信息系统审计报告信息系统审计报告段3结论段4结尾段。

（正文段：1审计目的2审计步骤及时间3审计依据4采用的技术与方法5审计发现）独立性问题决定了信息系统审计的质量。

分为形式上的独立性（审计师与被审计企业无任何特殊的利益关系）和实质上的独立性（审计师的超然性，不依赖和屈从于外界压力的影响）审计准则对“独立性”的阐述1职业独立性（对于所有与审计相关的事物，信息系统审计师应当在态度和形式上独立于被审计单位）2组织独立性（信息系统审计职能应当独立于受审查的范围或活动之外，以确保审计工作完成的客观性）3审计章程或委托书中应当针对审计职能的独立性和义务做出相应的规定4信息系统审计师应该在审计过程中随时保持态度和形式上的独立性5如出现独立性受损的现象，无论是在实质上还是形式上，应向有关当事人披露独立性收损的细节6信息系统审计师应当在组织上独立于被审计的范围7信息系统审计师、管理层和审计委员会应当定期地对独立性进行评估。

8除非被其他职业标准或管理机构所禁止，当信息系统审计师虽然参与信息系统项目，但所担当的并不是审计角色时，并不要求信息系统审计师保持独立性。

业务持续计划是企业应对种种不可控义素的一种防御和反映机制。

灾难恢复计划是造成业务停顿后，如何以最短时间、最少损失恢复业务的方案。

影响业务持续能力的因素有：1应用系统灾难2自然灾难3人为灾难4 社会灾难。

U4业务持续计划是企业应对种种不可控因素的一种预防和反应机制，而灾难恢复计划则是造成业务已经停顿后，如何以最短时间、最少损失恢复业务的处理预案。

前者立足于预防，后者立足于事后的补救。

业务持续计划目的为了防止企业正常业务行为的中断而建立起来的计划作用：确保企业的主要业务流程和运营服务，包括支撑业务的信息系统以及设施，能够在事故发生后持续运行保持一定程度的服务，并能尽快的恢复事故前的服务水平。

它的制定并不意味着企业不再受任何事故的影响。

难恢复计划与业务持续计划的区别灾难恢复计划是基于假定灾难发生后造成业务已经停顿企业将如何去恢复业务，立足于把损失减小到最低程度；业务持续计划基于这样一个基本原则及无论发生任何意外事件组织的关键业务也不能中断，立足于建立预防机制，强调使企业业务能够抵御意外事件的打击，灾难恢复计划是对业务持续计划的必要补充。

业务持续计划的实施包括的阶段项目启动、风险评估、业务影响分析、业务持续性策略规划、业务持续性计划编制、人员培训及训练、业务持续性计划测试与演练以及业务持续性计划更新等主要阶段。

其中，风险评估、业务影响分析、计划演练、计划更新是关键因素。

业务影响分析的目的通过客观的分析，掌握各关键业务可容许中断的最大时间长度，从而制定各关键业务的恢复时间目标、最低的恢复要求、恢复次序以及支持各关键业务恢复所需的各项业务资源。

业务影响分析是制定业务持续计划传统步骤中最耗时和最关键的一步，用的是系统化的方法。

影响业务持续能力的因素（信息系统灾难）人为因素（分为社会灾难和人为灾难，如人为破坏、攻击系统、管理疏忽）非人为因素（分为自然灾害和应用系统灾害）。

防火墙比喻隔离在本地网络与外界网络之间的一道防御系统，是一类防范措施的总称。

作用防止不希望的、未经授权的通信进出被保护的网络，它真正发挥的还必须有企业内部的安全管理措施的配合。

目的1限制他人进入内部网络、过滤掉不安全的服务和非法用户2防止入侵者接近你的防御设施3限定用户访问特殊站点4为监视互联网安全提供方便。

分类1包过滤型防火墙2代理服务型防火墙3复合型防火墙（结合以上的两种）。

包过滤型防火墙通常安装在路由器上，逻辑简单，价格便宜易于安装和使用，网络性能和透明性好。

包过滤技术是在网络层对数据包进行选择检查，与应用层无关。

这样系统就具有很好的传输性能，可扩展能力强。

缺陷：可能被黑客攻击；被窃听或假冒。

代理服务型防火墙构成服务器端程序和客户端程序。

与包过滤防火墙不同，内、外网间不存在直接的连接，从而起到了隔离防火墙内外计算机系统的作用。

代理服务会形成日志，保留攻击痕迹。

木马是一类特殊的计算机病毒。

基本特征诱骗性、隐蔽性、危害大。

计算机病毒是一种人为编制的破坏计算机功能或者毁坏数据、影响计算机使用并能自我复制的一组计算机指令或者程序代码。

特点传染性（是计算机病毒最重要的特征，是判断一段程序代码是否为计算机病毒的依据。

按传染机制会分为引导型病毒和文件型病毒。

文件型病毒主要感染文件扩展名为.，.exe，.ovl等可执行程序为主，引导型病毒会改写磁盘上引导扇区和硬盘上分区表的内容，使软盘和硬盘被病毒感染）、潜伏性、破坏性（表现：1破坏文件和数据，造成用户数据丢失和损坏2抢占系统和网络资源，造成系统瘫痪，网络阻塞3破坏操作系统和硬件设备，导致系统崩溃，无法恢复）。

黑客攻击总是利用技术缺陷和软件漏洞等来进行种类拒绝服务攻击、IP欺骗攻击、系统漏洞攻击。

业务持续能力审计包括：1业务连续性管理过程中包含的信息安全2业务连续性和风险评估3制定和实施包含信息安全的连续性计划4业务连续性计划框架5测试、维护和评估业务的连续性计划。

灾难恢复计划是对于紧急事件的应对过程。

关键信息系统的备份与恢复，核心内容是灾备中心的设置、选址、运营管理和切换等。

容灾能力评价：ROP即数据丢失量，代表了当灾难发生时信息系统所能容忍的数据丢失。

PTO即系统恢复时间，代表了从遭难发生到业务恢复服务功能所需要的最长时间。

国际标准定义的容灾系统7层次0级无异地备份（这种容灾系统成本较低，易于配置。

该级别容灾系统对数据丢失的容忍度在数天以上）1级备份介质异地存放（成本低，易于配置容忍度在数天以上）2级备份介质异地存放及备用场地（虽然移动数据到热备份站点增加了成本，但缩短额灾难恢恢复的时间，大约在1、2天）3级电子链接4级活动状态的被援站点（地理上分开的两个站点同时处于工作状态，相互管理彼此的备份数据，几个小时）5级实时数据备份（两个站点数据相互镜像，仅在传输中尚未完成提交的数据会丢失几秒）6级零数据丢失（可以实现零数据的丢失，但是贵，几乎没有中断的恢复方式）。

这个等级划分的目的是让企业清楚为什么要从业务层面作遭难恢复，不同的业务应采取什么样的手段。

灾备中心的模型1热备份型灾备中心（指两个信息中心完全同步，任一发生事故对用户不产生影响但是实现的技术难度大、成本高；同步远程镜像技术，同步远程镜像在相对较近的距离上应用，成本高管理用难度，开支大，对距离有限制）2温备份型灾备中心（两个信息中心在数据层面同步，业务运营层面不同步，当事故时，要一定时间才能恢复业务运营，数据不丢失，实现技术要求相对低，成本也较低；异步远程镜像技术对网络宽带要求小，传输距离长，成本比热备份遭难中心要低）3冷备份型灾备中心（最普通的数据备份处理方式，用磁盘或磁带备份数据送到一异地保存，或通过数据线传输在异地备份。

最大的不同点是只在数据层面备份没有业务层面的备份，且数据备份的时间间隔长，不能完全恢复，但成本低，管理简单）。

一个实际的灾备解决方案首先考虑企业各种业务对信息系统以来的程度，其次研究可用技术和成本。

在同城中建立热接管的互备中心，双机热备份系统采用心跳（指的是主、从系统之间按照一定的时间间隔发送信号，表明各自系统当前的运行状态）方式保证主系统与备份系统的联系。

再夸城市、远距离之间的中心建立异步的灾难备份中心，以防地域性灾难。

在灾难备份方案设计及实施中，是否可以做到极大化的系统操作自动化是一个非常重要的考虑因素。

采用灾备解决方案的指标1灾难类型2恢复速度3恢复程度。

制定灾备方案应考虑的因素1考虑企业各种业务对信息系统依赖的程度2研究可用技术和成本，根据可投入的资金量，选择设计灾备的方案。

灾备中心的选址原则人文环境、基础环境、自然环境。

灾备体系建立的6个流程1建立在被专门机构2分析灾备需求3制定灾备方案4实施灾备方案5制定灾难恢复计划6保持灾难恢复计划的持续可用。

信息中心安全注意点防盗、防火、防静电、防雷击、防电磁干扰、三度（温度湿度清洁度）的要求、电力保障。

存储架构的安全性是企业业务持续的重要物质基础之一。

存储架构安全策略：1直接连接存储系统（计算机主机直接与存储设备连接，对存储设备进行本地冗余备份，确保数据不因存储设备故障而丢失）2网络连接存储系统（把存储设备集中在一起，通过互联网与计算机主机连接，所有在网络上的计算机共享该存储系统，容易实施成本不高。

可以为企业提供便捷的远程异地的数据备份）3存储区域网络（采用光纤通道交换机等高速网络设备，构成一个数据存储网络，网络内部的数据传输率很快，成本也高，提供本地或异地的存储备份之间的告诉的相互备份，这样的冗余避免数据的丢失）。

U6访问控制策略（控制强度由强到弱）DAC自主型访问控制策略（用户对不同的数据对象有不同的存取权限，用户可将权限转授。

DAC访问控制完全基于访篇五：信息系统审计事项和信息系统审计案例报告信息系统审计事项附件2 信息系统审计案例报告（模板）一、案例摘要简要说明本案例的基本信息，具体包括：（一）案例名称，所属审计项目名称，审计实施单位和主要审计人员，审计实施的时间；（二）本案例所包括的各具体信息系统审计事项名称及所属审计事项类别；（三）本案例所采用的信息系统审计技术和方法简要描述；（四）审计发现和建议的简要描述。

二、被审计单位信息系统基本情况（一）描述被审计单位信息化建设和管理的相关情况；（二）描述与本案例相关的被审计单位主要信息系统的总体情况，分析被审计单位对这些信息系统的业务依赖程度；（三）描述与本案例相关的被审计单位主要信息系统的组织管理、系统运行、业务流程、电子数据等方面情况。

三、被审计单位信息系统控制情况描述与本案例相关的被审计单位主要信息系统的控制情况，包括一般控制和应用控制情况。

四、信息系统审计总体目标详细说明本信息系统审计项目的总体审计目标。

五、审计重点内容及审计事项描述本信息系统审计项目的重点关注内容，按照附件1中关于审计事项的分类，划分本信息系统审计项目所实施的审计事项。

针对每一审计事项，详细说明以下方面的内容：（一）具体审计目标。

本审计事项的具体审计目标。

（二）审计测试过程。

1．详细说明在审计准备阶段需要调查了解的信息内容，调阅的资料名称，分析的管理或业务流程，编制的审计底稿等；2．详细说明在审计实施阶段对关键控制点的分析，选择的测试技术和方法，测试的实施过程以及测试得出的初步结论等；3．在以上说明中，要着重介绍审计测试技术、方法以及自动化工具的使用，并要对所涉及的技术、方法、工具的适用性与效果进行分析。

（三）审计发现问题和建议。

六、对案例的自我分析与评价（一）描述本案例（或所属信息系统审计项目）的特点和价值所在；（二）对该案例中各具体审计事项内容和目标的理解；（三）信息系统审计中所使用技术、方法和工具的经验总结。