浅谈信息安全审计概念的由来
或许对很多企业来说，安全审计只是个名词而已，并不清楚它的具体内容和作用许多企业想要对自己的信息系统实施安全审计，管理层和技术人员也不知道如何开始，而同时受限于国内企业的信息化水平，企业也很难找到成体系的安全审计知识。审计审计，英文称之为“audit”，基维百科上给出的定义是评价一个人、组织、制度、程序、项目或产品。审计执行是以确定有效性和可靠性的信息，还提供了一个可内控的评估系统。审计的目标是在测试环境中进行评估工作，并表达人组织系统等的评估意见。由于实际情况的限制，审计要求只提供合理、无重大错误的保证报表，审计往往是通过统计抽样。也可以这样理解审计，审计Audit是指检查、验证目标的准确性和完整性，用以检查和防止虚假数据和欺骗行为，以及是否符合既定的标准、标竿和其它审计原则。各国各级政府、组织一般都设有专门独立的审计部、审计委员会、审计署等机构。以往的审计概念主要用于财务系统。财务审计是用真实的和公正的财务报表来体现的。传统的审计，主要是获取金融体系和金融记录的公司或企业的财务报表的相关信息。而随着科技信息技术的发展，大部份的企业、机构和组织的财务系统都运行在信息系统上面，所以信息手段成为财务审计的一种技术的同时，财务审计也间接带动了通用信息系统的审计。审计已开始包括其他信息系统，如有关环境审计和信息技术审计。IT审计信息技术审计，或信息系统审计，是一个信息技术IT基础设施控制范围内的检查。信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。IT审计最早出现在IT应用比较深入的金融业，后来逐渐扩展到其他行业。IT审计的目标是协助组织信息技术管理人员有效地履行其责任，以达成组织的信息技术管理目标。组织的信息技术管理目标是保证组织的信息技术战略，充分反映该组织的业务战略目标，提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性，提高信息系统运行的效果与效率，保证信息系统的运行符合法律、法规及监管的相关要求。信息安全审计随着2002年美国安然公司和世通的财务欺诈案爆发后，美国紧急出台了萨班斯法案SOX，赋予了“审计”新的意义。《萨班斯奥克斯利法案2002Sarba
esOxleyAct》的第302条款和第404条款中，r