审计亟需回归业务 审计业务约定书

安全问题已经成为企业信息化过程中，最为重要的环节。防火墙、utm、防病毒软件、防后门、防蠕虫各种安全技术和产品层出不穷，但是他们只能防范外部安全问题，对于企业组织中内部人员所造成的严重攻击，这些是无能为力的，此时，网络安全审计系统的作用就显得尤为重要。

通过使用网络安全审计系统，可以将管理人员从繁杂、枯燥的it内审中解放出来，最大程度上降低it内审工作的工作量、以满足组织机构内外部合规性要求、全面体现管理者对业务系统信息资源的全局把控和调度能力。

决策部门在系统的帮助下可以寻找到治理业务系统的决策依据，并且定夺治理业务系统的先后顺序，以及重要紧急程度等等一系列审计工作。

为什么需要面向业务的信息安全审计。

面向业务的信息安全审计系统，顾名思义，是对用户业务的安全审计，与用户的各项应用业务有密切的关系，是信息安全审计系统中重要的组成部分，它从用户的业务安全角度出发，思考和分析用户的网络业务中存在的脆弱和风险。

我们不妨先看两个鲜活的案例。不久前，中国青年报报道，上海一电脑高手，方某今年25岁，学的是计算机专业，曾是某超市分店资讯组组长。方某利用职务之便，设计非法软件程序，进入超市业务系统，即超市收银系统的数据库，通过修改超市收银系统的数据库数据信息，每天将超市的销售记录的20％营业款自动删除，并将收入转存入自己的账户。从2004年6月至2005年8月期间，方某等人截留侵吞超市3家门店营业款共计397万余元之多。

程某31岁，是x公司资深软件研发工程师，从2005年2月，他由a地运营商系统进入b地运营商的业务系统――充值中心数据库，获得最高系统权限，根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥，然后把“已充值”状态改为“未充值”，并修改其有效日期，激活了已经使用过的充值卡。他把面值300元的充值密码以281.5到285元面值不等价格在网上售出，非法获利380万。