本书从信息安全审计的概念讲起，在介绍信息安全技术的基础上，从实体访问控制审计、数据中心和灾备机制审计、路由器和防火墙审计、Web应用审计、数据库和云存储审计到信息系统审计，内容由浅入深，逐步介绍当前信息安全审计的主要理论与方法。最后，介绍了信息安全审计风险、标准与法规，以及信息安全审计流程。本书可作为信息安全、网络空间安全、信息管理与信息系统以及其他IT类专业的教材，同时也可以作为从事IT审计、信息安全审计工作的专业人员的参考书。本书建议授课学时为48学时，实验学时为12学时，并要求先修信息安全、管理信息系统等信息技术相关课程。

前言
第1章 信息安全审计概述
1.1 信息安全现状分析
1.1.1 信息安全现状
1.1.2 信息系统面临的主要安全威胁
1.2 信息安全目标与主要安全业务
1.2.1 信息安全的目标
1.2.2 主要安全业务
1.3 信息系统安全设计
1.3.1 信息系统设计
1.3.2 信息系统的安全保护等级
1.3.3 信息系统安全风险的分析与控制
1.4 信息安全事件、审计及审计案例
1.4.1 信息安全事件
1.4.2 信息安全审计
1.4.3 网上银行审计案例
1.5 本章小结
习题 1
第2章 信息安全技术
2.1 密码学
2.1.1 密码学基础
2.1.2 密码学主要技术
2.1.3 国密算法
2.2 网络安全技术
2.2.1 网络安全协议
2.2.2 网络攻击技术
2.2.3 入侵检测技术
2.2.4 VPN技术
2.2.5 防病毒技术
2.2.6 PKI技术
2.3 信息系统安全
2.3.1 信息系统安全基本概念
2.3.2 信息系统安全威胁
2.3.3 信息系统安全防范
2.4 本章小结
习题 2
第3章 实体访问控制的审计
3.1 IT组织与策略的审计
3.1.1 IT组织结构审计
3.1.2 审查IT战略规划流程
3.1.3 审查技术和应用策略
3.1.4 审查IT的业绩指标和衡量标准
3.1.5 审查IT组织新项目及审批流程
3.1.6 评估IT项目执行度及产品质量标准
3.1.7 确保IT安全策略的存在
3.2 实体级控件的风险与管理的审计
3.2.1 审查和评估IT组织的风险评估流程
3.2.2 审查和评估员工技能与知识流程
3.2.3 审查和评估数据政策和流程
3.2.4 审查和评估监管程序流程
3.2.5 审查和评估用户满意度流程
3.2.6 审查和评估管理第三方服务的程序
3.2.7 审查和评估控制非员工逻辑访问的流程
3.2.8 审查和评估确保公司遵守适用软件许可证的流程
3.3 实体级控件相关的审计
3.3.1 审查和评估对公司网络远程访问的控制
3.3.2 审查和评估雇佣及解雇程序
3.3.3 审查和评估硬件采购及流动程序
3.3.4 审查和评估管理控制系统配置
3.3.5 审查和评估审计媒体控制策略及程序
3.3.6 核实公司政策和程序是否有效
3.3.7 确定和审计其他实体级IT流程
3.4 本章小结
习题 3
第4章 数据中心和灾备机制的审计
4.1 数据中心的核心作用
4.2 数据中心的审计过程
4.2.1 数据中心的审计要点
4.2.2 审计数据中心的测试步骤
4.2.3 审计数据中心清单
4.3 本章小结
习题
第5章 路由器／防火墙的审计
5.1 路由器／防火墙审计的必要性
5.1.1 路由器审计的必要性
5.1.2 防火墙审计的必要性
5.2 路由器／防火墙的审计
5.2.1 审计准备
5.2.2 审计过程
5.3 本章小结
习题 5
第6章 Web应用的审计
6.1 审计主机操作系统
6.2 审计Web服务器
6.2.1 Web服务器的主要安全威胁
6.2.2 审计Web服务器的过程
6.3 审计Web应用
6.3.1 Web应用的主要安全威胁
6.3.2 审计Web应用的过程
6.4 本章小结
习题 6
第7章 数据库与云存储的审计
7.1 审计数据库
7.1.1 数据库安全
7.1.2 数据库安全审计要点
7.2 审核云计算和外包运营
7.2.1 IT系统和基础设施外包
7.2.2 IT服务外包
7.3 云储存的审计
7.3.1 云储存审计的标准
7.3.2 审核云计算和外包运营的测试步骤
7.4 本章小结
习题 7
第8章 信息系统的审计
8.1 信息系统开发原理
8.1.1 信息系统概述
8.1.2 信息系统开发的基本流程和规范
8.2 信息系统安全机制
8.2.1 身份认证
8.2.2 访问控制
8.2.3 消息认证技术
8.3 信息系统安全审计
8.3.1 信息安全审计
8.3.2 信息安全审计流程及分析
方法
8.4 本章小结
习题 8
第9章 信息安全审计风险、标准和法规
9.1 信息安全管理与风险评估
9.1.1 信息安全管理与风险评估概述
9.1.2 信息安全管理体系
9.1.3 信息安全风险评估
9.2 信息安全审计标准与法规
9.2.1 信息安全审计标准
9.2.2 ISO/IEC 27001信息安全管理体系
9.2.3 信息安全相关法律法规
9.3 信息安全等级保护
9.3.1 信息安全等级保护的等级划分与相关知识
9.3.2 等保（等级保护）2
9.4 本章小结
习题 9
第10章 信息安全审计流程
l0.1 COSO
10.1.1 内部控制及其关键概念
10.1.2 内部控制整合框架
10.1.3 企业风险管理整合框架
10.1.4 COSO的影响
10.2 信息及相关技术控制目标（COBIT）
10.2.1 COBIT概念
10.2.2 IT治理
10.2.3 IT治理成熟度模型
10.2.4 COBIT.COSO连接
10.3 IT基础架构库（ITIL）
10.4 ISO