安全審計包括控制目標、安全漏洞、控制措施和控制測試。
1.控制目標是指企業根據具體的計算機應用,結合單位實際制定出的安全控制要求。
2.安全漏洞是指系統的安全薄弱環節,容易被幹擾或破壞的地方。
3.控制措施是指企業為實現其安全控制目標所制定的安全控制技術、配置方法及各種規範制度。
4.控制測試是將企業的各種安全控制措施與預定的安全標準進行壹致性比較,確定各項控制措施是否存在、是否得到執行、對漏洞的防範是否有效,評價企業安全措施的可依賴程度。顯然,安全審計作為壹個專門的審計項目,要求審計人員必須具有較強的專業技術知識與技能。
安全審計是審計的壹個組成部分。由於計算機網絡環境的安全將不僅涉及國家安危,更涉及到企業的經濟利益。
因此,我們認為必須迅速建立起國家、社會、企業三位壹體的安全審計體系。其中,國家安全審計機關應依據國家法律,特別是針對計算機網絡本身的各種安全技術要求,對廣域網上企業的信息安全實施年審制。
另外,應該發展社會中介機構,對計算機網絡環境的安全提供審計服務,它與會計師事務所、律師事務所壹樣,是社會對企業的計算機網絡系統的安全作出評價的機構。
當企業管理當局權衡網絡系統所帶來的潛在損失時,他們需要通過中介機構對安全性作出檢查和評價。此外財政、財務審計也離不開網絡安全專家,他們對網絡的安全控制作出評價,幫助註冊會計師對相應的信息處理系統所披露信息的真實性、可靠性作出正確判斷。