畢業(yè)論文：信息安全審計程序

畢業(yè)論文：信息安全審計程序

摘要：近幾年來，網(wǎng)絡(luò)攻擊和數(shù)據(jù)x_m大量增加而且成為了永久性威脅，全球的企業(yè)也認(rèn)識到信息安全在現(xiàn)代社會中的重要性，沒有任何企業(yè)可以獨善其身。隨著網(wǎng)絡(luò)a全威脅和數(shù)據(jù)x_m訴訟的上升，企業(yè)面臨著尋找信息安全框架和標(biāo)準(zhǔn)的壓力。同時，信息技術(shù)的日新月異也帶來了很多新的網(wǎng)絡(luò)和信息系統(tǒng)安全問題，所以對系統(tǒng)安全保護(hù)的定期評估非常重要，通過對信息系統(tǒng)的評估可以保證組織完成目標(biāo)，信息系統(tǒng)審計師主要關(guān)注數(shù)據(jù)的b_m性、完整性和可用性，這三個概念構(gòu)成了信息安全的總體目標(biāo)。
關(guān)鍵詞：信息系統(tǒng)審計；審計程序模型；教育機(jī)構(gòu)；
Abstract：Cyber-attacks and data breaches over the past few years have multiplied and become a persistent threat. Businesses around the world recognize the reality that information security is vital in the modern era and that no company is safe from the threat. As the threat and litigation of
……（新文秘網(wǎng)http://120pk.cn省略911字，正式會員可完整閱讀）……　
內(nèi)部控制系統(tǒng)的設(shè)計和運(yùn)行中被普遍認(rèn)可的標(biāo)準(zhǔn)。由于其對控制環(huán)境的概念討論、風(fēng)險評估、控制活動、交流和監(jiān)測，COSO框架被認(rèn)為是設(shè)計、執(zhí)行、監(jiān)測、評估內(nèi)部控制和內(nèi)控審計的首選框架。COBIT是由信息系統(tǒng)審計和控制委員會（ISACA）在1996年首次公布的，現(xiàn)在已經(jīng)從審計基本框架發(fā)展成為包括控制，管理和治理的信息系統(tǒng)審計框架。COBIT包含34個信息技術(shù)過程控制，并歸集為四個控制域：IT規(guī)劃和組織（Planning and Organization）、系統(tǒng)獲得和實施（Acquisition and Implementation）、交付與支持（Delivery and Support）以及信息系統(tǒng)運(yùn)行性能監(jiān)控（Monitoring）。 COBIT目前已成為國際上公認(rèn)的IT管理與控制標(biāo)準(zhǔn)。
本文借鑒以上內(nèi)部控制框架和COBIT信息系統(tǒng)審計框架，結(jié)合教育機(jī)構(gòu)的自身特性，提出了教育機(jī)構(gòu)審計模型，以及在審計過程中運(yùn)用定量分析方法，可以使審計模型更加精確和可靠。
二 IT控制框架
這一框架由AICPA和CICA創(chuàng)立，旨在為信息系統(tǒng)的可靠性提供專業(yè)指導(dǎo)。IT控制分為五個部分，這五部分共同作用確保信息系統(tǒng)的可靠性。在這五部分中，信息安全是其他四部分完成設(shè)定目標(biāo)的核心和基礎(chǔ)。信息安全控制程序僅允許經(jīng)授權(quán)的用戶訪問，因此保護(hù)了組織數(shù)據(jù)的b_m性和個人信息的私密性。此外，信息安全程序保護(hù)信息完整性不受未經(jīng)授權(quán)的數(shù)據(jù)篡改影響，并且通過防御攻擊和風(fēng)險確保系統(tǒng)的可用性。


圖1：IT控制的五個方面
三 COSO內(nèi)控框架和ISO/IEC27000
COSO的內(nèi)控整合框架可以幫助組織高效率評估和管理網(wǎng)絡(luò)風(fēng)險，其為評估信息技術(shù)控制的有效性提供了指導(dǎo)方針，圖2展示了COSO內(nèi)控內(nèi)容是怎樣運(yùn)用于信息安全控制當(dāng)中的。
國際標(biāo)準(zhǔn)化組織和國際電工組織發(fā)布了ISO/IEC27000系列信息安全國際標(biāo)準(zhǔn)，這一標(biāo)準(zhǔn)的核心是ISO/IEC27002，ISO/IEC27002稱為“信息技術(shù)-安全技術(shù)-信息安全管理實施準(zhǔn)則”。ISO/IEC27002設(shè)立了可審計的的實施準(zhǔn)則并且包括18個總類下5000多個適用控制程序，如表1所示。
總之一個有效的信息安全控制程序應(yīng)該集預(yù)防、發(fā)現(xiàn)和修復(fù)控制于一體，并且使用大量重復(fù)和完整的控制來增加總體控制的有效性，多層控制組成了一個信息防御系統(tǒng)，從而可以阻止某一點的失效帶來的損失。
1. 預(yù)防控制。預(yù)防控制可以增加外部攻擊者攻破系統(tǒng)的時間，例如為組織的內(nèi)部系統(tǒng)安裝防火墻。其他的預(yù)防控制還有認(rèn)證控制，比如通過生物識別認(rèn)證和密碼控制。設(shè)計良好的預(yù)防控制可以起到減緩攻擊者突破防護(hù)的作用，從而防止攻擊者進(jìn)入系統(tǒng)，保證系統(tǒng)安全。
2. 發(fā)現(xiàn)控制。這類控制減少發(fā)現(xiàn)攻擊的時間，比如，一個機(jī)構(gòu)可以升級入侵偵察系統(tǒng)。另外的發(fā)現(xiàn)控制就是系統(tǒng)日志分析，_測試和持續(xù)監(jiān)視。發(fā)現(xiàn)控制可以及時識別信息泄露并且使管理層及時評估風(fēng)險并采取行動。
3. 修復(fù)控制。這一控制可以減少應(yīng)對攻擊的時間，比如，一個機(jī)構(gòu)可以投資一個新的方法來應(yīng)對信息安全事故。
總而言之，組織應(yīng)該構(gòu)造一個有效的信息安全項目，從而使攻破預(yù)防控制的時間比發(fā)現(xiàn)攻擊、應(yīng)對攻擊和采取修復(fù)措施的時間長，也就是說，一個有效的信息安全項目應(yīng)該有核心的預(yù)防控制，并輔以發(fā)現(xiàn)事故的方法和采取修復(fù)行動的程序。










圖2：COSO內(nèi)部控制框架在信息安全中的應(yīng)用

分類 目標(biāo) 簡介
0-4介紹、范圍、條款、定義和結(jié)構(gòu) 對信息安全管理目標(biāo)提供綜合指導(dǎo) 信息安全管理使用一系列合理的控制活動保護(hù)信息系統(tǒng)免受外部威脅，安全控制活動需要被執(zhí)行、檢測和審核。
5.信息安全制度 為信息安全提供管理方向和支持，使其遵守經(jīng)營要求和相關(guān)的法律法規(guī)。 最高層次的信息安全制度對于建立完整的安全控制環(huán)境是至關(guān)重要的。
6.信息安全組織 在組織內(nèi)部進(jìn)行信息安全管理 每個組織都應(yīng)有信息安全執(zhí)行指南，這份指南可以指導(dǎo)管理層采取合理措施。
7.人力資源安全 確保雇員、顧客和第三方用戶明白其責(zé)任。以減少欺詐風(fēng)險和設(shè)備的不當(dāng)使用。 在雇傭期間，經(jīng)理們應(yīng)該確保雇員和客戶明白信息安全風(fēng)險，并且準(zhǔn)備好支持內(nèi)部控制制度以減少人為錯誤風(fēng)險。
8.資產(chǎn)管理 完成并維持對組織資產(chǎn)的適當(dāng)保護(hù)措施 所有資產(chǎn)都應(yīng)該考慮在內(nèi)，所有者應(yīng)該對其安全負(fù)責(zé)。但是資產(chǎn)的所有者不應(yīng)該同時是資產(chǎn)的賬簿記錄者。
9.資產(chǎn)控制 控制信息的訪問 信息訪問權(quán)限應(yīng)該根據(jù)控制制度的要求被限制，常規(guī)控制程序應(yīng)該對信息系統(tǒng)進(jìn)行分配訪問權(quán)限，控制包括密碼、限制和重復(fù)授權(quán)。
10.密碼控制 確b_m碼合適和有效的使用，從而保護(hù)信息的b_m性、真實性和完整性 應(yīng)該建立密碼使用的制度，密碼認(rèn)證和完整性控制比如數(shù)字 ……（未完，全文共10748字，當(dāng)前僅顯示2556字，請閱讀下面提示信息。收藏《畢業(yè)論文：信息安全審計程序》）