信息系统审计报告.doc

信息系统审计汇报 信息系统审计汇报 段3结论段4结尾段。（正文段： 1审计目的2审计环节及时间3审计根据4采用的技术与措施5审计发现）独立性问题决定了信息系统审计的质量。分为形式上的独立性（审计师与被审计企业无任何特殊的利益关系）和实质上的独立性（审计师的超然性，不依赖和屈从于外界压力的影响）审计准则对“独立性”的论述1职业独立性（对于所有与审计有关的事物，信息系统审计 师应当在态度和形式上独立于被审计单位）2组织独立性（信息系统审计职能应当独立于受审查的范围或活动之外，以保证审计工作完毕的客观性）3审计章程或委托书中应当针对审计职能的独立性和义务做出对应的规定4信息系统审计师应当在审计过程中随时保持态度和形式上的独立性5如出现独立性受损的现象，无论是在实质上还是形式上，应向有关当事人披露独立性收损的细节6信息系统审计师应当在组织上独立于被审计的范围7信息系统审计师、管理层和审计委员会应当定期地对独立性进行评估。8除非被其他职业原则或管理机构所严禁，当信息系统审计师虽然参与信息系统项目，但所担当的并不是审计角色时，并不规定信息系统审计师保持独立性。业务持续计划是企业应对种种不可控义素的一种防御和反应机制。劫难恢复计划是导致业务停止后，怎样以最短时间、至少损失恢复业务的方案。影响业务持续能力的原因有： 1应用系统劫难2自然劫难3人为劫难4 社会劫难。 U4业务持续计划是企业应对种种不可控原因的一种防止和反应机制，而劫难恢复计划则是导致业务已经停止后，怎样以最短时间、至少损失恢复业务的处理预案。前者立足于防止，后者立足于事后的补救。业务持续计划目的为了防止企业正常业务行为的中断而建立起来的计划作用： 保证企业的重要业务流程和运行服务，包括支撑业务的信息系统以及设施，可以在事故发生后持续运行保持一定程度的服务，并能尽快的恢复事故前的服务水平。它的制定并不意味着企业不再受任何事故的影响。难恢复计划与业务持续计划的区别劫难恢复计划是基于假定劫难发生后导致业务已经停止企业将怎样去恢复业务，立足于把损失减小到最低程度；业务持续计划基于这样一种基本原则及无论发生任何意外事件组织的关键业务也不能中断，立足于建立防止机制，强调使企业业务可以抵御意外事件的打击，劫难恢复计划是对业务持续计划的必要补充。业务持续计划的实行包括的阶段项目启动、风险评估、业务影响分析、业务持续性方略规划、业务持续性计划编制、人员培训及训练、业务持续性计划测试与演习以及业务持续性计划更新等重要阶段。其中，风险评估、业务影响分析、计划演习、计划更新是关键原因。业务影响分析的目的通过客观的分析，掌握各关键业务可容许中断的最大时间长度，从而制定各关键业务的恢复时间目的、最低的恢复规定、恢复次序以及支持各关键业务恢复所需的各项业务资源。业务影响分析是制定业务持续计划老式环节中最耗时和最关键的一步，用的是系统化的措施。影响业务持续能力的原因（信息系统劫难）人为原因（分为社会劫难和人为劫难，如人为破坏、袭击系统、管理疏忽）非人为原因（分为自然灾害和应用系统灾害）。防火墙比方隔离在当地网络与外界网络之间的一道防御系统，是一类防 范措施的总称。作用防止不但愿的、未经授权的通信进出被保护的网络，它真正发挥的还必须有企业内部的安全管理措施的配合。目的1限制他人进入内部网络、过滤掉不安全的服务和非法顾客2防止入侵者靠近你的防御设施3限定顾客访问特殊站点4为监视互联网安全提供以便。分类1包过滤型防火墙2代理服务型防火墙3复合型防火墙（结合以上的两种）。包过滤型防火墙一般安装在路由器上，逻辑简朴，价格廉价易于安装和使用，网络性能和透明性好。包过滤技术是在网络层对数据包进行选择检查，与应用层无关。这样系统就具有很好的传播性能，可扩展能力强。缺陷： 也许被黑客袭击；被窃听或假冒。代理服务型防火墙构成服务器端程序和客户端程序。与包过滤防火墙不一样，内、外网间不存在直接的连接，从而起到了隔离防火墙内外计算机系统的作用。代理服务会形成日志，保留袭击痕迹。木马是一类特殊的计