信息安全導(dǎo)論

信息安全導(dǎo)論

IntroductiontoInformationSecurity中央財(cái)經(jīng)大學(xué)信息學(xué)院第12章信息安全管理與審計(jì)信息安全管理體系信息安全風(fēng)險評估信息安全審計(jì)本章小結(jié)12.1

信息安全管理體系12.1.1信息安全管理體系概念12.1.2信息安全管理體系過程方法12.1.3信息安全管理體系構(gòu)建流程12.1.4信息安全管理標(biāo)準(zhǔn)防火墻能解決這樣的問題嗎？WO!3G精心設(shè)計(jì)的網(wǎng)絡(luò)防御體系，因違規(guī)外連形同虛設(shè)12.1信息安全管理體系信息安全管理需求信息系統(tǒng)是人機(jī)交互系統(tǒng)設(shè)備的有效利用是人為的管理過程應(yīng)對風(fēng)險需要人為的管理過程12.1信息安全管理體系三分技術(shù)，七分管理據(jù)有關(guān)統(tǒng)計(jì)，信息安全事件中大約有70%以上的問題都是由于管理方面的原因造成的。數(shù)據(jù)來源CNCERT/CC12.1信息安全管理體系信息安全需要對信息系統(tǒng)的各個環(huán)節(jié)進(jìn)行統(tǒng)一的綜合考慮、規(guī)劃和架構(gòu)，并需要兼顧組織內(nèi)外不斷變化的發(fā)生的變化。木桶原理：信息系統(tǒng)安全水平將由與信息安全有關(guān)的所有環(huán)節(jié)中最薄弱的環(huán)節(jié)所決定要實(shí)現(xiàn)信息安全目標(biāo)，一個組織必須使構(gòu)成安全防范體系的這只“木桶”的所有木板都達(dá)到一定的長度。信息安全工程要實(shí)現(xiàn)良好的信息安全，需要信息安全技術(shù)和信息安全管理有效地配合12.1信息安全管理體系信息安全技術(shù)層面建設(shè)安全的主機(jī)系統(tǒng)和安全的網(wǎng)絡(luò)系統(tǒng)，包括物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全和應(yīng)用層安全等配備一定的安全產(chǎn)品，如數(shù)據(jù)加密產(chǎn)品、數(shù)據(jù)存儲備份產(chǎn)品、系統(tǒng)容錯產(chǎn)品、防病毒產(chǎn)品、安全網(wǎng)關(guān)產(chǎn)品等信息安全管理層面構(gòu)建信息安全管理體系12.1信息安全管理體系信息安全工程12.1.1信息安全管理體系概念信息安全管理(InformationSecurityManagement)的概念沒有統(tǒng)一的定義。信息安全管理：組織為了實(shí)現(xiàn)信息安全目標(biāo)和信息資產(chǎn)保護(hù)，用來指導(dǎo)和管理各種控制信息安全風(fēng)險的、一組相互協(xié)調(diào)的活動。要實(shí)現(xiàn)組織中信息的安全性、高效性和動態(tài)性管理，就需要依據(jù)信息安全管理模型和信息安全管理標(biāo)準(zhǔn)構(gòu)建信息安全管理體系12.1信息安全管理體系信息安全管理體系(InformationSecurityManagementSystem,ISMS)組織以信息安全風(fēng)險評估為基礎(chǔ)的系統(tǒng)化、程序化和文件化的管理體系，包括建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全等一系列的管理活動。ISMS是整個管理體系的一部分。ISMS的建立是基于組織，立足于信息安全風(fēng)險評估，體現(xiàn)以預(yù)防為主的思想，并且是全過程和動態(tài)控制。12.1信息安全管理體系12.1.1信息安全管理體系概念BS7799-2《信息安全管理體系規(guī)范》：詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求。BS7799-2的修訂版本BS7799-2:2002中引入了PDCA(Plan-Do-Check-Action)過程方法，用于建立、實(shí)施和持續(xù)改進(jìn)ISMS。PDCA循環(huán)又稱“戴明環(huán)”，由美國質(zhì)量管理專家EdwardsDeming博士在20世紀(jì)50年代提出，是全面質(zhì)量管理所應(yīng)遵循的科學(xué)程序。PDCA強(qiáng)調(diào)應(yīng)將業(yè)務(wù)過程看作連續(xù)的反饋循環(huán)，在反饋循環(huán)的過程中識別需要改進(jìn)的部分，以使過程得到持續(xù)的改進(jìn)，質(zhì)量得到螺旋式上升。12.1信息安全管理體系12.1.2信息安全管理體系過程方法應(yīng)用于ISMS過程的PDCA模型12.1信息安全管理體系12.1.2信息安全管理體系過程方法應(yīng)用于ISMS過程的PDCA模型在每個階段的具體內(nèi)容如下：規(guī)劃Plan(建立ISMS)完成ISMS的構(gòu)建工作實(shí)施Do(實(shí)施和運(yùn)行ISMS)實(shí)施和運(yùn)行ISMS方針、控制措施、過程和程序檢查Check(監(jiān)視和評審ISMS)進(jìn)行有關(guān)方針、標(biāo)準(zhǔn)、法律法規(guī)與程序的符合性檢查處置Act(保持和改進(jìn)ISMS)對ISMS進(jìn)行評價，尋求改進(jìn)的機(jī)會，采取相應(yīng)的措施12.1信息安全管理體系12.1.2信息安全管理體系過程方法ISMS框架建立流程12.1信息安全管理體系12.1.3信息安全管理體系構(gòu)建流程強(qiáng)化員工的信息安全意識，規(guī)范組織的信息安全行為。對組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競爭優(yōu)勢。在信息系統(tǒng)受到侵襲時，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度。使組織的生意伙伴和客戶對組織充滿信心。使組織定期地考慮新的威脅和脆弱點(diǎn)，并對系統(tǒng)進(jìn)行更新和控制。促使管理層堅(jiān)持貫徹信息安全保障體系。信息安全管理體系功能12.1信息安全管理體系12.1.3信息安全管理體系構(gòu)建流程BS7799BS7799是由英國BSI/DISC的BDD/2信息安全管理委員會指導(dǎo)下完成的，是當(dāng)前國際公認(rèn)的信息安全實(shí)施標(biāo)準(zhǔn)。旨在為一個組織提供用來制定安全標(biāo)準(zhǔn)、實(shí)施有效安全管理的通用要素，并不涉及“怎么做”的細(xì)節(jié)。是制定一個機(jī)構(gòu)自己標(biāo)準(zhǔn)的出發(fā)點(diǎn)，因此適用于各種產(chǎn)業(yè)和組織。12.1信息安全管理體系12.1.4信息安全管理標(biāo)準(zhǔn)BS7799演進(jìn)發(fā)展過程BS7799發(fā)展后分為兩部分ISO/IEC27001:2005

《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》主要討論了以PDCA過程方法建設(shè)ISMS以及ISMS評估的內(nèi)容。該標(biāo)準(zhǔn)詳細(xì)的說明了建立、實(shí)施、監(jiān)視和維護(hù)ISMS的具體任務(wù)和要求，指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險評估標(biāo)準(zhǔn)。ISO/IEC27002:2005

《信息技術(shù)-安全技術(shù)-信息安全控制實(shí)用規(guī)則》標(biāo)準(zhǔn)包含有11項(xiàng)管理內(nèi)容，133條安全控制措施。作為組織基于ISO/IEC27001實(shí)施ISMS的過程中選擇控制措施時的參考，或作為組織實(shí)施通用信息安全控制措施時的指南文件，或開發(fā)組織自身的信息安全管理指南。12.1信息安全管理體系12.1.4信息安全管理標(biāo)準(zhǔn)ISO/IEC27002:200512.1信息安全管理體系12.1.4信息安全管理標(biāo)準(zhǔn)ISO/IEC27002:2005安全管理體系COBITCOBIT是目前國際上通用的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)它在業(yè)務(wù)風(fēng)險、控制需要和技術(shù)問題之間架起了一座橋梁，可以輔助管理層進(jìn)行IT治理，指導(dǎo)組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險。COBIT共分為4個域，34個高級控制目標(biāo)和318個詳細(xì)控制目標(biāo)。12.1信息安全管理體系12.1.4信息安全管理標(biāo)準(zhǔn)COBIT框架ISO/IEC13335是國際標(biāo)準(zhǔn)《IT安全管理指南》(GuidelinesfortheManagementofITSecurity,GMITS)ISO/IEC13335-1:1996《IT安全的概念與模型》（被ISO/IEC13335-1:2004《信息和通信技術(shù)安全管理的概念和模型》替代）ISO/IEC13335-2:1997《IT安全管理與規(guī)劃》ISO/IEC13335-3:1998《IT安全管理技術(shù)》ISO/IEC13335-4:2000《防護(hù)措施的選擇》ISO/IEC13335-5:2001《網(wǎng)絡(luò)安全管理指南》ISO/IEC1333512.1信息安全管理體系12.1.4信息安全管理標(biāo)準(zhǔn)GB17895-1999GB17895-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》標(biāo)準(zhǔn)由我國公安部主持制定、國家質(zhì)量技術(shù)監(jiān)督局1999年發(fā)布，2001年1月1日起施行。計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級被劃分為5個級別用戶自主保護(hù)級系統(tǒng)審計(jì)保護(hù)級安全標(biāo)記保護(hù)級結(jié)構(gòu)化保護(hù)級訪問驗(yàn)證保護(hù)級12.1信息安全管理體系12.1.4信息安全管理標(biāo)準(zhǔn)信息系統(tǒng)安全等級保護(hù)劃分原則內(nèi)容提綱信息安全風(fēng)險評估信息安全管理體系信息安全審計(jì)本章小結(jié)12.2

信息安全風(fēng)險評估12.2.1信息安全風(fēng)險評估概念12.2.2信息安全風(fēng)險評估組成要素12.2.3信息安全風(fēng)險評估流程12.2.4信息安全風(fēng)險評估方法與工具風(fēng)險(Risk)：一定條件下和一定時期內(nèi)可能發(fā)生的不利事件發(fā)生的可能性。目前，信息安全風(fēng)險沒有統(tǒng)一的定義澳大利亞/新西蘭國家標(biāo)準(zhǔn)AS/NZS4360信息安全風(fēng)險指對目標(biāo)產(chǎn)生影響的某種事件發(fā)生的可能性，可以用后果和可能性來衡量。ISO/IEC13335-1標(biāo)準(zhǔn)信息安全風(fēng)險是指某個給定的威脅利用單個或一組資產(chǎn)的脆弱點(diǎn)造成資產(chǎn)受損的潛在可能性。GB/T20984-2013《信息安全風(fēng)險評估規(guī)范》信息安全風(fēng)險是指人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱點(diǎn)導(dǎo)致安全事件的發(fā)生及其對組織造成的影響。12.2信息安全風(fēng)險評估12.2.1信息安全風(fēng)險評估概念一般而言，信息安全風(fēng)險可表現(xiàn)為威脅(Threats)、脆弱點(diǎn)(Vulnerabilities)和資產(chǎn)(Assert)之間的相互作用。風(fēng)險會隨著任一因素的增加而增大，減少而減少GB/T20984-2013《信息安全風(fēng)險評估規(guī)范》信息安全風(fēng)險評估是指依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進(jìn)行評價的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱點(diǎn)導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。12.2信息安全風(fēng)險評估12.2.1信息安全風(fēng)險評估概念信息安全風(fēng)險評估的意義如下：對信息安全保障體系建設(shè)具有重要的促進(jìn)作用，能有效幫助組織制定決策策略。沒有有效和及時的信息安全風(fēng)險評估，將使得各個組織無法對其信息安全的狀況做出準(zhǔn)確的判斷。在綜合考慮成本和效益的前提下，通過安全措施來控制風(fēng)險，使殘余風(fēng)險降至用戶可控范圍內(nèi)。12.2信息安全風(fēng)險評估12.2.1信息安全風(fēng)險評估概念1993年，美國，加拿大同歐洲四國組成六國七方，共同制定了國際通用的評估準(zhǔn)則CC(CommonCriteria)目的是建立一個各國都能接受的通用的信息安全產(chǎn)品和系統(tǒng)的安全性評價標(biāo)準(zhǔn)。在1996年頒布了CC1.0版，1998年頒布了CC2.0版1999年，ISO接納CC2.0版為ISO/IEC15408草案，并命名為信息技術(shù)-安全技術(shù)-IT安全性評估準(zhǔn)則，并于同年正式發(fā)布國際標(biāo)準(zhǔn)ISO/IEC15408CC2.1版12.2信息安全風(fēng)險評估12.2.2信息安全風(fēng)險評估組成要素CC標(biāo)準(zhǔn)CC標(biāo)準(zhǔn)主要有三部分構(gòu)成簡介和一般模型安全功能要求安全保障要求信息安全風(fēng)險構(gòu)成要素威脅、風(fēng)險、脆弱點(diǎn)、資產(chǎn)、對策等關(guān)鍵風(fēng)險要素提出了所有者和威脅主體的概念12.2信息安全風(fēng)險評估12.2.2信息安全風(fēng)險評估組成要素CC標(biāo)準(zhǔn)中風(fēng)險要素之間的關(guān)系ISO/IEC13335是信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn)。ISO/IEC13335-1以風(fēng)險為中心，確定了資產(chǎn)、威脅、脆弱點(diǎn)、影響、風(fēng)險、防護(hù)措施為信息安全風(fēng)險的要素，并描述了它們之間的關(guān)系。12.2信息安全風(fēng)險評估12.2.2信息安全風(fēng)險評估組成要素ISO13335標(biāo)準(zhǔn)ISO/IEC13335標(biāo)準(zhǔn)中風(fēng)險要素之間的關(guān)系GB/T20984-2007標(biāo)準(zhǔn)《信息安全風(fēng)險評估規(guī)范》風(fēng)險評估圍繞著資產(chǎn)、威脅、脆弱點(diǎn)和安全措施這些基本要素展開。在基本要素的評估過程中，充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風(fēng)險等與這些基本要素相關(guān)的各類屬性。12.2信息安全風(fēng)險評估12.2.2信息安全風(fēng)險評估組成要素GB/T20984-2007標(biāo)準(zhǔn)GB/T20984-2007標(biāo)準(zhǔn)中風(fēng)險評估各要素關(guān)系圖我國的GB/T20984-2007標(biāo)準(zhǔn)《信息安全風(fēng)險評估規(guī)范》風(fēng)險評估準(zhǔn)備資產(chǎn)識別威脅識別脆弱點(diǎn)識別已有安全措施的確認(rèn)風(fēng)險分析風(fēng)險評估文檔記錄12.2信息安全風(fēng)險評估12.2.3信息安全風(fēng)險評估流程風(fēng)險評估流程圖1.風(fēng)險評估準(zhǔn)備確定風(fēng)險評估的目標(biāo)確定風(fēng)險評估的對象與范圍組建適當(dāng)?shù)脑u估管理與實(shí)施團(tuán)隊(duì)進(jìn)行系統(tǒng)調(diào)研確定評估依據(jù)和方法制定風(fēng)險評估方案獲得最高管理者對風(fēng)險評估工作的支持12.2信息安全風(fēng)險評估12.2.3信息安全風(fēng)險評估流程資產(chǎn)分類根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為物理資產(chǎn)、信息資產(chǎn)、軟件資產(chǎn)、服務(wù)以及無形資產(chǎn)等方面。資產(chǎn)賦值：對資產(chǎn)的價值或重要程度進(jìn)行評估一般地，資產(chǎn)的價值可由資產(chǎn)在安全屬性上的達(dá)成程度或其他安全屬性未達(dá)成時所造成的影響程度來決定，可分為對保密性、完整性、可用性三個方面的賦值。在此基礎(chǔ)上，經(jīng)過綜合評定得到資產(chǎn)重要性等級。加權(quán)平均原則、最大化原則等12.2信息安全風(fēng)險評估2.資產(chǎn)識別12.2.3信息安全風(fēng)險評估流程根據(jù)威脅來源，威脅可分為環(huán)境威脅和人為威脅。環(huán)境威脅：自然界不可抗力威脅和其它物理因素威脅人為威脅：惡意和非惡意威脅賦值對威脅出現(xiàn)的頻率進(jìn)行等級化處理，不同等級分別代表威脅出現(xiàn)的頻率的高低。以往安全事件報(bào)告中出現(xiàn)過的威脅、威脅的頻率、破壞力的統(tǒng)計(jì)。實(shí)際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)。近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅出頻率及其破壞力的統(tǒng)計(jì)。12.2信息安全風(fēng)險評估3.威脅識別12.2.3信息安全風(fēng)險評估流程技術(shù)和管理技術(shù)脆弱點(diǎn)：物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等管理脆弱點(diǎn)：技術(shù)管理和組織管理脆弱點(diǎn)賦值一般是對脆弱點(diǎn)被利用后對資產(chǎn)損害程度、技術(shù)實(shí)現(xiàn)的難易程度、弱點(diǎn)流行程度進(jìn)行評估，然后以定性等級劃分形式，綜合給出脆弱點(diǎn)的嚴(yán)重程度。12.2信息安全風(fēng)險評估4.脆弱點(diǎn)識別12.2.3信息安全風(fēng)險評估流程預(yù)防性安全措施降低威脅利用脆弱點(diǎn)導(dǎo)致安全事件發(fā)生的可能性：減少威脅出現(xiàn)的頻率：培訓(xùn)、懲罰等減少脆弱點(diǎn)：打補(bǔ)丁、定期檢查等保護(hù)性安全措施減少因安全事件發(fā)生對信息系統(tǒng)造成的影響：業(yè)務(wù)持續(xù)性計(jì)劃。12.2信息安全風(fēng)險評估5.已有安全措施的確認(rèn)12.2.3信息安全風(fēng)險評估流程該階段主要完成風(fēng)險計(jì)算、風(fēng)險處理計(jì)劃、殘余風(fēng)險評估三個方面的內(nèi)容。在風(fēng)險計(jì)算方面，主要通過綜合安全事件所作用的資產(chǎn)價值及脆弱點(diǎn)的嚴(yán)重程度，判斷安全事件造成的損失對組織的影響，即得到安全風(fēng)險。在風(fēng)險處理計(jì)劃方面，主要完成對不可接受的風(fēng)險的處理工作。風(fēng)險處理計(jì)劃中應(yīng)明確采取的彌補(bǔ)脆弱點(diǎn)的安全措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、責(zé)任部門等。在殘余風(fēng)險評估方面，主要用來評估在安全措施實(shí)施后，殘余風(fēng)險是否降低到可以接受的水平。若仍然不滿足風(fēng)險水平的要求，則需要進(jìn)一步調(diào)整風(fēng)險處理計(jì)劃，增加相應(yīng)的安全措施。12.2信息安全風(fēng)險評估6.風(fēng)險分析12.2.3信息安全風(fēng)險評估流程R：風(fēng)險函數(shù)A：資產(chǎn)T：威脅V：脆弱點(diǎn)Ia：安全事件所作用的資產(chǎn)價值Va：脆弱點(diǎn)等級大小L：威脅利用資產(chǎn)的脆弱點(diǎn)而導(dǎo)致安全事件的可能性F：安全事件發(fā)生后造成的損失風(fēng)險值計(jì)算12.2信息安全風(fēng)險評估6.風(fēng)險分析12.2.3信息安全風(fēng)險評估流程主要記錄在整個風(fēng)險評估過程中產(chǎn)生的評估過程文檔和評估結(jié)果文檔。風(fēng)險評價計(jì)劃風(fēng)險評估程序資產(chǎn)識別清單重要資產(chǎn)清單威脅列表脆弱點(diǎn)列表已有安全措施確認(rèn)表風(fēng)險評估報(bào)告風(fēng)險處理計(jì)劃風(fēng)險評估記錄12.2信息安全風(fēng)險評估7.風(fēng)險評估文檔記錄12.2.3信息安全風(fēng)險評估流程定性分析方法定性的評估分析方法是一種采用比較廣泛的模糊分析方法。主要依靠專家的知識和經(jīng)驗(yàn)、被評估對象的相關(guān)記錄以及相關(guān)走訪調(diào)查來對資源、威脅、脆弱點(diǎn)和現(xiàn)有的防范措施進(jìn)行系統(tǒng)評估。定性分析方法很多，包括小組討論（如Delphi方法）、調(diào)查、人員訪談、問卷和檢查列表等。典型的定性分析方法主觀評分法故障樹分析法12.2信息安全風(fēng)險評估12.2.4信息安全風(fēng)險評估方法和工具1.信息安全風(fēng)險評估方法定量分析方法對構(gòu)成風(fēng)險的各個要素和潛在損失的水平賦以數(shù)值，進(jìn)而來量化風(fēng)險評估的整個過程和結(jié)果。典型的定量分析方法決策樹法模糊綜合評價法層次分析法…12.2信息安全風(fēng)險評估12.2.4信息安全風(fēng)險評估方法和工具1.信息安全風(fēng)險評估方法定性和定量結(jié)合的分析方法定性分析要求分析者具有一定的能力和經(jīng)驗(yàn)，且分析基于主觀性，其結(jié)果很難統(tǒng)一。定量分析依賴大量的統(tǒng)計(jì)數(shù)據(jù)，且分析基于客觀，其結(jié)果很直觀，容易理解。信息安全風(fēng)險評估是一個復(fù)雜的過程，涉及多個因素、多個層面，具有不確定性，它是一個多約束條件下的多屬性決策問題有些要素的量化很容易，而有些卻是很困難甚至是不可能的。如果單純的使用定性或定量的方法，對風(fēng)險有效的評估則是很難的。12.2信息安全風(fēng)險評估12.2.4信息安全風(fēng)險評估方法和工具1.信息安全風(fēng)險評估方法工具名稱COBRARACRAMM@RISKBDSS組織/國家C&A/BritainBSI/BritainCCTA/BritainPalisade/AmericaTheIntegratedRiskManagementGroup/America體系結(jié)構(gòu)C/S模式單機(jī)版單機(jī)版單機(jī)版單機(jī)版采用方法專家系統(tǒng)過程式算法過程式算法專家系統(tǒng)專家系統(tǒng)定性/定量算法定性/定量結(jié)合定性/定量結(jié)合定性/定量結(jié)合定性/定量結(jié)合定性/定量結(jié)合數(shù)據(jù)采集形式調(diào)查問卷過程過程調(diào)查問卷調(diào)查問卷對使用人員的要求不需要有風(fēng)險評估的專業(yè)知識依靠評估人的知識和經(jīng)驗(yàn)依靠評估人的知識和經(jīng)驗(yàn)不需要有風(fēng)險評估的專業(yè)知識不需要有風(fēng)險評估的專業(yè)知識結(jié)果輸出形式結(jié)果報(bào)告：風(fēng)險等級與控制措施風(fēng)險等級與控制措施（基于BS7799提供的控制措施）風(fēng)險等級與控制措施（基于BS7799提供的控制措施）決策支持信息安全防護(hù)措施列表12.2信息安全風(fēng)險評估12.2.4信息安全風(fēng)險評估方法和工具2.信息安全風(fēng)險評估工具常見的自動化評估工具的比較內(nèi)容提綱信息安全審計(jì)信息安全管理體系信息安全風(fēng)險評估本章小結(jié)審計(jì)（Audit）Audit審計(jì),查賬aninspectionoftheaccountingproceduresandrecordsbyatrainedaccountantorCPA審計(jì)審計(jì)是對資料作出證據(jù)搜集及分析，以評估企業(yè)財(cái)務(wù)狀況，然后就資料及一般公認(rèn)準(zhǔn)則之間的相關(guān)程度作出結(jié)論及報(bào)告。進(jìn)行審計(jì)的人員必需有獨(dú)立性及具相關(guān)專業(yè)知識。12.3信息安全審計(jì)信息安全審計(jì)信息安全審計(jì)/IT審計(jì)/信息系統(tǒng)安全審計(jì)審計(jì)應(yīng)該是獨(dú)立的，審計(jì)與信息安全的目標(biāo)是一致的，而不是對立的。信息安全與信息安全審計(jì)信息安全其中一項(xiàng)必不可少的內(nèi)容是IT審計(jì)IT審計(jì)主要針對的是信息安全，也包含其他內(nèi)容信息安全與IT審計(jì)有很大的重合點(diǎn)要做好IT審計(jì)必須了解信息安全12.3信息安全審計(jì)信息安全審計(jì)師信息安全審計(jì)師，英文為CertifiedInformationSecurityProfessional-Auditor（簡稱CISP-Auditor），CISP-Auditor是中國信息安全測評中心在CISP現(xiàn)有人員資格認(rèn)證注冊工作的基礎(chǔ)上，于2012年推出的又一項(xiàng)信息安全專業(yè)人員資格認(rèn)證項(xiàng)目，是CISP家族的新成員，是國家對信息安全審計(jì)人員資質(zhì)的最高認(rèn)可。要求：博士研究生；碩士研究生以上，具有1年工作經(jīng)歷；或本科畢業(yè)，具有2年工作經(jīng)歷；或大專畢業(yè)，具有4年工作經(jīng)歷。知識體系結(jié)構(gòu)共包括：信息安全保障、信息安全標(biāo)準(zhǔn)與法律法規(guī)、信息安全技術(shù)、信息安全管理、信息安全工程、信息安全審計(jì)概述、信息安全審計(jì)組織和實(shí)施、信息安全控制措施審計(jì)實(shí)務(wù)這八個知識類。12.3信息安全審計(jì)SOX(Sarbanes-Oxley)法案2002年頒布的Sarbanes-Oxley法案的一些強(qiáng)制要求。此法案要求上市公司的工作人員個人不僅對公司的財(cái)務(wù)報(bào)表負(fù)責(zé)，而且還需要負(fù)責(zé)設(shè)置恰當(dāng)?shù)目刂拼胧?，以確保報(bào)表的準(zhǔn)確性。如果沒有遵守這些規(guī)定，則需要負(fù)刑事責(zé)任，并會向公眾公開以示懲罰。12.3信息安全審計(jì)SOX(Sarbanes-Oxley)法案盡管此法案不包含關(guān)于IT、計(jì)算機(jī)或技術(shù)方面的內(nèi)容，但是審計(jì)事務(wù)所還是已經(jīng)將IT組織包括在其調(diào)查的范圍之內(nèi)。這些事務(wù)所認(rèn)為，SOX不僅包括對財(cái)務(wù)進(jìn)行恰當(dāng)?shù)目刂?；而且還包括如何保護(hù)股東資產(chǎn)。這些資產(chǎn)容易受到操作問題的影響，其中包括IT風(fēng)險，如系統(tǒng)災(zāi)難、違犯安全，等等。12.3信息安全審計(jì)SOX(Sarbanes-Oxley)法案公司高級管理人員被判定行為不當(dāng)?shù)哪承┳畛裘恐陌咐ㄖ甘笽T人員涉嫌操縱數(shù)據(jù)、修改程序和忽略基本系統(tǒng)控制，以便為財(cái)務(wù)報(bào)表和審計(jì)提供不正確的數(shù)據(jù)。因此，是美國上市公司審