信息系統安全審計

信息系統安全審計是評判一個信息系統是否真正安全的重要標準之一。通過安全審計收集、分析、評估安全信息、掌握安全狀態，制定安全策略，確保整個安全體系的完備性、合理性和適用性，才能將系統調整到“最安全”和“最低風險”的狀態。安全審計已成為企業內控、信息系統安全風險控制等不可或缺的關鍵手段，也是威懾、打擊內部計算機犯罪的重要手段。

在國際通用的CC準則（即ISO/IEC15408-2:1999《信息技術安全性評估準則》）中對信息系統安全審計（ISSA，Information System Security Audit）給出了明確定義：信息系統安全審計主要指對與安全有關的活動的相關信息進行識別、記錄、存儲和分析；審計記錄的結果用於檢查網路上發生了哪些與安全有關的活動，誰（哪個用戶）對這個活動負責；主要功能包括：安全審計自動回響、安全審計數據生成、安全審計分析、安全審計瀏覽、安全審計事件選擇、安全審計事件存儲等。

這是國際CC準則給出的一個比較抽象的概念，通俗來講，信息安全審計就是信息網路中的“監控攝像頭”，通過運用各種技術手段，洞察網路信息系統中的活動，全面監測信息系統中的各種會話和事件，記錄分析各種網路可疑行為、違規操作、敏感信息，幫助定位安全事件源頭和追查取證，防範和發現計算機網路犯罪活動，為信息系統安全策略制定、風險內控提供有力的數據支撐。

與國外相比，中國的信息系統安全審計起步較晚，相關審計技術、規範和制度等都有待進一步完善。隨著我國信息化水平快速提高，信息系統安全審計正逐漸成為國內信息系統安全建設熱點之一。我國的信息系統安全審計發展可分為兩個階段：

1999年財政部頒布了《獨立審計準則第20號-計算機信息系統環境下的審計》，部分內容借鑑了國外研究成果。這是國內第一次明確提出對計算信息系統審計的要求。

同年,國家質量技術監督局頒布《GB17859-1999 計算機信息系統安全保護等級劃分準則》,該準則是建立計算機信息系統安全保護等級制度，實施安全保護等級管理的重要基礎性標準，其中明確要求計算機信息系統創建和維護受保護客體的訪問審計跟蹤記錄，並能阻止非授權的用戶對它訪問或破壞。”

2005年-2009年 信息系統安全審計的快速成長期

隨著網際網路在國內的迅速普及套用，推動國內信息系統安全審計進入快速發展階段。國家相關部門、金融行業、能源行業、運營商均陸續推出多項針對信息系統風險管理政策法規，推動國內信息系統安全審計快速發展。

隨著信息安全建設的深入，安全審計已成為國內信息安全建設的重要技術手段。總體來看，由於信息系統發展水平和業務需求的不同，各行業對安全審計的具體關注點存在一定差異，但均是基於政策合規、自身安全建設要求，如：政府主要關注如何滿足“信息系統安全等級保護”等政策要求的合規安全審計；電信運營商則基於自身信息系統風險內控需求進行安全審計建設。