根据GA/T 391-2002 和BS7799/ISO17799，提出面向组织信息安全管理体系的安全审计的必要性，概括了信息安全审计的主要目标与内容，介绍了信息安全审计工作的组织与实施程序。

      随着计算机技术和网络技术的迅速发展,信息技术已被广泛地应用于民用航空的各个业务领域，信息已成为一个单位或组织的一项重要资产，但敏感信息的泄露、计算机病毒的泛滥、软硬件设备的故障等等,却导致信息面临着巨大的安全风险，信息安全问题越来越引起了人们的关注。对现代企业来说，信息安全实质上是风险管理的问题，风险管理是围绕信息安全风险而展开的评估、处理和控制活动，其中，安全审计是完善信息安全管理体系的先决条件。基于安全审计，企业可以对当前的信息安全状况有一个系统全面的了解，找出潜在问题，分析原因，判断严重性和影响，以此来确定自己在信息安全建设方面的需求。
 
      笔者通过对我国行业标准以及英国标准协会BS7799等相关标准的学习和研究，结合大型机场信息系统运行管理的实际工作经验，总结整理了信息系统安全审计工作的一些心得，希望能够对促进民航企业的信息系统安全管理有所贡献。

      一、建立信息安全审计制度的理论基础
 
      笔者提出的信息安全审计方案主要是基于两个相关的标准文件：
 
      一是《计算机信息系统安全等级保护管理要求》GA/T 391-2002。GA/T 391-2002是GB17859-1999系列配套标准中的重要标准之一。……