尤物视频网站,精品国产第一国产综合精品,国产乱码精品一区二区三区中文,欧美人与zoxxxx视频

［摘要］在分析中觀信息系統風險與損失的成因基礎上，借鑒BS7799標準，一方面從物理層次與邏輯層次兩個方面研究中觀信息系統固有風險的評價模式；另一方面從一般控制與應用控制兩個層面探索中觀信息系統內部控制的評價機制?；贐S7799標準對中觀信息系統審計進行研究，旨在為IT審計師有效實施中觀信息系統審計提供應用指南。
　　
　　［關鍵詞］BS7799標準；中觀審計；信息系統審計；內部控制；中觀信息系統；中觀信息系統風險
　　
　　［中圖分類號］F239.4［文獻標識碼］A［文章編號］10044833(2012)03005007
　　
　　
　　所謂中觀信息系統審計就是指審計主體依據特定的規范，運用科學系統的程序方法，對中觀信息系統網絡的運行規程與應用政策實施的一種監督活動，旨在增強中觀經濟主體特定信息網絡的有效性、安全性、機密性與一致性，以保障中觀信息系統的高效運行［1］。中觀信息系統的審計主體即IT審計師需要重視中觀信息系統審計的復雜性，且有必要借助BS7799標準，構建并完善中觀信息系統審計的實施流程，優化中觀信息系統審計工作，提高審計質量。之所以需要借助BS7799標準，是因為BS7799標準的眾多功能可以滿足中觀信息系統審計工作的需求。在尚未有詳細信息系統審計（以下簡稱“IS審計”）規范的條件下，中觀信息系統審計對信息安全管理策略的需求巨大，而BS7799標準恰恰是問世較早且相對成熟的信息安全管理標準，它能夠確保在計算機網絡系統進行自動通信、信息處理和利用時，在各個物理位置、邏輯區域、存儲和傳媒介質中，較好地實現保密性、完整性、有效性與可用性，能夠在信息管理與計算機科學兩個層面加強信息安全管理向中觀信息系統審計的理論轉化，中觀信息系統審計的需求與BS7799標準的功能具備整合的可行性。
　　
　　
　　一、 BS7799標準
　　
　　1995年，英國貿工部制定了世界首部信息安全管理體系標準“BS77991：1995《信息安全管理實施規則》”，并作為各類組織實施信息安全管理的指南［2］，由于該標準采用建議和指導的方式編寫，因而不作為認證標準使用；1998年，英國又制定了信息安全管理體系認證標準“BS77992：1998《信息安全管理體系規范》”，作為對組織信息安全管理體系進行評審認證的標準［3］；1999年，英國再次對信息安全管理體系標準進行了修訂，形成“BS77991：1999”與“BS77992：1999”這一對配套標準；2000年12月，“BS77991：1999”被ISO/IEC正式采納為國際標準“ISO/IEC17799：2000《信息技術：信息安全管理實施規則》”，此外，“BS77992：1999”也于2002年底被ISO/IEC作為藍本修訂，成為可用于認證的“ISO/IEC《信息安全管理體系規范》”；2005年，BS77991與BS77992再次改版，使得體系更為完善。BS7799標準體系包含10個管理要項、36個管理目標、127個控制目標及500多個管理要點。管理要項如今已成為組織實施信息安全管理的實用指南；安全控制目標能夠幫助組織識別運作過程中影響信息安全的因素。BS77991幾乎涵蓋了所有的安全議題，它主要告訴IT審計師安全管理的注意事項與安全制度。BS77992詳細說明了建立、實施和維護信息安全管理的要求，指出組織在實施過程中需要遵循的風險評估等級，從而識別最應該控制的對象并對自身需求進行適當控制。BS77991為信息系統提供了通用的控制措施，BS77992則為BS77991的具體實施提供了應用指南。
　　
　　國外相對成熟的信息安全管理理論較多，它們各有千秋，彼此之間相互補充且有交叉。BS7799標準僅是眾多信息安全管理理論中的一種，與傳統審計方法相比，僅適用于IS審計范疇。然而，BS7799標準的特別之處表現在：其一，它是一部通用的信息安全管理指南，呈現了較為全面的系統安全控制措施，闡述了安全策略和優秀的、具有普遍意義的安全操作方法，能夠為IT審計師開展審計工作提供全程支持；其二，它遵循“計劃-行動-控制-改善方案”的風險管理思想，首先幫助IT審計師規劃信息安全審計的方針和范圍，其次在審計風險評估的基礎上選擇適當的審計方法及風險控制策略并予以實施，制定持續性管理規劃，建立并運行科學的中觀信息系統審計執行體系。
　　
　　
　　二、 中觀信息系統的風險與損失
　　
　　中觀信息系統風險是指成功利用中觀信息系統的脆弱性或漏洞，并造成系統損害的可能性。中觀信息系統風險極其龐雜且非常普遍，每個中觀信息系統面臨的風險都是不同的，這種風險可能是單一的，也可能是組合的［4］。中觀信息系統風險包括：人員風險、組織風險、物理環境風險、信息機密性風險、信息完整性風險、系統風險、通信操作風險、設施風險、業務連續性風險、法律風險及黏合風險（見圖1），它們共同構成了中觀信息系統的風險體系，各種風險除具有各自的特性外，有時還可能相互作用。
　　
　　中觀信息系統風險的成因離不開外來威脅與系統自身的脆弱性，且風險的最終后果就是損失。圖1中的“a.威脅性”是系統的“風險源”，它是由于未授權訪問、毀壞、數據修改以及拒絕服務等給系統造成潛在危害的任何事件。中觀信息系統的威脅來自于人為因素及非人為因素兩個方面。人為因素是對中觀信息系統造成威脅的決定性力量，人為因素造成威脅的主體有競爭對手、網絡黑客、不滿員工或正常員工。圖1中的“b.脆弱性”是指在系統安全程序、管理控制、物理設計中存在的、可能被攻擊者利用來獲得未授權信息或破壞關鍵處理的弱點，由物理環境、技術問題、管理問題、法律問題四個方面組成。圖1中的“d.風險承受力”是指在中觀信息系統遭遇風險或受到攻擊時，維持業務運行最基本的服務和保護信息資產的抵抗力、識別力、恢復力和自適應能力。
　　
　　中觀信息系統風險的產生有兩種方式：一是遵循“a→b→c”路徑，這條路徑形成的風險為中觀信息系統“固有風險”，即假定中觀信息系統中不存在內部控制制度，從而造成系統存在嚴重錯誤與不法行為的可能性。該路徑的作用形式為人為因素或非人為因素是風險源，對中觀信息系統構成威脅，該威脅產生后尋找并利用系統的脆弱點（假定中觀信息系統對該脆弱點沒有設計內控制度），當威脅成功作用于脆弱點后，就對系統進行有效攻擊，進而產生中觀信息系統風險。二是遵循“a→b→P→c”路徑，該路徑所形成的風險為中觀信息系統的“控制風險”，即內部控制制度體系未能及時預防或發現系統中的某些錯誤或不法行為，以致中觀信息系統遭受損失的可能性。與“a→b→c”路徑比較，該路徑多出“P.內部控制”過程，這說明當威脅已產生并將利用系統的脆弱點時，中觀經濟主體已經對該脆弱點設計了內控制度體系，但是由于內部控制制度設計的不科學、不完善或沒有得到有效執行，從而造成內部控制未能阻止“威脅”，致使中觀信息系統形成風險。中觀信息系統損失的形成遵循“c→d→e”路徑。然而，由于中觀信息系統自身具有一定的風險防御能力（即“d.風險承受力”），因而并非所有風險都將造成損失。當中觀信息系統識別并抵抗部分風險后，最終未能消除的風險通過對系統的負面作用，會給中觀信息系統造成間接或直接的損失。







　　
　　
　　三、 中觀信息系統固有風險的評價模式
　　
　　圖1中的“a→b→c”路徑是中觀信息系統固有風險產生的路徑，固有風險形成的條件是“假定不存在內部控制制度”。評價固有風險是中觀信息系統審計準備階段的一項基礎工作，只有正確評價固有風險，才能合理評估審計風險，準確確定審計范圍并制定審計計劃［56］。筆者認為，BS7799標準之所以能夠有效評價中觀信息系統的固有風險，是因為BS7799標準的管理要項、管理目標，控制措施與管理要點組成了信息安全管理體系，這個體系為IT審計師確定與評價系統固有風險提供了指南［7］。BS7799標準對IT審計師評價固有風險的貢獻見上表1。
　　
　　(一) 物理層次的風險評價
　　
　　物理層次的內容包括物理環境安全與物理環境設備［7］，其中，物理環境安全包括硬件接觸控制、預防災難措施和網絡環境安全；物理環境設備包括支持設施、硬件設備和網絡物理環境。針對上述分類，下面對物理層次風險評價進行具體分析。
　　
　　首先是物理環境安全風險評價。在評價物理環境安全風險時，可以借鑒BS7799標準A、B、D1、D3、E、G8、H5、I、J。例如，IT審計師在了解被審中觀信息系統的“預防災難措施”時，可參照“A.安全方針”，依據BS7799對“安全方針”進行闡述，了解被審系統的“信息安全方針”，關注被審系統在相關的“方針與策略”中是否估計到了系統可能遭遇的所有內外部威脅；當威脅發生時，是否有具體的安全保護規定及明確的預防措施；對于方針的執行，是否對每位員工都有所要求。假若IT審計師在審計中未找到被審系統的“安全方針”，或找到了但“安全方針”并未涉及有關“災難預防”方面的安全措施，則IT審計師可直接認定被審系統在這方面存在固有風險。其次，物理環境設備風險評價。在評價物理環境設備風險時，可以借鑒BS7799標準A、B、C1、D、E2、E3、F6、G3、G8、H5、I、J。例如，IT審計師在了解被審系統有關“硬件設備”的情況時，可參照“C1.資產責任”。BS7799標準對“資產責任”的說明有“組織可根據運作流程與系統結構識別資產，列出清單”，“組織的管理者應該確定專人負責相關資產，防止資產的被盜、丟失與濫用”。借鑒C1的信息安全管理目標與措施，IT審計師可以關注被審單位是否列出了系統硬件設備的清單，是否有專人對資產負責。如果相關方面的管理完備，則說明“硬件設備”在責任方面不存在固有風險，IT審計師也不需要再對此方面的固有風險進行評價。再如，IT審計師在確認“硬件設備”方面的固有風險時，還可參照“E3.通用控制”。BS7799標準對“通用控制”的說明有“定期進行資產清查”，“未經授權，資產不能隨便遷移”等。借鑒這一措施，IT審計師需要了解被審系統的有關資產清查記錄以及資產轉移登記手續，如果相關記錄不完整或手續不完備，則IT審計師可直接認定“硬件設備”在控制方面存在固有風險。
　　
　　(二) 邏輯層次的風險評價
　　
　　邏輯層次的內容包括軟件環境、系統生命周期和邏輯安全［7］。其中，軟件環境包括系統軟件、網絡軟件與應用軟件；系統生命周期包括系統規劃、分析、設計、編碼、測試、試運行以及維護；邏輯安全包括軟件與數據接觸、數據加密機制、數據完整性、入侵檢測、病毒與惡意代碼以及防火墻。針對以上分類，下面對邏輯層次風險評價進行具體分析。
　　
　　首先是軟件環境風險評價。在評價軟件環境風險時可以借鑒BS7799標準A、B、C1、D、E1、E3、F、G、H、I、J。例如，IT審計師在掌握被審系統有關“網絡軟件”的情況時，可借鑒“G2.用戶訪問管理”標準。BS7799對該標準的闡述包括“建立用戶登記過程，對用戶訪問實施授權”，“對特權實行嚴格管理”，“對用戶口令進行嚴格管理”等。借鑒G2下相關信息安全管理措施，IT審計師可以詳細核查被審網絡軟件是否建立了用戶注冊與登記過程、被審軟件的特權管理是否嚴格、是否要求用戶秘密保守口令。假若IT審計師發現用戶并未得到訪問網絡軟件的權限卻可以輕易訪問網絡軟件，則該軟件必然存在風險，IT審計師就可通過與BS7799標準比照并發表評價結論。又如，IT審計師在評價“系統軟件”固有風險時，可借鑒“G5.系統訪問與使用的監控”標準。該標準的闡述有“使用終端安全登陸程序來訪問信息服務”，“對高風險的不活動終端采取時限措施”。IT審計師在評價“系統軟件”自身風險時，可套用上述安全措施，逐項分析被審系統軟件是否完全達到上述標準并作出合理的風險評價。其次是系統生命周期的風險評價。在評價系統生命周期風險時，可借鑒BS7799標準A、B、D1、D3、E、F1、F2、F3、F4、F6、F7、G、H、I、J。如IT審計師在檢查被審系統的“系統設計”時，可參照“H1.系統安全要求”。H1的解釋為“系統設計階段應該充分考慮系統安全性，組織在項目開始階段需要識別所有的安全要求，并將其作為系統設計開發不可或缺的一部分進行調整與確認”。因而，IT審計師在檢查系統設計有關資料時，需要分析被審單位是否把上述解釋融入系統設計中，或是否全面、有效地融入設計過程，如果被審單位考慮了諸因素，IT審計師就可以確認被審系統的設計環節在此方面不存在風險。假若IT審計師發現在系統設計階段被審單位沒有考慮到需要“引入控制”，且在系統運營期間對系統的“控制”也不夠重視，則IT審計師可以作出系統自身安全及系統設計開發過程存在風險的結論。第三是邏輯安全的風險評價。在評價邏輯安全風險時，可以借鑒BS7799標準A、B、C2、D、E1、E3、F、G1、G2、G4、G5、G6、G7、G8、H、I、J。IT審計師在檢查被審系統的“病毒與惡意代碼”時，可借鑒“G4.網絡訪問控制”。BS7799對該標準的闡述有“建立并實施網絡用戶服務使用方針”，“從用戶終端到網絡服務的路徑必須受到控制”以及“對外部鏈接的用戶進行身份鑒別”等。IT審計師在審計過程中，應該關注被審系統在上述方面的執行思路與執行程度，假若被審單位對上述方面缺乏重視，則惡意用戶未經授權或未受限制就能輕易訪問系統，系統遭受病毒或惡意代碼損害的風險會相應加大。再如，IT審計師在評價系統“數據完整性”的風險時，可借鑒“F1.操作程序與職責”。該標準的描述有“在執行作業的過程中，提供差錯處理及例外情況的指導”，“進行職責分離，減少出現非授權更改與數據信息濫用的機會”等。結合上述措施，IT審計師應該關注被審單位是否通過外鍵、約束、規則等方式保障數據的完整性，如果被審單位沒有按照上述方法操作，則被審系統將會在“數據完整性”方面存在風險。
　　
　　需要強調的是中觀信息系統固有風險的評價較為復雜。在理論研究中，本文僅選取BS7799的某些標準舉例進行闡述，但在實踐中，IT審計師不應只借鑒BS7799標準的單個或部分標準，就做出某方面存在“固有風險”的結論。如僅從C1看，“硬件設備”無固有風險，但從E3看，“硬件設備”確實存在固有風險。鑒于此，IT審計師應由“點”及“面”，全面借鑒BS7799標準的整個體系。只有如此，才能更科學具體地進行物理及邏輯層次的風險評價。
　　
　　
　　四、 中觀信息系統內部控制的評價機制
　　
　　圖1中的“a→b→P→c”路徑是中觀信息系統控制風險產生的路徑，控制風險的形成條件是“假定存在內部控制制度，但是內控制度不科學、不健全或執行不到位”，產生控制風險最主要的原因是內部控制機制失效，即“P”過程出現問題。評價內部控制是IT審計師防范審計風險的關鍵，也是中觀信息系統審計實施階段的一項重要工作。然而，當前我國信息系統審計方面的標準與規范僅有四項，因而IT審計師對信息系統內部控制的評價還處于摸索階段，急需詳細的流程與規范進行指導。筆者認為，BS77991《信息安全管理實施細則》與BS77992《信息安全管理體系規范》能夠為IT審計師評價中觀信息系統的內部控制提供思路。BS7799是一套完備的信息安全管理體系，IT審計師完全可以借鑒其體系與框架來設計中觀信息系統內部控制評價流程，構建適用于中觀信息系統的審計流程。BS7799標準的具體借鑒思路見表1，具體闡述如下。







　　
　　(一) 一般控制的評價
　　
　　1. 組織管理的內部控制評價
　　
　　在評價組織管理的內控時，可借鑒BS7799標準A、B、C1、D1、D3、E、F、G、H、I、J。IT審計師可將BS7799標準體系作為信息系統組織管理內部控制的衡量標準，并以此確認被審系統組織管理內控制度的科學性與健全性。假若某中觀經濟主體將信息系統的部分管理活動外包，則IT審計師可借鑒BS7799中的“B3.外包控制”標準，檢查外包合同的全面性與合理性。如果被審單位在外包合同中規定了信息系統的風險、承包主客體各自的系統安全控制程序，并明確規定了“哪些措施必須到位，以保證涉及外包的所有各方關注各自的安全責任”，“哪些措施用以確定與檢測信息資產的完整性和保密性”，“采取哪些實物的和邏輯的控制以限制和限定授權用戶對系統敏感信息的訪問”以及“發生災難時，采用怎樣的策略來維持服務可用性”，則IT審計師就可確認被審系統在外包方面的控制設計具有科學性與全面性，只需再對外包控制條款的執行效果進行評價就可以得出對被審單位外包活動評價的整體結論。
　　
　　2. 數據資源管理的內部控制評價
　　
　　在評價數據資源管理的內控時，可以借鑒BS7799標準A、B、C、D、E1、E3、F、G、H、I、J。信息系統數據包括數據字典、權限設置、存儲分配、網絡地址、硬件配置與系統配置參數，系統數據資源管理有數據存放、備份、恢復等，內容相對復雜。IT審計師在評價數據資源管理的內部控制時，也需要借鑒BS7799標準體系。例如，IT審計師可借鑒“F1.操作程序與職責”或“G6.應用訪問控制”評價數據資源管理。F1與G6的闡述有“識別和記錄重要數據的更改”、“對數據更改的潛在影響作出評估”、“向所有相關人員傳達更改數據的細節”、“數據更改不成功的恢復措施”、“控制用戶的數據訪問權，如對讀、寫、刪除等進行限制”、“在系統共享中，對敏感的數據實施高級別的保護”。IT審計師在審計時，有必要根據上述思路對系統數據管理的控制制度進行深層次評價。在當前缺乏信息系統審計規范的情況下，以BS7799體系作為評價數據資源管理內部控制的指南，不失為一種好的審計策略。
　　
　　3. 環境安全管理的內部控制評價
　　
　　在評價環境安全管理的內控時可以借鑒BS7799標準A、B、C1、D、E、F、G、H、I、J。信息系統的環境安全管理包括物理環境安全管理與軟件環境安全管理，系統環境是否安全決定著危險因素對脆弱性的攻擊程度，進而決定著信息系統風險。IT審計師在審計系統環境的安全管理過程時，需要關注設備、網絡、軟件以及硬件等方面。在評價系統環境安全管理的內部控制時，IT審計師有必要借助上述BS7799標準體系。例如，BS7799的“E1.安全區域”標準與“E2.設備安全”標準的解釋有“信息處理設施可能受到非法物理訪問、盜竊、泄密等威脅，通過建立安全區域、嚴格進入控制等控制措施對重要的系統設施進行全面保護”，“應該對信息處理設施運作產生不良影響的環境條件加以監控，如，濕度與溫度的影響”。類似上述的BS7799系列標準都為IT審計師如何確認環境安全管理的內控提供了審計指導，且其指導思路清晰、全面。IT審計師通過借鑒BS7799系列標準，可以深層次挖掘系統環境安全管理規章制度中存在的疏漏以及執行中存在的問題，從而有效評判環境安全管理的控制風險。
　　
　　4. 系統運行管理的內部控制評價
　　
　　在評價系統運行管理的內控時，可以借鑒BS7799標準A、B、C1、D、E1、E3、F、G、H、I、J。中觀經濟主體對運行系統的管理相對復雜，涉及到系統組織、系統維護、系統完善等多個方面。由于系統運行中需要管理的環節繁多，而且目前也沒有規范與流程可以參考，因而，評價系統運行管理的內控也有必要借鑒上述BS7799標準體系。例如，BS7799標準“D2.設備安全”與“H5.開發與支持過程中的安全”的闡述有“信息系統操作者需要接受安全意識培訓，熟悉與系統運行相關的安全職責、安全程序與故障制度”，“系統運行中，建立并實施更改控制程序”以及“對操作系統的更改進行技術評審”等方面。IT審計師采用詢問、觀察、檢查、穿行測試等方法評審系統運行管理的內部控制，需要有上述明細的、清晰的信息安全管理規則予以指導，這些標準可以指導IT審計師了解被審系統是否有健全的運行管理規范及是否得到有效運行，借此，IT審計師可以作出全面的內控判斷，進而出具正確的審計結論。
　　
　　(二) 應用控制的評價
　　
　　信息系統的應用控制包括輸入控制、處理控制與輸出控制。在評價系統輸入控制、處理控制以及輸出控制三者的內控時，同樣有必要借鑒BS7799標準，且BS7799標準中A、B、D、E1、E3、F1、F2、F3、F4、F5、F7、G1、G2、G4、G5、G6、G7、G8、H、I、J相對應的信息安全管理目標與措施能夠在IT審計師對三者進行內控評價時提供相對詳盡的審計框架。為確保信息系統輸入、處理與輸出的信息完整、正確，中觀經濟主體需要加強對信息系統的應用控制。IT審計師在中觀信息系統審計的過程中，需要做到對被審系統應用控制進行正確評價。
　　
　　在IT審計師對應用控制的符合性測試過程中，上述BS7799標準體系可以對應用控制評價進行全程指導。例如，BS7799標準中“H2.應用系統的安全”提到“數據輸入的錯誤，可以通過雙重輸入或其他輸入檢查偵測，建立用于響應輸入錯誤的程序”，“已正確輸入的數據可因處理錯誤或故意行為而被破壞，系統應有確認檢查功能以探測數據的破壞”，“為確保所存儲的信息相對于各種情況的處理是正確而恰當的，來自應用系統的輸出數據應該得到確認”等控制策略，并提出了相對詳細的控制措施。應用控制環節是信息處理的脆弱集結點，IT審計師在進行應用控制的符合性測試環節時有必要考慮周全，詳盡規劃。IT審計師可以遵循H2全面實施針對應用控制的審計，依照BS7799標準體系，檢查被審系統對于超范圍數值、數據區中的無效字符、丟失的數據、未經認可的控制數據等系統輸入問題的控制措施以及應急處理能力；檢查是否對系統產生的數據進行了確認，系統的批處理控制措施、平衡控制措施等，以及相關控制行為的執行力度；檢查信息輸出是否實施了可信性檢查、一致性控制等措施，如果有相關措施，那么執行力度如何。BS7799標準體系較為全面，對于IT審計師評價系統的應用控制貢獻很大，如果IT審計師能夠創造性借鑒該標準，必可做好符合性測試，為實質性測試夯實基礎，也定會提高審計質量。
　　
　　
　　五、 結束語
　　
　　表1是筆者在分析某商業銀行信息系統與某區域物流信息系統的基礎上，對“BS7799標準如何應用于信息系統審計”所進行的設計，當針對其他行業時，或許需要對表1進行適當調整。不同行業、不同特性的中觀經濟主體在信息系統審計中運用BS7799標準時側重點會有所不同。本文以分析中觀信息系統風險為著手點，沿用BS7799標準對中觀信息系統審計進行研究，旨在拋磚引玉。