涉密计算机安全保密审计报告
审计对象:xx计算机审计日期:xxxx年xx月xx日审计小组人员组成:姓名:xx
部门:xxx 姓名:xxx 部门:xxx 审计主要内容清单: 1. 安全策略检查 2. 外部环境检查 3. 管理人员检查
审计记录
篇二:审计报告格式
审计报告格式
一、引言
随着网络的发展,网络信息的安全越来越引起世界各国的重视,防病毒产品、防火墙、
入侵检测、漏洞扫描等安全产品都得到了广泛的应用,但是这些信息安全产品都是为了防御
外部的入侵和窃取。随着对网络安全的认识和技术的发展,发现由于内部人员造成的泄密或
入侵事件占了很大的比例,所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到
重视,要做到这点就需要在网络中实现对网络资源的使用进行审计。
在当今的网络中各种审计系统已经有了初步的应用,例如:数据库审计、应用程序审计
以及网络信息审计等,但是,随着网络规模的不断扩大,功能相对单一的审计产品有一定的
局限性,并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一,跨地
区、跨网段、集中管理才是综合审计系统最终的发展目标。
本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后
的发展方向做出了讨论。
二、什么是安全审计
国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、
可控性、可用性和不可否认性(抗抵赖),简称"五性"。安全审计是这"五性"的重要保障之一,
它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进行安
全审计,记录所有发生的事件,提供给系统管理员作为系统维护以及安全防范的依据。安全
审计如同银行的监控系统,不论是什么人进出银行,都进行如实登记,并且每个人在银行中
的行动,乃至一个茶杯的挪动都被如实的记录,一旦有突发事件可以快速的查阅进出记录和
行为记录,确定问题所在,以便采取相应的处理措施。
近几年,涉密系统规模不断扩大,系统中使用的设备也逐渐增多,每种设备都带有自己
的审计模块,另外还有专门针对某一种网络应用设计的审计系统,如:操作系统的审计、数
据库审计系统、网络安全审计系统、应用程序审计系统等,但是都无法做到对计算机信息系
统全面的安全审计,另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面
综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况,
就需要对每种设备的审计模块熟练操作,并且结合多种专用审计产品才能够做到。
为了能够方便地对整个计算机信息系统进行审计,就需要设计综合的安全审计系统。它
的目标是通过数据挖掘和数据仓库等技术,实现在不同网络环境中对网络设备、终端、数据
资源等进行监控和管理,在必要时通过多种途径向管理员发
出警告或自动采取排错措施,并且能够对历史审计数据进行分析、处理和追踪。主要作
用有以下几个方面:
1. 对潜在的攻击者起到震慑和警告的作用;
2. 对于已经发生的系统破坏行为提供有效的追究证据;
3. 为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行
为或潜在的系统漏洞;
4. 为系统管理员提供系统的统计日志,使系统管理员能够发现系统性能上的不足或需要
改进和加强的地方。
三、涉密信息系统安全审计包括的内容
《中华人民共和国计算机信息系统安全保护条例》中定义的计算机信息系统,是指由计
算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进
行采集、加工、存储、传输、检索等处理的人机系统。涉密计算机信息系统(以下简称"涉密
信息系统")在《计算机信息系统保密管理暂行规定》中定义为:采集、存储、处理、传递、
输出国家秘密信息的计算机信息系统。所以针对涉密信息系统的安全审计的内容就应该针对
涉密信息系统的每一个方面,应该对计算机及其相关的和配套的设备、设施(含网络),以及
对信息的采集、加工、存储、传输和检索等方面进行审计。
具体来说,应该对一个涉密信息系统中的以下内容进行安全审计:
被审计资源安全审计内容
重要服务器主机操作系统系统启动、运行情况,管理员登录、操作情况,系统配置更改(如
注册表、配置文件、用户系统等)以及病毒或蠕虫感染、资源消耗情况的审计,硬盘、cpu、
内存、网络负载、进程、操作系统安全日志、系统内部事件、对重要文件的访问等。
重要服务器主机应用平台软件重要应用平台进程的运行、web server、mail server、lotus、
exchange server、中间件系统、健康状况(响应时间等)等。
重要数据库操作数据库进程运转情况、绕过应用软件直接操作数据库的违规访问行为、
对数据库配置的更改、数据备份操作和其他维护管理操作、对重要数据的访问和更改、数据
完整性等的审计。
重要应用系统办公自动化系统、公文流转和操作、网页完整性、相关业务系统(包括业务
系统正常运转情况、用户开设/中止等重要操作、授权更改操作、数据提交/处理/访问/发布
操作、业务流程等内容)等。
重要网络区域的客户机病毒感染情况、通过网络进行的文件共享操作、文件拷贝/打印操
作、通过modem擅自连接外网的情况、非业务异常软件的安装和运行等的审计
四、安全审计系统使用的关键技术
根据在涉密信息系统中要进行安全审计的内容,我们可以从技术上分为以下几个模块:
1.网络审计模块:主要负责网络通信系统的审计;
2.操作系统审计模块:主要负责对重要服务器主机操作系统的审计;
3.数据库审计模块:主要负责对重要数据库操作的审计;
4.主机审计模块:主要负责对网络重要区域的客户机进行审计;
5.应用审计模块:主要负责重要服务器主机的应用平台软件,以及重要应用系统进行审
计。
还需要配备一个数据库系统,负责以上审计模块生成的审计数据的存储、检索、数据分
析等操作,另外,还需要设计一个统一管理平台模块,负责接收各审计模块发送的审计数据,
存入数据库,以及向审计模块发布审计规则。如下图所示:
安全审计系统中应解决如下的关键技术:
1.网络监听:
2.内核驱动技术:
是主机审计模块、操作系统审计模块的核心技术,它可以做到和操作系统的无缝连接,
可以方便的对硬盘、cpu、内存、网络负载、进程、文件拷贝/打印操作、通过modem擅自连
接外网的情况、非业务异常软件的安装和运行等进行审计。
3.应用系统审计数据读取技术:
大多数的多用户操作系统(windows、unix等)、正规的大型软件(数据库系统等)、多数
安全设备(防火墙、防病毒软件等)都有自己的审计功能,日志通常用于检查用户的登录、分
析故障、进行收费管理、统计流量、检查软件运行情况和调试软件,系统或设备的审计日志
通常可以用作二次开发的基础,所以如何读取多种系统和设备的审计日志将是解决操作系统
审计模块、数据库审计模块、应用审计模块的关键所在。
4.完善的审计数据分析技术:
审计数据的分析是一个安全审计系统成败的关键,分析技术应该能够根据安全策略对审
计数据具备评判异常和违规的能力,分为实时分析和事后分析:
实时分析:提供或获取审计数据的设备和软件应该具备预分析能力,并能够进行第一道
筛选;
事后分析:统一管理平台模块对记录在数据库中的审计记录进行事后分析,包括统计分
析和数据挖掘。
五、安全审计系统应该注意的问题
安全审计系统的设计应该注意以下几个问题:
1.审计数据的安全:
在审计数据的获取、传输、存储过程中都应该注意安全问题,同样要保证审计信息的"
五性"。在审计数据获取过程中应该防止审计数据的丢失,应该在获取后尽快传输到统一管理
平台模块,经过滤后存入数据库,如果没有连接到管理平台模块,则应该在本地进行存储,
待连接后再发送至管理平台模块,并且应该采取措施防止审计功能被绕过;在传输过程中应该
防止审计数据被截获、篡改、丢失等,可以采用加密算法以及数字签名方式进行控制;在审计
数据存储时应注意数据库的加密,防止数据库溢出,当数据库发生异常时,有相应的应急措
施,而且应该在进行审计数据读取时加入身份鉴别机制,防止非授权的访问。
2.审计数据的获取
首先要把握和控制好数据的来源,比如来自网络的数据截取;来自系统、网络、防火墙、
中间件等系统的日志;通过嵌入模块主动收集的系统内部信息;通过网络主动访问获取的信息;
来自应用系统或安全系统的审计数据等。有数据源的要积极获取;没有数据源的要设法生成数
据。对收集的审计数据性质也要分清哪些是已经经过分析和判断的数据,哪些是没有分析的
原始数据,要做出不同的处理。
另外,应该设计公开统一的日志读取api,使应用系统或安全设备开发时,就可以将审
计日志按照日志读取api的模式进行设计,方便日后的审计数据获取。
3.管理平台分级控制
由于涉密信息系统的迅速发展,系统规模也在不断扩大,所以在安全审计设计的初期就
应该考虑分布式、跨网段,能够进行分级控制的问题。也就是说一个涉密信息系统中可能存
在多个统一管理平台,各自管理一部分审计模块,管理平台之间是平行关系或上下级关系,
平级之间不能互相管理,上级可以向下级发布审计规则,下级根据审计规则向上级汇报审计
数据。这样能够根据网络规模及安全域的划分灵活的进行扩充和改变,也有利于整个安全审
计系统的管理,减轻网络的通信负担。
4.易于升级维护
安全审计系统应该采用模块设计,这样有利于审计系统的升级和维护。
专家预测,安全审计系统在2003年是最热门的信息安全技术之一。国内很多信息安全厂
家都在进行相关技术的研究,有的已经推出了成型的产品,另一方面,相关的安全审计标准
也在紧锣密鼓的制定当中,看来一个安全审计的春天已经离我们越来越近了。
但是信息系统的安全从来都是一个相对的概念,只有相对的安全,而没有绝对的安全。
安全也是一个动态发展的过程,随着网络技术的发展,安全审计还有很多值得关注的问题,
如:
1. 网络带宽由现在的100兆会增加到1g,安全审计如何对千兆网络进行审计就是值得
关注的问题;
2. 当前还没有一套为各信息安全厂商承认的安全审计接口标准,标准的制定与应用将会
使安全审计跨上一个新的台阶;篇三:计算机信息安全检查与审计报告
计算机信息安全检查与审计
一、取硬盘序列号及涉密计算机安全检查
1.双击打开"取硬盘序列号.exe"文件,之后点"显示",可获得硬盘序列号。
2.双击打开"涉密计算机安全检查系统.exe"文件,填入计算机型号与使用人。
点击"确定"会出现如下对话框进入涉密计算机安全检查系统主界面。会发现该检查系统
分为常规检查和强力检查,其中①常规检查分为:"上网行为检查"、"文件检查"、"系统消息
检查"、"开放资源检查"、"系统运行消息检查"。②强力检查分为:"上网行为检查"、"近期
处理过的文件检查"。
对计算机进行检查的时候会在该文件夹下创建一个"用户名_机器型号"的文件夹。如:
"weiman2_wd-wmav2ad63642"。对机器的检查记录会以txt形式保存在该目录下。其中强力检
查用时最长且文件最大。
可以分别打开文档对该计算机的信息进行查看。例如开放端口信息、近期处理过的文件
强力检查列表、运行进程列表、上网记录强力检查列表。
二、viewurl和wsyscheck
三、usb检查
打开"usbdeview.exe"可对该机器usb借口进行检查。
篇四:××单位信息安全评估报告
××单位信息安全评估报告
(管理信息系统) ××单位二零一一年九月
1
目标
××单位信息安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临
的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。
2
评估依据、范围和方法
2.1 评估依据
根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查
的通知》(信安通[2006]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息
系统开展安全检查的通知》(办信息[2006]48号)以及集团公司和省公司公司的文件、检查
方案要求, 开展××单位的信息安全评估。
2.2 评估范围
本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等,管理信息系统中
业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业
务系统进行安全性评估,具体包括:基础网络与服务器、关键业务系统、现有安全防护措施、
信息安全管理的组织与策略、信息系统安全运行和维护情况评估。
2.3 评估方法
采用自评估方法。
3
重要资产识别
对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进
行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和
业务的服务器进行登记汇总,形成重要资产清单。资产清单见附表1。
4
安全事件
对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列表。安全事件列表见附表2。
5
安全检查项目评估
5.1 规章制度与组织管理评估 5.1.1 组织机构
5.1.1.1 评估标准
信息安全组织机构包括领导机构、工作机构。
5.1.1.2 现状描述
本局已成立了信息安全领导机构,但尚未成立信息安全工作机构。
5.1.1.3 评估结论
完善信息安全组织机构,成立信息安全工作机构。
5.1.2 岗位职责
5.1.2.1 评估标准
岗位要求应包括:专职网络管理人员、专职应用系统管理人员和专职系统管理人员;专责的工作职责与工作范围应有制度明确进行界定;岗位实行主、副岗备用制度。
5.1.2.2 现状描述
5.1.2.3 评估结论
本局已有兼职网络管理员、应用系统管理员和系统管理员,在条件许可下,配置专职管理人员;专责的工作职责与工作范围没有明确制度进行界定,根据实际情况制定管理制度;岗位没有实行主、副岗备用制度,在条件许可下,落实主、副岗备用制度。
5.1.3 病毒管理
5.1.3.1 评估标准
病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、病毒预警和报告机制、病毒扫描策略(1周内至少进行一次扫描)。
5.1.3.2 现状描述
本局使用symantec防病毒软件进行病毒防护,定期从省公司病毒库服务器下载、升级安全策略;病毒预警是通过第三方和网上提供信息来源,每月统计、汇总病毒感染情况并提交局生技部和省公司生技部;每周进行二次自动病毒扫描;没有制定计算机病毒防治管理制度。
5.1.3.3 评估结论
完善病毒预警和报告机制,制定计算机病毒防治管理制度。
5.1.4 运行管理
5.1.4.1 评估标准
运行管理应制定信息系统运行管理规程、缺陷管理制度、统计汇报制度、运
维流程、值班制度并实行工作票制度;制定机房出入管理制度并上墙,对进出机房情况记录。
5.1.4.2 现状描述
没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,没有实行工作票制度;机房出入管理制度上墙,但没有机房进出情况记录。
5.1.4.3 评估结论
结合本局具体情况,制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,实行工作票制度;机房出入管理制度上墙,记录机房进出情况。
面向业务的信息系统的安全审计系统 近些年来,IT系统发展很快,企业对IT系统的依赖程度也越来越高,就一个网络信息系统而言,我们不仅需要考虑一些传统的安全问题,比如防黑客、防病毒、防垃圾邮件、防后门、防蠕虫 等,但是,随着信息化程度的提高,各类业务系统也变得日益复杂,对业务系统的防护也变得越来越重要,非传统领域的安全治理也变得越来越重要。根据最新的统计资料,给企业造成的严重攻击中70%是来自于组织中的内部人员,因此,针对业务系统的信息安全治理成为一道难题,审计应运而生。 一、为什么需要面向业务的信息安全审计? 面向业务的信息安全审计系统,顾名思义,是对用户业务的安全审计,与用户的各项应用业务有密切的关系,是信息安全审计系统中重要的组成部分,它从用户的业务安全角度出发,思考和分析用户的网络业务中所存在的脆弱点和风险。 我们不妨先看两个鲜活的案例。不久前,中国青年报报道,上海一电脑高手,方某今年25岁,学的是计算机专业,曾是某超市分店资讯组组长。方某利用职务之便,设计非法软件程序,进入超市业务系统,即超市收银系统的数据库,通过修改超市收银系统的数据库数据信息,每天将超市的销售记录的20%营业款自动删除,并将收入转存入自己的账户。从2004年6月至2005年8月期间,方某等人截留侵吞超市3家门店营业款共计397万余元之多。 程某31岁,是X公司资深软件研发工程师,从2005年2月,他由A
地运营商系统进入B地运营商的业务系统--充值中心数据库,获得最高系统权限,根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥,然后把“已充值”状态改为“未充值”,并修改其有效日期,激活了已经使用过的充值卡。他把面值300元的充值密码以281.5到285元面值不等价格在网上售出,非法获利380万。 通过上述两个案例,我们不难发现,内部人员,包括内部员工或者提供第三方IT支持的维护人员等,他们利用职务之便,违规操作导致的安全问题日益频繁和突出,这些操作都与客户的业务息息相关。虽然防火墙、防病毒、入侵检测系统、防病毒、内网安全管理等常规的安全产品可以解决大部分传统意义上的网络安全问题,但是,对于这类与业务息息相关的操作行为、违规行为的安全问题,必须要有强力的手段来防范和阻止,这就是针对业务的信息安全审计系统能够带给我们的价值。 二、如何理解面向业务的信息安全审计? 信息安全审计与信息安全管理密切相关,信息安全审计的主要依据为信息安全管理相关的标准,例如ISO/IEC17799、ISO17799/27001、COSO、COBIT、ITIL、NISTSP800系列等。这些标准实际上是出于不同的角度提出的控制体系,基于这些控制体系可以有效地控制信息安全风险,从而达到信息安全审计的目的,提高信息系统的安全性。因此,面向业务的信息安全审计系统可以理解成是信息安全审计的一个重要的分支。 根据国外的经验,如在美国的《萨班斯-奥克斯利法案
年报审计需要的资料清单 1、2016年12月底会计报表、纳税申报表(国、地税),加盖公章; 2、营业执照或统一社会信用代码、章程、验资报告(如有)、税务登记证(国、地税)、组织机构代码证、历次股权转让协议(如有); 3、上年审计报告复印件(如果未审计需提供上年12月底会计报表,加盖公章); 4、公司产权证明(如房产证、车辆行驶证,如果经营场所是租的需提供租赁合同); 5、2016年12月31日所有银行账户对账单; 6、大额的采购及销售合同或销售订单; 7、固定资产、无形资产明细; 8、2016年研发投入台账(如有)、研发项目立项合同、科技项目备案文件、主要研发人员清单、劳动合同、社保证明、学历证书; 9、2015年企业所得税纳税申报表。
软件企业年检需要的资料清单 1.企业开发销售的主要软件产品列表或技术服务列表; 2.主营业务为软件产品开发的企业,提供至少1个主要产品的软件著作权或专利权等自主知识产权的有效证明文件,以及第三方检测机构提供的软件产品测试报告;主营业务仅为技术服务的企业提供核心技术说明; 3.企业职工人数、学历结构、研究开发人员及其占企业职工总数的比例说明,以及汇算清缴年度最后一个月社会保险缴纳证明等相关证明材料; 4.经具有资质的中介机构鉴证的企业财务会计报告(包括会计报表、会计报表附注和财务情况说明书)以及软件产品开发销售(营业)收入、软件产品自主开发销售(营业)收入、研究开发费用、境内研究开发费用等情况说明; 5.与主要客户签订的一至两份代表性的软件产品销售合同或技术服务合同复印件; 6.企业开发环境相关证明材料; 7.税务机关要求出具的其他材料。
网络信息安全审计解决方案 ----主机审计、网络行为审计、数据库审计解决方案
目录 1概述 (4) 1.1信息安全审计产生的背景 (4) 1.2信息系统安全审计的必要性 (5) 2某信息安全审计体系结构 (5) 3某信息安全审计方案介绍 (7) 3.1主机审计 (7) 3.1.1企业内部主机操作的风险问题 (7) 3.1.2某主机审计系统解决方案 (8) 3.2网络行为审计 (12) 3.2.1企业互联网管理面临的问题 (12) 3.2.2网络行为审计解决方案 (13) 3.3数据库审计 (24) 3.3.1数据库安全面临的风险 (24) 3.3.2数据库审计产品解决方案 (25) 4方案部署 (37) 5方案优势 (38) 6方案总结 (39)
1概述 1.1信息安全审计产生的背景 随着全球信息化技术的快速发展以及计算机信息技术在各行各业的深入运用。计算机信息化技术已经深入的覆盖到工作及生产的每一个角落。传统的手工生产已经逐渐的被信息化生产所替代。信息化生产大大的提高了社会化生产的效率,但是同时,作为生产工具的信息化系统存在着可能导致生产崩溃的风险和威胁。信息系统遭受内部攻击、违法违规操作以及信息泄露的事件时有发生并且呈不断升温的趋势。 基于以上情况,全球信息技术发展最快的美国于2002年颁布了SOX法案(国内简称萨班斯法案)用以规范上市公司在计算机信息系统的安全性和可审计性,从而消除或者减少信息系统中导致生产崩溃的风险和威胁。在中国加入WTO之后,在生产和信息技术上不断的向发达国家靠拢的同时,也需要不断的完善计算机信息系统安全及审计的技术规范和技术手段。其中的技术规范应该覆盖内部信息体系的审计与控制以及由内到外的信息系统行为的审计与控制。从2009年7月1号开始实施的由财政部、审计署、证监会、保监会、银监会联合颁发的《企业内部基本控制规范》以及《计算机信息系统安全保护等级划分准则-GB 17859-1999》等法规文件中都明确要求需要对信息系统进行审计与控制。尤其在等级保护的第二级开始明确要求“计算机信息系统可信计算机能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏”。另外,2006年,公安部也颁布了《互联网安全保护技术措施规定》(简称“公安部82号令”),要求互联网提供者对访问互联网的用户行为进行记录保存并可查询,其中要求日志保存时间在60天以上。 1.2信息系统安全审计的必要性 相关权威机构的调查显示,80%左右的机构信息风险都来自于机构内部,因
审计工作流程 一、审计流程的意义 (一)概述 审计流程是指审计人员在具体的审计过程中采取的行动和步骤。广义的审计流程是指审计人员从接受审计项目开始,到审计工作结束的全部过程,一般可划分为三个阶段:审计准备、审计实施和审计终结阶段,各阶段又包括许多具体内容。狭义的审计流程指审计流程指审计人员在取得审计证据完成审计目标的过程中所采取得步骤和方法。 (二)制度基础审计的流程 1、确定审计的目标 2、了解内部控制制度,并予以描述 3、内部控制制度的初步评价 4、符合性测试 5、符合性测试结果的评价 6、实质性测试 7、实质性测试结果的评价 8、撰写审计报告 优点:一方面当大大减少审计工作中取得审计证据的工作量,从而节约人力时间、降低成本;另外能较好的避免失误,保证审计工作质量。缺点:过分依赖对内部控制的审计。 二、准备阶段 (一)了解被审计单位的基本情况
了解被审计单位的哪些情况1、业务性质、经营规模和所属行业的基本情况;2、经营情况和经营风险;3、组织结构和内部控制情况;4、关联方及交易情况;5、以前年度接受审计的情况;6、其他 常用方法1、查阅去年的审计工作底稿;2、查阅行业业务经营资料。3、查阅公司章程协议、董事会会议记录、重要合同等。4、参观被审单位现场。5、询问内审人员和管理当局。 (二)签订审计业务约定书 审计业务约定书是指审计机构与委托人共同签署的,据以确认审计业务的委托和受托关系,明确委托目的、审计范围及双方应负责任与义务等事项的书面合同。具有法定约束力。 ⑴签约双方的名称; ⑵委托目的; ⑶审计范围;应明确所审会计报表的名称及其反映的日期或期间 ⑷会计责任与审计责任 ⑸签约双方的义务; 委托人应当履行的主要义务包括: ①及时提供审计人员所要求的全部资料; ②为审计人员的审计提供必要的条件及合作 ③按照约定条件即使足额支付审计费用。 会计师事务所应当履行的主要义务包括: ①按照约定的时间完成审计业务,出具审计报告; ②对执行业务过程中知悉的商业秘密保密。 ⑹审计报告的使用责任;审计报告使用不当而造成的后果,与审计人员无关。
公司内部审计报告 一年结束了,每个公司都需要做好公司内部审计报告的。下面是小编为大家整理了公司内部审计报告范文,希望能帮到大家! 篇一:企业内部审计报告审计时间:20xx 年 4 月 14 日-20xx 年 4 月16 日 审计重点:账务处理的规范性、经济业务的真实性审计结果:通过这几天对集团公司下属单位的账务审计,首先对公司的整体框架和业务性质有了一定的认识,同时也发现了各单位的一些问题,主要包括账务处理和经济业务的规范性。 审计意见:1、规范往来科目的具体使用,本次审计过程发现,集团公司各下属单位往来科目使用混乱,不易明晰反映出实际经济业务走向和债权债务关系,容易导致实际操作过程中的经济风险; 2.集团公司各下属单位资金调动频繁,资金管理缺乏计划性和统筹性,部分经济业务缺乏相应负责人审批,容易导致资金管控风险; 3.财务在进行具体账务处理过程中,会计科目的具体使用非常不规范,在一定程度上影响了费用的真实反映; 4.部分经济业务原始单据欠缺、不规范,不能作为原始入账依 据,但财务在具体业务操作过程中依此入账,缺失会 计核算的严谨性; 5.集团公司各下属单位均存在私自调账的事项并缺乏有效的账务调整审批意见,针对此类情况应该严厉禁止;
6.日常经济业务中的大额采购应该采取有效的询价手段,在实际审计过程中发现部分业务金额高于市场价格,针对此类情况应该做到合理有效管控,保持公司权益的同时避免资产无效流失; 本次内部审计是在未完全熟悉公司业务基础上进行的,审计标准是依据企业会计准则和个人以往工作经验,具体操作过程中的审计遗漏在所难免,但本次审计操作是在较全面、认真、仔细的情况下进行的,审计问题真实反映了集团公司的各项经济业务得失,同时也为以后内部控制提供操作基础。 篇二:某企业内部审计报告日期:20xx 年10 月26日 接受者:公司总经理*** 引言: 经公司20xx 年度内部审计的计划安排,我们对公司计划物控部业务 管理程序政策、采购计划及其价格核定与控制、有关合同、仓储管理系统 等事项进行就地审计,涉及的期间是从20xx 年 1 月 1 日至 20xx 年月9 月30 日。 审计范围和目标: 本次审计的期间范围涉及计划物控部从20xx 年 1 月 1 日至20xx 年月9月30日止计划物控部有关采购计划的制定、实施的及时性、有效性、合理性、合规性,存货成本管理的效益性,内部控制
涉密计算机安全审计报告 审计对象:xx 计算机审计日期:xxxx 年xx 月xx 日审计小组人员组成::xx 门:xxx : xxx 部门:xxx 审计主要容清单: 1. 安全策略检查2. 外部环境检查 3. 管理人员检查审计记篇二:审计报告格式审计报告格式 一、引言随着网络的发展,网络信息的安全越来越引起世界各国的重视,防病毒产品、防火墙、入侵检测、漏洞扫描等安全产品都得到了广泛的应用,但是这些信息安全产品都是为了防御外部的入侵和 窃取。随着对网络安全的认识和技术的发展,发现由于部人员造成的泄密或入侵事件占了很大的比例, 所以防止部的非法违规行为应该与抵御外部的入侵同样地受到重视,要做到这点就需要在网络中实现对 网络资源的使用进行审计。 在当今的网络中各种审计系统已经有了初步的应用,例如:数据库审计、应用程序审计以及网络信息审计等,但是,随着网络规模的不断扩大,功能相对单一的审计产品有一定的局限性,并且对审计信 息的综合分析和综合管理能力远远不够。功能完整、管理统一,跨地区、跨网段、集中管理才是综合审 计系统最终的发展目标。 本文对涉密信息系统中安全审计系统的概念、容、实现原理、存在的问题、以及今后的发展方向做出了讨论。 二、什么是安全审计国通常对计算机信息安全的认识是要保证计算机信息系统息的性、完整性、可控性、可用性和不可否认性(抗抵赖),简称"五性" 。安全审计是这"五性"的重要保障之一,它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进行安全审计, 记录所有发生的事件,提供给系统管理员作为系统维护以及安全防的依据。安全审计如同银行的监控系统,不论是什么人进出银行,都进行如实登记,并且每个人在银行中的行动,乃至一个茶杯的挪动都被 如实的记录,一旦有突发事件可以快速的查阅进出记录和行为记录,确定问题所在,以便采取相应的处 理措施。 近几年,涉密系统规模不断扩大,系统中使用的设备也逐渐增多,每种设备都带有自己的审计模块,另外还有专门针对某一种网络应用设计的审计系统,如:操作系统的审计、数据库审计系统、网络 安全审计系统、应用程序审计系统等,但是都无法做到对计算机信息系统全面的安全审计,另外审计数 据格式不统一、审计分析规则无法统一定制也给系统的全面综合审计造成了一定的困难。如果在当前的 系统条件下希望全面掌握信息系统的运行情况,就需要对每种设备的审计模块熟练操作,并且结合多种 专用审计产品才能够做到。 为了能够方便地对整个计算机信息系统进行审计,就需要设计综合的安全审计系统。它的目标是通过数据挖掘和数据仓库等技术,实现在不同网络环境中对网络设备、终端、数据资源等进行监控和管 理,在必要时通过多种途径向管理员发 出警告或自动采取排错措施,并且能够对历史审计数据进行分析、处理和追踪。主要作用有以下几个方面: 1. 对潜在的攻击者起到震慑和警告的作用; 2. 对于已经发生的系统破坏行为提供有效的追究证据; 3. 为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞; 4. 为系统管理员提供系统的统计日志,使系统管理员能够发现系统性能上的不足或需要改进和加强的地方。 三、涉密信息系统安全审计包括的容《中华人民国计算机信息系统安全保护条例》中定义的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和 规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。涉密计算机信息系统(以下简称" 涉密信息
哪些公司年检必须 1. 哪些公司年检必须出具审计报告: (1.)一人有限责任公司、上市股份有限公司和从事金融、证券、期货的公司; (2.)从事保险、创业投资、验资、评估、担保、房地产经纪、出入境中介、外派劳务 中介、企业登记代理的公司; (3.)注册资本实行分期缴付未全额缴齐的公司; (4.)三年内有虚报注册资本、虚假出资、抽逃出资违法行为的公司 (5.)外商投资企业及分支机构一律要做年度审计报告 (6)用报告作其他特殊用途的公司 2. 审计报告所需资料: (1) 12月份的会计报表(资产负债表,损益表) (2)公司全年的账本; (3)公司全年的凭证(如果太多可以少拿一些,原则是:1月和12月的为必拿,中间 月份可以抽拿几个月。); (4)公司营业执照复印件、国地税务登记证复印件、组织机构代码证复印件(正,副本 均可); (5)验资报告复印件、公司上一年度审计报告的复印件(如果没出可以不用提供); (6)如是外资企业需提供(外汇登记证正本复印件),(批准证书复印件).(章程复印件) (财政登记证) 注:复印件需每页都加盖公章 3. 完成时间: 资料齐需要5-7个工作日 4. 出具时间:每年3月1日—6月30日篇二:工程审计和审计报告 建设项目竣工决算审计是建设项目审计的一个重要环节,它是指建设项目正式竣工验收 前,由审计人员依法对建设项目竣工决算的正确性、真实性、 合法性和实现的经济效益、社会效益及环境效益进行的检查、评价和鉴证。 其主要的目的是保障建设资金合理、合法使用,正确评价投资效果,促进总结建设经验, 提 高建设项目管理水平。 目录 1审计人员对建设项目实施建设项目竣工决算审计业务的内容视具体情况和项目的行业 特点而确定。其基本审计内容主要包括以下方面:[1] (1)审查竣工决算编制依据。审核决算依据是否齐全、是否符合有关规定、是否存在遗留 问题。 (2)审查是否按规定的时问及时进行竣工决算的编报。现行制度规定,建设项目的竣工决 算应在项目办理竣工验收后的一个月内编报。 (3)审核竣工决算资料的齐全性和真实性。有关财务报表、主要附表是否齐全,表中各项 目的内容填列是否完整、正确、真实,各表之间应该一致的数字是否相符;竣工情况说明书 所列项目内容是否全面、真实。 (4)审核建设单位的竣工验收工作是否符合有关规定,决算编制工作有无专门的人员,各 项清理工作是否彻底和全面。 (5)审查项目建设是否按照批准的初步设计进行,各单位工程是否严格按照批准的概算内 容进行,有无概算外项目和提高建设标准、扩大建设规模的问题;有无重大质量事故和经济 损失。
信息系统安全审计管理制度 第一章工作职责安排 第一条安全审计员职责 1.制定信息安全审计的范围和曰程; 2.管理详尽的审计过程; 3.分析审计结果并提出对信息安全管理体系的改进意见; 4.召开审计启动会议和审计总结会议; 5.向主管领导汇报审计的结果及建议; 6.为相关人员提供审计培训。 第二条评审员甶审计负责人指派,协助主评审员进行评审,其职责是: 1.准备审计清单; 2.实施审计过程; 3.完成审计拫告; 4.提交纠正和预防措施建议; 5.审查纠正和预防措施的执行情况。 第三条受审员来自相关部门 1.配合评审员的审计工作; 2.落实纠正和预防措施; 3.提交纠正和预防措施的实施报告。 第二章审计计划的制订 第四条审计计划应包括以下内容:
1.审计的目的; 2.审计的范围; 3.审计的准则; 4.审计的时间; 5.主要参与人员及分工情况。 第五条制定审计计划应考虑以下因素: 1.每年应进行至少一次涵盖所有部门的审计; 2.当进行巨大变更后(如架抅、业务方向等),需要进行一次涵盖所有部门的审计。 第三草安全审计实施 第六条审计的准备 1 .评审员需事先了解审计范围相关的安全策略、标准和程序; 2.准备审计清单,其内容主要包括: (1)需要访问的人员和调查的问题; (2)需要查看的文档和记录(包括日志); (3)需要现场查看的安全控制措施。 第七条在进行实际审计前,召开启动会议,其内容主要包括: 1,评审员与受审员一起确认审计计划和所采用的审计方式,如在审计的内容上有异议,受审员应提出声明(例如:限制可访问的人员、可调查的系统等); 2.向受审员说明审计通过抽查的方式来进行。
各项审计报告需要的资料清单 内部审计 一.内部审计资料清单账务资料 1.审计期间会计报表及其附注(含分公司) 说明:含年报主表、附表和报表附注以及季报、月报表 2、全部账目 说明:内审期间 3、全部会计凭证 说明:内审期间 4、科目余额表 说明:内审期间各年1级至末级的期初、期末和累计发生额 5、银行存款对账单、余额调节表 说明:内审期间各年所有帐户全部银行存款对账单和审计期末银行存款余额调节表 6、房屋、车辆等固定资产及无形资产产权证明(鉴定书) 7、长短期投资,投资协议、被投资单位营业执照、被投资单位会计报表 说明:截止会计报表日的被投资单位经审计会计报表 8、长短期借款合同,抵押担保资料 说明:内审期间 9、固定资产盘点表 说明:标明固定资产各称、规格、数量、原值、预计残值、使用年限、折旧额、净值 10、存货盘点表
说明:截止会计报表日的盘点表,标明存货的名称、规格、数量、单价、总金额 11、纳税申报表、缴款书、税务检查报告 12、所有往来明细 说明:含应收(付)帐款、预收(付)帐款、其他应收(付)帐款 13、收支明细表说明:内审期间各年主营业务收支明细、其他业务收支明细 14、费用明细表说明:内审期间各年管理费用、经营费用、财务费用明细 15、支票的领、用、存及作废情况表登记簿 说明:内审期间期 16、发票使用情况表 说明:领购票号、金额;已使用的票号、金额;剩余的票号、金额备查类资料 17、营业执照说明:工商 18、税务登记证说明:国税、地税 19、组织机构代码证书说明:质量监督局 20、纳税鉴定文件说明:国税、地税 21、公司章程、协议说明:工商备案 22、设立、变更验资报告 23、以前年度审计报告、资产评估报告说明:内审期间内 24、清产核资专项审计报告说明:内审期间内 25、财务会计制度及相关内部控制制度说明:含企业会计制度、会计核算办法、内部管理制度 26、关联方关系及其交易情况、会计政策变更、会计估计变更及原因说明 27、单位组织结构框架图 28、股东会、董事会重大决议等文件,重大诉讼、重大违纪事项、重要会议记录 说明:内审期内
**公司 20XX年度内部审计工作报告 内部审计部现向公司董事会审计委员会报告20XX年度审计工作情况,请审议。 一、年度审计计划和审计实施方案制定情况 20XX年七月,公司内审部成立,我们拟定了20XX年下半年内部审计工作计划,确定了本年度内部审计工作目标和审计计划的工作重点。 本年度审计工作得到公司高层领导和有关部门给予强力支持和 配合。由于被审项目和单位的差异较大,被评估的高风险领域不同,我们在选择审计项目时充分考虑了这种差异性,并充分考虑了被审计部门的意见和建议以及公司实际情况后确定的。 在审计实施方案中,对选定审计项目、审计级次(重要性水平)、项目负责、项目成员、实施时间和期间、了解内部控制的调查方式和记录方式、对项目的审计目标、审计重点与查核指引、适用的审计程序等都做了明确界定。 二、审计项目 1、对公司采购管理的审计。 2、对**公司科技园预算的审计 3、对公司销售入账和应收账款管理的审计 4、对固定资产的审计 三、审计发现 1、采购管理:
公司总体采购管理比较规范,建立了相应的财务规章制度,采购人员岗位责任明确,能够贯彻执行公司采购政策;供应商管理具备基本的评价体系有待进一步精细;采购档案管理需进一步规范;采购定价管理规范到位;采购计划制定和执行比较到位;采购货品出入库管理规范。 供货商的评价体系不够精细,指标不够细化,从而在评价过程中采购人员的主观因素过大。 采购档案管理的制度依据为公司的档案管理制度,缺乏单独的采购档案管理制度;采购档案管理的归档的及时性不够,电子档案的重视度不够,电子文档只是由采购人员自行存放于各自电脑中,没有及时系统的归档。 2、**公司科技园预算: 工程量估算、套项及价格估算合理。 3、销售入账和应收账款管理: 销售入账和应收账款管理的相关财务制度规范。公司应收账款的管理由商务部专人管理。 销售入账及时,发票开具响应速度快。 公司应收账款金额较高,20XX年年末应收账款余额为6775万元,占公司资产的63.84%,占公司年度销售收入的41.35%。 公司应收账款评级体系比较简单,没有建立系统性的评级指标体系,只是根据销售人员和应收账款管理人员的判断确定应收账款的安全级别。 4、固定资产: 公司固定资产管理总体规范,制度健全,各部门职责明确。 固定资产的毁损投保和投保公众责任投保不够全面,除车辆外没有进行相应保险投保。
出具审计报告流程 审计工作流程一: 一、审计准备阶段 1、接收委托,确定审计项目。 2、组成审计小组 3、了解和调查被审计单位。 4、确定审计工作重点,制订审计工作计划方案。 5、编制审计通知书,被审计单位承诺书。 6、下发审计通知书 二、审计实施阶段 1、对被审计单位提供的有关会计资料(包括电子文档),实施财务审计程序。 2、整理汇总审计实施过程中发现的问题及有关情况。 3、审计小组汇报审计过程中发现问题和有关情况,确定需进一步核实的问题。 4、实施相关的追加审计程序。 三、审计报告阶段 1、审计小组归集审计工作底稿、并编制审计报告初稿 2、审计小组按审核后的要求,对审计报告进行修改。 3、审计小组汇报审计报告的征求意见稿,并对审计报告的征求意见稿进行定稿。 4、将审计报告的征求意见稿征求被审计单位意见。 5、出具正式审计报告。 四、审计报告的终结阶段 审计小组将审计档案归档。 审计报告流程二:
第一步,编制审计差异调整表。包括:调整分录汇总表、重分类分录汇总表、未调整 不符事项汇总表等。 第二步,判断和运用重要性水平,主要是将被审计单位未调整不符事项汇总表与会计 报表层次或账户余额层次的重要性水平进行比较,据以确定未调整不符事项对会计报表的 影响程度。 第三步,解决重要差异。注册会计师确定审计差异之后,一般应与被审计单位沟通, 建议其做出相应的调整,如果被审计单位拒绝调整那些重大差异,注册会计师必须考虑改 变审计意见和在审计报告中如何反映的问题。 第四步,进行审计小结。注册会计师应就有关审计事项进行小结,编制审计工作完成 情况表,并明确地评价和说明审计计划的执行情况以及审计目标是否实现,写入审计小结中。通常审计小结文书应包括审计概况、审计中发现的主要问题和情况、意见和建议、审 计结论等内容。审计小结是一份重要的审计工作底稿,它是对审计工作中各种信息的综合 提炼。注册会计师应对审计小结进行认真审核,并妥善保管。 第五步,编制试算平衡表。 第六步,提请被审计单位调整会计报表,审核会计报表及其附注。其中,会计报表附 注包括公司简介、会计政策、报表项目注释、分析情况以及重要事项揭示五个部分的内容。如果注册会计师代为编制会计报表及附注,不能将附注事项与应在审计报告揭示的事项混 为一谈,即不能因为注册会计师代替被审计单位编制报表附注,而不在审计报告中揭示那 些应予揭示的事项。 第七步,确定审计意见。注册会计师根据对所取得各种审计证据的分析和评价结果, 结合重要性水平,确定应在审计报告中发表何种审计意见。 第八步,草拟审计报告。 第九步,复核审计工作底稿。这里主要指进行重点复核和全面复核,如果复核中发现 存在遗漏问题,应返回到审计实施阶段补充审计,如果复核中发现问题处理不当,应返回 至编制审计差异表这一步骤,对不正确的处理意见做出适当的修订。 第十步,出具审计报告。经复核确认后,注册会计师应将审计报告草拟稿(或征求意 见稿)送至被审计单位管理当局经确认后,再正式签发并出具审计报告。 感谢您的阅读,祝您生活愉快。
公司内部审计年度报告 北京XXX物业管理有限公司清琴麓苑分公司股东: 一、对财务报表出具的审计报告 我们审计了后附的北京XXX物业管理有限公司清琴麓苑分公司(以下简称XXX物业清琴麓苑分公司)财务报表,包括XX年12月31日的资产负债表,XX年度的利润表及利润分配表以及财务报表附注。 (一)管理层对财务报表的责任 编制和公允列报财务报表是北京XXX物业管理有限公司清琴麓苑分公司管理层的责任,这种责任包括:(1)按照企业会计准则的规定编制财务报表,并使其实现公允反映;(2)设计、执行和维护必要的内部控制,以使财务报表不存在由于舞弊或错误导致的重大错报。 (二)注册会计师的责任 我们的责任是在执行审计工作的基础上对财务报表发表审计意见。我们按照中国注册会计师审计准则的规定执行了审计工作。中国注册会计师审计准则要求我们遵守中国注册会计师职业道德守则,计划和执行审计工作以对财务报表是否不存在重大错报获取合理保证。 审计工作涉及实施审计程序,以获取有关财务报表金额和披露的审计证据。选择的审计程序取决于注册会计师的判断,包括对由于舞弊或错误导致的财务报表重大错报风险的
评估。在进行风险评估时,注册会计师考虑与财务报表编制和公允列报相关的内部控制,以设计恰当的审计程序,但目的并非对内部控制的有效性发表意见。审计工作还包括评价管理层选用会计政策的恰当性和作出会计估计的合理性,以及评价财务报表的总体列报。 我们相信,我们获取的审计证据是充分、适当的,为发表审计意见提供了基础。 (三)审计意见 我们认为,北京XXX物业管理有限公司清琴麓苑分公司财务报表在所有重大方面按照企业会计准则的规定编制,公允反映了北京XXX物业管理有限公司清琴麓苑分公司XX年12月31日的财务状况以及XX年度的经营成果。 20xx年x月x日,我带着毕业证、学位证和报道证等走进了我梦想起飞的地方--xx集团。 现在才发现,不知不觉中已经来天业工作将近5个月了,回过头来看走过的这一段路,其中有苦也有乐,但更多的是工作岗位上的收获与感悟,总结一下过去也是为了能走好未来的路。 20xx年7月2日,报道的第三天,就进入天辰化工40万吨开始了我的本科见习。刚开始参加工作,那里的一切似乎都是全新而又刺激的,面对现实的工作,才发现理论与实践的巨大差距,显得自己又是那么的无知,那时候再加上朝
编号:SM-ZD-46311 安全监控及审计管理办法Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:____________________ 审核:____________________ 批准:____________________ 本文档下载后可任意修改
安全监控及审计管理办法 简介:该制度资料适用于公司或组织通过程序化、标准化的流程约定,达成上下级或不同的人员之间形成统一的行动方针,从而协调行动,增强主动性,减少盲目性,使工作有条不紊地进行。文档可直接下载或修改,使用时请详细阅读内容。 第一章总则 第一条策略目标:为了加强公司信息安全保障能力,建立健全公司的安全管理体系,提高整体的网络与信息安全水平,保证网络通信畅通和业务系统的正常运营,提高网络服务质量,在公司安全体系框架下,本策略规范公司安全监控及审计机制,和公司其他安全风险策略一起构建公司安全风险预防体系。 第二条适用范围:本策略适用于公司科技信息部。 第二章安全监控及审计管理 第一节安全监控及审计工作办法 第三条各部门安全管理组织中专、兼职安全管理员应监控并定期审计本部门各系统安全状况。 第四条各部门安全管理组织定期向公司网络与信息安全办公室汇报监控及安全审计结果。 第五条公司网络部根据各部门安全管理员上报审计结
果进行抽检和检验。 第六条公司网络部每半年巡检,进行安全审计,由公司科技信息部牵头,各部门协助执行。 第二节安全监控及审计的职责 第七条公司安全管理工作组负责: (一) 组织策划公司信息安全审计工作; (二) 协调有关部门,以获得对信息安全审计工作的理解和支持; (三) 确定信息安全审计工作的目的、范围和要求; (四) 制订信息安全审计工作具体实施计划和有关资源配置; (五) 监控信息安全审计工作进度和质量; (六) 审核信息安全审计工作情况汇报; (七) 负责向公司网络与信息安全领导小组汇报公司信息安全审计工作情况。 第八条各部门安全组织负责: (一) 参与公司信息安全审计制度的制订、修改和维护; (二) 参与公司信息安全审计工作具体实施计划的制订;
企业内部审计报告 一、导言 日期:2003年10月26日 接受者:公司总经理 *** 引言: 经公司2003年度内部审计的计划安排,我们对公司计划物控部业务 管理程序政策、采购计划及其价格核定与控制、有关合同、仓储管理系统 等事项进行就地审计,涉及的期间是从2002年1月1日至2003年月9 月30日。 审计范围和目标: 本次审计的期间范围涉及计划物控部从2002年1月1日至2003年月9 月30日止计划物控部有关采购计划的制定、实施的及时性、有效性、合理性、合规性,存货成本管理的效益性,内部控制的健全有效等情况进行审计。审计的依据是计划物控部提供的资料。审计过程中我们结合其实际情况,实施了我们认为合适的、必要的审计程序。 简要的审计结论和审计发现的性质:(主要的审计发现和内部控制的薄弱环节及建议)在对计划物控部审计过程中,我们认为最重要审计发现如下计划物控部存在问题: 1、采购行为依据不具体、不规范,基础信息有待完善; 2、采购计划制作被动,指导性不强,缺乏与实际的对比考核,采购工作效率不高; 3、成本管理工作手段单一,市场信息搜集工作少,供应商管理需进一步规范化; 4、仓储条件较差,未按价值大小分别管理,存货管理有少量缺陷需改进。综上几点反映了内部控制制度存在的缺陷。 对回复的期盼: 该报告的其他部分提供了有关部门审计发现和建议的详细资料,我们 希望在收到报告之后的15天内作出书面回复。 公司审计部 审计组长:*** 审计小组成员:*** (以上部分是便于总经理简要阅读) 二、审计过程说明:审计资料搜集方法采用直接观察法、采访法,资料搜集形式有抽样调查、重点调查、典型调查及组合调查。 三、审计发现的细节说明 (一)、采购行为依据不具体、不规范,基础信息有待完善; 主要问题1:目前采购行为来源依据主要是营销中心、客户服务部提交的产品需求计划,做为指导采购行为的依据针对性不强,有些特殊要求表达不够明确。 建议:需求计划归口由生产部门(或工艺部门)提供。生产部门是产品的制造者,生产计划
面向业务的信息系统的安全审计系统(一) 近些年来,IT系统发展很快,企业对IT系统的依赖程度也越来越高,就一个网络信息系统而言,我们不仅需要考虑一些传统的安全问题,比如防黑客、防病毒、防垃圾邮件、防后门、防蠕虫 等,但是,随着信息化程度的提高,各类业务系统也变得日益复杂,对业务系统的防护也变得越来越重要,非传统领域的安全治理也变得越来越重要。根据最新的统计资料,给企业造成的严重攻击中70%是来自于组织中的内部人员,因此,针对业务系统的信息安全治理成为一道难题,审计应运而生。 一、为什么需要面向业务的信息安全审计? 面向业务的信息安全审计系统,顾名思义,是对用户业务的安全审计,与用户的各项应用业务有密切的关系,是信息安全审计系统中重要的组成部分,它从用户的业务安全角度出发,思考和分析用户的网络业务中所存在的脆弱点和风险。 我们不妨先看两个鲜活的案例。不久前,中国青年报报道,上海一电脑高手,方某今年25岁,学的是计算机专业,曾是某超市分店资讯组组长。方某利用职务之便,设计非法软件程序,进入超市业务系统,即超市收银系统的数据库,通过修改超市收银系统的数据库数据信息,每天将超市的销售记录的20%营业款自动删除,并将收入转存入自己的账户。从2004年6月至2005年8月期间,方某等人截留侵吞超市3家门店营业款共计397万余元之多。程某31岁,是X公司资深软件研发工程师,从2005年2月,他由A地运营商系统进入B 地运营商的业务系统--充值中心数据库,获得最高系统权限,根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥,然后把“已充值”状态改为“未充值”,并修改其有效日期,激活了已经使用过的充值卡。他把面值300元的充值密码以281.5到285元面值不等价格在网上售出,非法获利380万。 通过上述两个案例,我们不难发现,内部人员,包括内部员工或者提供第三方IT支持的维护人员等,他们利用职务之便,违规操作导致的安全问题日益频繁和突出,这些操作都与客户的业务息息相关。虽然防火墙、防病毒、入侵检测系统、防病毒、内网安全管理等常规的安全产品可以解决大部分传统意义上的网络安全问题,但是,对于这类与业务息息相关的操作行为、违规行为的安全问题,必须要有强力的手段来防范和阻止,这就是针对业务的信息安全审计系统能够带给我们的价值。 二、如何理解面向业务的信息安全审计? 信息安全审计与信息安全管理密切相关,信息安全审计的主要依据为信息安全管理相关的标准,例如ISO/IEC17799、ISO17799/27001、COSO、COBIT、ITIL、NISTSP800系列等。这些标准实际上是出于不同的角度提出的控制体系,基于这些控制体系可以有效地控制信息安全风险,从而达到信息安全审计的目的,提高信息系统的安全性。因此,面向业务的信息安全审计系统可以理解成是信息安全审计的一个重要的分支。 根据国外的经验,如在美国的《萨班斯-奥克斯利法案(2002Sarbanes-OxleyAct)》的第302条款和第404条款中,强调通过内部控制加强公司治理,包括加强与财务报表相关的IT系统内部控制,其中,IT系统内部控制就是面向具体的业务,它是紧密围绕信息安全审计这一核心的。同时,2006年底生效的巴赛尔新资本协定(BaselII),要求全球银行必须针对其市场、信用及营运等三种金融作业风险提供相应水准的资金准备,迫使各银行必须做好风险控管(riskmanagement),而这部“金融作业风险”的防范也正是需要业务信息安全审计为依托。这些国家和组织对信息安全审计的定位已经从概念阶段向实现阶段过渡了,他们走在了我们的前面。 可喜的是,我国政府行业、金融行业已相继推出了数十部法律法规,如:国家《计算机信息系统安全保护等级划分准则》、《商业银行内部控制指引》、《中国移动集团内控手册》、《中国
公司内部审计报告格式 公司内部审计报告格式模板范文 省审计局: 根据局第××次会议决定,我们于××年7月1~15日对我省 ××外贸公司与香港××公司合营办厂引进设备情况进行了审计, 现将审计结果报告如下: (一)基本情况 ××外贸公司是我省具有进出口业务权的地方工贸企业。该公司现有职工436人,设八个科室,一个直属五金加工厂。该公司1983 年被批准自营出口业务,主要出口小五金产品。几年来,经过广大 职工的努力,出口业务有了一定的发展,1985年出口销售额达736 万元,出口创汇145万美元,均比1983年翻了两番。但是,由于该 公司主要出口货源基地直属五金加工厂的设备陈旧,因而继续扩大 出口业务,增加创汇的能力受到了限制。 ××年初,经有关人员提供线索,该公司决定与香港××公司组成合营企业,合作生产经营机丝螺钉。××年3月,双方签订合营 合同,其基本条款规定:合作期四年,引进国际上先进的机丝螺钉 生产工艺,由我方以租赁方式提供厂房1300平方米,负责招聘生产 技术人员和工人。香港××公司提供国际上80年代出产的螺钉流水 线全套设备共78台,并负责提供主要原材料和产品的外销。双方总 投资115万美元,其中机器设备总金额94.96万美元。按投资比例,我方承担六成,产品外销60%,内销40%,注册资本64万美元,年 提折旧25%。四年后设备归我方。 (二)存在的问题 经审计上述合作项目,从洽谈到成交,反映出的问题不少,主要表现在:
1.项目建议书和可行性研究报告陈述的情况不真实。 第一,申请理由缺乏事实根据。建议书说,国产生产机丝螺钉的设备工艺差、效率低,不能适应市场对机丝螺钉的需求。经查明, 我国制造的生产机丝螺钉设备各项技术指标均已达到世界标准,且 有供应,完全不需要引进。 第二,轻信对方谎言,香港××公司实际上是一家五金商店,规模不大,注册资本仅10万元港币,且从未搞过机丝螺钉的生产经营,其对我方投资的设备,是从一家行将倒闭的螺钉工厂低价买来的二 手货。××外贸公司对其未作任何调查研究,仅凭对方自叙,就在 建议书中轻率肯定对方生产经营机丝螺钉的经验丰富,销售网点、 资金来源可靠及设备先进,是一种不负责任的渎职行为。 2.引进设备与合同条款及所附设备清单不符。 3.赴港考查设备小组不负责任,留下隐患。 为了掌握和了解香港××公司投资设备的情况,经有关部门建议,××外贸公司于××年5月,派出3人考查组,赴港对引进设备进 行检查,在港期间考查未按预定要求,对所有引进的设备逐步逐台 全面检查,仅对其中的8台设备做了表面观察,占全部引进的10%。在抽查中,既未核对出厂年号,也未进行单机鉴定,就断定该批设 备有七八成新,大部分为××产品,特别是在不了解同类设备国内 外市场价格的情况下,就轻信对方报价合理,并向国内写了调查报告,以致报告反映的设备性能、新旧程度、制造年份和价格水平与 实际鉴定的情况差距较大。 4.各经办部门把关不严,官僚主义严重。 当××外贸公司上报项目建议书和可行性研究报告时,其主管部门对“建议书”和“报告”内容未作任何调查核实,就批转同意立项,并呈文合营办厂批准机构,建议纳入1986年本省技术改造和引 进设备的项目内,其他有关部门亦采取文转文的审批形式,逐级批转,为××外贸公司盲目与香港××公司合资经营机丝螺钉引进设 备开了方便之门。
涉密计算机安全保密审计报告 审计对象:xx计算机审计日期:xxxx年xx月xx日审计小组人员组成:姓名:xx 部门:xxx 姓名:xxx 部门:xxx 审计主要内容清单: 1. 安全策略检查 2. 外部环境检查 3. 管理人员检查 审计记录 篇二:审计报告格式 审计报告格式 一、引言 随着网络的发展,网络信息的安全越来越引起世界各国的重视,防病毒产品、防火墙、 入侵检测、漏洞扫描等安全产品都得到了广泛的应用,但是这些信息安全产品都是为了防御 外部的入侵和窃取。随着对网络安全的认识和技术的发展,发现由于内部人员造成的泄密或 入侵事件占了很大的比例,所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到 重视,要做到这点就需要在网络中实现对网络资源的使用进行审计。 在当今的网络中各种审计系统已经有了初步的应用,例如:数据库审计、应用程序审计 以及网络信息审计等,但是,随着网络规模的不断扩大,功能相对单一的审计产品有一定的 局限性,并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一,跨地 区、跨网段、集中管理才是综合审计系统最终的发展目标。 本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后 的发展方向做出了讨论。 二、什么是安全审计 国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、 可控性、可用性和不可否认性(抗抵赖),简称“五性”。安全审计是这“五性”的重要保障之 一,它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进 行安全审计,记录所有发生的事件,提供给系统管理员作为系统维护以及安全防范的依据。 安全审计如同银行的监控系统,不论是什么人进出银行,都进行如实登记,并且每个人在银 行中的行动,乃至一个茶杯的挪动都被如实的记录,一旦有突发事件可以快速的查阅进出记 录和行为记录,确定问题所在,以便采取相应的处理措施。 近几年,涉密系统规模不断扩大,系统中使用的设备也逐渐增多,每种设备都带有自己 的审计模块,另外还有专门针对某一种网络应用设计的审计系统,如:操作系统的审计、数 据库审计系统、网络安全审计系统、应用程序审计系统等,但是都无法做到对计算机信息系 统全面的安全审计,另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面 综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况, 就需要对每种设备的审计模块熟练操作,并且结合多种专用审计产品才能够做到。 为了能够方便地对整个计算机信息系统进行审计,就需要设计综合的安全审计系统。它 的目标是通过数据挖掘和数据仓库等技术,实现在不同网络环境中对网络设备、终端、数据 资源等进行监控和管理,在必要时通过多种途径向管理员发 出警告或自动采取排错措施,并且能够对历史审计数据进行分析、处理和追踪。主要作 用有以下几个方面: 1. 对潜在的攻击者起到震慑和警告的作用; 2. 对于已经发生的系统破坏行为提供有效的追究证据; 3. 为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行 为或潜在的系统漏洞; 4. 为系统管理员提供系统的统计日志,使系统管理员能够发现系统性能上的不足或需要 改进和加强的地方。