本文是一篇审计论文研究,本文基于 COBIT2019 标准,作为当前较科学的安全审计指导标准,不仅能够降低风险,有效的提升公司安全审计管理水平,不断与世界接轨。但是在 COBIT2019实际运用过程中,不同的公司相关的业务模式、战略决策、企业文化和工作准则各不同,相关的外部行业环境与政策也有所不同,因此,只有结合企业自身的实际情况来合理灵活的应用 COBIT2019,才能最有效的提升企业安全审计管理的水平,增强企业实现其安全审计目标的可能性。同时也要认识到,目前信息技术迅速发展,类似 COBIT2019 标准的与之相关的控制方法、控制框架等也在不断地完善与更新,企业只有不断地学习、掌握最新、最前沿的安全审计相关知识,不断提升员工安全审计管理与相关技术能力,同时重视本公司的安全审计工作,来充分发挥安全审计的优势,使企业实现其利益最大化、风险最小化及资源最优化。
第一章 绪论
1.1 研究背景与问题的提出
1.1.1 研究背景
随着信息技术的飞速发展,有效提升无线远程抄表系统(以下简称抄表系统)的安全管理水平,成为抄表行业关注的焦点。当前,信息化革命的发展给抄表行业带来了机遇,同时也带来了挑战。随着信息技术在抄表行业的应用,抄表系统所承载的功能性越来越复杂,所承担的风险也越来越大。因此,对抄表系统进行安全审计,强化安全风险的识别与控制,是保护企业信息资源的必要手段,对于提高抄表安全风险管理工作水平来说有着重要的意义。
在国外,相关研究人员对安全审计已经展开研究,相应的安全审计法则也己经出台,如 COBIT、 ITIL、ISO17799、 CISR 标准等准则。美国在进行安全审计研究方面处于世界前列,较早提出信息系统安全审计定义,并开始实施安全审计工作,创建电子数据处理审计师协会,目的是对安全审计进行更深入的研究。当前,由美国创建的信息系统审计与控制协会,是一个专门从事信息系统安全审计指导的国际组织。
在国内,安全审计是目前研究的热点之一。然而,我国的安全审计研究仍然处于起步与探索阶段,许多相关的研究还没有跟上。同时也没有出台相应的科学、系统、完整的安全审计规范和方法,没有一套能够满足安全审计需求的专业技术规范。大多数研究人员仍在引入和参考阶段对安全审计进行研究。2016 年初,原审计署审计长刘家义讲到须从全局与战略两个层面,使审计的信息化建设更加全面化,采用先进的审计与信息技术相结合的审计方法,使安全审计得到了全面改善[1]。传统的审计工作成本较高,但相应的效率很低,安全审计可以通过大数据和数据挖掘技术实现审计数据的全覆盖和相关安全问题的全面发现。当前的安全审计技术还有待提升。安全审计同时在云计算领域得以应用,需要对云服务的信任风险进一步降低。构建有效的抄表系统安全审计流程是安全审计的一个研究热门,进行安全审计是加强信息系统安全管理、防范和控制风险的有效手段。
............................
1.2 研究目的和意义
1.2.1 研究目的
基于 COBIT2019 标准,结合新思路和新方法,针对抄表系统安全审计的实施过程中出现的问题,设计科学可行的安全审计实施流程,提供基于审计结果来评价抄表系统安全审计流程的设计与配套措施,更好地加强有关抄表系统的全过程安全审计。基于 COBIT2019 标准,结合新方法与新思路,针对抄表系统安全审计的实施过程中出现的相关问题,设计科学高效的抄表安全审计流程,基于审计结果,提供抄表系统安全审计流程设计与配套措施,进一步增强有关抄表系统的全过程安全审计。
1.2.2 研究意义
本文研究了基于 COBIT2019 的安全审计,针对安全审计流程以及现有研究的不足,拟以“HY 公司无线远程抄表系统的安全审计研究”为题进行研究,其意义主要包括理论和现实两个方面。信息技术为抄表系统的信息安全处理提供了强有力的支持,但同时也给其相关业务发展带来了更多挑战。抄表行业急需通过安全审计来评估其抄表系统的安全性、数据的真实性,提升安全审计效率,以加强抄表系统的可靠性与安全性。
本文研究了基于 COBIT2019 的安全审计,针对安全审计流程以及现有研究的不足,拟以“HY 公司无线远程抄表系统的安全审计研究”为题进行研究,其意义主要包括理论和现实价值两个方面。
(1)理论意义
目前,我国对 COBIT 的研究仅处于起步阶段,相关研究理论体系不系统,研究人员仅仅借鉴与介绍相关标准理论,将 COBIT 应用于安全审计来形成一套完整的审计规范和方法的研究很少。所以,本文为 COBIT 在安全审计中的应用提供了一种新思路,对于加强安全审计理论的研究和发展起到重要的影响。
(2)现实价值意义
本文的现实价值意义可分为三个方面。对于公司方面,本文可以指导建立一套良好的抄表系统,使其安全有效地为企业服务;在安全审计方面,弥补了抄表行业安全审计的不足,加强了安全审计的功能,同时可以更有效的发现安全漏洞,从而进行自动修补。由于 COBIT2019 标准内容与体系更加完整、国际认可度高。因此,本文参照 COBIT,建立一套能与国际标准接轨并与实际工作相结合的抄表系统安全审计流程,以提高安全审计的效率和效果,提升审计工作水平,对抄表系统安全风险进行快速识别和有效控制,对抄表系统的安全控制措施进一步完善,确保抄表系统的安全稳定运行,同时为安全审计师提供辅助指导作用。
..........................
第二章 信息系统安全审计理论基础
2.1 信息系统安全审计定义及发展背景
2.1.1 信息系统安全审计定义
安全审计是信息系统审计中的必要组成部分,是对信息系统是否实现安全性的重要评价标准之一。由安全审计收集、分析、评估安全信息、掌握安全状态,制定安全策略,实现整个体系的完整性与合规性,可以将安全审计系统适应安全风险最高与最低的状态。安全审计已经成为不可或缺的关键企业风险管理策略,同时也是控制与打击内部计算机犯罪的重要手段。
在国际通用 CC 标准中,明确了信息系统安全审计(ISSA)的定义,即信息系统安全审计是对安全相关活动的信息进行识别、记录、存储与分析;审计记录的结果用于检查哪些安全相关的活动发生在网络上,哪个用户负责该活动;相关特征为安全审计事件选择与安全审计事件存储等。这是国际 CC 指南中设定的相对抽象的概念之一,一般来说,安全审计是网络信息安全中的监控中心。应用不同的信息技术手段,能够更加详细的了解网络信息安全系统中的非法活动,全方位的监控信息系统。其中包括各种事件,记录和分析不同的可疑行为、非法操作甚至敏感信息等,从而及时定位安全事件和跟踪证据,打击计算机网络安全犯罪活动,而且提供强有力的信息系统安全政策发展和金融风险的内部控制机制。
与世界上其他国家相比,目前我国的安全审计发展起步晚、相关审计技术落后、统一的审计规范和制度需要进一步完善。但是当前国内信息系统化高速发展,安全审计相关技术已经成为了我国信息系统发展的热点之一。
............................
2.2 信息系统安全审计目标、范围及方法
2.2.1 信息系统安全审计目标
安全审计可以审核相关信息系统的安全性能否达到了组织的需求目标,以及信息系统的目标设计能否可以符合公司的安全活动需求。在安全审计的过程中,对风险安全信息的收集、分析和风险等级评价,以及对安全管理状况评估等,都在企业的安全管理战略中发挥着必不可少的作用。为了保障信息系统的可靠性和真实性,安全审计的目的就是设计一个行之有效的安全审计管理流程,从而识别信息系统内外的其它安全风险,比如说黑客的攻击和信息数据欺诈等。信息系统的安全隐患将导致抄表系统的运行混乱,严重时甚至导致信息资源的流失。所以公司高层管理人员在进行信息系统管理评估带来的潜在风险时,一定要对信息系统安全审计在信息系统的安全中所起到的作用进行检查和评估。安全审计的最终目标是为了评估企业内部所制定的安全控制措施是否可以有效识别、预防多种安全威胁,相应的也要完成对信息系统和数据信息的有效性和可靠性的评估。
2.2.2 信息系统安全审计范围
安全审计也就是评估信息系统的安全管理与控制活动的过程。这种控制活动设计了一种满足企业对信息系统安全需求的并有助于实现企业安全目标的安全审计体系。该体系分为管理和技术两个层面。所以,安全审计分为安全管理审计和安全技术审计。在安全管理有关的审计范围中,包括安全管理机构设置、安全制度、人员安全培训等内容;在安全技术有关的审计范围中,包括对物理环境安全、操作系统安全、网络安全、数据安全等的审计。
2.2.3 信息系统安全审计方法与技术
在安全审计人员的工作过程中,不仅使用传统的审计方法,包括访谈法、问卷调查法、系统文件审查法和实地观察法等。近年来由于相关审计技术已经对运用在信息系统的安全审计中,其中包括测试数据法,这种方法是以数据输入持续到计算机的输出,全范围的伴随跟踪业务的进行,一次可以对相关信息系统的安全性、合规性与完整性来全方位的审查与验证。同时,平行模拟法也属于一种实用性的审计技术,它的运作原理是审计人员在进行审计中作中,在特定的模拟程序内将相关的实际具体的数据输入之内,进一步对模拟后的相关结果来进行比较与分析。而且,审计人员还可以按照相关的结果来进行进一步审查与评估,从而有效的进行审计工作。程序代码审查与前两种方法相比,也有其优势,它常用作去反复验证相关的信息系统中具体程序的不足与漏洞,最后能够对抄表系统的合规性、真实性与安全性进行有效的保障。
.............................
第三章 HY 公司抄表系统安全审计问题的分析研究 ....................