信息安全服务评估报告(精选8篇)
信息安全服务评估报告篇1
1 前言
随着信息化发展速度不断加快,信息系统用户规模不断扩大、需求不断更新、自动化程度不断提高,信息系统安全状况与企业经济效益越来越密切,直接影响到企业的经营和形象问题。目前,防火墙、IDS、IPS等安全设备已经得到普遍使用,但是同时这些设备产生了海量安全数据,采用人工分析的方法已经无法实现安全威胁的及时预警与处置。另一方面,现有安全设备之间相对孤立,数据没有得到关联分析和综合考虑,很难面对当今各种利用先进手段、高度隐蔽的网络攻击形式。因此,在现有安全手段的基础上,获取和分析海量攻击行为数据,结合态势感知技术实现信息安全行为的准确定位和智能预警,在信息安全防护工作中是非常必要的。
2 平台构成
信息安全态势智能预警分析平台由系统数据接口、数据挖掘与融合技术、态势分析与风险预警、可视化展示与系统管理六大部分。其中,系统数据接口用于查看目前监控的设备及应用系统;数据挖掘与融合提供有效的数据分析处理模型和数据分析方法;态势分析和风险预警提供当前网络安全态势评估、未来网络安全态势预测及响应告警功能;可视化展示定义生成各类表单、图表、报告、报表等用户界面。
3 关键技术
3、1 数据采集
3、1、1 设备实时监测数据
信息安全态势智能预警分析平台监测重要网络设备及服务器的运行状态,主要对网络边界设备、核心交换设备、重要服务器等进行监视,获取CPU、内存、网络流量等性能或安全参数信息。通过该系统数据接口,可按照单个设备、某类设备、整个网络设备来获取相关设备数据。
3、1、2 扫描数据
采集日常运维中扫描数据,主要包括利用漏洞扫描工具发现的漏洞、弱口令等安全隐患信息。
3、1、3 日志文件数据
采集重要设备的日志文件数据,主要包括网络边界设备、核心交换设备、重要服务器的系统日志、安全日志、应用日志及告警日志等。
3、1、4 策略配置数据
采集重要设备的策略配置数据,主要包括主机、服务器、网络设备等的安全策略配置信息以及策略变更信息等。
3、2 数据挖掘
数据挖掘的方法有很多种,其中关联规则挖掘方法能够从大量数据中挖掘出有价值描述数据项之间相互联系的有关知识,挖掘用户操作行为之间的关联规则,反映用户的操作倾向。
现实中网络环境复杂,网络设备种类多,影响因素之间相互关联。选取的算法要能有效的对多源异构数据进行关联分析并具有自学习性,能够解决决策层的不确定性,不能仅凭专家经验确定各指标对网络安全状态的影响程度。在底层使用关联规则挖掘算法对异构数据进行关联性分析,使用云模型对异构数据进行融合处理,在决策层使用贝叶斯决策方法进行态势预测,较好的解决了态势评估的不确定性。
3、3 态势感知与风险预警
网络安全态势感知主要对网络中部署的各类设备的运行状态进行监测,对动态监测数据、设备运行日志、脆弱性、策略配置数据等进行融合分析,对目前网络安全状况进行风险评估,同时也对未来几天网络安全状况进行预测。
安全风险预警实现各类安全隐患的报警功能。借助安全态势感知功能对各类数据综合分析,提出信息安全风险的来源分布以及风险可能带来的危害,及时的对信息安全隐患或风险进行报警。
3、3、1 网络实时状况警报
实现网络中的网络设备、服务器、中间件等的实时运行状态进行监控,并依据的上下限值提供报警功能。将告警指标和风险处理方法进行结合,实现在动态地图上显示出来并提供报警,能够快速的定位出现问题的设备。实现网络中关键的硬件设备配置的监控,实现对硬件的更换、策略的变更的报警功能。
3、3、2 态势要素提取
态势要素提取是态势评估与预测的基础。读取核心交换机、重要业务服务器及信息系统、门户网站、路由器、IPS、IDS等关键核心接入设备的配置信息、服务的状态、操作日志、关键性能参数等。
3、3、3 态势评估与分析
研究信息安全风险评估和分析方法,制定风险评估指标体系和评估模型,开展基于多协议和应用的关联分析,识别程序或用户的恶意行为,追踪并提供威胁分析。
态势感知的核心是态势评估,是对当前安全态势的一个动态理解过程。识别态势信息中的安全事件并确定它们之间的关联关系,根据所受到的威胁程度生成相应的安全态势图,反映出整个网络的安全态势状况。
研究分层次的安全评估模型,以攻击报警、扫描结果和网络流量等信息为原始数据,发现各关键设备影响因素的脆弱性或威胁情况,在此基础上,综合评估网络系统中各关键设备的安全状况,再根据网络系统结构,评估多个局部范围网络的安全态势,然后再综合分析和统计整个宏观网络的安全态势。
3、3、4 态势预测
态势预测主要基于各类网络设备、服务器、终端设备以及安全设备的记录,进行关联性分析,给出总体信息安全趋势。态势预测数据的来源包括用户数据的输入和监测到历史数据和实时数据。
3、3、5 响应与报警
针对存在的威胁事件、预知的安全风险以及信息系统故障等进行报警,并提供解决的建议。利用数据挖掘与融合技术处理历史数据和监测数据,经过网络安全态势评估与预测分析,对潜在安全风险进行分析预测,输出预警信息。
3、4 可视化展示
根据用户的不同需求,定义不同的功能视图,实现多样化、多元化的展示方式,包括漏洞、弱口令、病毒感染、违规外联、威胁报警等信息。
4 结语
通过信息安全态势感知与智能预警平台,利用大数据技术将现有各类监测数据、日志数据、扫描数据等进行有效整合,能自动识别未知的新型攻击、缩短事件响应时间并提高提高人员工作效率,为实时掌握网络整体安全状态和变化趋势提供了基础,从而提升企业信息安全主动防御能力。
信息安全服务评估报告篇2
当今世界已经进入智慧经济时代,也即知识经济的后一个时代是智慧经济,它是智慧经济化与经济智慧化相统一的过程。随着互联网+和智慧城市的建设,智慧经济逐渐成为智慧政府、智慧交通、智慧教育和智慧公众等建设领域的基础和支撑。作为智慧政府范畴的电子政务建设,尤其是政务网站的发展,越来越引进各政府及相关的部门的重视。
吉林省图书馆新馆自2014年9月开馆以来,在大数据与物联网等新一代信息技术时代背景下,省图书馆也引入了授权访问系统、超星发现系统、汇文书目检索系统等信息化产品和手段来提高信息化水平。其中,省图书馆在互联网上架设了官方网站“吉林省图书馆”(http://jllplib、、cn),就是一个典型的应用。互联网站的开通,一方面为社会公众提供了良好的数字检索、信息查询和知识发现等实用功能,另一方面也跨越空间和时间限制,真正打造了“24小时自助”的一站式服务式图书馆。
承担着为党政领导机关决策,为科研、教育及企事业单位提供信息咨询服务的吉林省图书馆互联网站是重要的电子政务工程,不但是政府公共服务的核心平台,也是与社会的重要接口。借助电子政务绩效评估指标体系对其进行深层次和微观的评测,不但可以提高政府效益,同时也可以提升社会效益。
2、电子政务绩效评估微观指标体系
电子政务网站绩效评估原则有以下几个:第一,要以公众需求为导向,即以读者的借阅、查询等业务为导向;第二,要强调政府的公共服务意识,即从传统的部门管理意识向现代服务模式转换;第三,要体现公众参与和交互沟通,即借助政务新媒体,打造多样畅通的政民信息传输渠道;第四,要以政府机构职能为中心,即以吉林省图书馆自身业务为网站核心。
电子政务网站绩效评估指标是评估的重要手段,评估指标要涵盖三大块:一是信息公开,对于吉林省图书馆互联网站,信息公开是提供公共服务,保障用户权益,扩大社会影响力的前提和保障;二是网上业务,这是吉林省图书馆互联网站提供公共服务的核心部分;三是互动服务,这是电子政府时代电子民主的根本体现[1]。
结合绩效评估原则和评估指标,可构建吉林省图书馆互联网站电子政务绩效评估微观指标体系。分为三级指标:一级指标、二级指标。一级指标包括:信息公开、网上办事、互动服务、网站设计、网站技术、网站管理和安全保障。二级指标包括:机构设置、相关文件、政府活动、政务公开、专题信息、经济信息、社会信息、其他信息、网站背景、办事指南、用户管理、办事状态在线查询、信息公开申请、表格下载、提供预审服务、咨询服务、民意征集、政务论坛、领导访谈、行风评议、网站导航、栏目设置、内容设计、页面设计、内容检索、数据库建设、访问速度、技术准确、应用程序、系统分析、管理机制、域名管理、信息维护、信箱管理、网站访问量、管理人员、安全管理制度、技术方案、信息监控、信息监控应急预案等。实际达标情况如下:吉图概况-机构设置、公告专栏、工作动态、政务信息公开、数字图书馆、媒界之音、关于我们、服务指南、我的图书馆、授权访问系统、信息咨询服务站、联系我们、信息咨询服务站-互动论坛、吉图概况-馆领导集体、吉图概况-职业道德规范、网站地图,您的位置。导航地址正确。10个一级栏目设置科学,子栏目层次较为清晰,名称直观准确,无二义性,重点重要栏目清晰突出。易用,人性化,公众服务需求突出。古典设计美观大方,风格统一,但布局略显局促;重点内容突出;多媒体应用恰当;字体标准;页面单层次,返回功能欠佳;无商业性广告。提供全文检索和书目检索,功能强大,查询准确高效。主页显示速度快,无延迟;平均下载时间小于30秒。错误提示较多,集中体现在视频点播和相关链接栏目。例如错链接,死链接等。兼容性良好。多操作系统多浏览器支持。有借阅排行榜,但无在线量、访问量等统计。域名使用不规范,使用、商业域名。网名具有政府特色。信息维护及时。内容完整翔实。有OA办公系统和吉图邮件系统。有公开邮箱。
3、吉林省图书馆互联网站评估报告
根据吉林省图书馆互联网站绩效评估指标体系,选取长春市行政学院信息技术主干核心机房和吉林省图书馆报刊阅室2个实验点,分别从外网和内网进行评估。
通过近一个月的工作,得出了对吉林省图书馆互联网站的评议考核结果。在得出评议结果后,对这个结果的观察和分析,发现网站在电子政务建设水平、实现服务职能方面表现比较突出。首先,我们发现吉林省图书馆互联网站处于全国同行中的领先地位,并且和吉林省内其它文化行业单位开办了“吉林云图”,满足读者在任何时间任何地点获取所需要知识的核心服务理念,得到公众的好评。可见,吉林省图书馆非常重视信息技术的应用和部门网站的建设工作。
其次,吉林省图书馆互联网站与OA办公系统、电子邮件系统、吉林云图、授权访问系统、超星发现系统、汇文书目检索系统等应用系统深度融合,这在内容建设和整合上迈出了重要步伐,值得肯定和保持。另外在公告上做得比较好,从新馆搬迁至今,已经信息60多条,信息多,针对性强,与公众利益息息相关。可以说,公告专栏是网站的一个特色,值得推广和改良,例如在移动端通过微信或短信定制的方式,进一步方便公众及时了解到公告信息。
最后,在用户访问体验方面,网页打开没有明显的延迟。
吉林省图书馆互联网站在取得重要成绩的同时,也存在一些问题。例如网站建设缺乏规范化,一些菜单的界面风格与其它不同,有些在首页显示,有些在分支显示,不够统一。再如,网站中,死链接或错链接较多,表明没有定期专人清理。重点体现在试用资源上。最后,没有形成强大的公众之间交流网络。这些问题都是将来值得进一步改进的地方。
信息安全服务评估报告篇3
《银行家》:一个地区金融业的发展总与该地区的经济发展紧密相连,与山东省内其他地区相比,您认为德州地方经济的发展有哪些特点?
肖龙沧:与山东其他主要城市相比较,德州是一个经济欠发达的地区。但最近几年,德州市经济却取得了不错的发展态势,经济年增长速度高达15%以上。德州市经济发展的主要特点是民营经济相对比较活跃,民营经济对本市经济总量以及财政收入的贡献度已经达到80%以上,已形成了太阳能、中央空调、功能糖、汽车配件等四大民营产业,这些产业在省内乃至全国都小有名气。德州市中小企业数量较多,据统计,与商业银行有信贷关系的达5000多家。这种经济结构,决定了商业银行必须把营销的重点面向中小企业。同时,如何更好地为中小企业服务,也是基层人行面临的一个非常重要的课题。
《银行家》:在本地商业银行将工作重点向中小企业转移的同时,作为地方人行如何加以引导、支持和规范?
肖龙沧:的确,这几年我们已经把工作重点转到了促进民营经济与中小企业发展上来,围绕解决中小企业贷款难的问题,做了不少工作,也取得了一定成效。
首先疏通银政合作渠道,我们与政府经济综合管理部门、驻德州金融机构等17个部门签订《合作备忘录》,促进货币信用政策与产业政策以及其他宏观经济政策的协调配合。其次举办银企恳谈会,邀请驻鲁金融机构到德州来与当地企业进行交流。从2002年起几年下来这类恳谈会共促成合作170多亿元。截至2006年末,全市对民营企业的贷款余额达397、3亿元,其中辖外金融机构的为59亿元,比2002年末增加了41亿元。再次,积极扶持和培育担保机构。与市民营经济委员会共同组成市担保公司建设指导小组,举办担保公司业务培训班,并推动成立了省内第一家信用担保机构业协会。从目前情况看,德州的担保机构没有一家是政府出资的,目前总数已经有49家,总注册资金8、57亿元,家数之多、密度之大,在全省乃至全国都名列前茅。我们在2006年4月专门还推动召开了全市金融机构与担保公司业务合作推进会,出台了《加强金融机构与担保公司合作的指导意见》,希望通过银行和担保公司的合作,来破解中小企业贷款难题。
《银行家》:从您刚才的介绍中,我们知道为解决小企业融资担保抵押不足的问题,德州人行积极推动当地担保业的发展,但信用评级困难却是各地推行小企业贷款的另一难题,这方面的问题又如何解决?
肖龙沧:为解决信用评级难的问题,德州形成了一个“信用评级、担保一体化”的服务模式,很有特点。这种模式的运作主体,是山东征信信用管理咨询有限公司。该有限公司的前身为德州市企业信用评估咨询中心(以下简称评估中心)。该评估中心是一家由德州市民营企业出资组建的股份制中介服务机构,成立于2002年7月。自2002年7月到2006年11月末,评估中心通过整合工商、质监、金融、税务、政法等社会各方面的信用信息资源,已经为3240家中小企业建立了信用信息数据库,并于近期协助德州人行开展了德州市中小企业信息征集工作。截至2006年11月末,该中心已为1200多家企业进行了信用评级。
这种信用评级担保一体化服务模式的实质内容为:签约合作的金融机构与评估中心实行信息共享,由评估中心按照金融机构贷款要求的企业信息和相关社会信用指标,整合各类信息资源,免费为中小企业建立信用信息数据库并据此进行信用评级。对需要贷款且被评估为A级以上的信用企业,评估中心出具信用评估报告书,作为对企业信用担保的承诺,并收取一定的担保费用。金融机构以信用评估报告书为参考依据,对贷款项目进行减少或取消贷前考察程序(原则上对贷款金额500万元以下的项目不再审查),凭信用评估报告书直接与企业签订合同、发放贷款,并在贷款利率上予以优惠。一旦企业不能按期归还贷款,评估中心有义务从自己的专户上划拨资金及时代偿,而后再依法向企业追偿。
这几年,评估中心与金融机构积极合作,先后与工行德州分行、德州市商行、山东省农联社德州办事处建立了密切的合作关系。一是信息共享。根据合作金融机构的要求,从政府信息、企业信息、行业信息、社会信息等各个方面,组织工作人员对企业全面征集信用信息和组建信息库,随时供有关金融机构调阅。2006年,还成功与全市11家县(市)农村信用联社实现了内部联网,更加方便了信息的共享。二是科学评级。按照人行的要求与合作金融机构的需要,设立AAA、AA、A、BBB、BB、B、CCC、CC、C共三等九级,对企业进行信用评级。此外,还创造性地引入了对担保公司的评级,根据营运风险防范、资产质量、资本充足性和管理水平,分设AAA、AA、A、B、C五个等级,为金融机构选择担保伙伴提供参考。三是强化风险防范。通过专业软件的数据分析、专家学者组成的评审委员会的定期审查和对企业的日常走访调查三管齐下,确保了评级结果的准确性。此外,评估中心还与有资质的典当行、拍卖行建立了合作关系,以便及时化解担保带来的风险。自2002年7月至今年11月末,评估中心累计为信用企业担保贷款20712万元,相关金融机构和自身均未发生资产损失。
《银行家》:就目前的运作状况看,您认为这种信用评级担保一体化的服务模式效果如何?
肖龙沧:应该说这种模式的好处是多方面的。一是有利于更好地支持中小企业发展。目前,中小企业资金需求具有“时间急、频率高、数额小”的特点,但如果直接从金融机构贷款的话,手续较为繁琐,审贷周期较长,而通过信用评级担保一体化服务,额度小于100万元的贷款凭信用评估报告书就可从金融机构直接获得。另外,通过组建信用信息数据库,评估中心还可帮助企业完善财务制度,提高管理水平。
二是有利于金融机构降低成本和防范风险。由于中小企业面广量大,大多数财务管理不够规范,对信贷资金的发放非常不利。金融机构通过运用评估中心的信用评价结果,一定程度上补充或替代了内部评级,有效降低了决策成本。同时,由于评估中心对企业贷款负有担保责任,可以保证贷款的安全进入和安全退出。
信息安全服务评估报告篇4
互联网新业务安全评估管理办法
(征求意见稿)
第一条【立法目的】 为了规范电信业务经营者的互联网新业务安全评估活动,维护网络信息安全,促进互联网行业健康发展,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》《中华人民共和国电信条例》《互联网信息服务管理办法》等法律、行政法规,制定本办法。
第二条【适用范围】 中华人民共和国境内的电信业务经营者开展互联网新业务安全评估活动,适用本办法。
第三条【定义】 本办法所称互联网新业务,是指电信业务经营者通过互联网新开展其已取得经营许可的电信业务,或者通过互联网运用新技术试办未列入《电信业务分类目录》的新型电信业务。
本办法所称安全评估,是指电信业务经营者对其互联网新业务可能引发的网络信息安全风险进行评估并采取必要的安全措施的活动。
第四条【工作原则】 电信业务经营者开展互联网新业务安全评估,应当遵循及时、真实、有效的原则。
第五条【管理职责】 工业和信息化部负责对全国范围内的互联网新业务安全评估工作实施监督管理。
各省、自治区、直辖市通信管理局负责对本行政区域内的互联网新业务安全评估工作实施监督管理。
工业和信息化部和各省、自治区、直辖市通信管理局统称电信管理机构。
第六条【鼓励创新】 国家鼓励电信业务经营者进行互联网技术和业务创新,依法开展互联网新业务,提升互联网行业发展水平。
第七条【行业自律】 国家鼓励互联网行业组织建立健全互联网新业务安全评估自律性管理制度,指导电信业务经营者依法开展安全评估,提高安全评估的能力和水平。
第八条【评估标准】 工业和信息化部依法制定互联网新业务安全评估标准。
第九条【评估要求】 电信业务经营者应当按照电信管理机构有关规定和互联网新业务安全评估标准,从用户个人信息保护、网络安全防护、网络信息安全、建立健全相关管理制度等方面,开展互联网新业务安全评估。
第十条【评估启动】 有下列情形之一的,电信业务经营者应当对所开展的互联网新业务进行安全评估,形成书面评估报告:
(一)拟将互联网新业务面向社会公众上线的(含合作推广、试点、商用试验);
(二)电信管理机构书面要求电信业务经营者进行安全评估的。
按照前款第一项规定进行安全评估的,应当在互联网新业务面向社会公众上线前完成评估。
第十一条【评估方式】 电信业务经营者进行互联网新业务安全评估,可以采取自行评估的方式,也可以委托专业机构实施评估。
第十二条【风险控制】 电信业务经营者进行互联网新业务安全评估,发现存在重大网络信息安全风险的,应当及时改正。
第十三条【评估报告】 电信业务经营者应当在互联网新业务面向社会公众上线后45日内,向准予其电信业务经营许可或者试办新型电信业务备案的电信管理机构告知评估情况。
第十四条【报告材料】 电信业务经营者按照本办法第十三条的规定向电信管理机构告知评估情况的,应当提供以下材料:
(一)书面评估报告,包括业务情况、技术实现方式、安全评估内容和结论、安全管理措施等;
(二)公司名称、法定代表人、安全责任人、应急联系人及其联系方式;
(三)电信管理机构依法要求提交的其他材料。
第十五条【纠正措施】 电信业务经营者提供的互联网新业务安全评估材料不齐全的,电信管理机构应当指导电信业务经营者补正。电信管理机构发现评估报告不符合有关规定、标准的,应当要求电信业经营者限期改正或者重新评估,并在30日内提交评估材料。
第十六条【应急保障】 电信业务经营者开展互联网新业务的,应当按照电信管理机构的要求,建立互联网新业务重大网络信息安全事件应急处置机制,制定网络信息安全应急预案并定期组织演练。
第十七条【内部制度】 电信业务经营者开展互联网新业务的,应当建立并实施企业内部互联网新业务安全评估管理制度和保障制度。
第十八条【员工培训】 电信业务经营者开展互联网新业务的,应当对有关工作人员开展互联网新业务安全评估相关政策、法规、标准、技能的培训和考核。
第十九条【监督检查】 电信管理机构应当对电信业务经营者建立互联网新业务安全评估管理制度、开展安全评估、防范网络信息安全风险等情况实施监督检查。
电信管理机构实施监督检查,可以要求电信业务经营者提供相关资料,对其相关工作人员进行询问,进入其经营场所检查、调查、取证。电信业务经营者应当予以配合、协助。
第二十条【监测】 电信管理机构应当组织对互联网新业务进行监测。在监测中发现互联网新业务存在重大网络信息安全风险的,应当要求电信业务经营者限期改正。电信业务经营者应当进行改正。
第二十一条【约谈改正】 电信业务经营者有下列情形之一的,电信管理机构可以约谈其主要负责人:
(一)未按照本办法的规定及时开展互联网新业务安全评估的;
(二)未按照本办法的规定向电信管理机构告知评估情况,情节严重的;
(三)企业内部安全评估管理制度和保障制度不健全或者未实施,情节严重的;
(四)违反国家有关规定,电信管理机构认为可能影响网络信息安全的其他情形。
电信业务经营者应当按照本办法的规定和电信管理机构在约谈中提出的要求进行改正。
第二十二条【行业通报】 电信管理机构应当建立电信业务经营者互联网新业务安全评估情况通报制度,定期公布互联网新业务安全评估情况。
第二十三条【监督检查】 电信管理机构按照本办法的规定实施监督检查,应当记录监督检查的情况,不得妨碍电信业务经营者正常的经营或者服务活动,不得收取任何费用。
第二十四条【保密要求】 电信管理机构、实施安全评估的专业机构及其工作人员,对其在履行职责、提供服务过程中知悉的国家秘密、商业秘密和个人信息应当予以保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第二十五条【社会监督】 任何组织或者个人发现电信业务经营者有违反本办法的行为的,有权向电信管理机构举报。电信管理机构应当及时处理并对举报人的相关信息予以保密。
第二十六条【罚则一】 电信业务经营者违反本办法第十七条、第十八条规定的,由电信管理机构责令限期改正,予以警告;拒不改正的,可以处以一万元以下的罚款,按照有关规定记入电信业务经营不良名单和失信名单并向社会公布。
第二十七条【罚则二】 电信业务经营者违反本办法第十条、第十二条、第十三条、第十六条、第十九条第二款、第二十条的,由电信管理机构责令限期改正,予以警告,可以处以一万元以上三万元以下的罚款,按照有关规定记入电信业务经营不良名单和失信名单并向社会公布。
第二十八条【罚则三】 电信管理机构工作人员在互联网新业务安全评估的监督管理工作中玩忽职守、滥用职权、徇私舞弊的,依法给予处分;构成犯罪的,依法追究刑事责任。
第二十九条【参照执行】 电信业务经营者开展的互联网新业务,在技术实现方式、业务功能或者用户规模等方面发生较大变化,可能存在重大网络信息安全风险的,参照本办法进行安全评估。
电信业务经营者应当至少每六个月对其开展的互联网新业务是否存在前款规定的情形进行自查,保留自查记录;发现存在前款规定情形的,应当在45日内完成评估。
信息安全服务评估报告篇5
地址:_________
法定代表人:_________
乙方:中国信息安全产品测评认证中心_________测评中心
地址:_________
法定代表人:_________
受_________委托,由乙方即中国信息安全产品测评认证中心_________测评中心(该中心系由国家授权履行对信息安全产品,信息系统及信息安全服务进行测评认证的第三方权威,公证机构。)对甲方即进行测评。为保证信息系统检测评估过程的顺利进行,提高信息系统的安全性,现经甲、乙双方平等协商,自愿签订本协议,共同遵守如下条款:
1、经甲乙双方协商,于_________年_________月_________日起(时间约为_________周)由乙方对甲方网络系统的安全性进行检测评估。
2、测评范围为_________。
3、在检测评估过程中,甲方应协助并向乙方提供有关网络系统检测评估所需的文档。
4、乙方在对甲方的网络系统进行检测评估中必须严格依照信息系统检测评估要求与标准执行。信息系统检测评估过程如下:
(1)甲方向乙方提交系统检测评估申请文档;
(2)乙方对甲方提交的文档进行形式化审查;
(3)乙方对甲方提交的文档进行技术审查;
(4)乙方确定现场核查方案及计划;
(5)乙方对甲方申请检测的系统进行现场核查检测;
(6)乙方整理分析检测数据并撰写检测报告;
(7)乙方向甲方提交系统检测报告。
5、乙方在检测评估完毕后_________个工作日内向甲方提交网络系统检测评估报告。
6、乙方有义务对甲方提交的任何文档资料以及检测评估数据与结果保密,严格依照《中华人民共和国保密法》相关事宜执行,以确保任何相关技术及业务文档不得泄露。
7、甲方应在本协议生效之日起_________个工作日内将系统检测评估费用人民币_________元转入乙方指定的银行账户中。
8、本协议未尽事宜,双方协商解决,与国家法律法规相抵触的按国家规定执行。
9、本协议自签订之日起生效,一式三份,甲方持一份,乙方持两份。
甲方(盖章):_________乙方(盖章):_________
信息安全服务评估报告篇6
一、电子商务系统审计的必然性和必要性
在商业活动实现网络化之前,采购是面对面或通过纸质文件进行的,有迹可查,即使是电子交易,其设备结构是专用的,一般只限于已知用户使用,任何外部用户必须是已知的、身份明确的、可追踪的;系统通常是主机结构方式,相对易于监督、控制和审计。与传统商业相比,万维网客户/服务器系统的特点是高度分散,资源共享、服务分散、顾客透明度高等,而电子商务的运作速度更快、业务循环周期更短、风险更大、更高程度地依赖于技术。电子商务系统的技术基础和市场的快速变化意味着传统的衡量方法已不再适用于企业的某些资产,财务报告不能充分提供企业的状况和价值方面的信息,特别是网络企业的无形资产,如商誉、客户忠诚度和满意程度等这些产生长期价值的关键资产。核实确认这类资产价值的困难在于缺乏足够的历史数据、合适的参照标准、先进的实践经验以及对网络的各种威胁和概率的准确估算。企业管理层以及公众都需要寻找能够用以表述网络企业的可信度、安全性及其他资产价值的方法,需要一些新的核查和审计方法,更有效地评价无形资产,如知识、品牌等。因此,电子商务系统审计就成为历史的必然。由于,电子商务的可靠性、适用性、安全性和性能等方面受到的威胁或存在的风险,都可能会影响其生存和发展。风险因素包括:商业信息的泄露、智能财产的不当使用、对版权的侵犯、对商标的侵犯、网络谣言和对信誉的损害等。因此,进行必要和客观的审计,才会使董事会、审计委员会、高级管理层对电子商务系统的安全运作和效益满意和放心。
二、网络风险和风险管理
网络风险如同自然灾害一样不可预见。风险管理的关键在于风险评估,风险评估就是要分析和衡量风险事件发生的概率及后果,引起风险的因素及其关联因素,出现风险的关键点采取什么方法能够减缓风险,风险出现造成后果如何,以及评价管理层是否履行了应有的职业审慎进行防范和控制。同时在评估中还要为各项因素设计评价比率,计算各种风险的影响后果,根据影响和后果排序,对高风险因素作进一步的分析。
通过风险评估,可以认识到潜在风险(威胁)及其影响,以便对高风险领域作一些防范、检测、控制、减缓和恢复的工作计划和安排。这些计划和安排应涵盖对各项控制成本,主要是指接受、避免、转移、监测成本的分析以及各项工作的先后次序。
三、电子商务系统审计中网站的合法性证明
网络终端用户都会关注网站是否来自一个真实的、可靠的机构,提供的信息是否准确真实,机构背景是否正当合法,个人信息的隐私权是否得到保护等。所谓隐私权是指对个人的数据/信息的搜集必须合法、公平,必须用于某一特定、公开的目的,必须取得该个人的同意并受到保护,本人必须有权进入系统进行修改或删除,信息的越域流动和将来的使用、披露必须予以安全保证和限制等。
解决这些网站合法性问题的途径之一就是由一公证机构提供可靠的证明,以使网络终端用户能对网站提供的电子商务放心。如Verisign, TRUSTe,BBB Online ,Web Trust ,SysTurst等都是具有良好的信誉并且提供证明-查证服务的专业组织机构。网络终端用户可以通过查询这些公证机构的记录,获得确认被访问网站的名称、有效状态、服务器标识等信息。
四、内部审计和电子商务系统审计
美国注册会计师协会对“核实查证”的定义是“提高决策者所需要信息的质量或内容的独立性专业服务。”其审计原则是保证系统的可用性、安全性、真实完整性和持续性,建议对系统安全性和真实完整性方面存在的控制点进行检查、评价和测试。并尽量在今后采用合适的审计标准对信息技术进行审计。不同于以年度为基础的传统外部审计,电子商务的实时性要求审计人员应对其进行连续不断的评估,按特定的审核标准对已发生的交易进行追踪,而系统内设置的自动登录记录可作为相应的审计轨迹,在系统内部实施对事件监督和控制。
尽管当前许多人认为核实查证通常与外部审计人员相关,内部审计人员则在公司内部出具审计报告。然而,国际内部审计师协会对电子商务系统审计的要求则是:审计控制目标主要是审计财务报告制度、经营的效益和效率、合规性和保护财产安全等方面。审计模式应该建立在系统的可用性、容量、功能、保护和可靠性的基础上。例如,内部审计对网络企业控制水平的独立评价,使得客户了解到企业提供的数据将不会被有意或无意地滥用。再如,企业目标是建立电子商务以降低成本、提高市场占有率,那么电子商务风险是随着网络交易的增加而增加,以至于不能确保交易的安全性或分辨用户的可靠性,因此,所需要的控制就是对用户的真实性进行确认以及对通讯信息进行加密。
电子商务系统审计的成功与否在于审计人员是否掌握相关的技术知识,了解商业风险及风险管理策略,是否有现成的策略随时应付出现的风险。因此,作为一个成功内部审计人员应了解企业的业务,以服务为宗旨并努力增值,积极提高专业技能,关注系统的效率和效益,建立对电脑领域发展的职业敏感性。
信息安全服务评估报告篇7
关键词:云会计;审计;实施框架
一、引言
近年来,云会计技术在社会经济生活中扮演着尤为重要的作用。信息的可获得性增强促进了财务共享服务的诞生,推动了--“云会计”的新变革。所谓“云会计”至今为止并没有一个严格的定义,其泛指企业运用云服务商提供的互联网在线虚拟会计信息系统服务,以实现企业自身的会计定制化需求。云会计服务的模块化、多元化、分散化等特点与传统会计软件有很大的差别,导致了现行的审计还无法满足云会计环境复杂性等要求。如何构建应对变化较大的会计环境的审计实施框架,以降低审计风险,成为目前国内外学者研究的重点。
二、云会计环境下审计面临的挑战
1、审计环境复杂化
从操作系统上看,与传统财务软件较为稳定的应用系统边界相比,个性定制化的服务模式导致各企业应用系统边界模糊,除此之外,系统之间的各个模块云服务商可根据企业的需求进行变动调整,从而增强了审计环境的多变性和复杂性。由于目前云会计还处于起步阶段,各服务商产品的相关标准并为统一,产品版本过多相关透明度的不足,也增加了注册会计师对审计环境的了解难度。从数据获取程度来看,注册会计师在云会计环境下所获取的财务数据大部分要从服务供应商中提取,而所提供的数据是否充分和适当,即使能获取充分适当的审计证据,其可靠性在云会计服务商与企业之间的商业关系中也会大打折扣。
2、审计范围扩大化
在云会计环境下,企业可以随意选择不同的云服务商,甚至将不同的模块分散到各个云会计服务商中。这就可能会导致竞争对手直接会共用一个服务商,如果未采取较为可靠的加密技术,用户信息的安全性将受到极大的威胁。除此之外,还需要考虑服务商服务器的性能以及在紧急情况下数据丢失的可能性,这些都与云会计服务商的内部控制息息相关。由此可知,审计人员需要对被审计单位财务报告的可靠性提供合理的保证的同时,必须确保云会计服务商提供的会计信息服务系统的可靠性,如果第三方鉴证机构提供了相关的鉴证报告,还需确认此鉴证报告的可利用性。在某些方面抽象审计逐渐向全面审计转变,审计的重要性水平依赖程度减弱,审计范围进一步扩大。
3、审计证据来源多样化
会计服务的分散化使注册会计师收集审计证据的来源变得多元化。在新环境下,企业、云会计服务商以及第三方鉴证机构等都可能成为审计证据来源的主体。在云会计下,将IT审计证据分为一般控制层面和应用控制层面的审计证据。一般控制层面的审计证据需从云会计服务商中获取,包括其提供服务的基础设施、技术构架,程序的编译、软件的测试等方面,以评估审计储存的完整性。应用控制层面的审计需要从被审计单位和第三方鉴证机构中获取,包括被审计单位的内部控制状况,云会计服务商提供的在线会计信息系统的可靠性评价等相关审计证据。云会计环境下在线会计信息系统的复杂性扩大了审计证据的来源,也加剧了审计工作的难度。
4、审计风险加剧化
传统审计风险模型认为,审计风险由重大错报风险和检查风险构成。在复杂的云会计环境下,审计风险有所增加,风险范围随着云会计服务商的加入进一步扩大。一方面,在线的会计信息系统脱离了对纸质材料的依赖,数据储存以无纸化形式存在,且会计信息存在于一个共享的云端中,数据的安全性受到威胁,审计的可视线索消失。此外,数据的可获性以及云会计环境下对审计人员综合素质的高要求,也必然增大审计风险。
三、云会计环境下审计实施框架的设计方案
1、云会计环境下审计工作的准备阶段
传统审计工作的准备阶段一般包括对审计总体目标和具体目标的确定,并通过了解被审计单位及其环境来进行风险评估,进而制定审计计划。基于云会计环境之下,准备阶段的工作将有所改变。首先,在制定审计目标时,对于云会计服务商的审计目标也应当考虑在其中,这一目标需根据审计的侧重点而制定。针对在线会计信息系统生成的财务报表做出的审计,应当更加注重系统的运行是否有效,财务数据的真实完整性,而针对内部在线会计信息系统自身的审计,其应当关注是该系统的业务流程、信息资源与企业的契合程度是否能够为被审计单位形成可信程度水平高的财务报表。由此我们可以看出,在云会计环境之下,对在线会计信息系统可靠性的评估成为审计的共同目标之一,对云会计服务商提供的云会计服务相关性和可靠性的评估是审计工作中对财务报表预期不存由于错报和舞弊而导致财务报表存在重大错报提供合理保证的前提。
云会计环境的变化无常使得风险评估在这一阶段显得尤为重要。鉴于云会计技术的不透明性以评估出云会计系统的可靠性,因此,审计工作必须利用专家或第三方评估机构的工作,包括专家对云会计服务商的资质、技术水平、服务的基础设施构架以及对相关法规的遵守程度等,以得出会计服务商提供的服务是可信性评价结论。此外,风险评估环节中还应对在线系统的内部控制以及是否存在潜在安全威胁等构建风险矩阵进行定性和定量的评估。此外,审计计划特别注重将被审计单位本期所使用的云会计服务商都纳入审计范围当中,并根据云会计技术环境的复杂程度合理安排必要的审计时间,在对云会计技术的评估和总体在线系统业务流程逻辑的了解方面,投入更多具有IT技术专业的审计人力资源。
2、云会计环境下审计工作的实施阶段
由于云会计环境下,被审计单位通过接入云会计服务商的互联网借口便可获取会计服务,因此,新环境下的审计工作可以认为是更大范围内的IT审计工作。基于云会计环境,审计工作可以分为一般控制层面和应用控制层面的审计实施工作。
一般控制层面中,注册会计师需要确认云会计系统控制的设计和之下是否有效,特别要关注的是系统的更新、基础设施的变更、访问技术的安全性、数据储存的安全性以及网络运行的安全性等,虽然此类工作增加了审计人员的工作量,也对审计人员的专业素质要求提高,但是由于大多数云会计服务具有一定的共性,因此对此类测试的重复程度非常高,一般在测试完一类流程之后,便可得出运行有效的结论,这对后续应用控制的测试节省了更多的时间和资源。应用控制则应遵守传统审计规范,特别要关注业务流程与企业目标的契合程度,从云会计服务的业务流程过程当中找出相关风险点,并挑选出重点流程进行穿行测试,在IT审计中的穿行测试可以通过自动化软件结合大数据进行分析,但此过程应更多结合外部专家的工作。
3、云会计环境下审计工作的终结阶段
通过对审计证据是收集以及分析工作,最终形成对被审计单位的综合评价,并以此出具相应的审计报告。审计报告的初稿以审计人员的判断为基础,审计人员通过在审计终端中选择相应的审计意见类型,若是非标准审计报告,亦可以选择事先编制好的出现相应错报或舞弊的模板,审计人员根据具体情况在模板上做相应改正,系统便可自动出具对应的审计报告。支撑审计报告的相关审计证据会在审计过程当中自动形成审计底稿,并自动分类和编号。审计报告初稿在系统中经上级审核通过后,最终确定审计报告。对于审计期后事项,系统也会根据事项的具体性质和审计人员的判断,形成具体的应对措施。
四、结语
云会计技术的发展对财务会计和审计工作来说既是挑战又是机遇,互联网技术的发展带来的便利性能解决传统审计工作中的棘手问题,提高了审计的效率。然而,这也带来了更为复杂的审计环境,需要更加完善的审计实施框架来为审计工作的科学性、合理性和准确性提供更为有利的支撑,本文在云会计环境下构建的审计实施框架,以新的审计环境为基础,对于未来的审计工作有一定的现实意义。
参考文献:
[1]程平,温艳好、云会计对审计的影响及对策[J]、中国注册会计师,2013,11:121-124、
信息安全服务评估报告篇8
20__年10月15日__市信息化办公室组织国家信息安全评测认证中心上海中心__办事处的专家对我局的信息化安全进行了比较系统的检测,并给出了概要评估报告和提出了安全措施建议。我局对此报告非常重视,召开了由相关人员参加的信息安全工作会议,会上对检测出的问题逐个地进行分析,制定出相应的解决方案,并按照解决方案迅速地予以实施。具体整改情况如下:
一、安全管理机构及管理制度的整改
由于给安全检测专家介绍情况的人员对交通局整个安全管理体制不十分了解,所以给评测专家留下了交通局没有专门的管理组织,管理制度制定落后于目前的网络安全工作的印象。实际情况是__市交通局于20__年3月重新调整了信息化领导小组的成员及工作职责,其中一项重要的工作就是信息化安全工作。同时也了一系列的信息化管理制度,如《__市交通局信息系统安全管理制度》、《__交通信息网网站管理制度》等。在新的《__市公路、水路交通信息化建设规划(20__-20__)》中对信息安全也作了全面的规划。目前只是由于对这些规划和制度组织学习不够,使得安全制度的落实不能完全到位。为保证信息系统的安全运行,我们将对所有的信息化管理制度进行一次全面的修订,并将一些制度进行细化,分别制定出《机房管理制度》、《设备维护制度》、《访问控制管理制度》、《设备操作管理制度》等一系列的管理制度,并将各项制度的执行落实到人,尽量减少因制度不落实、管理不到位而造成的损失。
二、对信息安全设备的软硬件配置的整改
1、系统灾备:我们针对不同系统采取了不同的措施。针对办公自动化系统采用的是磁带备份,策略为每周一进行完全备份,每周三和周五进行增量备份,同时将整个系统应急恢复盘刻成光盘。当系统崩溃时通过应急盘和备份磁带迅速恢复系统。此次安全检测时,发现的磁带问题是由于一盘磁带出现故障,而使得整个系统的全备份没有完成,现在我们已更换了所有磁带,备份系统已恢复正常。针对内外网站,由于所有页面数据存储在数据库中,我们采取的是每日对数据库进行异地备份,涉及网站的程序也刻成光盘保存。由于每台计算机有相应的备份机器,所以一旦网站系统崩溃,可通过更改该备份计算机的ip地址,复制相关程序和恢复数据库的步骤迅速恢复网站。
2、病毒防护:由于历史原因,我们通过三种方式来更新交通局所有的计算机上的杀毒软件。1)对所有安装win98的计算机通过一台nt4、0的服务器来安装更新杀毒软件,杀毒软件为kill 20__。2)对所有安装win xp的计算机通过一台win 20__的服务器来安装更新杀毒软件。杀毒软件为kill 6、0安全胄甲。3)只用于连接互联网的计算机(单机)安装朝华安博士单机版,外网服务器使用kill 6、0安全胄甲,通过英特网更新。根据此次评测报告的建议,我们将安装一台杀毒软件更新服务器,将所有内网的计算机安装统一的网络版杀毒软件,通过一台服务器来更新升级。
3、边界控制:1)外网百兆防火墙。评估报告中指出的外网百兆防火墙带有入侵检测功能与单独的入侵检测系统非常相像,而我们认为单独的入侵检测系统功能强大,有丰富的监测图表,而防火墙内嵌的入侵检测功能非常简单,而且一旦防火墙入侵检测系统打开,对防火墙的性能有一定的影响,所以我们设立了单独的入侵检测系统。2)关于防火墙与管理计算机之间通讯为加密的问题,我们也是经过选择的。联想防火墙提供两种管理模式,密匙管理方便但不加密和通讯加密管理但比较繁琐,为管理方便我们采用了密匙管理的方式,今后我们将尽量采用通讯加密的管理方式,以保证防火墙的自身安全。3)外网入侵检测系统。根据评估报告的建议我们对该入侵检测系统进行了重新配置,重新制定了规则,避免了误报。此外,由于硬件条件的设置,我们暂时将入侵检测管理端口用工网地址,但对其访问我们做了严格的限制。并已着手准备硬件设备,尽快将管理端口设置成私有地址。需要说明的是外网防火墙和入侵检测联动功能一直是打开的。4)内网千兆防火墙。按照评估报告的建议,我们已打开了防火墙的包过滤日志功能;由于防火墙的入侵检测功能会增加防火墙的负担,影响防火墙的性能,所以没有打开防火墙的入侵检测功能;至于厂家定义的报警值是指日志文件大小超过该报警值防火墙将报警提示用户,根据监测此阀值偏小(根据厂家说明此标准值为百兆防火墙设置,对千兆防火墙偏小),我们已作相应的调整。考虑到资金以及内网相对于外网较为安全,按照轻重缓急的原则,我们为外网配置了防火墙和入侵检测系统,而内网目前只配备了防火墙,若明年资金允许,我们将在内网部署入侵检测系统。
4、漏洞检测与优化:对windows操作系统现已能够做到及时更新。并在windows系统上已配置了最适合本单位实际情况的安全策略以及在防火墙上配置了最适合本单位实际情况的ip筛选机制。目前本局还没有liunx系统。
5、网页监控与恢复:我局内外网站都部署有网页监控与恢复系统,对网页进行实时监控,一旦网页被非法修改,将自动进行恢复,并且除了iis日志,对网页的所有修改以及用户管理操作都有日志记录,以便追踪非法操作。
6、应急响应:我局针对重要的应用系统(办公自动化、内外网站、网络系统等)制定了一些列的应急预案,目前根据网络和系统应用的变化,将进行优化,以保证应急相应的及时有效。此外,还对重要的系统或设备建立日志服务器,并派专人对日志进行整理、分析。进而快速地找到原因、采取应对措施。
对一些安全问题的探讨
防火墙系统自身的ftp、telnet等服务没有停止的问题:通过向联想咨询,以及根据我们测试的结果,目前防火墙系统本身没有打开telnet和ftp服务,所以无法用telnet、ftp登陆防火墙系统。不知评测报告中指的“防火墙系统自身的ftp、telnet等服务没有停止”指的是什么。