目標(biāo)提供綜合指導(dǎo) 信息安全管理使用一系列合理的控制活動(dòng)保護(hù)信息系統(tǒng)免受外部威脅，安全控制活動(dòng)需要被執(zhí)行、檢測(cè)和審核。
5.信息安全制度 為信息安全提供管理方向和支持，使其遵守經(jīng)營(yíng)要求和相關(guān)的法律法規(guī)。 最高層次的信息安全制度對(duì)于建立完整的安全控制環(huán)境是至關(guān)重要的。
6.信息安全組織 在組織內(nèi)部進(jìn)行信息安全管理 每個(gè)組織都應(yīng)有信息安全執(zhí)行指南，這份指南可以指導(dǎo)管理層采取合理措施。
7.人力資源安全 確保雇員、顧客和第三方用戶(hù)明白其責(zé)任。以減少欺詐風(fēng)險(xiǎn)和設(shè)備的不當(dāng)使用。 在雇傭期間，經(jīng)理們應(yīng)該確保雇員和客戶(hù)明白信息安全風(fēng)險(xiǎn)，并且準(zhǔn)備好支持內(nèi)部控制制度以減少人為錯(cuò)誤風(fēng)險(xiǎn)。
8.資產(chǎn)管理 完成并維持對(duì)組織資產(chǎn)的適當(dāng)保護(hù)措施 所有資產(chǎn)都應(yīng)該考慮在內(nèi)，所有者應(yīng)該對(duì)其安全負(fù)責(zé)。但是資產(chǎn)的所有者不應(yīng)該同時(shí)是資產(chǎn)的賬簿記錄者。
9.資產(chǎn)控制 控制信息的訪(fǎng)問(wèn) 信息訪(fǎng)問(wèn)權(quán)限應(yīng)該根據(jù)控制制度的要求被限制，常規(guī)控制程序應(yīng)該對(duì)信息系統(tǒng)進(jìn)行分配訪(fǎng)問(wèn)權(quán)限，控制包括密碼、限制和重復(fù)授權(quán)。
10.密碼控制 確b_m碼合適和有效的使用，從而保護(hù)信息的b_m性、真實(shí)性和完整性 應(yīng)該建立密碼使用的制度，密碼認(rèn)證和完整性控制比如數(shù)字 ……（未完，全文共10748字，當(dāng)前僅顯示2556字，請(qǐng)閱讀下面提示信息。收藏《畢業(yè)論文：信息安全審計(jì)程序》）