Sissy有福相
年内部审计个人工作计划
新年的钟声已经敲响了。回顾一年的学习工作,我们在忙碌中也取得了很大的成绩。为了在新的一年里更好的工作,特制订以下的工作计划:
一、总体工作思路
20xx年审计工作的总体思路是:以科学发展观为指引,认真贯彻落实省、市审计工作会议和区委全委扩大精神,着力推动审计工作创新创优,狠抓审计质量建设和队伍建设,为现代化国际城市新中心建设作出新贡献。
二、工作目标任务
一审计项目安排:
20_年暂计划安排审计项目47项部分经济责任审计项目待确定后再增加,其中:财政预算执行情况审计1项、经济责任审计5项、部门预算执行审计1项、固定资产投资审计35项其中决算审计11项、跟踪审计24项、专项审计调查5项市局统一组织2项、自定项目3项。具体项目计划见附表。
1.财政预算执行情况审计
对20_年区本级财政预算执行情况和其他财政收支情况进行审计,审计中重点以预算管理和资金分配为重点,以预算执行效率、专项资金管理和非税收入管理为主要内容,关注国库集中支付改革推进和配套制度建立情况,促进预算分配公开透明、科学规范,财政资金运行安全、合理有效。
2.经济责任审计
根据区委组织部委托,暂安排对5名区管领导干部进行经济责任审计部分经济责任审计项目待确定后再增加,审计中将守法守规守纪尽责放在更加突出位置,加强对专项资金使用的绩效评估,力争在推动案件查处和防腐倡廉上实现新突破。
二其他审计工作:
1.根据全区统一部署,组织开展河北村800亩城中村改造、清河路188亩、江心洲一、二期、鹭鸣苑危旧房改造、河西南部剩余地块、南河风光带等6项拆迁资金跟踪审核工作。
2.完成区委、区政府部署的其他临时性审计任务,协助区纪委、监察局和司法等部门做好查案、办案工作。
3.加强审计调研和审计信息工作,建立审计调研和审计信息责任制,每个科室全年要完成不少于1篇高质量的审计调研文章,每人每年要编报6篇审计信息。
4.完成档案管理省级三星复查工作。
5.加强全区内部审计的指导、管理和服务工作。
三、主要工作措施
一转变观念,着力推动审计科学转型。
要始终围绕区委、区政府中心工作开展审计,用解放思想引领审计工作创新,促进审计科学转型。注重加强审计服务。牢固树立审计服务中心工作意识,增强审计工作的主动性、创造性,自觉将审计融入全区经济社会发展大局,积极为领导提供有效的决策依据,当好决策参谋。
二创先争优,着力打造精品审计项目。
三夯实基础,着力提高审计队伍素质。
要有计划加强审计人员的政治思想教育和业务技能培训,不断提高其综合素质。一是抓紧思想政治建设。通过扎实的思想政治教育,使审计人员政治上坚定、思想上纯洁,具备无私奉献的思想品格,保持良好的职业道德,为圆满完成审计任务打下坚实的思想基础。二是抓实业务技能培训。要结合实际,深入贯彻落实各级关于改进工作作风的有关规定,要在全局大兴务实之风,始终坚持求真务实、严谨细致、客观公正的工作作风,增强政治意识,大局意识和责任意识,进一步提高工作主动性、扎实性,以务实的作风完成好各项工作任务。
四立足实际,着力加强党建和精神文明建设。
坚持两手抓的工作理念,立足自身实际,以过硬的党建工作和深入的精神文明建设,促进审计工作全面发展。主要是从认真落实党建工作制度反面下手,继续坚持党员轮流上党课,年内组织召开1次领导干部民主生活会,积极参加全区统一组织的结对帮扶、一助一和文明城市创建等工作。
年内部审计个人工作计划
一、加强内部审计组织领导,完善内部审计管理体制
按照集团公司要求,结合公司实际,进一步建立健全内部审计向公司党委、董事会负责的工作体制机制,加强内部审计组织领导,完善内部审计管理制度和流程,从管理体制上保障内部审计的独立性和权威性,确保内部审计部门客观、公正、有效开展审计监督工作,推进审计全覆盖,落实审计整改责任。优化完善内部监督协同机制,通过建立部门联席会议等方式,加强各类监督部门间的沟通交流、协同互动,推动监督信息共享、监督成果共用、关键业务共同实施、整改问责共同落实。
二、推进审计标准化、规范化和信息化,提高审计质量
根据GJ及集团公司关于内部审计工作的有关新要求完善审计工作规范和标准体系,有序开展审计质量提升活动,推进审计信息化建设,切实提高审计工作效率。同时,按照GJ有关要求和集团公司统一的审计制度、程序和标准实施审计项目,加强对中介机构审计质量的管控,确保审计程序和标准执行到位,促进审计质量提高。
三、做好重点领域审计工作,服务公司改革发展大局
20xx年,公司将紧密围绕中心任务,坚持问题导向、目标导向、结果导向,坚持三个区分开来,聚焦公司重大事项和关键领域,聚焦抓重点、补短板、强弱项,推进审计项目、审计组织方式两统筹,发挥内部审计增值作用,服务公司发展大局。
(一)开展重大政策、决策部署落实情况审计。
(二)做好审计署、集团公司等外部审计监督配合工作。
(三)做好年度财务决算审计监督工作。
四、加强审计问题整改落实,完善审计成果运用机制
建立健全审计发现问题整改机制,扎实抓好审计问题整改的监督检查和后续整改落实工作。按照制度未完善的不放过、资金未追回的不放过、责任未落实的不放过的三不放过原则,建立审计整改台账,明确整改措施、整改时限、整改责任领导、牵头部门等内容,严格实行对账销号管理,简单问题立审立改、复杂问题限期改正、长线问题挂牌督办;对未按要求完成整改的,按规定进行提醒、约谈、通报批评、责任追究,把审计问题整改情况纳入相关人员考核奖惩,保证整改落实效果。按要求定期组织向公司党委、董事会报告审计发现问题整改情况,落实有关决议,有效发挥审计监督促进企业规范管理、提质增效的作用。
年内部审计个人工作计划
一、指导思想
牢固树立以审计促进公司治理的审计理念,坚持服务大局、围绕中心、突出重点的工作方针,寓服务于监督,寓帮助于促进,充分发挥内部审计对经济安全、健康运行的免疫功能,促进集团经济的平稳、高效发展。
二、工作目标
紧紧围绕集团党委、董事局提出的集团20__年经济工作目标,认真履行集团董事局赋予的职责,全面监督财务收支的真实、合法和效益,突出重点领域、重点项目、重点资金和重点环节,更新观念,创新机制,加大力度,在审查重大违法违规问题的同时,更加注重将内部审计的工作重心从事后查处转向过程控制,以监督促进过程,从治理、机制和制度层面揭示问题,提出建议,改善企业经营管理,提高企业可持续发展能力。
三、工作措施
(一)深化监督,进一步强化审计评价职能,揭示资源配置和使用的合规性和效益性。
审计的根本使命在于协同保证各企业的业务战略与集团的总体战略保持一致性,并能够按照集团发展战略的要求制订规划和分配资源,以保证在集团战略框架下的资源的化配置。在其中,审计应充分发挥监督职能,并在监督的深度和广度上下功夫,有效评价企业战略制订的一致性和资源利用的合规性和效益性,以发现是否存在游离于集团战略之外的经营行为,是否存在不合规的占用资源,是否存在资源的闲置、浪费等,诸如此类,均应该通过合法的审计监督予以揭示,促进集团资源的更优化分配。
(二)突出重点,进一步加大专项审计力度。
20__年,集团审计部将在常规审计工作开展的基础上,有针对性的、有重点的开展以下几方面的专项审计工作,并希望达到两方面目标:一是通过审计发现问题、分析问题、解决问题,提高企业管理水平,促进企业的自我完善;二是总结实践,以便有效推广利用。
1、管理流程审计。管理流程的合理、科学、健全和规范,决定了一个企业的运作是否顺畅和有效率,也能在很大程度上得以规避企业的各种风险。比如,完善的财务操作管理流程能够规避一定的金融风险,完善的投资决策流程能够规避一定的投资失误风险,完善的生产管理流程得以规避一定的产品质量风险。对管理流程进行审计,重点是要检查各企业管理流程是否健全规范,特别是要检查各项重大决策是否经过了必要的讨论和审批程序。走程序,就是守规则,只有守规则,才能限度地控制风险的发生。
2、投资效益审计。投资扩张是企业发展的普遍模式,也是集团目前快速发展的重要途径。但同时,投资失误也有可能给企业带来_性危机,因而也是企业经营管理中的风险所在。对投资效益进行审计,就是要对投资活动进行全方位的事后跟踪,从投资并购项目的发现和选择,到评估论证,审批决策、建设投产、或者重组整合,以及产出效益与预期效益的比较差异,差异发生的原因等等。投资效益审计的着眼点不仅在于发现投资管理中的问题,还要重视总结和推广实践,使集团投资管理的丰富实践可以成为共享的无形资产。
3、采购供应链审计。采购供应链管理既是企业价值创造的重要环节,也是企业成本控制的重要环节,还是企业利益攸关的重要环节。采购供应链管理水平高低,会直接影响企业经营的成本效益。而采购管理的缺失,则会给企业带来重大损失,甚至导致企业发生重大经营风险。因此,重视和加强采购供应链的管理,
是企业内部控制的关键节点。对采购供应链管理进行审计,目的在于推动企业完善采购供应链的管理制度,规范采购人员的行为准则,健全采购供应活动的文档记录,使采购供应管理更加有效率和效益性。
(三)更新思维,进一步加强审计咨询和服务职能,寓帮助于监督,切实提高企业运营效率和效益。
集团审计部要求每个审计人员在开展审计过程中,应摒弃传统审计理念,要与时俱进,加强审计理论研究和审计方法创新,推进内部审计职能从单纯监督向监督、服务并重转变,把服务企业、提高企业管理水平作为一个重要工作内容。一是通过审计发现和审计评价,帮助各企业增强风险意识,及时识别潜在风险,有效防范风险发生,建立健全风险控制机制;二是通过审计测试,帮助各企业增强流程再造意识,及时发现流程制定过程中的冗长和效率低下的问题,提高流程运行效益;三是通过审计总结实践,帮助各企业在项目运作方面少走弯路,减少机会成本的投入。
(四)建章立制,进一步强化审计工作规范性,提高审计工作质量。
随着一系列审计制度的出台,集团审计工作已逐步走向制度化、规范化的发展道路,通过制度的建立明确预防机制、监督机制和纠错机制,一是通过制度指导审计执业,提高审计效率,保证审计质量;二是以制度管理审计行为和结果,明确责任,惩前毖后,保证审计结果的落实和审计成果的有效转化。20__年,集团审计部将进一步梳理审计业务流程,以控制和风险为导向,在监督环节下力气,在预防环节下功夫,不断完善审计在新领域的执行规则,以提高审计效果。
年内部审计个人工作计划
一、指导思想。
20xx年内部审计工作将紧密围绕集团公司发展目标,树立以监督促治理的审计理念,坚持围绕集团中心、突出重点、求真务实的工作方针,建立、健全各项内部审计规章制度,有效开展内部审计工作,确保内部审计工作质量,充分发挥内部审计监督、管理、服务职能,为集团公司的发展提供保障。
二、年度工作目标。
采取先易后难的原则,从开展财务收支审计入手,初步确定年底前完成对xx股份有限公司所属各子公司的财务收支审计,力争用一年的时间对集团所属各子公司轮流实施一遍财务收支审计。通过监督各子公司财务收支的真实性、合法性、效益性,从治理机制和完善内控制度的层面揭示问题并提出审计建议,督促被审计单位逐步规范和提高经营管理。积累一定的工作经验后,再根据集团公司的总体要求逐步开展其他类型的审计。
三、年度工作计划。
(一)开展财务收支审计和内控情况检查工作。
随着集团公司经营规模的不断扩张,经营模式不断变化改进和完善,内部审计的工作任务也更加艰巨。
针对目前内部审计人员少,审计力量有限的工作实际,从基础的财务收支审计入手,争取用一年左右时间对集团所属各公司轮流实施一遍审计。从资产、负债、权益和损益的真实性、合法性和效益性方面进行审计,同时结合各公司内部控制制度的建立和执行情况进行监督和评价,掌握集团各公司经营管理状况和内控制度建立、执行情况,查找和完善内部控制中财务管理的薄弱环节。为后期在集团公司逐步开展经济效益审计、离任经济责任审计、风险管理审计奠定扎实基础。同时,根据集团公司工作部署和领导交办完成专项审计工作。
(二)建立健全内部审计工作制度,从制度上保障内部审计工作的开展。
根据GJ和内部审计协会相关法律、法规、规定,结合的集团公司实际,逐步建立健全内部审计制度和管理办法,在组织和制度上保障内部审计工作的正常开展。
1、制定内部审计管理办法,从内部审计工作职责和权限、内部审计工作程序、内部审计工作要求、奖惩等方面加以完善,在组织和制度上为内部审计工作的正常开展提供保障。
2、制定财务收支审计实施细则,作为对公司及所属各单位财务收支活动的真实性、合法性、合规性和效益性进行审计监督的指导文件,规范开展内部审计工作。
3、制定内部审计工作文档模板,内容包括审计通知书、审计书、被审计单位基本情况表、审前调查记录表、审计证据汇总记录表、审计工作底稿、审计报告等,从格式上规范审计工作文档。
4、借助集团公司内部报刊和OA平台,宣传普及内部审计、内部控制、风险管理等相关知识和内容,提高公司员工树立内部控制和风险管理的意识,为今后开展相关审计工作奠定基础。
(三)坚持以人为本,加强内部审计人才队伍建设。
积极营造有利于内部审计人才成长的良好环境,是开展内部审计工作成败的关键所在。因此,要进一步优化审计人才成长的环境,不断为审计人才队伍注入新的生机和活力。
1、与四川省内部审计师协会取得联系,在业务上接受其指导。分期分批选派集团公司内审人员及所属各公司财务骨干集中参加专业培训,获取内审专业资格证书,努力提高内部审计人员的专业素质,为内部审计工作下一步在各公司的开展和落地生根创造条件。
2、认真学习执行《内部审计人员职业道德规范》,培养审计人员不断增强全局意识、责任意识、管理意识、风险意识和自律意识,提高政治素质和综合素质。
3、通过参与和执行审计项目,在实践中学习和摸索方法,逐步积累和总结内部审计工作经验,提高审计专业技能和水平。
4、购买内部审计、内部控制、风险管理等专业理论书籍和培训课件,充实内审人员的专业理论知识,提高专业技能水平,更好地服务于集团公司。
5、通过集团公司人力资源部引进和招聘各类审计专业人才,充实集团公司审计力量,在人员和力量上为开展内部审计工作奠定基础。
四、内部审计工作要求。
(一)合理调配审计资源,按照审计项目计划分别下达审计通知,成立审计小组,明确分工和责任。
(二)以客观公正、事实求是为原则,依法依规实施审计。
(三)严格审计程序,规范审计行为,确保审计质量。
(四)严格遵守廉洁从业若干规定,恪守内部审计人员职业道德规范。
年内部审计个人工作计划
为进一步规范财务管理,提高经费使用效益,防止国有资产流失,根据上级主管部门的要求和学院实际,从今年开始将开展内部审计工作。现制定我院年内部审计工作计划。
一、年度审计工作目标
xx年的内部审计工作,以三个代表重要思想为指导,以GJ财经法规、财务管理制度为依据,以财务收支行为的真实性、合法性、效益性为重点,结合我院年工作要点、学院党风廉政建设和反腐 败工作的主要任务,把促进管理,防范资金风险,提高资金使用效益,增进服务,作为审计工作的出发点,针对合理科学利用教育资源,防止铺张浪费等内容开展审计。对被审单位的财务收支行为做出客观评价,并针对审计发现的问题提出审计意见和建议,帮助和督促被审计单位及时整改。
二、审计的内容
1、根据内部审计的规定要求,有计划地对教学系的教师津贴发放,学生奖学金、助学金发放,班费、实习费等使用情况进行内审;
2、根据内部审计的规定要求,有计划地对电大工作部的学费、教材费等收缴情况进行内审;
3、根据内部审计的规定要求,有计划地对附属中学的学费、教材费等财务收支情况进行内审;
4、根据内部审计的规定要求,有计划地对成人教育部的学费、教材费等收缴情况进行内审;
5、根据内部审计的规定要求,有计划地后勤集团的财务收支进行审计;
6、根据内部审计的规定要求,有计划地对学院招待费使用情况进行内审;
通过开展财务周期审计,使审计工作规范化、制度化,及时评价部门财经管理状况,加强事前防范,促进部门管理自律。
三、审计的方法及范围
审计的方法是:首先各单位自查,并形成自查报告;其次内审人员采取审查资料、个别访谈、审计调查等方法进行。
审计的范围是:教学系及相关单位_年以来的财务收支情况,其中教学系学生奖学金等项抽查一个年级。
四、时间安排
1、上半年对教学系进行内审;
2、下半年对电大工作部、附属中学、成人教育部、后勤集团(xx公司)等部门进行审计。
五、有关资料的提供
1、学生奖学金、助学金发放,评定办法、评定程序、评定结果;班费、实习费的使用情况等资料。
2、院、系两级教师津贴发放及津贴分配与二次分配办法。
3、电大工作部、附属中学、成人教育部各类生源的收费依据;后勤集团(xx公司)各类收费的依据。
4、学院有关接待、招待的文件、审批表、月汇总表等。
六、其它相关工作
学院内部审计工作,由院监察审计室牵头,抽调相关人员,组成年学院内部审计工作组,工作组依据GJ、省、市相关文件和教育部《教育系统内部审计工作规定》开展工作,院属各单位要积极配合,搞好内部审计,使我院的各项事业又好又快地发展。
媛姐姐丶
信息系统安全策略是针对本单位的计算机业务应用信息系统的安全风险(安全威胁)进行有效的识别、评估后,所采取的措施、手段,以及建立的各种管理制度。 1、安全策略的核心内容是“七定”:定方案、定岗、定位、定员、定目标、定制度、定工作流程。 2、安全策略需要处理好的关系 ①安全与应用的依存关系:安全与应用是矛盾统一的。没有应用就不会产生相应的安全需求;发生安全问题,就不能更好地开展应用; ②风险度的观点:信息系统的安全目标定位于“系统永不停机、数据永不丢失、网络永不瘫痪、信息永不泄密”; ③适度安全的观点; ④木桶效应的观点; ⑤信息系统安全等级保护概念。 a、第一级:用户自主保护级:通过隔离用户与数据,使用户具备自主安全保护的能力; b、第二级:系统审计保护级:适用于通过内网或国际网进行商务活动,需要保密的非重要单位; c、第三级:安全标记保护级:具有系统审计保护级的所有功能。适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设邓单位; d、第四级:结构化保护级:建立于一个明确定义的形式安全策略模型之上,要求将第三级中的自主和强制访问控制扩展到所有主体与客体。适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位和国防建设部门; e、访问验证保护级:满足访问控制器需求。访问控制器本身是抗篡改的,必须足够小,能够分析和测试。适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。 安全保护等级由2个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。 3、信息安全系统:是信息系统的一部分,用于保证“业务应用信息系统”正常运营。用三维空间来反映信息安全系统的体系架构及其组成: ①X轴是“安全机制”。安全机制可以理解为提供某些安全服务,利用各种安全技术和技巧,所形成的一个较为完善的结构体系; ②Y轴是“OSI网络参考模型”。信息安全系统的许多技术、技巧都是在网络的各个层面上实施的,包括物理层、数据链路层、网络层、传输层、会话层、表示层和应用层; ③Z轴是“安全服务”,从网络中的各个层次提供给信息应用系统所需要的安全服务支持。 X、Y、Z三个轴形成的信息安全系统三维空间就是信息系统的“安全空间”。包含“认证、权限、完整、加密和不可否认”五大要素,也叫作“安全空间”的五大属性。 4、安全服务:分为对等实体认证服务(对对方实体的合法性、真实性进行确认,以防假冒)、数据保密服务、数据完整性服务、数据源点认证服务、截止否认服务、犯罪证据提供服务。 5、安全技术:加密技术、数字签名技术、访问控制技术、数据完整性技术、认证技术、数据挖掘技术。 6、信息安全系统架构体系 ①MIS+S系统:初级信息安全保障系统或基本信息安全保障系统,其特点包括:业务应用系统基本不变、硬件和系统软件通用、安全设备基本不带密码; ②S-MIS系统:标准信息安全保障系统,其特点包括:硬件和系统团建通用,PKI/CA安全保障系统必须带密码、业务应用系统必须根本改变、主要的通用的硬件、软件也要通过PKI/CA认证; ③S2-MIS系统:超安全的信息安全保障系统:其特点为硬件和系统软件都专用,PKI/CA安全基础设施必须带密码,业务应用系统必须根本改变。 7、ISSE过程:工程过程、风险过程(一个有害事件由外部威胁、内部脆弱性和影响三个部分组成)和保证过程。 8、PKI(公钥基础设施):以不对称秘钥加密技术为基础,以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施,PKI的基本构件包括: ①数字证书:由认证机构经过数字签名后发给网上信息交易主体的一段电子文档校验对方的身份真伪,保证交易信息的真实性、完整性、机密性和不可否认性。数字证书是PKI的基础; ②认证中心:CA是PKI的核心,由公正、权威、可信的第三方认证机构,负责数字证书的签发、撤销和生命周期的管理,还提供秘钥管理和证书在线查询等服务; ③数字证书注册审批机构:RA系统是CA的数字证书发放、管理的延伸; ④其它:数字签名、密钥和证书管理工具、双证书体系、PKI的体系架构、PKI信任服务体系、PKI密钥管理中心。 9、证书标准:版本号、序列号、签名算法标识符、认证机构、有效期限、主题信息、认证机构的数字签名、公钥信息。 10、PKI/CA对数字证书的管理:按照数字证书的生命周期实施的,包括证书的安全需求确定、证书申请、证书登记、分发、审计、撤回和更新。 11、CA是一个受信任的机构,为了当前和以后的事务处理,CA给个人、计算机设备和组织机构颁发证书,以证实他们的身份,并为他们使用证书的一切行为提供信誉的担保。 12、PMI即权限管理基础设施或授权管理基础设施。PMI授权技术的核心思想是以资源管理为核心,将对资源的访问控制权统一交由授权机构进行管理,即由资源的所有者来进行访问控制管理。 13、PMI与PKI的区别:PMI主要进行授权管理,证明这个用户有什么权限,能干什么;PKI主要进行身份鉴别,证明用户身份。 14、访问控制的基本概念:信息安全保证机制的核心内容之一。访问控制是为了限制访问主体对访问客体的访问权限,从而使计算机信息应用系统在合法范围内使用;访问控制机制决定用户以及代表一定用户利益的程序能做什么及做到什么程度,有两个重要过程: ①认证过程:通过“鉴别”来检验主体的合法身份; ②授权管理:通过“授权”那赋予用户对某项资源的访问权限。 15、访问控制机制分类:强制访问控制(MAC,用户不能改变他们的安全级别或对象的安全属性)和自主访问控制(DAC-允许对象的属主来制定针对该对象的保护策略,那限定哪些主体针对哪些客体可以执行什么操作)。 16、访问控制的应用:有以下4种: ①DAC,自主访问控制方式:针对每个用户指明能够访问的资源,对不在指定资源列表总的对象不允许访问; ②ACL,访问控制列表方式:目标资源拥有访问权限列表,指明允许哪些用户访问; ③MAC,强制访问控制方式:目标具有一个包含等级的安全标签(不保密、限制、秘密、机密等);访问者拥有包含等级列表的许可,其中定义了可以单温哪个级别的目标。多用于军事和安全部门; ④RBAC,基于角色的访问控制方式:首先定义一些组织内的角色,如局长、科长、职员;再根据管理规定给这些角色分配相应的权限,最后对组织内的每个人根据具体业务和职位分配一个或多个角色。 17、安全审计:记录、审查主体对客体进行访问和使用情况,保证安全规则被正确执行,并帮助分析安全事故产生的原因。 ①安全审计的内容:采用网络监控与入侵防护系统,识别网络各种违规操作与攻击行为,即时相应并进行阻断;对信息内容和业务流程进行审计,可以防止内部机密或敏感信息的非法泄露和单位资产的流失。 ②信息安全审计系统就是业务应用信息系统的“黑匣子”。即使在整个系统遭到灭顶之灾的破坏后,“黑匣子”也能安然无恙,并确切记录破坏系统的各种痕迹和“现场记录”。 ③信息安全审计系统就是业务应用信息系统的“黑匣子监护神”。随时对一切现行的犯罪行为、违法行为进行监视、追踪、抓捕,同时对暗藏的、隐患的犯罪倾向、违法迹象进行“堵漏”、铲除。 ④安全审计的作用:对潜在的攻击者起到震慑或警告作用;对于已经发生的系统破坏行为提供有效的追究证据;为系统安全管理员提供有价值的系统使用日志,从而帮助系统安全管理员及时发现系统入侵行为或潜在的系统漏洞;为系统安全管理员提供系统运行的统计日志,使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方。 ⑤安全审计功能:CC标准将安全审计功能分为6个部分: a、安全审计自动响应功能:定义被测事件指示出一个潜在的安全攻击时做出的响应,他是管理审计事件的需要,这些需要包括报警或行动; b、安全审计数据生成功能:要求记录与安全相关的事件的出现,包括鉴别审计层次、列举可被审计的事件类型,以及鉴别由各种审计记录类型提供的相关审计信息的最小集合; c、安全审计分析功能:定义了分析系统和审计数据来寻找可能的或真正的安全违规操作(分为潜在攻击分析、基于模板的异常检测、简单攻击试探、复杂攻击试探); d、安全审计浏览功能:要求审计系统能够给使授权的用户有效地浏览审计数据,包括审计浏览、有限审计浏览、可选审计浏览。 e、安全审计事件选择功能:要求系统管理员能够维护、检查或修改审计事件的集合; f、安全审计事件存储功能:要求审计系统将提供控制措施,以防止由于资源不可用丢失审计数据。 18、重要应用系统运行情况审计:包括基于主机操作系统代理、基于应用系统代理、基于应用系统独立程序、基于网络旁路监控方式。 19、分布式审计系统:由审计中心(对整个审计系统的数据进行集中存储和管理)、审计控制台(提供给管理员用于对审计数据进行查阅)和审计Agent(直接同被审计网络和系统连接的部件,不同的审计Agent完成不同的功能)组成。
优质审计师问答知识库
