基层央行信息安全审计难点及对策

随着信息化的迅速发展，基层央行已全面实现了办公自动化、业务信息化、数据处理集中化，加强信息安全管理，开展信息安全专项审计成为央行内部审计的一项重要内容，但基于目前基层央行内部审计现状，信息安全审计还存在诸多难点，在一定程度上影响了基层央行内审工作成效。

一、开展基层央行信息安全审计的难点

1.信息系统运行环境复杂。一是随着央行电子化业务快速发展，基层央行科技工作量越来越大，目前绝大多数行人均已超过了一台电脑，所使用的各种业务信息系统达三、四十个以上，且软件系统频繁升级，各种“补丁”不断。二是目前基层央行使用的各业务系统有总行统一开发，也有自主开发的，由于各业务系统开发环境不一致，涉及操作系统、数据库多，增加了运行维护难度，并且部分设备老化严重，存在一定风险隐患。基层行科技人员除要办理自身业务工作外，还负责各部门系统安装和升级、日常管理及维护、网络安全、病毒防范、安全培训等，使得信息安全检查、系统风险评估工作较难有效开展，客观上就给基层央行信息安全内部审计带来了一定的难点。

2.部门业务系统难以适应信息安全审计需要。基层央行所使用的业务系统几乎都没有预置审计接口和审计用户，连简单的数据查询都需要通过被审计对象提取，同时由于信息量大，再加上内审部门缺乏相应的技术审计手段与审计力量，用有限的人工方法查找海量的电子化信息，不仅效率低，而且要想筛选出有价值的线索如同“大海捞针”。

3.信息安全审计技术落后。央行内部审计在信息安全审计方面除合规性审计外，还对信息系统、网络安全、机房环境开展风险导向性的事前审计，但由于基层央行现有审计技术的局限性，大多数内审人员对信息安全管理知识了解较少，开展审计时边学边审，导致审计证据较难获取，难以充分发挥信息系统审计的真正作用，大大影响了审计效果。另外，由于内审部门和人员不能及时介入系统的研发、推广、培训，导致对系统了解较少，再加上大部分系统都由总行开发，基层央行难以独立开展高质量的信息系统审计项目，从而制约了信息安全审计开展的深度和广度。

4.信息安全审计力量薄弱。目前基层央行审计人员数量和知识结构远远不能满足信息安全审计的要求，能熟练掌握计算机专业知识及业务知识的人员偏少，仅停留在简单的机械式的运用层面，更深层次的数据筛选、数据分析、函数计算、数据统计和图形分析应用不多，大多内审人员对信息安全审计的特点、方法和存在的风险缺乏深入了解和掌握，无法有效地开展相关审计工作。

二、加强基层央行信息安全审计的对策

1.建立央行信息系统审计标准与规范。结合央行实际，确立央行信息系统审计标准与规范，进一步明确信息安全审计的技术角色，强化信息系统审计的技术特色。同时，推广先进的审计技术，建立科学的信息安全审计模式。

2.提高计算机辅助审计软件的实用性、针对性。一是各业务部门在业务系统建设开发中要针对不同的审计需求，预留审计访问接口，注意把握好数据转出分析模块的设计思路，使审计中获取的电子数据可以作为审计证据使用，以降低审计风险。二是内审部门要介入业务处理系统开发、应用及相关制约机制设立的全过程，对系统业务处理的合法合规性、安全可靠性、可维护性、可审计性及制约机制的完善性进行分析、评价，尽可能地提高系统效率，降低风险。

3.强化科技管理。一是以针对性和时效性、便于操作为出发点，建立健全各项科技管理制度，做到有章可循。二是重视科技实体建设，科学合理投入资金，保证硬件设施安全。三是加强科技力量，充实科技人员，将科技管理与维护岗位分离，实现岗位互相约束、监督，强化信息安全检查、系统风险评估等工作。四是加大信息安全培训力度。通过组织开展岗位业务技能训练和业务达标活动，提升全员的整体科技素质、计算机安全意识和业务技术操作水平，逐步消除对科技人员的过分依赖。

4.改变传统审计方法。由上级行集中研发、业务及审计部门力量，统一制定资源管理、软件程序、数据完整性及系统维护等审计模型，开发信息安全审计系统，对网络安全、运行环境审计等各类风险因素进行评估，量化确定各类风险的大小，提高审计效率。

5.培养信息安全审计专业人才。一是整合人力资源，将审计业务、央行业务和计算机专业知识娴熟的复合型人才充实到内审队伍，调整知识和专业结构。二是加大对现有审计人员信息技术的培训力度，利用互联网的便利性实施网上培训，辅之以岗位练兵、以查代训、自学等方式，让内审人员及时掌握央行各类信息系统发展的趋势和信息风险的一般规律，使信息技术真正成为基层央行实施业务监督和风险控制的有力工具。三是做好现有审计系统的普及工作，使内审人员人人会操作，个个会应用，提高内审工作效率。

（作者单位：人民银

行赣州市中心支行）