與國外相比,中國的信息系統安全審計起步較晚,相關審計技術、規範和制度等都有待進壹步完善。隨著我國信息化水平快速提高,信息系統安全審計正逐漸成為國內信息系統安全建設熱點之壹。我國的信息系統安全審計發展可分為兩個階段:
1999年-2004年 信息系統安全審計導入期
1999年財政部頒布了《獨立審計準則第20號-計算機信息系統環境下的審計》,部分內容借鑒了國外研究成果。這是國內第壹次明確提出對計算信息系統審計的要求。
同年,國家質量技術監督局頒布《GB17859-1999 計算機信息系統安全保護等級劃分準則》,該準則是建立計算機信息系統安全保護等級制度,實施安全保護等級管理的重要基礎性標準,其中明確要求計算機信息系統創建和維護受保護客體的訪問審計跟蹤記錄,並能阻止非授權的用戶對它訪問或破壞。”
2005年-2009年 信息系統安全審計的快速成長期
隨著互聯網在國內的迅速普及應用,推動國內信息系統安全審計進入快速發展階段。國家相關部門、金融行業、能源行業、運營商均陸續推出多項針對信息系統風險管理政策法規,推動國內信息系統安全審計快速發展。
隨著信息安全建設的深入,安全審計已成為國內信息安全建設的重要技術手段。總體來看,由於信息系統發展水平和業務需求的不同,各行業對安全審計的具體關註點存在壹定差異,但均是基於政策合規、自身安全建設要求,如:政府主要關註如何滿足“信息系統安全等級保護”等政策要求的合規安全審計;電信運營商則基於自身信息系統風險內控需求進行安全審計建設。