1970年-1999年，信息系统审计成长阶段

    70年代中期至80年代，美国、日本等先后成立计算机审计相关组织；国际开始兴起一系列信息安全管理标准的制定。1983年，日本通产省发布《系统审计标准》，开始培训信息系统审计人员。1984年美国EDPAA协会（执业会计师协会）发布一套EDP控制标准-《EDP控制目的》。

    1996年，ISACA协会发布了COBIT（Control Objectives for Information and related Technology）标准，是国际上公认的安全与信息技术管理和控制的权威标准，也是国际通用的信息系统审计标准，已在100多个国家的重要组织和企业中应用。

    1999年-至今，信息系统审计普及和行业应用阶段

    2001年至今，美国安然事件及由此引发的一系列美国著名大公司在公司治理和财务管理力方面的问题，促使美国陆续出台了多个具有较强影响力的行业法案，如：2002年美国出台Sarbanes-Oxley法案（塞班斯—奥克斯利法案)，其中第404条款要求企业在财务报告方面加强内控，企业的CEO和CFO必须对本企业的内控系统的有效性发表诚信声明。因此，IT信息系统同样需要加强控制以达到SOX法案的合规要求； 2005年针对IT信息系统的SOX合规审计成为全球CIO最关注的事。目前，西方发达国家的信息系统审计应用已较为普遍，并发展到了较高的水平。

    二、 信息系统安全审计定义与发展

    信息系统安全审计是信息系统审计全过程的组成部分，主要依据标准包括COBIT、CC、ITIL等信息安全管理标准。信息系统安全审计是评判一个信息系统是否真正安全的重要标准之一。通过安全审计收集、分析、评估安全信息、掌握安全状态，制定安全策略，确保整个安全体系的完备性、合理性和适用性，才能将系统调整到"最安全"和"最低风险"的状态。安全审计已成为企业内控、信息系统安全风险控制等不可或缺的关键手段，也是威慑、打击内部计算机犯罪的重要手段。

在国际通用的CC准则（即ISO/IEC15408-2:1999《信息技术安全性评估准则》）中对信息系统安全审计（ISSA，Information System Security Audit）给出了明确定义：信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析；审计记录的结果用于检查网络上发生了哪些与安全有关的活动，谁（哪个用户）对这个活动负责；主要功能包括：安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储等。

    这是国际CC准则给出的一个比较抽象的概念，通俗来讲，信息安全审计就是信息网络中的"监控摄像头"，通过运用各种技术手段，洞察网络信息系统中的活动，全面监测信息系统中的各种会话和事件，记录分析各种网络可疑行为、违规操作、敏感信息，帮助定位安全事件源头和追查取证，防范和发现计算机网络犯罪活动，为信息系统安全策略制定、风险内控提供有力的数据支撑。

(责任编辑：)