信息安全審計的主要對象是用戶、主機和節點。
信息安全審計, 揭示信息安全風險的最佳手段, 改進信息安全現狀的有效途徑,滿足信息安全合規要求的有力武器。根據預先確定的審計依據(信息安全法規、標準及用戶自己的規章制度等)。
在規定的審計範圍內,通過文件審核、記錄檢查、技術測試、現場訪談等活動,獲得審計證據,並對其進行客觀的評價,以確定被審計對象滿足審計依據的程度。
信息安全審計適用於各種類型、各種規模的組織,特別是對IT依賴度高的組織,如金融、電力、航空航天、軍工、物流、電子商務、政府部門等。
各個行業和部門可以單獨實施信息安全審計,也可以將信息安全審計作為其它審計與信息安全相關工作的壹部分內容聯合實施。如IT審計、信息安全等級保護建設、信息安全風險評估、信息安全管理體系建設等。
內容
信息系統安全性審計主要包括數據安全,操作系統安全,數據庫系統安全,網絡安全,設備安全,環境安全等方面。操作系統介於硬件和其他軟件之間,是所有軟件運行的基礎,因此操作系統的安全性決定了整個軟件系統的安全狀。
而環境安全,設備安全屬於硬件安全。數據庫系統是管理信息系統最重要的支撐軟件,數據庫系統是否安全直接影響企業數據(特別是財務數據)的真實性和安全性。