信息安全服务评估报告范文
时间:2023-10-23 18:41:59
信息安全服务评估报告篇1
关键词:信息安全;风险评估;系统设计
中图分类号:G647 文献标志码:A 文章编号:1674-9324(2016)23-0249-02
一、引言
信息时代为国家和个人提供了全新的发展机遇和生活空间,但也带来了新的安全威胁。信息安全的威胁可能来自内部的破坏、外部的攻击、内外勾结的破坏和信息系统自身的意外事故等,因此我们应按照风险管理的思想,对可能的威胁和需要保护的信息资源进行风险分析,以便采取安全措施,妥善应对可能发生的安全风险。信息安全风险评估是依据国家信息安全风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。根据ISO27001的管理思想,信息安全风险评估在信息安全管理的PDCA环中是一个很重要的过程,如何处理信息安全风险评估所产生的数据,是每一个信息安全管理者都非常迫切需要解决的一个问题。最好的解决方法是开发出一套实用性强、可操作性高的系统安全风险评估管理工具。
二、风险评估过程
信息安全风险评估系统的设计是针对组织开展信息安全风险评估的过程。这个过程包括对信息系统中的安全风险识别、信息收集、评估和报告等。风险评估的实施过程如下页图1。
1.评估前准备。在风险评估实施前,需要对以下工作进行确定:确定风险评估的目标、确定风险评估的范围、组建风险评估团队、进行系统调研、确定评估依据和方法、制定评估计划和评估方案、获得最高管理者对工作的支持。
2.资产识别。资产识别过程分为资产分类和资产评价两个阶段。资产分类是将单位的信息资产分为实物资产、软件资产、数据资产、人员资产、服务资产和无形资产六类资产进行识别;资产评价是对资产的三个安全属性保密性、可用性及完整性分别等级评价及赋值,经综合评定后,得出资产的价值。
3.威胁识别。威胁识别主要工作是评估者需要从每项识别出的资产出发,找到可能遭受的威胁。识别威胁之后,还需要确定威胁发生的可能性。
4.脆弱性识别。评估者需要从每项识别出的资产和对应的威胁出发,找到可能被利用的脆弱性。识别脆弱性之后,还需要确定弱点可被利用的严重性。
5.已有安全措施确认。在识别脆弱性的同时,评估人员将对已采取的安全措施的有效性进行确认,评估其是否真正地降低了系统的脆弱性,抵御了威胁。
6.风险分析。风险评估中完成资产赋值、威胁评估、脆弱性评估后,在考虑已有安全措施的情况下,利用恰当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产的安全属性受到破坏后的影响得出信息资产的风险。
三、系统设计
1.用角色设计。系统角色分为三种类型,各用户在登录后自动转入各自的操作页面。A.超级管理员:拥有系统所有权限;B.评估项目管理员:可以对所负责的评估项目进行管理,对评估人员进行分工和权限管理;C.评估人员:负责由项目管理员分配的测评工作,将评估数据导入系统。
2.系统模型。根据信息安全风险评估管理的业务需求,我们构建了以安全知识库为支撑,以风险评估流程为系统主要业务流,以受测业务系统及其相关信息资产的风险评估要素为对象的信息安全风险评估综合管理系统模型,系统模型如图2所示。
3.系统功能设计。信息安全风险评估综合管理系统的功能模块包括:①风险评估项目管理:评估项目管理模块包括评估项目的建立、项目列表、项目设置等功能。主要输入项:项目名称、评估时间、评估对象等;主要输出项:项目计划书。②信息安全需求调研管理:该模块用于用户填写安全调研问卷,为安全评估提供数据支持。主要输入项:用户ID、调查答案;主要输出项:问卷标题、调查题内容。③资产识别。系统提供的资产识别,包括:硬件、软件、数据等,根据业务系统对组织战略的影响程度,对相关资产的重要性进行评价;主要输入项:评估对象(信息资产)、赋值规则;主要输出项:资产识别汇总表、资产识别报告。④威胁识别。威胁识别:系统提供多种网络环境的威胁模板,支持和帮助用户进行威胁识别和分析,并提供资产、脆弱性、威胁自动关联功能:主要输入项:评估对象、赋值规则;主要输出项:威胁识别汇总表、威胁识别报告。⑤脆弱性识别。脆弱性识别:系统可提供多种系统的脆弱性识别功能,包括:主机、数据库、网络设备等对象的脆弱性识别。系统支持常用漏洞扫描软件扫描结果的导入,目前支持的扫描系统有:Nessus、NMap等,主机系统支持:Windows、Linux、Unix等,数据库支持:MSSQL、Oracle等:主要输入项:评估对象、漏洞扫描结果、赋值规则;主要输出项:漏洞扫描报告、脆弱性识别汇总表、脆弱性识别报告。⑥安全措施识别。安全措施识别:系统提供基于技术、管理等方面的安全措施检查功能,帮助用户了解目前的安全状况,找到安全管理问题,确定安全措施的有效性:主要输出项:安全措施识别汇总表、安全措施识别报告。⑦风险分析。系统通过资产评价、脆弱性评价、威胁评价、安全措施有效性评价、风险分析等工作,可自动生成安全风险评估分析报告。主要输入项:评估对象、资产值、脆弱性值、威胁值、安全措施值、计算规则;主要输出项:风险计算汇总表、风险分析报告。⑧评估结果管理。主要功能是对历史记录查询与分析。汇总所有的安全评估结果进行综合分析,并生成各阶段风险评估工作报告,主要包括如下:《资产识别报告》、《漏洞扫描报告》、《威胁识别报告》、《脆弱性识别报告》、《控制措施识别报告》、《风险分析报告》。并可对当期风险评估结果和原始数据进行转存或备份。在有需要时能调出评估历史数据进行查询及风险趋势分析。⑨信息安全知识库更新维护。信息安全知识库的更新维护主要对象有:系统漏洞库、安全威胁库、安全脆弱点库、控制措施库。为避免造成数据的冗余,系统将在各评估项目中需要反复使用的数据归入基础数据库进行管理,在进行评估活动时再从基础库提取有关数据,这样也能减少重复的输入工作。⑩数据接口。导入数据接口:资产库、脆弱点库、威胁库、控制措施库。支持以下常用的格式:如EXCEL文件等;常用的漏洞扫描工具:如绿盟、启明星辰、NESSUS、NMAP等。
四、结束语
该系统设计是以信息安全风险评估工作流程为基础,进行信息安全评估项目管理、风险要素数据收集与辅助风险分析的系统,在实际风险管理过程中,可引入了质量管理理念――PDCA循环,即通过监控每一阶段的信息系统风险情况,及时发现问题,不断调整风险控制工作计划,从而实现信息安全风险管理的工作目标。
参考文献
[1]GB/T 20984-2007,信息安全风险评估规范[S].信息安全技术.
信息安全服务评估报告篇2
关键词:网络安全;风险评估;实施流程
中图文分类号:TP393.08文献标识码:A文章编号:1009-3044(2008)29-0366-02
Research on Network Security Risk Assessment Appraisal Flow
XING Zhi-jun
(Railway Wagon Transport Branch Co. of China Shenhua Energy, Yulin 719316, China)
Abstract: Along with the network information age development, the Internet becomes people’s work gradually and lives the essential constituent, but also let the people face the multitudinous secret network threat at the same time. In the network security problem is not allow to neglect. This paper introduced the network security risk assessment appraisal flow in detail.
Key words: network security;risk assessment;appraisal flow
1 引言
网络安全风险评估就是通过对计算机网络系统的安全状况进行安全性分析,及时发现并指出存在的安全漏洞,以保证系统的安全。网络安全风险评估在网络安全技术中具有重要的地位,其基本原理是采用多种方法对网络系统可能存在的已知安全漏洞进行检测,找出可能被黑客利用的安全隐患,并根据检测结果向系统管理员提供详细可靠的安全分析报告与漏洞修补建议,以便及早采取措施,保护系统信息资源。
风险评估过程就是在评估标准的指导下,综合利用相关评估技术、评估方法、评估工具,针对信息系统展开全方位的评估工作的完整历程。对信息系统进行风险评估,首先应确保风险分析的内容与范围应该覆盖信息系统的整个体系,应包括:系统基本情况分析、信息系统基本安全状况调查、信息系统安全组织、政策情况分析、信息系统弱点漏洞分析等。
2 风险评估的准备
风险评估的准备过程是组织进行风险评估的基础,是整个风险评估过程有效性的保证。机构对自身信息及信息系统进行风险评估是一种战略性的考虑,其结果将受到机构的业务需求及战略目标、文化、业务流程、安全要求、规模和结构的影响。不同机构对于风险评估的实施过程可能存在不同的要求,因此在风险评估的准备阶段,应该完成以下工作。
1) 确定风险评估的目标
首先应该明确风险评估的目标,为风险评估的过程提供导向。支持机构的信息、系统、应用软件和网络是机构重要的资产。资产的机密性、完整信和可用性对于维持竞争优势、获利能力、法规要求和一个机构的形象是必要的。机构要面对来自四面八方日益增长的安全威胁。一个机构的系统、应用软件和网络可能是严重威胁的目标。同时,由于机构的信息化程度不断提高,对基于信息系统和服务技术的依赖日益增加,一个机构则可能出现更多的脆弱性。机构的风险评估的目标基本上来源于机构业务持续发展的需要、满足相关方的要求、满足法律法规的要求等方面。
2) 确定风险评估的范围
机构进行风险评估可能是由于自身业务要求及战略目标的要求、相关方的要求或者其他原因。因此应根据上述具体原因确定分险评估范围。范围可能是机构全部的信息和信息系统,可能是单独的信息系统,可能是机构的关键业务流程,也可能是客户的知识产权。
3) 建立适当的组织结构
在风险评估过程中,机构应建立适当的组织结构,以支持整个过程的推进,如成立由管理层、相关业务骨干、IT技术人员等组成的风险评估小组。组织结构的建立应考虑其结构和复杂程度,以保证能够满足风险评估的目标、范围。
4) 建立系统型的风险评估方法
风险评估方法应考虑评估的范围、目的、时间、效果、机构文化、人员素质以及具体开展的程度等因素来确定,使之能够与机构的环境和安全要求相适应。
5) 获得最高管理者对风险评估策划的批准
上述所有内容应得到机构的最高管理者的批准,并对管理层和员工进行传达。由于风险评估活动涉及单位的不同领域和人员,需要多方面的协调,必要的、充分的准备是风险评估成功的关键。因此,评估前期准备工作中还应签订合同和机密协议以及选择评估模式。
3 信息资产识别
资产是企业、机构直接赋予了价值因而需要保护的东西,它可能是以多种形式存在的,无形的、有形的,硬件、软件,文档、代码,或者服务、企业形象等。在一般的评估体中,资产大多属于不同的信息系统,如OA系统、网管系统、业务生产系统等,而且对于提供多种业务的机构,业务生产系统的数量还可能会很多。
资产赋值是对资产安全价值的估价,不是以资产的帐面价格来衡量的。在对资产进行估价时,不仅要考虑资产的成本价格,更重要的是要考虑资产对于机构业务的安全重要性,即由资产损失所引发的潜在的影响来决定。为确保资产估价时的一致性和准确定,机构应按照上述原则,建立一个资产价值尺度(资产评估标准),以明确如何对资产进行赋值。资产赋值包括机密性赋值、完整性赋值和可用性赋值。
4 威胁识别
安全威胁是一种对机构及其资产构成潜在破坏的可能性因素或者时间。无论对于多么安全的信息系统,安全威胁是一个客观存在的事物,它是风险评估的重要因素之一。
5 脆弱性识别
脆弱性评估也称为弱点评估,是风险评估中的重要内容。弱点是资产本身存在的,它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、机构、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。
6 已有安全措施的确认
机构应对已采取的控制措施进行识别并对控制措施的有效性进行确认,将有效的安全控制措施继续保持,以避免不必要的工作和费用,防止控制措施的重复实施。对于那些被认为不适当的控制应核查是否应被取消,或者用更合适的控制代替。安全控制可以分为预防性控制措施和保护性控制措施两种。预防性控制措施可以降低威胁发生的可能性和减少安全脆弱性;而保护性控制措施可以减少因威胁发生所造成的影响。
7 风险识别
根据策划的机构,由评估的人员按照相应的职责和程序进行资产评估、威胁评估、脆弱性评估,在考虑已有安全措施的情况下,利用适当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产的安全属性受到破坏后的影响来得出资产的安全风险。
8 风险评估结果记录
根据评估实施情况和所搜集到的信息,如资产评估数据、威胁评估数据、脆弱性评估数据等,完成评估报告撰写。评估报告是风险评估结果的记录文件,是机构实施风险管理的主要依据,是对风险评估活动进行评审和认可的基础资料,因此,报告必须做到有据可查,报告内容一般主要包括风险评估范围、风险计算方法、安全问题归纳以及描述、风险级数、安全建议等。风险评估报告还可以包括风险控制措施建议、参与风险描述等。
由于信息系统及其所在环境的不断变化,在信息系统的运行过程中,绝对安全的措施是不存在的。攻击者不断有新的方法绕过或扰乱系统中的安全措施,系统的变化会带来新的脆弱点,实施的安全措施会随着时间而过时等等,所有这些表明,信息系统的风险评估过程是一个动态循环的过程,应周期性的对信息系统安全进行重新评估。
参考文献:
[1] Solomon D A, Russinovich M E. Inside Microsoft Windows 2000[M]. Microsoft Press, 2000.
[2] 冷德辉.网络安全测评和风险评估[J].广东通信技术,2001,21(7).
信息安全服务评估报告篇3
2.完成了__区2014年诚信建设效果评估工作。为全面了解我区诚信建设工作效果,我办牵头制定了《__区诚信建设评估方案和指标体系》,并委托第三方机构开展创建效果评估工作。评估工作分三部分开展,一是量化各部门社会信用体系建设工作内容;二是量化__区居民对社会信用体系建设的感知评价;三是量化__区社会信用体系建设综合发展水平。立足政务诚信、商务诚信、社会诚信、司法公信四方面的内容,运用科学的统计分析方法,对收集到的政府部门和社会居民两方面的数据进行分析处理,对政府工作和社会居民感知评价进行综合评估,形成了《__市__区2014年诚信建设工作调查报告》。
3.做好2014年度社会信用体系建设考核工作。根据市“两建”工作领导小组办公室的要求,我办牵头开展了2014年度社会信用体系建设迎检工作,认真对照考核指标和评分标准开展自评,组织相关子体系牵头单位收集资料,查漏补缺,并在考核当天,根据考评组的要求,对相关材料及时作出解释说明,在全市的考评中取得了较好的成绩。
1.开展党委部门权责清单编制试点。鉴于我区在探索党务权责清单编制工作中取得的良好成效,市编办将我区定为党委部门权责清单编制的试点区,试点启动以来,区廉洁办积极指导区编办开展相关工作,从管理服务对象的角度,进一步细化和完善党委部门权责清单,目前试点工作已得到市编办的初步认可。
2.加快政务服务体系建设。一是开发政府购买服务信用验证系统,依托区信用信息平台扩大政府采购用信范围,明文规定除由区政府采购中心、建设工程交易中心负责组织实施的采购项目外,各单位凡使用财政性资金组织采购且需与供应商签订合同达成履约关系的采购事项,均须对供应商信用状况进行全面核实,实现政府购买服务100%用信。通过对接区财政体系,规范核算部门名称和编码,面向全区各街道、各部门配发信用验证账号565个,全面覆盖区、街两级单位。二是继续推进服务平台建设,将网上办事大厅延伸至街道和社区,构建区、街道、社区三级政务服务体系。截止目前,全区8个街道、111个社区基本已完成服务大厅建设。三是制订政务服务建设绩效评估指标。结合我区政务服务工作实际,将“政务服务建设”的相关工作纳入“审批和服务效能”指标中,明确了指标定义、评分项目、操作规程等内容。
3.加快建设统一的公共资源交易平台。按照《__区2015年改革计划》部署要求,由区纪委牵头制定了我区公共资源交易体制改革方案。根据区委、区政府领导的指示,5月中旬,区纪委牵头组织区公共资源交易体制改革工作小组,走访了区财政局(国资委)、住建局和政府采购中心3个单位,与相关部门主要负责人、分管领导及业务科室人员进行了座谈研究;召开了51人参加的招标(采购)人、投标人(供应商)、招标机构及评审专家等4场分类座谈会;面向交易各方主体发放了200份《关于对__区公共资源交易体制改革的调查问卷》,收回185份。根据走访、座谈和问卷调查,对调研情况进行了统计分析,形成专题调研报告。在利用调研成果进一步修改完善的基础上,形成了《__区2015年公共资源交易体制改革方案(第二次送审稿),拟提交区委全面深化改革领导小组会议审定。
1.开展商事主体年度报告和企业即时信息公示工作。市市场和质量监管委__局将商事主体年度报告和企业即时信息公示两项工作结合开展,从宣传发动、年报
接收、设置自助服务区、安排专人提供咨询指引服务等方面进行部署分工,并按计划稳步落实。截止6月底,已有106137户企业和66493户个体户提交了2014年度年报,已有4738户企业自行公示即时信息,企业年报提交量位居全市第三,个体户年报提交量位居全市第一。2.加强《企业信息公示暂行条例》宣传工作。借力第三方平台,实现点对点宣传。与__市邮政局__分局合作,向辖区企业和个体工商户投递提醒企业公示即时信息和商事主体提交年度报告的温馨提示、操作指引等宣传资料。充分发挥监管服务平台优势,通过注册登记窗口和日常监管工作,利用对企业进行监督检查或为企业提供登记注册等服务的机会,加大宣传告知力度,指引商事主体完成年报和即时信息公示工作。借力优秀师资力量,开展企业监管操作系统培训周活动。4月21日至27日,在辖区各街道开展了8场企业监管操作系统培训暨企业信息公示暂行条例宣讲活动。辖区基层监管人员和商场、市场、企业园区主办方等企业代表逾600人参加了培训活动。
3.首次企业信息公示抽查工作顺利完成。市市场和质量监管委__局对省局统一抽取的__5家企业的企业即时信息公示情况进行抽查。抽查采取系统检查和实地检查相结合的方式进行,经抽查,发现23家企业存在未依法公示即时信息的行为,并责令其限期改正。
1.开展2014年社会组织等级评估工作。2014年度__区社会组织等级评估职能转移给__省社会组织评估中心、__市企业评价协会、__市__区质量技术协会。经社会组织自评、评估专家实地考察、评估委员会审核、社会组织等级评估结果公告等程序。此次评估获得4a级社会组织6家、3a级社会组织6家、2a级社会组织3家。
2.开展2014年度社会组织年度检查和抽查工作。区民政局于3月份开展2014年度社会组织年度检查工作,参加此次年度检查的行业协会,实行行业协会年度报告制度。对于违反有关规定的行业协会,将载入活动异常名录,并纳入信用监管体系。同时,以2014年度社会组织年检应检单位为基数,按照5%的比例随机分类抽取40家社会组织作为抽查对象。根据抽查情况,对在抽查中发现有问题的,视情形责令限期改正;发现存在违法行为的,依法进行处罚。
1.研究制定推进政府职能转变改革方案。积极践行中央、省、市关于全面深化改革和加快政府职能转变的要求,区编办牵头研究制定了《__区2015年推进政府职能转变改革方案》,以深化权责清单改革为突破口,围绕“清权、放权、监管、服务”四条主线,进一步优化政府与市场、政府与社会、政府层级间的关系。目前,新增2项完成转移职能(共计完成13项),其中,区卫计局的“手术分级管理实施与评估”职能已转移给__区医学会,区安监局的“工业企业安全生产标准化三级(分类分级)评审”职能已转移给__区安全生产技术协会。
2.开展社会组织资质审查工作。为进一步推进社会组织承接政府转移职能和购买服务,建立具备承接政府职能转移和购买服务资质的__区社会组织目录,区民政局于今年3月份开展具备承接政府职能转移和购买服务资质的社会组织资质审查工作。目前,已收到我区44家社会组织提交的申报资料,经审核,共有39家社会组织具备资质条件,现正对符合资质的社会组织在区政府在线进行公示。
1.探索构建党员干部诚信体系。今年年初,区纪委印发了《2015年__区建设廉洁城区工作要点》,把探索建立党员干部诚信体系列为今年工作的重中之重,明确全年进度安排,加大监督检查力度,督促全区各相关单位全面推行公职人员诚信档案。5月份,制定印发了《__区探索建立党员干部诚信体系工作实施方案》,将主要任务细化到各牵头部门,严格按照《方案》要求扎实推进各项工作。目前,已着手编制“一本诚信手册”,以引导党员干部养成诚信习惯。同时,计划健全“一份诚信档案”,拓展诚信评价标准,扩大诚信档案记录范围;建设“一个诚信数据库”,为客观公正地了解、评价、使用、激励干部打好基础;建立“一套奖惩机制”,将党员干部守信失信行为结果充分运用到干部奖惩激励、选拔任用、交流调整工作中,促进征信用信全面化,并逐步完善干部选拔考核机制。
2.探索建立事业单位内部信用制度。收集学习事业单位信用制度相关资料,并到市场监管等部门开展调研,研究我区事业单位内部信用制度建设工作。
一是强化社会主义核心价值观学习宣传。根据“文明美德学堂”、“__精神文明建设”宣传方案,先后开展了“职业道德决定卓越”、“国学与人格的塑造”等3场讲座,同时在全国文明单位南湾街道南岭村社区文明美德学堂开设了“古文观止”主体系列讲座活动,积极运用网络、彩信、微博、微信等新媒体手段,广泛营造核心价值观生活场景。
二是强化文明诚信典型的发掘和培养。继续完善__文明美德传播中心网站,壮大网络文明志愿者队伍,巩固核心价值观的网上传播阵地。制定“梦想与力量”感动__任务评选方案,发放评选通知,从各行各业和各街道社区收集参评人选,媒体报道先进事迹,积极宣传和倡导“知善”和“扬善”的理念,引导市民群众养成“日行一善”的生活方式。
三是强化文明诚信活动品牌打造。开展了“小书包大梦想”公益小书包进校园、“小慈善微心愿”爱心圆梦行动、“最美家庭”评选等公益活动项目,推动诚信等核心价值观的实践养成,打造__诚信活动品牌。
一是进一步细化和完善党委部门权责清单;二是继续推进政务服务体系建设,重点推进服务标准化建设;三是继续加快建设统一的公共资源交易平台,根据公共资源交易体制改革方案,全面开展机构设置,人员编制,硬件设施、交易机制、监管体系整合工作。
加强《企业信息公示暂行条例》的宣传与贯彻落实,推进商事主体年度报告、企业即时信息公示、企业信息抽查等制度落实。
编制具备承接政府职能转移和购买服务资质的社会组织目录,建立完善社会组织综合监管体制,规范社会组织管理,开展2015年社会组织等级评估工作。
一是根据《__区探索建立党员干部诚
信息安全服务评估报告篇4
关键词: 电子政务 评估模式 分层评估
一、电子政务评估的意义
近年来,电子政务的发展方兴未艾。在我国,电子政务同样得到了各级政府的高度重视,并成为国家信息化建设的中心环节,其年经费投入达2500亿元以上。发展电子政务已经成为我国政治体制改革、行政管理体制改革和政府管理现代化进程中的重要战略安排。电子政务的推广和实施,在促进政府职能改变、增强政府管理手段的科学性和有效性、提高政府办事效率、推动国家信息化事业的发展、为社会公众提供更多优质的公共服务以及促进政府政务公开和廉政建设方面都起着不可替代的作用。
在我国由于电子政务理论不成熟,电子政务的发展存在重投入、轻产出,重建设、轻评估,重电子、轻政务等方面的问题,电子政务建设的投资效益始终不明。一些政府机构甚至把电子政务建设等同于政府上网,等同于政府网站建设,使电子政务在发挥其作用方面受到了很大的限制。因此,迫切需要建立科学、实用、指导意义强和操作性好的电子政务绩效评估模式,对中国及各地区电子政务水平、发展进程、存在的问题进行量化的反映与评估,以促进全国电子政务的良性发展,进而提高政府管理和服务水平。
当前,中国面临着新一轮政府机构和管理体制改革,电子政务的深化发展将为这场改革提供更大的支撑。为了考察电子政务建设与投入的实际绩效,必须对电子政务所达到的实际效果进行评估。通过电子政务评估,能够准确了解电子政务建设的实际效果,能够诊断电子政务建设存在的问题,能够指导电子政务未来的建设与发展,能够推进政府管理体制改革,其意义十分深远。提出有别于国外电子政务评估模式又能适应中国电子政务建设和发展需要的评估新模式,也能为电子政务的深化发展指明方向,具有较大的战略意义。
二、国内外电子政务评估简介
面对全球电子政务建设的浪潮以及数额庞大的电子政务建设工程,国内外相关学者和评估科研机构从不同的视角、运用多种分析方法对电子政务绩效评估模式和方法进行了初步的研究和有益的探索。
经济合作与发展组织(OECD)将电子政务视为电子化的政府,以政府为评估对象,沿用和扩充了政府绩效评估的内容对电子政务进行评估;埃森哲(Accenture)公司从政府服务的对象――顾客的视角,审视电子政务提供的服务;联合国公共经济公共行政署与美国行政学会则按照人―机信息系统的观点从电子政务组成部分对各国电子政务发展水平进行评估;高德纳(Gartner)咨询公司从工程经济学的角度分析项目的有效性;布朗(Brown)大学则主要对政府网站进行测评。
OECD从公共管理的视角,提出电子政务绩效评估的基本准则是绩效评估的第一步,也是关键的一步[1]。不论是传统的行政管理,还是目前的公共行政、公共管理、政府治理等称谓,其共识的准则可大致归纳为“四E”(公平、效率、效益、经济)和“三R”(责任、回应、代表性)。遵循此传统,OECD提出电子政务的产出和影响可以用“善治”(Good Governance)的评估标准来衡量,检测其结果是否向“善治”趋进。其绩效评估指标包括:合法性、法治、透明性、负责性、整合性、效率、连贯性、适应性、参与和咨询。OECD的电子政务绩效评估基本上属于概括性陈述。
自2000年起,埃森哲公司开始通过网站对各国电子政务建设和发展进行跟踪测评[2]。在评估调查过程中,埃森哲公司将服务成熟度(Service Maturity)和传递成熟度(Delivery Maturity)作为度量政府门户网站的两大方面;将客户关系管理引入对政府绩效的测评,并赋予其30%的权重指标;根据两种成熟度的综合得分,将被调查的国家和地区分为四个等级:创新型的领导者(Innovative Leaders)、敏锐的追随者(Visionary Followers)、稳固的成功者(Steady Achievers)和平台的构建者(Platform Builders)。
联合国公共行政与发展管理司提出了自己的一套完整的电子政务绩效评估方法与指标体系[3]。该指标体系主要包括以下三个方面:政府网站状况、基础设施状况和人力资源状况。该指标体系从这三个方面计算了衡量一国电子政务发展水平的“电子政务指数”,并以此对192个成员国的电子政务发展水平进行了评估。调查的最终结果体现为各国的电子政务完备性指数和电子政务参与指数:电子政务完备指数对应的二级指标包括政府网站评估指数、通信基础设施指数、人力资本指数三个方面;电子政务参与指数对应的二级指标包括教育、健康、社会福利、财政、就业等。
高德纳(Gartner)咨询公司主要对某国特定电子政务项目的有效性进行评估。该公司从三个方面评估电子政务项目的有效性,即公民的服务水平、运行效益以及政治回报,而每个大类又包含一系列具体参数。
自2001年以来,美国布朗大学公共政策研究中心已经连续了6份全球电子政务年度评估报告。Brown大学在2007年了第六份测评报告,对全球198个国家的1935个政府网站进行了测评。测评内容包括在线信息、在线服务隐私和安全、沟通工具等[4]。该报告还对以往年份的评估结果进行了对比, 体现了各国电子政务发展进度。
我国电子政务绩效评估的研究起步晚,尚处于初始阶段,国内研究主要分为测评机构研究成果和各学者的观点两个部分。
北京赛迪时代信息产业股份有限公司自2001年起,受国务院信息办委托对国务院部委政府门户网站和地方政府门户网站进行绩效评估工作,并连年评估报告。2006年的评估报告按照对政府网站的内容要求,提出信息公开、在线办事、公众参与和网络设计4项一级指标,并分别赋予其50%、20%、25%、5%的权重,重点评估政府网站在实现政府与公众互动交流的桥梁作用。2007年该项评估工作主要由中国软件测评中心负责,对评估指标体系做了较大修改,设置了网站内容、网站设计、日常监测三大评估板块,而日常监测本身又设计了一、二、三级指标。新的评估模式在推进“百件实事网上办”活动,加强对政府网站建设的分类评估,开展政府网站“日常监测”工作等方面有所创新[6]。
计世咨询公司自2002年起,开始陆续《中国城市政府网站评估报告》,对各部委政府网站的评估从无到有,评估指标体系也日趋完善。计世咨询公司应用网站内容服务、网站功能服务、网站建设质量三个大类,建立了十大指标体系, 对我国36个重点城市的政府网站进行了评估。尽管政府网站作为电子政务最直接的表现形式,代表了电子政务发展的水平和程度,但仅仅以政府网站来描述电子政务的整体特征,显然过于单薄。
上海经济互联网咨询中心与国家信息产业部信息化推进司,联合开展全国城市信息化水平测评工作;在2004年的报告中, 利用应用域带宽、家庭宽带接入、百户计算机拥有量等15项信息化水平测评量化指标,对37个城市进行测评。但是纯定量化的评估指标难以有效涵盖电子政务发展的全貌。
北京国脉互联信息顾问有限公司将电子政务评估分成四大板块:网络基础设施、信息系统、信息安全、投资效益。每一个板块都含二级和三级指标。信息系统板块包括软件、硬件、数据、服务、文档、设备、人员和其他二级指标;一级指标下设数个至几十个三级指标不等。
广州时代财富科技公司在电子政务研究报告中,设置了政府机关的基本信息、政府网站的信息内容和用户服务项目、网上政务的主要功能以及电子政务的推广应用4个方面共计30项评价指标。
北京大学网络经济研究中心联合计世咨询公司共同研究的《中国电子政务研究报告(2006年)》采用了自行提出的PIT-EEE(即双维度、多层级网站评价法)评价指标体系,将电子政务具体的服务功能分为三大类:信息公开(Presence)、互动交流(Interaction)和在线办理(Transaction);再将这三大类功能按照从低到高发展阶段,依据所提供的电子政务典型服务的难易程度与重要程度,相应给出了初级(Emerging)、中级(Enhanced)和高级(Expert)三种发展水平。该指标体系利用6项一级指标、29项二级指标和95项三级指标,用以考察电子政务服务功能中的各个方面。该模式代表了国内政府网站评价的潮流,但仍局限于网站的评价,较少从政府管理改革以及电子政务发展趋势方面着眼。
一些地方政府也自行制定了一套评估体系,如北京、广州等。北京市信息办了一套适用于对北京区县和委办局电子政务网站进行测评的指标体系,其中包括政务公开、在线服务、公众参与、网站管理4个一级指标,下设26个二级指标、68个三级指标。广州市设置组织领导情况、建设和应用情况、应用效果、资金投入及使用情况4个一级指标,下设12个二级指标和28个三级指标。
除各咨询公司、科研单位对电子政务评估模式进行了研究和实践外,国内许多专家、学者也对电子政务绩效评估的方法和模式进行了一定的探讨。例如,张成福等将电子政务的绩效划分为产出、结果、影响3个层次,认为我国的电子政务绩效评估指标体系的战略选择在于:突破“产出”层次的评估,向“结果”和“影响”层次的评估发展,以形成综合性的绩效评估模式[8]。杨云飞、白庆华提出电子政务绩效评估指标体系可归纳为“电子集中、电子安全、电子管理、电子服务、电子决策”五大类[9]。彭细正在电子政务绩效评估五要素的基础上,根据逻辑框架法基本模式的分析架构,对政府门户网站绩效评估指标体系做出了初步研究。刘腾红等人从服务和应用的角度出发建立了一种电子政务绩效评估指标体系的系统评价方法;他们将电子政务绩效评估体系划分为内部和外部两大指标体系、6个子系统。何凤秋从现实中国政府管理的视角,提出了成本/效益分析、政府职能实现程度、信息化功能完善程度三大一级指标,并进一步细化为9个二级指标、27个三级指标[10],其研究颇有新意。
三、当前电子政务评估存在的主要问题
综合国内外电子政务绩效评估相关研究成果,笔者发现学界对该领域的研究尚处于初始阶段,其研究的基础和现有成果都还很薄弱,现有的研究成果中只是一些零散的评估指标体系或方法,至今还未形成得到学界统一认可的评估模式。具体而言,我国电子政务绩效评估的研究中还存在着以下问题。
⒈评估内容过度关注政府网站外部绩效
现有评估模式大多是对政府网站的评估,很少有深入电子政务内部绩效方面的理论研究或评估实践。对电子政务绩效的研究主要集中在政府网站建设绩效的层面,对电子政务应用系统的评估也整合在政府网站的评估当中。而且,大量电子政务绩效的研究主要从政府网站外部特征入手,重点考察外部绩效,较少涉及到流程优化、制度建设、成本投入等电子政务的内部运营绩效。
⒉评估内容缺乏指导性和示范性
目前许多评估模式涉及的内容主要限于对电子政务(政府网站)的一般功能上,特别是信息公开、政府服务、互动交流、在线办事等方面,而这些功能仅从电子政务的现状考虑,没有从政府管理改革、电子政务发展趋势等战略高度考虑问题。像政府行政绩效,政府决策民主化、透明化、科学化等理应是电子政务所追求的,而且也应当是电子政务评估所考虑的。否则,电子政务只能是政府管理的附庸,而不是促进政府管理体制改革的因素。上述原因造成评估内容和评估结果的指导性不强,对电子政务建设的改进、对政府管理体系改革的促进作用较弱。
⒊评估内容有明显缺漏
电子政务建设内涵相当丰富,但国内大多电子政务绩效评估模式涉及的评估内容有明显缺漏。例如,对涉及政府服务和互动交流方面的内容,如相当重要的G2E(政府对企业)、G2G(政府对政府)服务的评估,要么没有涉及,要么含混地融合在其他一般性指标中。显然,这样的评估对指导并完善电子政务建设,引导电子政务向更高的层次发展非常不利。
⒋评估指标体系设置随意性强
我国现有的电子政务绩效评估中基本上是“一对多”的模式,即用一个评估模式、一套指标体系去评估多个评估对象,对各级各类电子政务系统及其发展阶段的差异在评估模式上并没有进行区分。这就使得评估体系自身的针对性弱,且评估结果不易于比较,没有对存在的问题进行定位,从而大大降低了评估的意义。为应付不同评估对象,有的指标设置随意性强,甚至根本不能把握电子政务的内涵,使电子政务的评估演变成对政府有形和无形资产的评估。
⒌评估标准与数据处理存在问题
现有的电子政务绩效评估模式,从评估指标、评估方式、数据处理,以及到对实践的指导,各方面标准和体系都不一致,定性与定量指标难以协调,硬指标与软指标难以协调;权重分配虽然是经过专家评判或AHP法检验的,但某些指标属性迥异,如此权重分配本身就没有意义。这样的评估模式就使评估过程的科学性受到质疑,缺乏权威性和公信力。在电子政务绩效的整体构成上学界也没有形成统一认识,各有偏重,而使得各种评估结论无法横向比较,从而导致评估方面的重复投入和资源浪费。
⒍评估结果的运用薄弱
对电子政务绩效进行评估和比较不是目的,绩效评估的目的在于改进电子政务绩效并推进政府管理改革。在现有的评估模式中,往往忽略了对评估结果运用的指导。一个省级电子政务系统被评估后一般得到的是名次与分数,并不清楚自己差距在何处。这就极大地削弱了评估的意义和评估主体的积极性。
四、电子政务分层评估初探
电子政务是一个复杂的大系统,从大的方面上讲,它可以分为系统加应用两大部分。系统方面可以概括为网络环境、计算机硬件、系统软件、应用软件等部分;应用方面则比较复杂,而且电子政务的发展阶段不同,其功能会从低级向高级不断发展。正是因为电子政务系统非常复杂,因此许多有关电子政务评估模式实际上评估的并不电子政务,而是电子政务的一个主要的表现形式――政府网站。这种做法实际是回避了问题。而这类评价模式带来的一个后果是:拿网站评估结果来替代电子政务评估结果,因此无法真正诊断电子政务建设存在的问题,也就难以用来指导电子政务建设。另外,已有的电子政务评估指标非常多样,类型不一,很难用以进行比较和做权重分配。把它们混在一起进行评估,也存在科学性不强的问题。
笔者认为,避免上述问题的一个有效办法是对电子政务进行分层,将电子政务按组成、功能进行合理分层,然后对每一层级单独进行评估。电子政务总体上可分为系统层和功能层,功能层又可按照功能和应用特点进行分层。具体来说,笔者初步将电子政务分成以下5个层级(参见图1)。
⒈电子层
电子层包含硬件基础设施、网络与通信环境、网络安全等。电子政务作为传统政务的延伸和发展,其变革首先在于技术手段的革新和演变上。因此,对电子层的评估是电子政务评估的基础,也是电子政务得以发展和进步的基础性环境条件。
⒉信息层
信息层面的评估主要侧重于对电子政务的直接表现形式――政府网站的信息进行跟踪测评。电子政务的信息披露是其基本功能之一,网络的极大优势就在于能够跨越时间和空间的距离实现“零时空”的信息共享。信息层主要包括对信息更新、信息公开、三网一库的评估。
⒊服务层
市场经济不断要求政府向精致和柔性转型,提供优质的公共产品和公共服务是政府的重要任务。电子政务利用先进的技术手段,能够更好地提供这类服务。对服务层的测评主要侧重于政府在线服务、政府网上采购以及政府网上十二金工程等。
⒋交互层
政府行为只有得到社会绝大多数的认可和赞成才有执行的必要和可能,电子政务为政府和社会提供了一个绝佳的互动平台。对电子政务交互层面的评估主要涉猎电子政务治理模式下实现公众参与、网上监督和电子听证的实现程度,等等。
⒌决策层
在决策层,电子政务系统通过对政务信息资源的有效管理和集成,利用先进的数据分析技术辅助政府决策的制定。利用电子政务进行辅助决策,能够调动广大公民参与决策的积极性,能够使决策过程更加科学透明,从而提高政府决策的质量。决策层效益主要体现在电子政务系统对政府决策优化的支持程度,评价指标包括提高决策能力、改善决策质量和增强公众监督能力等。
对电子政务进行分层评估,表面看来似乎使评估过程和评估内容更复杂化了。但实际上,由于对电子政务按系统和功能进行分层,每一层的评估内容相近,评估指标趋同,因而在权重设定、数据处理等方面得到了简化。而且这种评估模式能够提高评估的准确性、科学性,评估结果指向性明确,对电子政务建设与改进的指导意义更大。
参考文献:
OECD.Practicing E-Government : A global Perspective[R/OL]. [2008-05-28].
Accenture. E-Government Leadership: Engaging the Customer[R]. Accenture,2003
UNPAN. Global E-Government Survey 2008[R/OL]. [2008-05-28].www2.省略/egovkb/global_reports/08report.htm
Brown University. Global E-Government Report, 2006[R/OL]. brown.edu
中国电子信息产业发展研究院. 2006年中国政府网站绩效评估[R/OL]. [2008-05-28]. 省略.cn/2006wzpg/
中国软件评测中心. 2007中国政府网站绩效评估总报告[R/OL]. [2008-05-28]. 省略.cn/2007wzpg/
张维迎. 中国电子政务研究报告:2006年[M]. 北京:北京大学出版社,2007
张成福,唐钧.电子政务绩效评估:模式比较与实质分析[J].中国行政管理,2004(5)
朱庆华,杜佳. 国内外政府网站评价研究综述[J]. 电子政务,2007(7)
何凤秋. 电子政务绩效评估指标体系设计[J]. 中国行政管理,2007(9)
吴江,徐波,顾平安,等. 中国电子政务――进行中的对策:评估体系[J]. 电子政务,2004(9-10)
肖英,陈亮. 中外电子政务评估标准及比较分析[J]. 图书情报知识,2006(1)
党秀云,张晓.电子政务的发展阶段研究[J].中国行政管理,2003(1)
常永华.电子政务实施的绩效评估模型与案例[J].情报杂志,2005(1)
白晓霞.卓越绩效测评体系与成熟度评价研究[D].北京:北京工业大学,2006
刘淼.FNN和SOM在电子政务评估中的应用研究[D].大连:大连海事大学,2006
雷战波.我国电子政务绩效评估发展综述[J].情报杂志,2006(12)
王立华,覃正,韩刚.电子政务绩效评估的研究述评[J].系统工程,2005(2)
易小国.美国电子政务绩效评估介绍和评析[J].电子政务,2005(5)
杨洋.电子政务系统绩效评价体系研究[D].上海:同济大学,2005
张小明.电子政务绩效评估指标体系标准化研究[J].术语标准化与信息技术,2005(2)
郝晓玲, 孙强.信息化绩效评价框架、实施与案例分析[M].北京:清华大学出版社, 2005
Andersen K V. E-government maturity models: Extension of the Layne and Lee model[J]. Government Information Quarterly, 2006,23(2)
Gupta M P. E-government evaluation: framework and case study[J]. Government Information Quarterly,2004,20(4)
Steyaert J C, Joan. Measuring the performance of electronic government Servcices[J]. Information & management,2004(41)
Gouscos D. A general model of performance and quality for one-stop e-Government service offerings[J]. GovernmentInformation Quarterly,2007,24(1)
Akman I. E-Government: A global view and an empirical evaluation of some attributes of citizens[J]. Government Information Quarterly,2005, 22(2)
作者简介:
李成智,北京航空航天大学公共管理学院教授。
武娟娟,北京航空航天大学公共管理学院研究生。
信息安全服务评估报告篇5
【 关键词 】 物联网;信息安全;检测体系
1 引言
随着国家信息网络基础设施基本完成,信息化应用全面展开,物联网广泛应用于公共事业/服务、交通运输、个人用户、批发零售、工业、制造业、商业、服务业、农业、建筑业、金融业等。目前来看,物联网虽然给人们带来便利,但物联网在信息安全方面还存在一定的局限性。一是存在信号受到干扰的可能。如果安置在物品上的传感设备信号受到恶意干扰,很容易造成重要物品损失以及重要信息被篡改、丢失的隐患。二是恶意入侵的隐患。如果病毒、黑客、恶意软件绕过了相关安全技术的防范,对物联网的授权管理进行恶意操作,掌控他人的物品,就会造成对用户隐私权的侵犯。如果爆炸物、枪支等危险物品被其它人掌控,后果会十分严重。因此,物联网安全问题如果得不到有效解决,将严重阻碍物联网产业发展。由于物联网感知节点和传输设备具有能量低、计算能力差、运行环境恶劣、通信协议庞杂等特点,使得传统安全技术无法直接应用于物联网,由此引发物联网特有的安全问题,而物联网安全技术和安全状况缺乏有效的检测和评价手段。
我国政策环境较好,物联网已成为国家发展战略,初步明确了未来发展方向和重点领域。国家高度重视物联网安全建设。2013年初,国务院了《关于推进物联网有序健康发展的指导意见》(国发[2013]7号)中明确提出以工业和信息化部、发展改革委、公安部牵头承担物联网安全保障专项行动计划:提高物联网信息安全管理与数据保护水平,建立健全监督、检查和安全评估机制。加强物联网重要应用和系统的安全测评、风险评估和安全防护工作。加快物联网相关标准、检测、认证等公共服务建设,完善支撑服务体系,有效保障物联网信息采集、传输、处理、应用等各环节的安全可控。
2 物联网一体化安全检测体系
各类物联网示范工程进行大规模应用之前,应充分考虑和评测其安全性,从源头保证物联网安全措施有效性、功能符合性、安全管理的全面性以及给出安全防护评估。在建设实施阶段,将所有的安全功能模块(产品)集成为一个完整的系统后,需要检查集成出的系统是否符合要求,测试并评估安全措施在整个系统中实施的有效性,跟踪安全保障机制并发现漏洞,完成系统的运行程序和全生命期安的安全风险评估报告。在运行维护阶段,要定期进行安全性检测和风险评估以保证系统的安全水平在运行期间不会下降,包括检查产品的升级和系统打补丁情况,检测系统的安全性能,检测新安全攻击、新威胁以及其它与安全风险有关的因素,评估系统改动对安全系统造成的影响。
物联网关键安全问题:一是感知设备安全;二是物联网系统安全和风险评估,重点是接入问题;三是业务应用安全。目前,各行业均提出了相应的安全防护体系,如智能电网系统、工业控制系统等。本文依据相关的安全防护体系提出物联网一体化安全检测体系,即“一中心、两库、五平台”,如图1所示。即开放式场景检测支撑平台、感知设备安全检测服务平台、物联网系统安全检测服务平台、物联网系统风险评估服务平台、物联网集成化安全管理检查服务平台、物联网安全检测标准及指标库、物联网信息安全漏洞与补丁库以及一体化安全检测管理中心。在此基础上,结合物联网具体业务需求,进行物联网安全检测方法、规范、指标体系、专业化检测技术研究与积累。同时,形成一支服务于物联网安全检测的多层次、复合型、专业化人才队伍,全面保障物联网系统安全稳定运行。
3 “五平台”
“五平台”提供检测、检查和评估三类专业化服务,其中物联网集成化安全管理检查服务平台可作为独立平台对外提供检查服务;开放式场景检测支撑平台为感知设备安全检测服务平台与物联网系统安全检测服务平台提供安全符合性检测环境,此三个平台提供技术检测服务;物联网系统风险评估服务平台在前述四个平台基础上,关联外在威胁,分析自身脆弱性,提供风险评估服务。“五平台”结构关系如图2所示,“五平台”既可独立提供检测服务,也可互为补充,为用户提供定制化的检测服务,形成开放式检测服务体系架构。
3.1 开放式场景检测支撑平台
开放式场景检测支撑平台实现物联网感知设备、接入系统、业务应用三层检测环境,如图3所示。通过多部件的灵活组建,实现其感、传、知、用的安全功能检测,灵活支持用户个性化的检测需求。
3.2 感知设备安全检测服务平台
感知设备安全检测服务平台实现一个通用的感知设备安全检测系统,由开放式场景检测支撑平台为被测设备提供运行检测环境,其从感知操作安全、感知数据处理安全、感知数据存储安全和感知节点设备安全、感知节点通信安全等五方面检测安全功能和性能,其检测框架如图4所示。
3.3 物联网系统安全检测服务平台
物联网系统安全检测服务平台以系统、整体的视角对智能感知层访问控制、身份认证等策略配置进行符合性测试;对接入传输层的AKA机制的一致性或兼容性、跨域认证和跨网络认证等进行检测;对业务应用层数据库安全、应用系统和网站安全、应用系统稳定性、业务连续性等进行符合性和有效性检测。检测框架如图5所示。
3.4 物联网系统风险评估服务平台
物联网系统风险评估服务平台对可能遭受到的威胁和自身脆弱性进行安全分析,然后根据安全事件的可能性以及安全事件造成的损失计算出风险值、对安全事件进行风险等级定级,最后结合安全事件所涉及的资产价值来判断安全事件一旦发生对物联网系统造成的影响。风险评估框架如图6所示。
3.5 集成化安全管理检查服务平台
集成化安全管理检查服务基于物联网多类型终端、多网融合、海量数据处理和全面感知等特点。从防范阻止、检测发现、应急处置、审计追查和集中管控五个方面,对物联网系统智能感知层、接入传输层和业务应用层的安全管理情况进行检查,其安全管理检查框架如图7所示。
4 “两库”
4.1 标准及指标库
基础库“标准及指标库”通过构建物联网安全检测标准子库与指标子库为“五平台”提供支撑。标准子库建设来源:一是从物联网国际标准组织IEEE、ISO、ETSI、ITU-T、3GPP、3GPP2了解国际最新标准,研究制订适合国情的物联网标准;二是从国内标准组织:WGSN、CCSA和RFID标准工作组获取最新标准;三是随着业务开展,编制了物联网安全标准。物联网一体化安全检测标准体系框架,按照标准服务性质的区分,分为物联网产品安全检测标准、物联网系统安全检测标准、物联网风险评估标准以及集成化安全管理检查标准。其框架如图8所示。
指标库为各种类型的被测设备和系统提供相应的检测指标项目,同时支持用户自定义新的检测指标。指标库依据各服务平台检测内容划分四类,即物联网产品检测指标、物联网系统安全检测指标、物联网风险评估指标以及集成化管理检查指标。其涵盖功能检测、性能检测、抗毁性检测、符合性检测、有效性检测和可用性检测等指标。
4.2 漏洞与补丁库
漏洞与补丁库采用云存储方式,包括海量数据融合漏洞,TinyOS操作系统漏洞,异构网络认证协议漏洞,感知信息传输协议漏洞等。 漏洞与补丁库一方面为产品、系统检测,风险评估、安全检查提供支撑服务,另一方面对外提供咨询服务,网上漏洞信息,定制客户漏洞处理方案,提供漏洞补丁和专用杀毒工具下载等。
5 “一中心”
一体化安全检测管理中心完成上述“二库、五平台”的互联互通和信息共享,实现检测项目统一管理,检测数据统一汇总,检测结果统一判定,形成感知设备检测报告、物联网系统检测报告、物联网系统风险评估报告以及集成化安全管理检查报告等。
一体化安全检测管理中心由项目管理、场景管理、感知设备检测、系统检测、风险评估、集成化安全管理检查、工具集、基础库管理八个核心模块组成,整个平台由项目库、标准及指标库、方法库、漏洞与补丁库四个数据库支撑,管理中心框架设计如图9所示。
6 技术特点
(1)提供开放式检测环境
物联网应用的广泛性和复杂性,仅依赖单一场景无法满足客户的多层次需求,通过开放式检测环境,可实现感知设备、接入方式、业务应用的检测环境,使得检测手段更丰富、更精准。
(2)提供多类型、多元化的检测
一体化安全检测体系通过感知设备检测、系统检测、风险评估、管理检查的一体化检测服务,提品检测和系统检测、实验室检测和现场检测服务,满足物联网复杂多变的检测需求,使得安全检测更全面性,帮助客户准确评估物联网安全性。
(3)提供技术与管理全方位检测
物联网安全包含技术与管理两方面,技术与管理并重,本体系通过“五平台”实现产品、系统技术类检测/风险评估与安全管理检查,全方位、整体评估物联网安全性。
(4)提供技术符合性和关联外在风险评估相支撑的检测
物联网安全问题是动态发展的,在安全技术符合性检测的基础上,提供适用于动态评估物联网工程的风险评估服务。风险评估旨在通过关联外在风险,结合自身脆弱性评估系统和工程的安全性,与技术符合性检测相支撑。
(5)提供一体化服务模式
提供一个灵活、规范的信息组织管理平台和全网范围的网络协作环境,实现集成的信息采集、内容管理、信息搜索,能够直接组织各类共享信息和内部业务基础信息,实现信息整合应用,同时也提供管理中心支撑下的统一项目管理、统一数据汇总、统一结果判定的一体化服务系统。
7 结束语
目前,我国政策环境好,物联网已成为国家发展战略,初步明确了未来发展方向和重点领域,但产业和行业标准正在建立,是机遇也是挑战。经济环境上,中国企业正在随着国家的快速发展,持续提升竞争力和国际影响力,对物联网安全性的需求逐步增强,企业对物联网安全问题的认知提高,经济支付能力也在增强。通过对各行业物联网建设方面的调查发现,当前已有的物联网应用对其安全性的检测和技术支持需求十分迫切,物联网安全检测产业市场前景乐观。
上述“一中心、二库、五平台”形成专业的平台,加上精专的人才、全面的服务内容和敏捷的反应,构建物联网一体化安全检测专业化服务体系架构。从而提升价值、方便客户、节约成本、提高效率,满足物联网安全检测集成化、规模化的需求。
参考文献
[1] T Grobler, Prof B Louwrens. New Information Security Architecture[J]. 2005, University of Johannesburg.
[2] 范红, 邵华等. 物联网安全技术体系研究[J].第26次全国计算机安全学术交流会,2011(09),5-8.
[3] 谭建平, 柔卫国等. 基于物联网的一体化安全防范技术体系研究[J].湖南理工学院学报, 2011,第24卷 第4期 46-51.
[4] Jackie Rees, Subhajyoti Bandyopadhyay etc. a policy framework for information security. Communication of the ACM, Volume 46 Issue7, 2003, P101-106.
[5] 郎为民,杨德鹏,李虎生.智能电网WCSN安全体系架构研究[J].信息网络安全,2012,(04):19-22.
[6] 余勇,林为民.工业控制SCADA系统的信息安全防护体系研究[J].信息网络安全,2012,(05):74-77.
基金项目:
国家863高技术研究发展计划资助项目(2009AA01Z437)和国家863高技术研究发展计划资助项目(2009AA01Z439)。
作者简介:
信息安全服务评估报告篇6
一场信息安全教育
2009年,达州商行挂牌开业。在新系统上线前,达州商行用的还是信用社时期就用了多年的旧系统,比较落后。
根据中国银监会的《商业银行信息科技风险管理指引》、《银行业金融机构重要信息系统投产及变更管理办法》等文件的相关要求,达州商行在更新系统前,必须邀请第三方公司对其当前的信息安全状况进行评估。在不到一个月的评估工作中,东软作为此次安全评估服务的提供商,对达州商行的管理制度、网络环境、系统环境和安全策略等进行了梳理和攻击性测试,并且给出了安全评估报告和整改意见。
据了解,东软的信息安全风险评估服务采用业界权威的ISO27001、GB/T20984-2007信息安全风险评估规范(中国国家标准)以及国家信息安全等级保护指南等安全标准作为风险评估的准则,在评估对象已有安全措施的基础上,对外网业务进行渗透测试和扫描,并对网络日志进行审计,帮助用户了解自身的网络系统安全现状,发现相关漏洞和脆弱点,并给出改进的建议和系统层面的加固方案。
“东软通过攻击性测试,发现了达州商行在网络安全方面的一些漏洞,对我们的帮助很大。”杨廷军告诉记者,东软的安全专家通过模拟黑客的攻击行为,对达州商行的网络进行了非破坏性的入侵测试,发现达州商行原来的网络安全密码略显简单,容易被黑客攻破。在东软安全专家的指导下,达州商行已经设置了相对复杂的密码,难以被外界破译。
信息安全的防范不是一成不变的,需要随着网络环境的变化不断完善和细化。目前,由于人员缺乏,技术实力弱,我国城市商业银行的IT系统的建设主要靠外包,包括财务等各种系统的研发,都需要外包给IT厂商。这就给银行的网络系统造成了一定安全隐患。因此,加强对外包服务提供商的管理,提升银行自身的抗风险能力,制定应对风险策略的管理能力,是城市商业银行面临的一大难题。
“评估过程中,东软认为我们在外包合同中的一些法律关系和法律责任描述得不是很清晰,不够具体,过于原则化。”杨廷军表示,“东软建议我们根据中国银监会的要求,加强外包管理,进一步明确外包双方的法律责任,与外包厂商签订保密协议,做好风险把关。”
城市商业银行的信息安全问题,不仅表现在信息安全防护能力弱,而且表现在信息安全部门的研发资金少、科技水平差。此外,IT系统管理者的信息安全防护意识不强,各个部门的功能不完善,导致了很多风险管理的责任都由技术部门分管,缺乏监督机制。
通过评估,东软发现达州商行最主要的安全隐患并非IT系统的老化,而是缺乏统一规划的安全防范策略,管理部门的安全防护意识薄弱。“东软指出我们在系统操作管理、机房软硬件管理和银行的科技风险管理等方面存在一定不足,管理的组织架构也需要调整和改进。”杨廷军称,东软的评估结果提出达州商行的管理层应有专人负责风险管控工作,明确职责并建立监督机制,“对哪个部门应该担负哪些责任提出了建议,并且定期或不定期地对其工作进行评估。”
在杨廷军看来,对达州商行而言,东软安全评估的意义不仅是指出了银行在安全方面存在的漏洞,更是对全行进行了一场信息安全教育。
专业赢得尊重
在接受《中国计算机报》记者采访时,杨廷军表示,达州商行信息安全评估项目有四家公司投标,通过对它们递交的投标材料进行分析,对其以往案例进行调查,了解客户的评价,达州商行最终选择了东软。之所以选中东软,杨廷军“一是看重他们的技术力量和资质,二是觉得他们很专业”。
达州商行希望能跟对方建立长期的合作关系。“东软的安全评估反映了城市商业银行在安全方面的核心问题,指出了症结所在,对我们今后的工作帮助非常大。”杨廷军最大的感觉是东软的安全专家“非常专业”。
在杨廷军看来,之所以说东软的服务专业,一方面是因为东软的安全专家反应迅速,服务态度好,另一方面是因为他们坚持以保障信息安全为最高目标,不为外界所干扰。杨廷军表示:“尽管存在安全漏洞,但未必都因此出现了问题。所以技术部门对信息安全的重视程度不高,当东软提出整改意见时,他们认为不一定非要这样做。但东软称信息安全具有突发性,不能掉以轻心,所以比较坚持。”
另外,出于银行管理和运营等方面的综合考虑,对于一些安全问题,达州商行认为不适宜揭露。“但东软认为,既然是做安全评估,就要把能发现的问题全部揭示出来,并给出合理建议。对不适宜披露的部分,东软也尊重银行的意见,只给出意见,不进行披露。”杨廷军表示,正是这种专业的态度,让达州商行对东软的工作非常认可。
授人以鱼不如授人以渔
与国有银行相比,地方城市商业银行的技术部门实力较弱,资金投入少,并且缺乏连续性投入。因此,城市商业银行往往并不具有信息安全方面的高端技术和研发能力,技术部门工作人员人数少、技术水平较低。
“授人以鱼,不如授人以渔。”城市商业银行需要的不仅仅是IT外包服务,更是提升自身的IT运维能力,提升银行科技人员的技术水平。因此,对工作人员进行信息安全方面的业务培训,对于城市商业银行的风险管理来说必不可少。
据了解,东软拥有CISP部级信息安全专业认证培训机构最高级资质,以及近20名CIPS认证工程师和多名CIPS资深培训讲师。目前,东软提供一系列面向组织内管理者以及技术人员的个性化的培训方案,并在大连、成都、南海、沈阳等地建立了培训基地。
现在,最让杨廷军头痛的问题是怎样尽快提高技术部门人员的运维能力。他表示,随着科技的发展,很多新系统银行工作人员以前并没有接触过,例如数据库的一些新技术,IBM的小型机等。而这些新系统、新应用在银行业务运行中的使用频率越来越高,技术人员急需要了解相关知识,“我们希望东软为技术部门工作人员进行一些培训,提升他们的IT运维能力,确保业务系统安全运行。”
信息安全服务评估报告篇7
一、指导思想
以科学发展观为指导,贯彻落实党的十精神、上级政法工作和司法行政工作会议精神,牢牢把握最大限度利用社会资源和社会力量,最大力度组织预防和管控,最大程度促进社会和谐和稳定,牢固树立人本理念,坚持教育与管理相结合,坚持引导与管理相结合,坚持服务与帮扶相结合,不断完善对社区服刑人员的管理、教育、帮扶机制,着力提高社区矫正工作科学化水平,切实提升社区矫正工作效能,为长安建设做出应有贡献。
二、总体目标
以“社区矫正规范化建设巩固年”为契机,以提高矫正质量为核心,全面提升社区矫正管理规范化程度,推行信息化防控手段,积极拓展多元化帮扶途径,不断探索评价社区矫正绩效的评估体系,促进社区矫治效果明显改善,社区服刑人员融入社会能力明显增强,推动社区矫正工作科学而有成效地开展。
三、主要措施
社区矫正“三化一评估”体系重点围绕管理规范化、防控信息化、扶助多元化,开展矫正效果评估等方面予以推进。
(一)社区矫正管理规范化
根据《社区矫正实施办法》、《省社区服刑人员监督管理办法》,重点围绕矫正衔接规范、矫正执行规范、矫正解除规范、执法文书规范四个方面,全面提升社区矫正管理规范化水平。
1、矫正衔接规范
(1)县司法局收到相关单位委托后,指派工作人员或指定被告人(犯罪嫌疑人、罪犯)居住地的镇(区)司法所派两名以上工作人员进行调查,出具评估报告。
(2)司法所在收到县司法局指派办理后,在五个工作日内提交评估报告,提出能否适用管制、缓刑或者假释的建议,县司法局在十个工作日内提交委托机关。
(3)司法所不接受各级法院、监所的直接委托。
(4)严格履行社区服刑人员的交付程序。县局社区矫正科收到法律文书后,三个工作日内送达回执。电话通知或书面告知社区服刑人员在规定时间内到县司法局社区矫正科报到。县局社区矫正科对报到的社区服刑人员进行身份核实,及时办理登记手续,并对其进行入矫前教育,完成首次谈话笔录,发放《社区矫正“鑫生之旅”监督考察手册》,告知其三日内到指定的镇(区)司法所接受社区矫正。
2、矫正执行规范
(1)司法所在社区服刑人员接受社区矫正后三个工作日内,为社区服刑人员确定专门的矫正小组。矫正小组由司法所工作人员担任组长,社区服刑人员为女性的,矫正小组应当有女性成员。未成年社区服刑人员的矫正小组应当有熟悉青少年成长特点的人员参加。同时,签订矫正责任书。
(2)司法所在宣告执行后五个工作日内,为社区服刑人员制定矫正方案,制定有针对性的监管、教育和帮助措施。根据矫正方案的实施情况,每半年评估矫正方案实施效果,适时予以调整。制定方案时做到因人定案、因人施矫,一人一案。
(3)对宣告执行后三个月内的社区服刑人员,一律实施严格管理。严管三个月期满后,司法所应当在十个工作日运用社区矫正风险评估系统对社区服刑人员进行评估,提出确定其管理等级的建议,报县司法局批准实施。
(4)司法所每月组织社区服刑人员参加不少于八小时的教育学习,其中每月18号为集中教育日,增强其法制观念、道德素质和悔罪自新意识。司法所需制作规范性、完整性、独创性的集中教育讲稿,县局社区矫正科每月组织开展评比考核活动。
(5)司法所每月组织社区服刑人员参加不少于八小时的社区服务,帮助其修复社会关系,培养社会责任感、集体观念和纪律意识。充分利用社会资源,协调有关社会组织,加强镇(区)社区矫正劳动基地建设,根据公益性、人道性、可操作性的原则,制作社区矫正社区服务计划。
(6)社区服刑人员因就医、家庭重大变故等原因,确需离开本县的,由社区服刑人员提出书面申请。申请外出时间在七日以下的,由司法所批准,报县局备案,超过七日的,由司法所签署意见后报县局批准。
(7)司法所督促社区服刑人员每月18号进行书面思想汇报,文化程度低的对象可以口述,由他人,人需签字。思想汇报内容包括家庭情况、生活情况、工作情况、社会关系及思想状况。
(8)司法所督促社区服刑人员每周一进行电话汇报,对电话汇报情况进行详细记载。电话汇报内容包括:在什么地方、从事什么工作、有什么困难及思想状况。同时,严格管理的社区服刑人员每两周当面报告一次,普通管理的社区服刑人员每月当面报告一次。
(9)司法所定期走访社区服刑人员家庭、工作单位、就读学校和居住的社区,了解、核实社区服刑人员思想动态和生活、工作、学习情况,对严格管理的社区服刑人员,每半月走访一次,对普管、宽管社区服刑人员每月走访一次。
(10)司法所对未成年人监督管理,应当遵循教育、感化、挽救的方针,监督教育为主、惩罚为辅的原则。具体按照《省社区服刑人员监督管理办法》第十三章的规定执行。
(11)司法所每月对社区服刑人员接受监督管理、参加教育学习和社区服务等情况进行考核,并公布考核结果。严格执行《省社区服刑人员监督管理办法》的奖惩要求,进行奖惩。
3、矫正解除规范
(1)在社区矫正期满前三十日内,司法所督促社区服刑人员作个人总结,根据其在矫正期间的表现、考核结果、社区意见等情况作出书面鉴定,并对安置帮教提出建议。
(2)司法所在社区服刑人员期满当天,应当为矫正期满对象进行公开解除宣告(期满当天为节假日的,解除宣告可以提前至节假日前最后一个工作日开展,但矫正期限应当如实告知),解除宣告应当庄重、严肃,按照规定程序公开进行。同时,向解除矫正人员发放《解除社区矫正证明书》,告知安置帮教有关规定。
4、执法文书规范
(1)县司法局社区矫正科建立社区矫正执行档案,包括适用社区矫正的法律文书,以及接收、监管审批、处罚、收监执行、解除矫正等有关社区矫正执行活动的法律文书,法定不批准出境人员报备通知及时通报公安机关。
(2)司法所建立社区矫正工作档案,包括司法所和矫正小组进行社区矫正的工作记录,社区矫正人员接受社区矫正的相关材料等,同时留存社区矫正执行档案副本。
(3)严格按照司法部、省厅相关文件和县局台账格式要求制定社区矫正台账,从运用审前评估、交付接收、矫正执行、解除终止矫正等环节,以及包括社区服刑人员花名册、社区矫正会议记录簿、社区矫正志愿者名册等进行整理制作台账。
(二)社区矫正防控信息化
围绕日常管理,充分利用现代化信息系统,强化科学管理,有效提高监督、教育效果,全面提升社区矫正信息化水平。
1、推行远程视频系统
(1)运用县、镇(区)调处中心远程视频系统,开展社区矫正集中教育、入矫教育等活动,做到县、镇(区)两级同步、规范有序,实现会议网上开,业务网上走,社区矫正集中教育网上督等功能。
(2)各镇(区)司法所组织开展社区矫正集中教育活动,全部在调处视频监控中心进行,每月及时向县司法局汇报活动开展时间。
(3)县司法局在每次活动开展前,对各镇(区)社区矫正对象出席率进行统计,统计结果计入月度考核和年度考核评分。
(4)县司法局社区矫正科每季度在视频监控中心为全县社区服刑人员授课一次。
2、健全录音电话音频系统
(1)县司法局统一采购带录音功能的电话机,在全县使用社区矫正录音电话音频系统,实现社区矫正对象电话汇报留音、监督人情况反馈、审前调查假释评估留证等功能。
(2)各镇(区)司法所对录音电子档案分类归档,通过互联网,每月向县局传输加密电子档案,县局社区矫正科及时核查当月社区矫正对象电话汇报、情况反馈及各项取证,统一整理归档。
(3)各镇(区)司法所落实专人负责录音电话数据采集、核对、整理工作,做好音频数据安全工作,每月上报情况记入月度考核和年度考核评分。
3、建立指纹考勤系统
(1)县司法局统一采购指纹考勤机,用于各镇(区)社区矫正对象参加集中教育、社区服务及各项活动考勤签到。
(2)各镇(区)司法所及时完成指纹打卡系统调试准备工作,适时组织社区矫正对象建立指纹档案,每名对象分别建立两枚不同的指纹档案。
(3)各镇(区)司法所督促社区矫正对象,在每次活动开始和结束时,分别指纹考勤一次。
(4)指纹考勤信息每月定期向县司法局社区矫正科报送,每次集中教育、社区服务时间及人员出席率列入月度和年度考核计分。
4、完善移动定位监控系统
(1)依托社区矫正目标位置定位监管系统,对重点对象和外出务工社区服刑人员实施24小时手机移动定位监管。
(2)强化系统运用,各镇(区)司法所需确保专人负责监控平台,发挥系统作用,实现“区域监管、信息交互、警示告知”等功能,并形成每日监控日志。
(3)加强对离线对象的追踪和情况通报,对刻意逃避监管的对象,及时给予惩处。情节严重的,提请法院撤销缓刑、假释。
(三)社区矫正多元化扶助体系
加强与各成员单位的联系与合作,齐抓共管,整体联动,落实社会适应性矫正扶助措施,切实解决社区服刑人员的困难,形成政府主导、社会参与的良好格局,全面提升社区矫正扶助能力。
1、建立“五扶一促”扶助平台
树立“寓管理于服务”的理念,各镇(区)司法所围绕“扶心、扶困、扶技、扶业、扶学”五个方面,每年至少开展2次帮扶需求调查活动,记录在案并进行分类帮扶。以“五扶一促”为主要内容,大力开展扶助活动,在管理中体现服务,切实解决社区服刑人员的现实困难。
(1)对生活困难社区服刑人员开展临时救助、医疗救助、落实最低生活保障、落实责任田等方面帮困扶助。
(2)对失业下岗社区服刑人员开展就业指导、培训职业技能、鼓励自主创业等方面的就业帮助。
(3)对存在心理隐疾的社区服刑人员开展心理健康筛查、心理健康教育、心理咨询等方面的支持型扶助。
(4)对处在学龄期或者愿意继续在校学习的社区服刑人员进行就学帮助,就学帮助的主要目标人员为未成年社区服刑人员。
(5)为帮助社区服刑人员形成良好适应社会生活的行为方式进行技能培训,促使其尽快融入社会群体,真正回归社会。
2、创建结对帮教扶助平台
(1)以“5+1”矫正小组模式为基础构建帮扶机制。即每位矫正对象配有五名帮教人,矫正对象居住地村干部,志愿者、社区民警、家庭成员(监管人),社区矫正工作者,五名帮教人联合帮扶一名矫正对象。
(2)司法所加强与帮教人联系,全面掌握矫正对象的工作、学习、思想、生活等情况,帮助他们提高思想认识,端正服刑态度。
(3)开展矫正对象“助人自助”活动,鼓励年龄相近、性格相仿的社区矫正对象自行结对,先进带后进,老对象带新人,相互提醒、互相鞭策,共同进步。
3、搭建临时救济扶助平台
以政府财政拨款为主,同时积极发动企业赞助和社会各界捐款,建立社区矫正临时救济资金,用于解决经济特别困难、生活难以为继的对象过渡性生活问题和重大节日、活动期间走访帮扶活动。确实困难对象,按规定程序审批给予救济,临时救济资金由县司法局统一管理,设救济专用账户,做到专款专用。
(四)构建社区矫正效果评估体系
运用科学的方式方法对社区矫正工作的实际效果进行评价,包括对社区矫正措施的落实、对社区服刑人员矫正成效以及社区矫正工作带来的社会影响等。
1、对社区矫正工作质态进行评估
(1)对社区矫正制度实际运作状态和结果进行评价,包括重新犯罪率、矫正措施的有效性等方面。
(2)将重新犯罪情况与各项制度落实情况、日常管理情况综合评估,评估结果分“优”、“良”、“差”三个等次(详见附表)。
(3)县司法局结合社区矫正年度考核,对各镇(区)司法所社区矫正工作情况进行效果评估,评估结果全县通报;工作质量和成效评估结果与年终考核相挂钩,评估结果为“优”和“良”等次的年终考核列入加分,评估结果为“差”的司法所将及时通报并查找薄弱环节,认真研究落实整改方案。
2、对社区服刑人员矫正效果进行评估
(1)对社区服刑人员的矫正效果进行评价,包括社区服刑人员的法制观念、心理健康状况、道德素质以及社会适应性等方面。
(2)各镇(区)司法所重点采集风险等级、刑罚执行情况、矫正期间表现、奖惩情况、矫正阶段反应、外界综合评价等方面的数据,评估得分低于55分,认定矫正质量效果“差”,评估得分在55-75分之间,认为矫正效果“一般”,评估得分高于75分,认为矫正效果“好”(详见附表)。
(3)各镇(区)司法所需客观、真实填写社区矫正质量效果评估表,对社区矫正对象每季度进行一次效果评估,效果评估表统一存入社区矫正工作档案,评估结果在每季度30日前报县局社区矫正科;对矫正效果评定为“差”、阶段效果得分为负数的对象,需进行重点情况分析并及时调整矫正思路和管理等级。
3、对社区矫正工作社会反响进行评估
(1)对社区矫正工作社会反响进行评估包括社会公众态度、社会关系修复等方面。
(2)各镇(区)司法所抽取两个村(居),各随机发放问卷(附件三)调查30份,评估结果分为“优”、“良”、“差”三个等次,A选项的平均选择率在80%以上评定“优”,选择率在50%以上评定“良”,选择率在50%以下的评定“差”。
(3)社会反响评估每半年进行一次,评估结果为“差”的司法所,需及时分析,多方面查找原因,积极整改,不断提高公众认可度。
四、工作要求
(一)提高认识,高度重视。社区矫正“三化一评估”体系的实施,是全面提高社区矫正工作水平的一项重要举措,各所要高度重视这项工作,立足实际,强化措施,抓好落实。
(二)分解任务,落实责任。各所要落实专人负责,围绕制度落实、日常监管、帮困扶助三个方面,与县局社区矫正科做到信息共享、工作同步。同时积极协调各成员单位,形成齐抓共管的良好局面。
信息安全服务评估报告篇8
关键词 国际 内部审计师 教育系统 职责职能
中图分类号:G647 文献标识码:A
1国际内部审计师协会对内部审计的定义
国际内部审计师协会(IIA)对内部审计的定义(2001年):内部审计是一种独立、客观的确认和咨询活动。其目的在于为组织增加价值和改善组织的运营。它通过系统化和规范化的方法,评价和改进风险管理、控制和治理过程的效果,帮助组织实现其目标。体现的内部审计的职能是确认与咨询,目的为评价与改进,从而达到增值和改善运营。
该定义确认了内部审计的职能及目的,以及内部审计的领域和责任,突出内部审计在增值服务和风险、治理及控制活动中的关键作用。
2013年元月,国际内部审计协会(IIA)立场公告:《有效风险管理与控制的三道防线》,说明了三道防线的组成、运作及协调,以及内部审计担当的角色。具体讲,内部审计是第三道防线,它是基于其在组织内的独立性和客观性,向治理层和高级管理层就组织治理、风险管理及内部控制(包括第一道及第二道防线达成风险管理及控制目标的方式)的有效性、提供全面性的确认。内部审计通过确认性或咨询性项目,监控管理层针对先前审计项目结果所采取改进行动的进展,辨识管理层所承担的风险。
2美国高校内部审计职能、定位比较研究
通过分析、比较多所美国高校内部审计工作开展情况,旨在借鉴其先进理念和技术方法及规范操作。分析比较的几所美国高校,其治理机构为理事会(或校务委员会)、审计委员会或财务、审计、设施委员会等,内部审计部门与治理层的沟通是不受任何限制的,在职能上直接向审计委员会报告,而在行政上向执行行政官报告。
审计部门均制定了内部审计章程,明确内部审计部门的使命、权威、范围、组织地位、职责、独立性、客观性等,同时宣告审计部门工作的开展遵循内部审计师协会IIA颁布的国际标准-《内部审计专业实务标准》和《内部审计职业道德规范》,以及其他职业标准,如:美国审计总署制订的政府审计职业标准:“黄皮书”;而对内部审计的定义,均严格采用IIA的2001的标准。内部审计章程经过理事会、审计委员会、相关治理机构和高级管理层的批准,获得批准或认可的内部审计章程可以最大程度地保障内部审计活动的独立性。
审计工作范围:内部审计活动涵盖检查、评估学校内部控制系统的充分性和有效性,以及完成包括适当培训和咨询协助在内的工作职责之质量;内部审计师关注学校事业活动的各阶段状况,为管理层提供服务,工作范围不局限于审查会计记录,以期获得对被审查营运状况的全面理解。
职责权限:内部审计在学校理事会之财务、审计、设施委员会下开展工作,内部审计有权无限制接触有关学校各类记录、人事、产业、计算机档案等信息资料,能自主审查、评估任何学校活动、程序(流程)、职能的政策、程序和工作规范。
组织地位:首席内部审计执行官(EDIA)能直接向校长和校务会报告,内部审计的职责范围和权力、地位确保重要的审计发现和建议在学校层面得到充分重视、考虑和管理层的整改行动。
2.1内部审计为高校提供评价、咨询、培训功能服务
弗尼吉亚大学,学校的政策是设立并支持审计部门,目的在于协助管理层履行其控制学校资源的责任。内部审计部门 提供服务内容如下:
(1)合规审计:执行该审计主要是为确认部门(院系)运作过程中遵守法律、规章、政策和学校、弗尼吉亚州、联邦政府和其他法规监管机构(如NCAA)的既定程序的程度,院系(部门)对外签署的合同协议也在审计范围之内。
(2)财务审计:审计对象为会计事项和财务交易报告,审计目的在于证实部门的财务活动在各类财务报告中得到准确的披露。
(3)信息系统审计:审计(评估、分析)对象:正在运营以及处于开发阶段的自动化系统,包括系统的输入、输出、处理控制、网络运行有效性、数据安全、接触安全、备份计划、灾难恢复计划。
(4)审计调查:因应对舞弊、浪费和滥用报告热线接到的举报电话转至内部审计部门或学校警局;
(5)运营审计:目的在于评估院系资源使用是否有效,是否完成管理目标,资源使用是否经济、有效。审核内容还包括院系组织结构、人员配备和成果。
2010年度,学校内部审计部门具体开展了以下审计项目:财务管理审计、卫生信息系统安全审计、学校电话通信网路系统审计、采购卡项目审计 、合规审计、存货审计。
总之,审计部门为学校董事会和高层管理提供有关学校财务系统可靠性和营运业绩的有效性的独立、公允、客观的评估。为管理层提供建设性的批评和具有积极性的建议,旨在加强和改善业绩和营运成本效益。告知董事会和高层管理任何财务违规、审计调查结果和在审计过程中发现的学校面临的其他风险。
斯坦福大学,审计、咨询服务部门在其章程中列举的审计与咨询服务有以下,但不限于所列类型:
(1)以风险为基础,综合考虑管理层辨识的风险和内部控制重要环节,制定灵活的年度审计计划,并提交审计与合规委员会审核和批准;
(2)综合考虑外部审计师和法规监管机构的审查工作,为学校及所属医院提供符合成本效益原则的最优审计覆盖;
(3)检查、评估内部控制系统的充分性和有效性;
(4)辨识节约成本、改善流程、提高学校声誉的机会;
(5)评估、评价重要的新近引进和发生变动的服务、流程、营运模式以及处于开发和实施阶段的控制措施;
(6)评估财务和营运信息系统的可靠性和完整性,以及审核辨识、衡量、分类和报告这些信息的方法、手段;
(7)与咨询办公室一道评价学校遵循法律、规章、合同、基金协议,以及内部政策、计划和程序的情况;
(8)证实学校资源取得经济,有效使用,并得到准确记录和合理保护;
(9)审核学校营运和项目,查明结果是否与既定的目标一致;
(10)开展调查与学校资源运用有关的可疑欺诈性活动;
(11)开展咨询服务,在IAICs的确认服务之外,协助管理层达成其工作目标,可能涉及协调、协助程序建立、培训和咨询服务;
(12)协助并协调与外部审计的工作;
(13)评估涌现的审计倾向和采用最好的审计实践规范。
2.2内部审计职能突出评估、改善内部控制的理念
华盛顿大学,在其2012公历年度财务、审计及设施委员会批准的2012审计结果报告中,指出:2012年,学校内部审计持续强调强有力的内部控制系统的重要性,总的来说,内部审计部门认为学校存在充分的内部控制,确保学校的营运符合适用的规章、政策,保证学校总体事业目标的实现,在年度审计计划内项目实施中,仅发现与医院床位计费系统相关的重要事项,而管理层已基本解决了有关问题。审计例外主要缘于管理监管不力,对特定核对控制的忽视,以及职能部门精简编制所带来的压力。
在学校层面,尚未发现与系统性问题相关的证据,但精简编制持续产生的压力必定加大内部控制失效的风险。对信息系统的审计主要集中在新实施的学校卫生系统计价系统,校级、部门所使用的办公系统中储存数据的安全性、完整性和可取得性。审计认为一些部门需加强对用户的进入控制、系统的变更控制以及灾难恢复计划。
内部审计还为学校员工提供广泛培训:内部审计的目标是持续协助学校和所属医学中心,努力加强内部控制。基于此理念,内部审计在全校和医学中心范围内引导、提供、发动有关内部控制领域,和防止舞弊、基金管理、合乎州立职业道德法规,以及工作、离职记录保存方面的培训,旨在加强整体控制环境,同时为内部审计人员提供机会结识未来的审计客户,并提升他们的演讲能力;另外,内部审计部门与Tacoma 校区开发了一套网上华盛顿州职业道德课程,全校雇员均可在内部审计网页上登录学习。
宾夕法尼亚大学,在其审计、合规、隐私办公室网页上声明:宾夕法尼亚大学采纳了COSO(Committee of Sponsoring Organizations of the Treadway Commission)颁布的整体内部控制框架(IICF),作为学校内部控制和合规环境的基石。内部控制环境为学校实现三方面目标提供合理保证:营运的有效性和效率性;财务报告的可靠性;遵循适用的法律和规章。在其网页上对管理层有关内部控制的责任、内部控制的组成要素以及控制类型、内部控制指导(包含学校营运内部控制、信息技术内部控制、资助项目内部控制)做了详尽的介绍、宣传和教育。
加利福尼亚伯克利分校,在其审计和咨询服务部门的内部控制环境现状的年度总结报告中也表明,加利福尼亚学校采纳了COSO颁布的内部控制框架,作为学校内部控制评估的基础,而且指出,学校于2011年在改善控制环境,以及对学校部分活动实施更有效的系统性行政管理、监督性控制方面仍然存在诸多机会。并详尽列举了2011年学校5大类常见控制缺陷,分别为:业务活动的监测、来自第三方收入的确认、与关键活动和决策相关的风险评估、支持决策的电子手段、营运程序的归档和政策、规章的定期评估;连同管理层的应对整改计划,如:来源于第三方(例如:与不动产租赁和外包收入相关的活动)的收入确认方面存在控制缺陷,管理层的应对整改计划为:被审计部门要求第三方提供更为详尽的支撑性销售收入的文件,并按照审计条款更为积极地评估享有权利的需要。另外,在修订2012年度的审计计划中, 学校审计和咨询服务部门也加强了对该领域的评估工作。2012年学校5大类常见控制缺陷为:合同管理、进入系统管理、营运程序和交易支持的归档、授权及核心能力的培训。
2.3强调内部审计在风险管理中发挥更大效能
华盛顿大学,内部审计在规划年度审计计划阶段,注重评估学校战略风险、营运风险、合规风险、财务风险和声誉风险,采用高校通用的风险评估模型,确立学校风险领域和审计项目优先次序安排。
弗尼吉亚大学,2010年学校外部质量评估结果:符合IIA职业标准,工作得到审计与合规委员会和学校管理层的高度认同,需加强信息技术审计项目,满足利益相关者的期望。仍存在机会,在风险(对控制而言)和合规方面提升自身的定位和专注力,发挥更大的功能。内部审计应该成为促进学校引进ERM事业(企业)全面风险管理、推进风险评估进程的催化剂;基于内部审计在高校内的全局视野,内部审计能发挥关键作用,引领、指导合规部门人员相互配合、协调工作,规范编制综合、全面的合规工作计划,开展生机勃勃的合规活动,并保持清晰的信息沟通。为继续提高内部审计的工作效率和在上述拓宽领域中发挥潜能,内部审计必须处于学校组织结构中的最高层次,并保持活跃和忙碌状态。
宾夕法尼亚大学,其内部审计包括营运审计、IT审计和基建审计三大类,在营运(内部控制)审计中强调对业务流程、系统和业务营运提供无偏见的评估,确认内部控制是否到位并发挥功效,以期减轻风险,确保达成组织目标和目的;在其IT审计中,内部审计提供包括IT评估、应用控制审查、信息处理设施(数据中心)审计、系统实施前评估、新系统实施后评估、安全/隐私/数据完整性控制评估、咨询服务在内的治理、风险与合规服务,强调通过IT审计,减轻隐私和安全风险的重要性;IT审计采用COBIT框架(为信息系统审计和控制协会开发的IT管理最佳行业擦作规范,旨在为学校管理层、内部审计、IT用户提供信息技术治理模型,协助学校了解、管理IT风险、和发挥IT最大效用);在基建审计中,专门剖析了相关风险成因(risk driver),指出工程预算总量与承包商之关系、合同类型是引发违规、风险的主要动因。
3中国教育系统内部审计职责和定位分析探讨
2013年,中国内部审计协会修订了一系列内部审计准则,其中《第1101号-内部审计基本准则》第二条对内部审计的定义为:本准则所称内部审计,是一种独立、客观的确认和咨询活动,他通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标。
结合IIA的内部审计定义及前文美国高校内部审计职责之分析、比较,笔者认为我国教育系统内部审计的职责和定位可作如下借鉴:
教育系统内部审计工作应专注于:评估、审查与学校治理、风险管理、会计核算、财务管理、营运、行政管理的控制的坚固性、充分性和实际功效;在建立有效控制系统过程中,改善以风险为基础的成本效益平衡。评估学校达成事业目标的政策、制度的充分性;合规性评估;评估学校资产安全性;确认作为学校决策机制的管理信息系统的准确性、及时性和可靠性;评估学校利用资源的经济性和有效性;为管理层提供咨询,通过审查营运,评估结果是否符合管理目标,营运是否照计划实施,管理层是否怀抱质量至上和持续改善的理念。
3.1突出咨询、确认服务,淡化监督职能,突出IIA 内部审计定义关键理念(风险评估、内部控制、增值服务)
突出内部审计的确认和咨询职能,使得内部审计与业务管理同步,相应拓展了内部审计职责范围,将对风险管理的评价和改善纳入审计工作职责之内,范围涉及高校校级、二级单位(院系)、业务流程、任何系统之内部控制的方方面面。
淡化监督职能,通过舞弊调查和合规审计,确认合规、违规事项,籍此识别引发欺诈、损失的控制缺陷,通过提供有关整改措施之审计建议,协助被审计单位防止违规事项再次发生。重视合规审计,结合我国近期政策法规导向,如:《中共中央关于改进工作作风、密切联系群众的六项禁令》、《教育部财政部关于加强中央部门所属高校科研经费管理的意见》、《教育部关于进一步推进直属高校贯彻落实“三重一大”决策制度的意见》、《学校关于二级单位执行“三重一大”制度的暂行规定》等,在学校集中采购、工程建设、科研管理、民主决策、
“三公”经费开支等方面,开展内部控制执行有效性、政策、规章等合规性审计,探讨制度建设,保护学校教师、管理干部及学校声誉,为规避舞弊风险、学校声誉风险发挥积极作用。
3.2拓展审计职能服务范围和类型
继2011年底财政部《行政事业单位内部控制规范(征求意见稿)》后,2012年11月正式印发《行政事业单位内部控制规范(试行)》,2014年1月1起在我国行政事业单位范围内全面实施。
教育系统应综合考虑企业和事业单位内部控制规范,开展研究,结合教育系统之实际,开发、制订高等教育学校的内部控制规范。
内部审计基于改善治理、风险、控制的过程,拓展审计职能服务范围,尤其应加强对以下方面的关注:
治理审计:评估学校政策的发展、颁布和维护;利益冲突和承诺冲突评估;授权;审查业绩评估管理;捐赠基金(生命周期:产生、管理、合约遵循)治理情况和内控评估。
风险管理审计:舞弊风险管理(学校是否存在全面评估舞弊风险的流程、有无正式成文的舞弊风险管理方案、学校对全校员工有无充分的舞弊意识培训);与灾难恢复相关的风险管理的控制情况等。
财务审计:关键财务控制、现金管理、财务部计划与预算管理、学生学费管理等。
其他审计:有害物资处理、学生住宿和学生服务等。
咨询服务:校级兴起的项目实施效果、隐私、学生心理健康等。
3.3逐步开展信息系统审计
随着新技术的发展和大数据时代的到来,学校对日益先进技术的广泛利用和依赖,教育系统也面临着前所未有的有关信息系统的安全风险、数据安全和隐私保护问题,内部审计部门应当与时俱进,开展IT审计,加入到学校IT 风险管理团队中来。
内部审计部门应招聘IT专业人员,鼓励在职审计人员学习并获得注册IT审计师资格,逐步开展信息系统审计,内容可包括:IT结构、身份辨识和进入系统管理、第三方提供的IT服务使用情况、学校行政层面IT硬件与相关控制、信息安全-移动设备与便携式设备、新系统实施前的评估和系统实施后(至少6个月之后)评估、附属机构(如医院)的IT变更系统评估,信息管理系统的不相容职务分离等。
内部审计人员应具备自觉、快速学习新技术的能力,尤其在社交网络、数据管理和软件工具使用方面掌握较强的技能。
3.4加大内部审计宣传和教育、培训工作
充分利用内部审计网页宣传、教育、沟通功能,在网页上提供学校治理、风险管理、内部控制相关知识,如:学校内部治理结构与顶层设计、风险管理(通过管理风险取得成功)、内部控制及其国际标准(COSO)、相关法律知识、常问问题与回答、与舞弊相关事项等。总之,在内审工作与审计客户之间架起实时沟通桥梁,提升学校公众治理、风险、控制意识,教育学校雇员不断改善、追求卓越 。
加大审计结果公告,在内部审计网页公布上年度审计结果综合报告和来年工作计划。