（一）国内信息系统安全审计发展历史

    与国外相比，中国的信息系统安全审计起步较晚，相关信息安全审计技术、信息安全审计规范和信息安全审计制度等都有待进一步完善。**的信息安全审计专家，根据多年经验总结，提出我国的信息系统安全审计发展可分为两个阶段：绿盟科技的信息安全审计专家，通过多年的信息安全项目，总结分析了国内几种主要的信息安全审计应用。

图 1.1 信息安全审计在中国的发展

    1999年-2004年 信息系统安全审计导入期

    1999年财政部颁布了《独立审计准则第20号-计算机信息系统环境下的审计》，部分内容借鉴了国外研究成果。这是国内第一次明确提出对计算信息系统审计的要求。

    同年,国家质量技术监督局颁布《GB17859-1999 计算机信息系统安全保护等级划分准则》,该准则是建立计算机信息系统安全保护等级制度，实施安全保护等级管理的重要基础性标准，其中明确要求计算机信息系统创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。"

    2005年-2009年 信息系统安全审计的快速成长期

    随着互联网在国内的迅速普及应用，推动国内信息系统安全审计进入快速发展阶段。国家相关部门、金融行业、能源行业、运营商均陆续推出多项针对信息系统风险管理政策法规，推动国内信息系统安全审计快速发展。

    2005年12月，公安部颁布82号令《互联网安全保护技术措施规定》,其中明确要求"互联网服务提供者和连接到互联网上的企事业单位必须记录、跟踪网络运行状态、记录网络安全事件等安全审计功能，并应当具有至少保存六十天记录备份的功能。"

    2006年，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合制定并发布了《信息安全等级保护管理办法（试行）》，该办法明确要求信息系统运营使用单位在开展等级保护工作中要按照或者参照国家、行业技术标准进行系统定级、建设、整改、测评等工作。《信息系统安全等级保护基本要求》是信息安全等级保护标准体系中重要的基础性标准之一。该要求针对不同安全保护等级信息系统的基本安全审计能力均有明确要求，如：需要对用户行为、安全事件等进行记录，对形成的记录能够统计、分析、并生成报表。

    2006年，国家保密局发布BMB17-2006号文件《涉密信息系统分级保护技术要求》，文件要求相关涉密单位信息系统，根据不同涉密级别，采取相关审计措施。如：

    l 必须制定明确的系统安全审计策略；

    l 确定的审计事件范围应对安全事件的事后追查提供足够的信息；

    l 审计记录包括服务器、涉密重要用户终端、安全保密设备、用户、用户权限修改以及用户操作等。

(责任编辑：)