信息系统安全审计的发展历史

与国外相比，中国的信息系统安全审计起步较晚，相关审计技术、规范和制度等都有待进一步完善。随着我国信息化水平快速提高，信息系统安全审计正逐渐成为国内信息系统安全建设热点之一。我国的信息系统安全审计发展可分为两个阶段：

1999年-2004年 信息系统安全审计导入期

1999年财政部颁布了《独立审计准则第20号-计算机信息系统环境下的审计》，部分内容借鉴了国外研究成果。这是国内第一次明确提出对计算信息系统审计的要求。

同年,国家质量技术监督局颁布《GB17859-1999 计算机信息系统安全保护等级划分准则》,该准则是建立计算机信息系统安全保护等级制度，实施安全保护等级管理的重要基础性标准，其中明确要求计算机信息系统创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。”

2005年-2009年 信息系统安全审计的快速成长期

随着互联网在国内的迅速普及应用，推动国内信息系统安全审计进入快速发展阶段。国家相关部门、金融行业、能源行业、运营商均陆续推出多项针对信息系统风险管理政策法规，推动国内信息系统安全审计快速发展。

随着信息安全建设的深入，安全审计已成为国内信息安全建设的重要技术手段。总体来看，由于信息系统发展水平和业务需求的不同，各行业对安全审计的具体关注点存在一定差异，但均是基于政策合规、自身安全建设要求，如：政府主要关注如何满足“信息系统安全等级保护”等政策要求的合规安全审计；电信运营商则基于自身信息系统风险内控需求进行安全审计建设。