毕业论文：信息安全审计程序

毕业论文：信息安全审计程序

摘要：近几年来，网络攻击和数据x_m大量增加而且成为了永久性威胁，全球的企业也认识到信息安全在现代社会中的重要性，没有任何企业可以独善其身。随着网络a全威胁和数据x_m诉讼的上升，企业面临着寻找信息安全框架和标准的压力。同时，信息技术的日新月异也带来了很多新的网络和信息系统安全问题，所以对系统安全保护的定期评估非常重要，通过对信息系统的评估可以保证组织完成目标，信息系统审计师主要关注数据的b_m性、完整性和可用性，这三个概念构成了信息安全的总体目标。
关键词：信息系统审计；审计程序模型；教育机构；
Abstract：Cyber-attacks and data breaches over the past few years have multiplied and become a persistent threat. Businesses around the world recognize the reality that information security is vital in the modern era and that no company is safe from the threat. As the threat and litigation of
……（新文秘网https://www.wm114.cn省略911字，正式会员可完整阅读）……　
内部控制系统的设计和运行中被普遍认可的标准。由于其对控制环境的概念讨论、风险评估、控制活动、交流和监测，COSO框架被认为是设计、执行、监测、评估内部控制和内控审计的首选框架。COBIT是由信息系统审计和控制委员会（ISACA）在1996年首次公布的，现在已经从审计基本框架发展成为包括控制，管理和治理的信息系统审计框架。COBIT包含34个信息技术过程控制，并归集为四个控制域：IT规划和组织（Planning and Organization）、系统获得和实施（Acquisition and Implementation）、交付与支持（Delivery and Support）以及信息系统运行性能监控（Monitoring）。 COBIT目前已成为国际上公认的IT管理与控制标准。
本文借鉴以上内部控制框架和COBIT信息系统审计框架，结合教育机构的自身特性，提出了教育机构审计模型，以及在审计过程中运用定量分析方法，可以使审计模型更加精确和可靠。
二 IT控制框架
这一框架由AICPA和CICA创立，旨在为信息系统的可靠性提供专业指导。IT控制分为五个部分，这五部分共同作用确保信息系统的可靠性。在这五部分中，信息安全是其他四部分完成设定目标的核心和基础。信息安全控制程序仅允许经授权的用户访问，因此保护了组织数据的b_m性和个人信息的私密性。此外，信息安全程序保护信息完整性不受未经授权的数据篡改影响，并且通过防御攻击和风险确保系统的可用性。


图1：IT控制的五个方面
三 COSO内控框架和ISO/IEC27000
COSO的内控整合框架可以帮助组织高效率评估和管理网络风险，其为评估信息技术控制的有效性提供了指导方针，图2展示了COSO内控内容是怎样运用于信息安全控制当中的。
国际标准化组织和国际电工组织发布了ISO/IEC27000系列信息安全国际标准，这一标准的核心是ISO/IEC27002，ISO/IEC27002称为“信息技术-安全技术-信息安全管理实施准则”。ISO/IEC27002设立了可审计的的实施准则并且包括18个总类下5000多个适用控制程序，如表1所示。
总之一个有效的信息安全控制程序应该集预防、发现和修复控制于一体，并且使用大量重复和完整的控制来增加总体控制的有效性，多层控制组成了一个信息防御系统，从而可以阻止某一点的失效带来的损失。
1. 预防控制。预防控制可以增加外部攻击者攻破系统的时间，例如为组织的内部系统安装防火墙。其他的预防控制还有认证控制，比如通过生物识别认证和密码控制。设计良好的预防控制可以起到减缓攻击者突破防护的作用，从而防止攻击者进入系统，保证系统安全。
2. 发现控制。这类控制减少发现攻击的时间，比如，一个机构可以升级入侵侦察系统。另外的发现控制就是系统日志分析，_测试和持续监视。发现控制可以及时识别信息泄露并且使管理层及时评估风险并采取行动。
3. 修复控制。这一控制可以减少应对攻击的时间，比如，一个机构可以投资一个新的方法来应对信息安全事故。
总而言之，组织应该构造一个有效的信息安全项目，从而使攻破预防控制的时间比发现攻击、应对攻击和采取修复措施的时间长，也就是说，一个有效的信息安全项目应该有核心的预防控制，并辅以发现事故的方法和采取修复行动的程序。










图2：COSO内部控制框架在信息安全中的应用

分类 目标 简介
0-4介绍、范围、条款、定义和结构 对信息安全管理目标提供综合指导 信息安全管理使用一系列合理的控制活动保护信息系统免受外部威胁，安全控制活动需要被执行、检测和审核。
5.信息安全制度 为信息安全提供管理方向和支持，使其遵守经营要求和相关的法律法规。 最高层次的信息安全制度对于建立完整的安全控制环境是至关重要的。
6.信息安全组织 在组织内部进行信息安全管理 每个组织都应有信息安全执行指南，这份指南可以指导管理层采取合理措施。
7.人力资源安全 确保雇员、顾客和第三方用户明白其责任。以减少欺诈风险和设备的不当使用。 在雇佣期间，经理们应该确保雇员和客户明白信息安全风险，并且准备好支持内部控制制度以减少人为错误风险。
8.资产管理 完成并维持对组织资产的适当保护措施 所有资产都应该考虑在内，所有者应该对其安全负责。但是资产的所有者不应该同时是资产的账簿记录者。
9.资产控制 控制信息的访问 信息访问权限应该根据控制制度的要求被限制，常规控制程序应该对信息系统进行分配访问权限，控制包括密码、限制和重复授权。
10.密码控制 确b_m码合适和有效的使用，从而保护信息的b_m性、真实性和完整性 应该建立密码使用的制度，密码认证和完整性控制比如数字 ……（未完，全文共10748字，当前仅显示2556字，请阅读下面提示信息。收藏《毕业论文：信息安全审计程序》）