畢業(yè)論文：信息安全審計程序

畢業(yè)論文：信息安全審計程序

摘要：近幾年來，網(wǎng)絡攻擊和數(shù)據(jù)x_m大量增加而且成為了永久性威脅，全球的企業(yè)也認識到信息安全在現(xiàn)代社會中的重要性，沒有任何企業(yè)可以獨善其身。隨著網(wǎng)絡a全威脅和數(shù)據(jù)x_m訴訟的上升，企業(yè)面臨著尋找信息安全框架和標準的壓力。同時，信息技術的日新月異也帶來了很多新的網(wǎng)絡和信息系統(tǒng)安全問題，所以對系統(tǒng)安全保護的定期評估非常重要，通過對信息系統(tǒng)的評估可以保證組織完成目標，信息系統(tǒng)審計師主要關注數(shù)據(jù)的b_m性、完整性和可用性，這三個概念構(gòu)成了信息安全的總體目標。
關鍵詞：信息系統(tǒng)審計；審計程序模型；教育機構(gòu)；
Abstract：Cyber-attacks and data breaches over the past few years have multiplied and become a persistent threat. Businesses around the world recognize the reality that information security is vital in the modern era and that no company is safe from the threat. As the threat and litigation of
……（新文秘網(wǎng)http://m.120pk.cn省略911字，正式會員可完整閱讀）……　
內(nèi)部控制系統(tǒng)的設計和運行中被普遍認可的標準。由于其對控制環(huán)境的概念討論、風險評估、控制活動、交流和監(jiān)測，COSO框架被認為是設計、執(zhí)行、監(jiān)測、評估內(nèi)部控制和內(nèi)控審計的首選框架。COBIT是由信息系統(tǒng)審計和控制委員會（ISACA）在1996年首次公布的，現(xiàn)在已經(jīng)從審計基本框架發(fā)展成為包括控制，管理和治理的信息系統(tǒng)審計框架。COBIT包含34個信息技術過程控制，并歸集為四個控制域：IT規(guī)劃和組織（Planning and Organization）、系統(tǒng)獲得和實施（Acquisition and Implementation）、交付與支持（Delivery and Support）以及信息系統(tǒng)運行性能監(jiān)控（Monitoring）。 COBIT目前已成為國際上公認的IT管理與控制標準。
本文借鑒以上內(nèi)部控制框架和COBIT信息系統(tǒng)審計框架，結(jié)合教育機構(gòu)的自身特性，提出了教育機構(gòu)審計模型，以及在審計過程中運用定量分析方法，可以使審計模型更加精確和可靠。
二 IT控制框架
這一框架由AICPA和CICA創(chuàng)立，旨在為信息系統(tǒng)的可靠性提供專業(yè)指導。IT控制分為五個部分，這五部分共同作用確保信息系統(tǒng)的可靠性。在這五部分中，信息安全是其他四部分完成設定目標的核心和基礎。信息安全控制程序僅允許經(jīng)授權的用戶訪問，因此保護了組織數(shù)據(jù)的b_m性和個人信息的私密性。此外，信息安全程序保護信息完整性不受未經(jīng)授權的數(shù)據(jù)篡改影響，并且通過防御攻擊和風險確保系統(tǒng)的可用性。


圖1：IT控制的五個方面
三 COSO內(nèi)控框架和ISO/IEC27000
COSO的內(nèi)控整合框架可以幫助組織高效率評估和管理網(wǎng)絡風險，其為評估信息技術控制的有效性提供了指導方針，圖2展示了COSO內(nèi)控內(nèi)容是怎樣運用于信息安全控制當中的。
國際標準化組織和國際電工組織發(fā)布了ISO/IEC27000系列信息安全國際標準，這一標準的核心是ISO/IEC27002，ISO/IEC27002稱為“信息技術-安全技術-信息安全管理實施準則”。ISO/IEC27002設立了可審計的的實施準則并且包括18個總類下5000多個適用控制程序，如表1所示。
總之一個有效的信息安全控制程序應該集預防、發(fā)現(xiàn)和修復控制于一體，并且使用大量重復和完整的控制來增加總體控制的有效性，多層控制組成了一個信息防御系統(tǒng)，從而可以阻止某一點的失效帶來的損失。
1. 預防控制。預防控制可以增加外部攻擊者攻破系統(tǒng)的時間，例如為組織的內(nèi)部系統(tǒng)安裝防火墻。其他的預防控制還有認證控制，比如通過生物識別認證和密碼控制。設計良好的預防控制可以起到減緩攻擊者突破防護的作用，從而防止攻擊者進入系統(tǒng)，保證系統(tǒng)安全。
2. 發(fā)現(xiàn)控制。這類控制減少發(fā)現(xiàn)攻擊的時間，比如，一個機構(gòu)可以升級入侵偵察系統(tǒng)。另外的發(fā)現(xiàn)控制就是系統(tǒng)日志分析，_測試和持續(xù)監(jiān)視。發(fā)現(xiàn)控制可以及時識別信息泄露并且使管理層及時評估風險并采取行動。
3. 修復控制。這一控制可以減少應對攻擊的時間，比如，一個機構(gòu)可以投資一個新的方法來應對信息安全事故。
總而言之，組織應該構(gòu)造一個有效的信息安全項目，從而使攻破預防控制的時間比發(fā)現(xiàn)攻擊、應對攻擊和采取修復措施的時間長，也就是說，一個有效的信息安全項目應該有核心的預防控制，并輔以發(fā)現(xiàn)事故的方法和采取修復行動的程序。










圖2：COSO內(nèi)部控制框架在信息安全中的應用

分類 目標 簡介
0-4介紹、范圍、條款、定義和結(jié)構(gòu) 對信息安全管理目標提供綜合指導 信息安全管理使用一系列合理的控制活動保護信息系統(tǒng)免受外部威脅，安全控制活動需要被執(zhí)行、檢測和審核。
5.信息安全制度 為信息安全提供管理方向和支持，使其遵守經(jīng)營要求和相關的法律法規(guī)。 最高層次的信息安全制度對于建立完整的安全控制環(huán)境是至關重要的。
6.信息安全組織 在組織內(nèi)部進行信息安全管理 每個組織都應有信息安全執(zhí)行指南，這份指南可以指導管理層采取合理措施。
7.人力資源安全 確保雇員、顧客和第三方用戶明白其責任。以減少欺詐風險和設備的不當使用。 在雇傭期間，經(jīng)理們應該確保雇員和客戶明白信息安全風險，并且準備好支持內(nèi)部控制制度以減少人為錯誤風險。
8.資產(chǎn)管理 完成并維持對組織資產(chǎn)的適當保護措施 所有資產(chǎn)都應該考慮在內(nèi)，所有者應該對其安全負責。但是資產(chǎn)的所有者不應該同時是資產(chǎn)的賬簿記錄者。
9.資產(chǎn)控制 控制信息的訪問 信息訪問權限應該根據(jù)控制制度的要求被限制，常規(guī)控制程序應該對信息系統(tǒng)進行分配訪問權限，控制包括密碼、限制和重復授權。
10.密碼控制 確b_m碼合適和有效的使用，從而保護信息的b_m性、真實性和完整性 應該建立密碼使用的制度，密碼認證和完整性控制比如數(shù)字 ……（未完，全文共10748字，當前僅顯示2556字，請閱讀下面提示信息。收藏《畢業(yè)論文：信息安全審計程序》）