审计信息安全管理范文
时间:2023-10-19 15:58:05
审计信息安全管理篇1
1网络经济对医院审计带来的积极影响
1.1有利于加快医院审计信息化建设无论是什么性质的企业,信息化技术的优先发展都会为企业带来不可估量的利益,在医院审计管理过程中同样如此。医院建设要发展壮大,就必须要引用信息化技术,开阔信息化道路,引进先进技术,加快医院审计信息化速度。信息化审计管理有效的减少管理成本的投入,有助于信息资源有效融合,推动信息数据数字化管理,有可靠的数据库作支撑,便于数据的管理与控制,有健全的信息维护系统,保障信息数据不失真,可长久使用;信息化统计管理还减少了重复劳动率,操作简单易懂,便于控制,缩短复杂查找数据所用时间,提高了信息数据利用率,进而是医院管理变得更加有序化;此外,也为医疗设备的采购过程提供了便利条件,有选择、有计划的进行有效采购设备对于一个规模庞大的医院来讲是尤为重要的,设备的昂贵程度可想而知,设备的信息化的管理为医院节省了不少开支,功效也是有目共睹的。
1.2有利于实现医院审计目标,为医院审计工作的科学管理提供依据医院审计管理者可根据对医疗信息统计的数据掌握,判断医院的入院患者人数、出院人数、手术人数、转院人数、病人死亡人数以及医生在院人数等等,对整个医院的活动进行合理管理和控制,做好医院管理工作,更好的为病人服务,进而实现医院审计目标,提高审计领导者的正确决策效率。审计的精确性为领导做出的正确决策提供了最有利的依据,确保医院发展计划可行,临床科室设置科学合理,专业项目建设得到完善,进而提高医院的社会经济效益。
1.3有利于提升医院内部审计质量对于市医院在财务审计管理中存在的弊端,要采取一定的措施进行有效解决,要有规范的操作流程,利用网络经济管理有效的提升了医院内部审计的质量。在其管理控制中,要对具体部门要有一定的监督体系,确保医院审计管理工作有效落实。出纳是否做好现金出入明细账,动用现金的正规手续能否都与现金的实时走账相符,会计的核算与出纳的现金账目能否及时捋顺,定期对医院现金进行核算,最好是按每周或者是每月对医院现金进行盘库,这样能及时掌控现金的动向,及时核对现金账目与票据能否相符,这些都要在计算机网络系统中有所显示,便于日后对具体问题进行审计分析,有依据可循。
2网络经济对医院审计的管理策略
2.1运用计算机辅助审计方法
2.1.1对医院日常会计信息的审计当前的医院审计要求审计工作人员应对会计信息给予更多的分析,并利用计算机辅助审计来完成具体工作。在医院内部审计控制管理中,很多审计人员专业技能不够,对医院内部审计工作知识了解较少,业务技能不熟练,不能专业的将医院财务状况反馈给管理层人员,因此,在医院内部控制管理中要加强审计人员对计算技术的运用,对审计人员进行专业技能培训,定期对会计人员业务能力进行考察,深化审计人员运用计算机技术处理审计工作的能力。审计人员对计算机技术有了一定的掌握,使用高效的审计软件,还能在很大程度上提高医院审计效率,节省审计时间,简化繁琐的审计流程;其次,也可以借助会计电算化自带的一些功能来完成审计工作。如审计人员可以利用会计电算化中的查询过滤功能,将某些明细账反映的医疗服务金额在指定数额以上的全部记录显示出来,借此来进行分析性复核;再次,使用办公自动化软件来辅助审计工作。如可借助EXCEL表格对材料成本差异核算进行复核。
2.1.2计算机辅助审计信息管理与传递利用网络信息平台,实现资源共享,提高审计数据真实效率。过去我们往往都是通过纸质载体形式将病例及信息资料传送到患者以及义务人员手中,在很大程度上增加了医院的成本费用,还浪费人力,在网络信息平台开通后,医务人员间可以通过网络进行资源共享,完成信息交流工作,也可以将病史资料以电子形式传送到病人手中,大大节省了时间和金钱,提高工作效率。
2.1.3对医院审计管理要具有一定的针对性所谓针对性就是要抓住事物的重点,审计的重点在于一个好的技巧,当然一个好的技巧正是这些专业的统计分析者通过自己的专业知识、敏锐的洞察力及自身的综合素质才能总结出来的。审计的技巧要充分体现出当前的国家经济政策、市场动向、社会主义公有制经济的本质出发点、国家关于经济方面的法律法规新动向以上是大的方向,对于医院管理中的审计分析来说,要反映出医院领导者最为关注的问题。
2.2使用高效的医院审计软件随着网络信息时代的到来,传统的审计方法以不能满足医院管理审计分析的需要,对审计信息的统计分析也不只是单单的进行处理、对照就能满足医院管理的本质要求。在当今社会随着网络的普遍应用,医院审计工作作为一个新兴审计分析工具逐渐的代替了人工审计方法,取代了费时费力的人工审计环节。它不仅增强了医院管理的竞争力也大大的促进了社会的发展要求,所以加强管理中的信息网络管理是很有必要的。是实现资源共享的有效途径,也是医院自身发展的必然需求。此外,审计人员使用高效的审计软件,也能在很大程度上提高医院审计效率,节省审计时间,简化繁琐的审计流程。
2.3建立医院内部审计信息系统建立医院内部审计信息系统,就要以数据安全管理为原则。一个完备的数据安全管理保障体系应当有科学的安全管理原则,安全管理的基本原则主要包括:一是专人负责原则。即针对每一项与医院审计数据信息安全有关的活动都必须有专门人员负责;二是职责分离原则。不同工作职责应当由不同人员负责,保障各机构根据自身的特点制定一系列的审计管理规章制度,并对违反规定的采取惩戒措施等。三是数据库系统。建立审计信息数据备份机制,应对安全领域突发事件,防止系统发生故障时文件的丢失。目前在许多软件中可以将文件设置为“只读”状态,在这种状态下,用户只能从计算机上读取信息,而不能对其做任何修改,在计算机外存储器中,只读光盘(CD-ROM)只能供使用者读出信息而不能追加或擦除信息,一次写入式光盘(WORM)可供使用者一次写入多次读出,可以追加记录但不能擦除原来的信息。这种不可逆式记录介质可以有效地防止用户更改电子文件内容,保持审计数据的原始性和真实性。此外,医院内部审计系统的有效管理,还要加强医院审计人员以及每个工作人员的风险意识,树立风险管理观念,风险管理是审计数据真实有效管理不可分割的组成部分,树立风险管理观念,有助于唤起风险意识,有效地提示所有参与生成,管理和使用医院网络系统的人避免风险事故,承担风险责任,逐步形成与审计管理规律相适应的管理观念,同时建立风险管理体系,明确风险应对重点,有助于使审计数据得到全方位、安全、有效的保护。
2.4医院会计电算化信息系统审计的管理做好医院会计电算化信息管理审计网络系统的安全隔离工作,在医院审计数据与互联网之间建立起一道信息安全屏障,安装主流防火墙系统,在这方面现在主要技术有防火墙技术,这是一种访问控制技术,它是在某个机构的网络和外界风格之间设置障碍,阻止对本机构信息资源的非法访问,也可以阻止机要信息、专利信息从该机构的网络上非法输出。防火墙好像是网络上的一道关卡,它可以控制进、出两个方向的通信。防火墙的安全保障能力仅限于网络边界,它通过网络通信临控系统监测所有通过防火墙的数据流,凡符合事先制定的网络安全规定的信息允许通过,不符合的就拒之墙外,使被保护网络的信息和结构不受侵犯,以保证网络系统的安全,信息安全是一个动态的系统工程,各类组织机构应按照文件信息安全的控制要求,对构建的电子文件信息安全保障体系加强维护,加强运作力度,充分发挥体系本身的各项功能,同时,医院审计管理信息安全保障体系的建立是一个目标叠加的过程,是在不断发展变化的技术环境中进行的,因而也是一个动态的、闭环的风险管理过程。组织应及时发现体系策划和执行中存在的问题,找出问题根源采取纠正措施,实时加以调整和改进,以适应变化了的情况,达到进一步完善数据安全保障体系的目的。
2.5强化医院网络经济内部控制的审计管理医院审计过程中由于财会部门工作的不规范性,给审计工作带来极大的难度,促使审计周期也相对加长,审计的投资费用也会有所增加,于此同时,审计工作都是在每个企业预先知道的情况下进行的财会审计,容易造成企业财务方面作假而应付检查的举动,在一定程度上审计工作应加强审计时间的调整,确保审计的科学性。做好医院审计内部管理的统筹工作,检查各项工作的费用支出及产值情况,对财务的账本、流水账、涉及重大现金支出的有效凭证是否真实,此类财务资料的审批手续是否齐全,部门领导签字是否有漏签现象。其次财务账本的制定及记账名称、填写数字、累计额发生的数值是否能符合要求。严格查验现金流水账的支出情况,审查各项票据是否真实有效,是否得到主管领导的签字或者认可,避免由于现金的流动经手人太多而导致的贪污现象的发生。建议任何大量现金支出通过网银支票代替大量现金的流动,这也体现了新形势下对医院现金科学管理的一个良性手段。保障医院审计数据信息安全,除要在计算机技术方面的安全保障措施外,还必须健全相应的医院审计管理措施、医院审计管理机构,建立岗位责任制,严格界定相关工作人员的责任权限.制定医院审计工作全过程管理制度,对审计信息系统日常操作、运行维护、审计监督、文档管理进行统一监督管理。系统开发与维护,保证系统开发与维护的安全,确保审计数据信息安全保护深入到操作系统,维护应用软件和数据的安全,不断建立和完善审计数据信息的安全管理体系,综合分析系统信息。在运行中不断调整安全策略。完善安全设计,使安全策略更符合实际。安全设计更趋合理。建立健全各项应急响应措施与应急制度,提高系统抗攻击或抗灾害响应能力。信息分类与控制,针对审计内容的信息价值进行分类,建立分类清单,分别处理和保护。
审计信息安全管理篇2
【关键词】 信息系统; 审计; 审计目标
2007年2月国务院国有资产监督管理委员会和国务院信息化工作办联合印发了《关于加强中央企业信息化工作的指导意见》,加快了国有企业信息化建设的步伐。国有企业审计是中国特色社会主义国家审计的重要组成部分。由于企业与公共部门在内部控制、管理和治理方面的差异,导致了企业信息系统审计与公共部门信息系统审计的不同特点。
一、增强国有企业信息系统的可信性
审计机关的审计目标取决于法定要求。根据《中华人民共和国审计法》的规定,审计机关对国有企业财务收支的真实、合法、效益,依法进行审计监督。显然,真实性是国有企业审计的目标之一。信息系统审计是国有企业审计的重要组成部分。国有企业审计的总体目标,决定了国有企业信息系统审计的目标。国有企业审计的真实性目标,必然要求国有企业信息系统提供真实性的信息,这意味着,审计机关的国有企业信息系统审计必须把真实性作为审计目标之一。
根据相关法律的规定,注册会计师也可以对国有企业进行审计。根据我国公司法第165条的规定,“公司应当在每一会计年度终了时编制财务会计报告,并依法经会计师事务所审计。”而且,2008年10月通过的《中华人民共和国企业国有资产法》第六十七条明确规定,“履行出资人职责的机构根据需要,可以委托会计师事务所对国有独资企业、国有独资公司的年度财务会计报告进行审计,或者通过国有资本控股公司的股东会、股东大会决议,由国有资本控股公司聘请会计师事务所对公司的年度财务会计报告进行审计,维护出资人权益。”大家知道,依据注册会计师执业审计准则的规定,会计师事务所对企业财务报表审计的目的是“提高财务报表预期使用者对财务报表的信赖程度。”①这说明,注册会计师国有企业审计的目标是要求财务报表提供的信息具有可信性。注册会计师所审计的国有企业财务报表中的信息是由国有企业的信息系统产生形成的,因而必须对信息系统进行审计。注册会计师对国有企业财务报表审计的可信性目标,决定了注册会计师对国有企业信息系统审计的可信性目标。
同样的审计对象,不同的审计主体,导致了两种不同的国有企业信息系统审计目标。从上述分析不难发现,无论是审计机关还是注册会计师对国有企业进行审计,其中对企业信息系统的审计都是不可或缺的重要组成部分。根据审计法的规定,审计机关对国有企业信息系统审计的目标是真实性。而根据注册会计师执业审计准则,对国有企业信息系统审计的目标是可信性。那么,什么是真实性?什么是可信性?这两种目标之间有什么样的联系和区别?为什么说审计机关应当把增强国有企业信息系统可信性作为审计目标呢?
(一)真实性与可信性的基本涵义
我国审计法强调真实性,根据2010年9月颁布的中华人民共和国国家审计准则(以下简称国家审计准则)的规定,“真实性是指反映财政收支、财务收支以及有关经济活动的信息与实际情况相符合的程度。”那么,什么是真实性呢?真实性只是对财政财务收支及有关经济活动信息质量的最低要求。如果会计信息是真实的,但是不够完整或者披露不及时,仍然不能满足信息使用者的需要,甚至会导致错误的投资决策。事实上,就真实性本身而言,由于会计估计、核算方法等因素的影响,会计信息的真实性也只是相对的,而不是绝对的。所以,把真实性作为审计目标,具有一定的局限性。所谓可信性,从国际审计准则第200号(ISA200)可以看出,当编制的财务报表公允表达(presented fairly)或真实公允(true and fair)时,它才是可信性的。从字面上讲,公允(fair)或公平的要求,强调了财务报表各种使用者之间的利益平衡。从理论上讲,公允表达或真实公允的概念比真实性概念具有更多的内涵,涉及会计适当性、适当披露及审计责任等概念。在国际审计准则第200号(ISA200)中,公允表达是指财务报表是否在所有重大方面按照适用的财务报告框架编制,“公允”还意味着超出财务报告框架所要求披露范围的必要性,以及在极端情况下必须偏离财务报告框架的可能性。适用的财务报告框架,主要是指适用的会计法律法规、会计准则、会计制度等。大家知道,我国会计法强调“保证会计资料真实、完整”。根据会计法的要求,我国的财务报表不仅要具有真实性,而且还要具有完整性。总的来说,可信性并不否认真实性,真实性是可信性的必要前提之一,但真实的并不一定是可信的,可信性的内涵更加丰富,真实性是对财务信息质量的最低要求,可信性反映了对财务信息质量更高的要求。
(二)可信性目标反映了注册会计师审计发展的新阶段
一般认为,受社会需求变化、自身技术手段及审计风险等因素的影响,注册会计师审计目标的发展演变至今经历了四个阶段,即20世纪30年代之前的查错纠弊阶段、30年代中期至80年代验证会计报表真实公允阶段、80年代至90年代中期真实公允与查错纠弊并重阶段,及90年代后期以来的增强信息可信性阶段。虽然同为注册会计师审计的目标,然而从历史发展演变的角度看,真实性只是注册会计师审计的早期目标,当前注册会计师审计准则中的可信性目标反映了注册会计师审计的最新发展,是更高级发展阶段的目标。
(三)可信性目标比“真实公允”具有更加广泛的适用性
20世纪90年代后期,传统的财务报表审计成为更为广义的概念――“保证业务”(Assurance Service)的一个组成部分。我国注册会计师协会译为“鉴证业务”②。2004年国际会计师联合会了《国际保证业务框架》,2005年1月1日生效。2006年我国制定了《中国注册会计师鉴证业务基本准则》,2007年1月1日起施行。鉴证业务是指注册会计师对鉴证对象信息提出结论,以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。鉴证对象与鉴证对象信息具有多种形式,主要包括:当鉴证对象为财务业绩或状况时(如历史或预测的财务状况、经营成果和现金流量),鉴证对象信息是财务报表;当鉴证对象为非财务业绩或状况时(如企业的运营情况),鉴证对象信息可能是反映效率或效果的关键指标;当鉴证对象为物理特征时(如设备的生产能力),鉴证对象信息可能是有关鉴证对象物理特征的说明文件;当鉴证对象为某种系统和过程时(如企业的内部控制或信息技术系统),鉴证对象信息可能是关于其有效性的认定;当鉴证对象为一种行为时(如遵守法律法规的情况),鉴证对象信息可能是对法律法规遵守情况或执行效果的声明。不难看出,传统的财务报表审计只是鉴证业务中的一种。鉴证标准随着鉴证对象的不同,也从财务报表审计中按照适用的财务报表编制框架,如编制财务报表所使用的会计准则和相关会计制度,扩展到单位内部制定的行为准则、绩效水平等方面。从其定义看,鉴证业务的目的在于增强除责任方之外的预期使用者对鉴证对象信息的信任程度。真实公允目标是针对财务报表审计的审计目标,可信性目标在概念外延上具有更加广泛的适用性。可信性目标不仅适用于对财务信息的可信性,而且还适用于非财务信息(绩效信息)的可信性。对财务报表来说,如果它是真实公允的,即在所有重大方面是按照适用的财务报表框架编制的,它就是可信性;对于其他鉴证信息来说,如果它是符合适用的鉴证标准,就是可信性的。企业内部的信息系统,现在已不仅仅是财务信息系统,还包括各种业务和管理信息系统。与此同时,为满足企业的业务需求,信息系统所提供的信息也不局限于财务信息,而且还包括许多非财务信息。所以,在国有企业信息系统审计中,把可信性作为国有企业信息系统审计的目标比真实性目标更加符合企业信息化发展的客观要求。
(四)可信性目标反映了审计理论的深化和发展
可信性不是一个孤立的术语,它是新审计理论(或一组新的相互联系的审计概念)中的一个关键性概念。随着注册会计师的业务从传统的财务报表审计发展到鉴证业务,传统的审计理论也得到了深化和发展。大家知道,审计三方关系是指审计人、被审计人、审计授权或委托人之间的关系。传统的受托责任论,即审计动因论,是建立在传统的审计三方关系之上的。然而,在我国现行的《注册会计师鉴证业务基本准则》中给出了一种新的审计三方关系,即注册会计师、责任方和预期使用者。在新的审计三方关系中,被审计人与审计授权或委托人之间责任关系的含义更加丰富,除传统的受托责任关系外还有其他种类不带委托性质的责任关系③。在新的审计三方关系中,预期使用者应包括企业所有的利益相关者,除了传统受托责任关系中的股东外,还应包括经营者、员工、顾客、供应商、债权人、潜在的投资者、监管层、竞争者等。聘请注册会计师的通常是预期使用者或其代表,但也可能是责任方。责任方、预期使用者和注册会计师三方之间的关系,可以看作是信息提供者、信息使用者和信息可信性的保证者之间的关系④。增强信息的可信性,实际上是减少了信息提供者与预期使用者之间的信息不对称,鉴于预期使用者的广泛性,在市场经济条件下,将有利于完善市场机制,提高市场资源配置效率,从而拓展了审计的社会功能。可信性不是一个空洞的概念,鉴证对象信息是否具有可信性,需要执行一定的业务程序。审计师在收集证据的基础上,依据一定的标准,检查责任方的鉴证对象信息在所有重大方面是否符合适当的标准后,才能为鉴证对象信息的可信性提供一定程度的保证,从而提供给预期使用者。鉴证业务的保证程度被细分为合理保证和有限保证,鉴证对象信息被划分为财务信息和非财务信息,其中财务信息被进一步细分为历史财务信息和预测性财务信息。可信性概念是这些新审计理论中的关键性概念之一,相比之下,真实性概念在新的审计理论中却没有相应的理论地位。
(五)可信性目标反映了国家审计的发展趋势
在世界审计组织(INTOSAI)的道德准则(Code of Ethics)中,强调了信赖(trust)、信任(confidence)、信誉(credibility)对于审计机关的至关重要性。在南非审计署1911至2011年百年纪念的纪念品和网站首页上有一句格言:“Auditing to build public confidence”,即“审计旨在建立公共信任”。我国审计署2011年7月15日印发的《审计署关于深化经济责任审计工作的指导意见》中提出,要确保经济责任审计结果的可信、可靠和可用。刘家义审计长提出,国家审计是国家治理的一个组成部分。孔子曰:“足食,足兵,民信之矣”,“民无信不立”,说明了信任、守信在国家治理中的重要性。我们知道,“诚信友爱”是构建社会主义和谐社会的基本要求之一。国家审计可以增强政府的公信力,增强整个社会的诚信。从国家治理的角度看,可信性目标比真实性目标更好地体现了国家审计在国家治理中的作用。
经过上述真实性和可信性两种审计目标含义的对比,不难发现,虽然真实性目标是国有企业审计的传统目标之一,但是可信性比真实性的涵义更为丰富,可信性目标中不但包含了真实性目标,而且可信性目标要求信息系统提供更高质量的信息。两种目标都对信息系统提供的信息质量提出了要求,国家审计对信息质量的要求不应低于注册会计师审计。因此,笔者认为,尽管现行的审计法规定了国有企业信息系统审计的真实性目标,但是,从理论上讲以及从未来发展趋势看,审计机关应当选择可信性作为国有企业信息系统审计的目标,即国有企业信息系统审计应当促进企业信息系统提供可信的信息。
二、促进国有企业信息系统的遵循性
最高审计机关国际组织(INTOSAI)在审计基本原则(ISSAI-100)中,把政府审计业务分为两大类,即合规审计(regularity audit)和绩效审计(performance audit),并制定了相应的审计执行指南,即财务审计执行指南(Implementation Guidelines on Financial Audit)、遵循审计执行指南(implementation guidelines on compliance audit)和绩效审计执行指南(Implementation Guidelines on Performance Audit)。在这个准则指南框架中,合规性审计包括了财务审计和遵循性审计。遵循性审计是指对公共部门实体的活动是否与相关法律法规及授权要求相一致的审计。在《国际审计准则第250号――财务报表审计中对法律法规的考虑》(ISA250)中,非遵循(non-compliance),是指被审计单位不履行法律法规责任或者违反法律法规的犯罪,故意地或者非故意地,与执行的法律或法规对立的行为。在COSO内部控制框架中,遵循性(compliance)作为内部控制的目标之一,是指符合适用的法律法规。由此看来,在上述准则指南中,遵循性,就是我国国家审计中的合法性。但是,在本文中,作为国有企业信息系统审计的目标之一,遵循性与合法性不同。
为满足业务需求,对信息系统提供的信息有一般性的要求,在IT治理框架COBIT4.1中,这些要求也被称之为信息标准(information criteria)。遵循性(compliance)作为其中的标准之一,是指“涉及业务流程与所需遵守的法律、法规及合同约定之间的符合程度的属性,即外部的强制要求和内部政策的遵循性。”⑤在本文中,遵循性作为国有企业信息系统审计的目标之一,采用COBIT4.1中遵循性的概念,即国有企业信息系统的设计、建设、运行和监控不仅要符合来自企业外部的强制性要求(合法性),而且还应符合国有企业内部制定的各种规定的要求。
我国审计机关对国有企业的财务收支的真实、合法和效益,依法进行审计监督。合法性是国有企业审计的审计目标之一。作为国有企业审计的重要内容,信息系统审计应当促进国有企业信息系统的合法性。那么,为什么我们要把国有企业内部制定的各种规定同时也纳入国有企业信息系统审计的目标呢?企业内部如何制定关于其信息系统的规定是企业自己的事情,似乎审计机关不应干预,但是,效益性也是国有企业审计的审计目标之一。当信息系统不符合国有企业某些内部规定的要求时就会影响到企业效益,这些内部规定,如内部控制、管理和治理等,也应纳入国有企业信息系统审计的遵循性目标范围。
三、改善国有企业信息系统的绩效性
绩效性目标是企业信息化不断发展的产物。我国企业信息化建设已经发展到了关注绩效性的阶段。绩效性目标也是IT管理和IT治理的重要内容。IT管理和IT治理的国际标准或良好实务,为开展信息系统绩效审计提供了审计标准。
(一)企业信息系统绩效性的概念
当企业信息化发展水平达到一定程度后,信息系统的绩效问题逐渐引起了人们的关注。在企业信息化的早期阶段,信息系统主要应用于企业的财务会计领域,这时人们对信息系统关注的焦点主要是信息系统的可信性和遵循性问题,相应的措施主要集中在内部控制方面,强调信息系统的一般控制和应用控制。随着企业信息化水平的不断提高,信息系统在企业中的应用范围逐渐从财务会计领域扩展到整个业务领域和管理领域,与此同时,信息系统的建设投入和运行成本显著提高。这时人们发现,大量的信息化投入并不一定能够带来预期的收益,而且还带来巨大的潜在风险,个别企业甚至因高投入造成利润下降或财务危机,有的企业因业务流程改造滞后,还会导致管理混乱。在这种情况下,人们对信息系统关注的焦点,逐渐从“投入”转向“产出”,从技术和内部控制问题转向管理和治理问题,在企业内部出现了专门的IT管理部门,IT管理和IT治理逐渐从企业的一般管理和治理中独立出来,而“绩效”是描述信息系统投入产出、管理和治理的核心概念。
信息系统的绩效性是指利用IT资源提供企业信息服务的经济性、效率性和效果性。为它的利益相关者提供价值是企业存在的基本前提。企业信息系统的目的在于利用IT资源,通过IT流程,提供企业信息服务,以满足业务需求。信息系统要实现的绩效目标必须与企业的业务需求或业务目标相一致。
(二)绩效性目标的可行性
从我国企业信息化发展阶段看,目前信息系统的绩效问题已经成为关注的焦点。2011年2月,工信部电子一所和用友软件股份有限公司联合了《2010年中国企业信息化指数调研报告》。该报告将中国企业的信息技术应用分为四个阶段,分别为基础应用阶段、关键应用阶段、扩展整合及优化升级应用阶段以及战略应用阶段,如图1所示。
该报告认为,目前我国企业信息化总体上处于由基础应用和关键应用向扩展整合与优化升级过渡阶段。报告的主要结论之一是,2010年“信息技术应用范围的变化主要体现在应用广度和深度两方面,企业基本完成了信息技术在各业务领域的应用覆盖,已逐渐开始深度关注企业业务发展需求,着力提升信息技术的应用价值。”提高信息系统的绩效,也已经成为我国企业信息化深度发展的方向。把绩效性作为国有企业信息系统审计的目标,符合我国企业信息化发展的现状,在现实中具有可行性。
(三)绩效性是IT管理和IT治理的重要内容
IT管理目的在于如何降低成本,以更好的弹性及更快的响应速度,向组织内外部顾客提供高质量的IT服务,提供顾客的满意度。IT管理的目标就是要追求信息系统的绩效性,即经济性、效率性和效果性。
信息系统的绩效性也是IT治理追求的目标之一。在IT治理国际标准ISO/IEC38500(组织的信息技术治理)中规定了“绩效”原则,即IT应适合于支持组织的目的并提供服务,服务等级和服务质量应满足当前和将来的业务要求。IT治理框架COBIT4.1有四个基本特征:以业务为中心、以流程为导向、以控制为基础、以绩效测评为驱动。在该框架中,绩效测评是IT治理的关键,并且指出,“多项调研已经表明,IT成本、价值和风险管理缺乏透明是驱动IT治理最重要的一个因素。相对于其他关注的领域,提高透明度主要通过绩效测评来实现。”⑥
(四)绩效审计的参照标准
IT管理和IT治理从企业管理和治理中独立出来,为开展单独立项的信息系统绩效审计创造了条件。就像企业审计要关注被审计单位的管理和治理那样,企业信息系统审计要关注被审计单位的IT管理和IT治理情况。IT管理和IT治理的国际标准或良好实务,则为开展信息系统绩效审计提供了审计标准,也可以作为向被审计单位提出改进建议的参照标准。常见的IT管理和IT治理国际标准有:ISO/1EC20000(信息技术――服务管理)、ITIL(信息技术基础库)、ISO/IEC38500(组织的信息技术治理)、COBIT4.1(信息及其相关技术控制目标)等。
四、维护国有企业信息系统的安全性
维护国有企业信息系统的安全,对于维护国家经济安全至关重要。随着信息技术的发展和应用,人们对信息系统安全性的认识也不断深化。正确理解信息安全的涵义,对于开展信息系统安全性审计具有重要的意义。
(一)安全性目标的重要性
根据1994年我国颁布的《中华人民共和国计算机信息系统安全保护条例》,维护计算机信息系统的安全性,就是要保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行⑦。从这里可以看出,信息系统的安全包括:信息本身的安全、系统设施设备的安全和系统运行环境的安全三个层面。就三个层面的关系而言,信息是核心,系统设施设备及其运行环境是保障,信息本身的安全是目的,系统设施设备的安全及其运行环境的安全是手段。
国有企业信息系统安全是国家信息安全和经济安全的重要组成部分。为了保护中央企业信息系统的安全稳定运行,2010年12月,公安部和国务院国有资产监督管理委员会联合颁布了《关于进一步推进中央企业信息安全等级保护工作的通知》。据统计,截至2010年5月,已有89.6%的中央企业开展了信息安全等级保护工作,中央企业总计建成投入使用的信息系统有16 092个,已定级14 539个,占比90.3%;应向公安机关备案的系统(二级及以上)有11 370个,已备案8 113个,占应备案系统的71.4%;列入2010年定级计划的有1 598个。中央企业在公安机关备案的信息系统总数约占全国信息系统备案总数的21%,第三、四级重要系统约占全国重要信息系统备案总数的30%⑧。这些数据表明,国有企业信息系统已成为国家信息安全的重要组成部分。《中华人民共和国企业国有资产法》第七条规定,“国家采取措施,推动国有资本向关系国民经济命脉和国家安全的重要行业和关键领域集中,优化国有经济布局和结构,推进国有企业的改革和发展,提高国有经济的整体素质,增强国有经济的控制力、影响力。”由于国有企业集中在国民经济命脉和国家安全的重要行业和关键领域,如电信、电力、石油、石化等重要行业,其重要信息系统已成为国家关键基础设施,是国民经济命脉之命脉,保护国有企业信息系统的安全稳定运行,对于维护国家经济安全和社会稳定具有重要的意义。
(二)信息安全概念的演变
根据我国计算机信息系统安全保护条例中的定义,计算机信息系统的安全性,包括信息本身的安全、系统设施设备的安全和支撑环境的安全。其中,信息本身的安全,即信息安全,是信息系统安全的核心和目的。那么,究竟什么是信息安全呢?
人们对信息系统安全性的认识经历了一个不断深化的发展过程。20世纪80年代美国国防部制定的《可信计算机系统评估准则TCSEC》把保密性当作信息安全的重点。20世纪90年代初由英、法、德、荷四国制定的《信息技术安全评估准则ITSEC》开始把完整性、可用性与保密性作为同等重要的因素。自此,信息安全的概念,即信息的保密性、完整性和可用性,逐渐被普遍接受。在2002年的国际标准ISO/IEC17799:2000《信息技术――信息安全管理业务规范》中明确规定,信息安全,是指保护:“保密性(confidentiality),即确保信息只能够由获得授权的人访问;完整性(integrity),即保护信息的正确性和完整性以及信息处理方法;可用性(availability),即保证经授权的用户可以访问到信息,如果需要的话,还能够访问相关资产。”然而,在2005年的该国际标准修订版即ISO/IEC17799:2005中,信息安全的定义,包括了七种安全特性:信息的保密性(confidentiality)、完整性(integrity)、可用性(availability)及其他属性,如真实性(authenticity)、责任性(accountability)、不可抵赖性(non-repudiation)、可靠性(reliability)等,而且,这种修订后的信息安全定义,被2007年的国际标准ISO/IEC27001(《信息安全管理体系――规范与使用指南》)引用。在学术界,有人认为,信息安全的特性还应进一步包括可控性(controllability)、可预测性(predictability)、可审计性(auditability)、遵循性(compliance)等。
随着信息技术的发展与应用,信息安全的内涵越来越丰富,从最初的信息保密性发展到保密性、完整性和可用性,进而又发展到相关的真实性、责任性、抗抵赖性、可靠性等。相应地,对企业信息安全的考虑,也从最初关注企业信息安全技术层面,发展到关注企业信息安全控制、管理和治理等层面。
(三)正确理解信息安全涵义需要注意的几个问题
1.信息安全与信息保密不同。从信息安全概念的涵义可以看出,信息保密与信息安全是两个不同的概念,信息安全比信息保密的涵义更加丰富。尽管我国新修订的保密法对信息系统的保密问题作出了规定,但是保密法不能代替信息安全法。目前,我国对信息安全的立法仍然比较滞后,尚无专门的信息安全法。信息安全法是国家信息安全保障体系不可或缺的组成部分。
2.微观信息安全与宏观信息安全的联系。企业信息系统的安全离不开系统运行环境的支撑,系统环境包括物理环境和社会环境。从社会环境看,主要是指有关信息安全法律法规、安全意识、人才培养等。这就是说,微观层面单个组织的信息系统安全,还离不开宏观层面国家信息安全保障体系的构建。与此同时,微观层面的信息安全是基础,没有微观层面的信息安全,也就没有宏观层面的信息安全。
3.授权管理的重要性。信息安全的概念有三个核心涵义:保密性、完整性和可用性。这三个核心涵义都涉及一个共同的要素,即“授权”。保密性意味着只有获得授权才能访问;完整性意味着没有授权不得对信息进行删除或修改;可用性意味着拥有授权者随时可以使用。这表明,授权管理是信息安全管理的一项关键内容。信息系统是一种人机系统,授权管理主要涉及对人员行为的安全管理。
4.安全性目标与遵循性、绩效性、可信性目标的联系。从信息安全的涵义可以看出,信息系统的安全性目标不同于其遵循性、绩效性和可信性目标,但是,安全性与它们之间又是相互联系的。首先,安全性必须满足遵循性的要求,信息系统的设计、运行、使用和管理可能要置于法律规定的和合同约定的安全要求的约束之下,特别是各种信息安全法律法规、保密法,以及知识产权、个人隐私权方面的法律法规;其次,信息安全没有绝对的安全,所有的信息安全都是风险可接受条件下的安全,高水平的安全保护需要大量的投入成本,因而需要在成本、收益、风险和安全之间进行权衡,即安全性与绩效性的联系;最后,在信息安全技术层面,可信计算技术是信息安全技术的一个重要研究领域,从而表明安全性与可信性之间也有内在的联系。
笔者认为,目前国际上制定的有关信息安全等级评估、信息安全风险评估、信息安全管理体系等方面的国际标准,无论是在理论概念还是在操作实务方面,对于我国审计机关开展信息系统审计都具有重要的借鉴价值。这些国际标准或良好实务可以作为审计的参照标准,同时也可以作为审计机关向被审计单位提出改进信息系统安全性建议的依据。同时,在对国有企业信息系统的安全性进行审计时,还要立足我国实际,由于我国国有企业信息系统是国民经济命脉之命脉,事关国家经济安全和社会稳定,在重视企业本身信息系统安全的同时,还应当从宏观上揭示国有企业信息系统的安全风险,维护国家经济安全。
最后应当指出的是,在审计实践中,根据具体情况,单个审计项目可以选取上述可信性、绩效性和安全性目标中的一个或多个作为审计目标。
【参考文献】
审计信息安全管理篇3
[基金项目]教育部人文社会科学研究规划项目(10YJA790182);南京审计学院校级一般项目(NSK2009/B22);江苏省优势学科“审计科学与技术”研究项目
[作者简介]刘国城(1978― ),男,内蒙古赤峰人,南京审计学院讲师,硕士,从事审计理论研究。
第27卷第3期2012年5月审计与经济研究JOURNAL OF AUDIT & ECONOMICSVol.27, No. 3May, 2012
[摘要]在分析中观信息系统风险与损失的成因基础上,借鉴BS7799标准,一方面从物理层次与逻辑层次两个方面研究中观信息系统固有风险的评价模式;另一方面从一般控制与应用控制两个层面探索中观信息系统内部控制的评价机制。基于BS7799标准对中观信息系统审计进行研究,旨在为IT审计师有效实施中观信息系统审计提供应用指南。
[关键词]BS7799标准;中观审计;信息系统审计;内部控制;中观信息系统;中观信息系统风险
[中图分类号]F239.4[文献标识码]A[文章编号]10044833(2012)03005007
所谓中观信息系统审计就是指审计主体依据特定的规范,运用科学系统的程序方法,对中观信息系统网络的运行规程与应用政策实施的一种监督活动,旨在增强中观经济主体特定信息网络的有效性、安全性、机密性与一致性,以保障中观信息系统的高效运行[1]。中观信息系统的审计主体即IT审计师需要重视中观信息系统审计的复杂性,且有必要借助BS7799标准,构建并完善中观信息系统审计的实施流程,优化中观信息系统审计工作,提高审计质量。之所以需要借助BS7799标准,是因为BS7799标准的众多功能可以满足中观信息系统审计工作的需求。在尚未有详细信息系统审计(以下简称“IS审计”)规范的条件下,中观信息系统审计对信息安全管理策略的需求巨大,而BS7799标准恰恰是问世较早且相对成熟的信息安全管理标准,它能够确保在计算机网络系统进行自动通信、信息处理和利用时,在各个物理位置、逻辑区域、存储和传媒介质中,较好地实现保密性、完整性、有效性与可用性,能够在信息管理与计算机科学两个层面加强信息安全管理向中观信息系统审计的理论转化,中观信息系统审计的需求与BS7799标准的功能具备整合的可行性。
一、 BS7799标准
1995年,英国贸工部制定了世界首部信息安全管理体系标准“BS77991:1995《信息安全管理实施规则》”,并作为各类组织实施信息安全管理的指南[2],由于该标准采用建议和指导的方式编写,因而不作为认证标准使用;1998年,英国又制定了信息安全管理体系认证标准“BS77992:1998《信息安全管理体系规范》”,作为对组织信息安全管理体系进行评审认证的标准[3];1999年,英国再次对信息安全管理体系标准进行了修订,形成“BS77991:1999”与“BS77992:1999”这一对配套标准;2000年12月,“BS77991:1999”被ISO/IEC正式采纳为国际标准“ISO/IEC17799:2000《信息技术:信息安全管理实施规则》”,此外,“BS77992:1999”也于2002年底被ISO/IEC作为蓝本修订,成为可用于认证的“ISO/IEC《信息安全管理体系规范》”;2005年,BS77991与BS77992再次改版,使得体系更为完善。BS7799标准体系包含10个管理要项、36个管理目标、127个控制目标及500多个管理要点。管理要项如今已成为组织实施信息安全管理的实用指南;安全控制目标能够帮助组织识别运作过程中影响信息安全的因素。BS77991几乎涵盖了所有的安全议题,它主要告诉IT审计师安全管理的注意事项与安全制度。BS77992详细说明了建立、实施和维护信息安全管理的要求,指出组织在实施过程中需要遵循的风险评估等级,从而识别最应该控制的对象并对自身需求进行适当控制。BS77991为信息系统提供了通用的控制措施,BS77992则为BS77991的具体实施提供了应用指南。
国外相对成熟的信息安全管理理论较多,它们各有千秋,彼此之间相互补充且有交叉。BS7799标准仅是众多信息安全管理理论中的一种,与传统审计方法相比,仅适用于IS审计范畴。然而,BS7799标准的特别之处表现在:其一,它是一部通用的信息安全管理指南,呈现了较为全面的系统安全控制措施,阐述了安全策略和优秀的、具有普遍意义的安全操作方法,能够为IT审计师开展审计工作提供全程支持;其二,它遵循“计划-行动-控制-改善方案”的风险管理思想,首先帮助IT审计师规划信息安全审计的方针和范围,其次在审计风险评估的基础上选择适当的审计方法及风险控制策略并予以实施,制定持续性管理规划,建立并运行科学的中观信息系统审计执行体系。
二、 中观信息系统的风险与损失
中观信息系统风险是指成功利用中观信息系统的脆弱性或漏洞,并造成系统损害的可能性。中观信息系统风险极其庞杂且非常普遍,每个中观信息系统面临的风险都是不同的,这种风险可能是单一的,也可能是组合的[4]。中观信息系统风险包括:人员风险、组织风险、物理环境风险、信息机密性风险、信息完整性风险、系统风险、通信操作风险、设施风险、业务连续性风险、法律风险及黏合风险(见图1),它们共同构成了中观信息系统的风险体系,各种风险除具有各自的特性外,有时还可能相互作用。
中观信息系统风险的成因离不开外来威胁与系统自身的脆弱性,且风险的最终后果就是损失。图1中的“a.威胁性”是系统的“风险源”,它是由于未授权访问、毁坏、数据修改以及拒绝服务等给系统造成潜在危害的任何事件。中观信息系统的威胁来自于人为因素及非人为因素两个方面。人为因素是对中观信息系统造成威胁的决定性力量,人为因素造成威胁的主体有竞争对手、网络黑客、不满员工或正常员工。图1中的“b.脆弱性”是指在系统安全程序、管理控制、物理设计中存在的、可能被攻击者利用来获得未授权信息或破坏关键处理的弱点,由物理环境、技术问题、管理问题、法律问题四个方面组成。图1中的“d.风险承受力”是指在中观信息系统遭遇风险或受到攻击时,维持业务运行最基本的服务和保护信息资产的抵抗力、识别力、恢复力和自适应能力。
中观信息系统风险的产生有两种方式:一是遵循“abc”路径,这条路径形成的风险为中观信息系统“固有风险”,即假定中观信息系统中不存在内部控制制度,从而造成系统存在严重错误与不法行为的可能性。该路径的作用形式为人为因素或非人为因素是风险源,对中观信息系统构成威胁,该威胁产生后寻找并利用系统的脆弱点(假定中观信息系统对该脆弱点没有设计内控制度),当威胁成功作用于脆弱点后,就对系统进行有效攻击,进而产生中观信息系统风险。二是遵循“abPc”路径,该路径所形成的风险为中观信息系统的“控制风险”,即内部控制制度体系未能及时预防或发现系统中的某些错误或不法行为,以致中观信息系统遭受损失的可能性。与“abc”路径比较,该路径多出“P.内部控制”过程,这说明当威胁已产生并将利用系统的脆弱点时,中观经济主体已经对该脆弱点设计了内控制度体系,但是由于内部控制制度设计的不科学、不完善或没有得到有效执行,从而造成内部控制未能阻止“威胁”,致使中观信息系统形成风险。中观信息系统损失的形成遵循“cde”路径。然而,由于中观信息系统自身具有一定的风险防御能力(即“d.风险承受力”),因而并非所有风险都将造成损失。当中观信息系统识别并抵抗部分风险后,最终未能消除的风险通过对系统的负面作用,会给中观信息系统造成间接或直接的损失。
三、 中观信息系统固有风险的评价模式
图1中的“abc”路径是中观信息系统固有风险产生的路径,固有风险形成的条件是“假定不存在内部控制制度”。评价固有风险是中观信息系统审计准备阶段的一项基础工作,只有正确评价固有风险,才能合理评估审计风险,准确确定审计范围并制定审计计划[56]。笔者认为,BS7799标准之所以能够有效评价中观信息系统的固有风险,是因为BS7799标准的管理要项、管理目标,控制措施与管理要点组成了信息安全管理体系,这个体系为IT审计师确定与评价系统固有风险提供了指南[7]。BS7799标准对IT审计师评价固有风险的贡献见上表1。
(一) 物理层次的风险评价
物理层次的内容包括物理环境安全与物理环境设备[7],其中,物理环境安全包括硬件接触控制、预防灾难措施和网络环境安全;物理环境设备包括支持设施、硬件设备和网络物理环境。针对上述分类,下面对物理层次风险评价进行具体分析。
首先是物理环境安全风险评价。在评价物理环境安全风险时,可以借鉴BS7799标准A、B、D1、D3、E、G8、H5、I、J。例如,IT审计师在了解被审中观信息系统的“预防灾难措施”时,可参照“A.安全方针”,依据BS7799对“安全方针”进行阐述,了解被审系统的“信息安全方针”,关注被审系统在相关的“方针与策略”中是否估计到了系统可能遭遇的所有内外部威胁;当威胁发生时,是否有具体的安全保护规定及明确的预防措施;对于方针的执行,是否对每位员工都有所要求。假若IT审计师在审计中未找到被审系统的“安全方针”,或找到了但“安全方针”并未涉及有关“灾难预防”方面的安全措施,则IT审计师可直接认定被审系统在这方面存在固有风险。其次,物理环境设备风险评价。在评价物理环境设备风险时,可以借鉴BS7799标准A、B、C1、D、E2、E3、F6、G3、G8、H5、I、J。例如,IT审计师在了解被审系统有关“硬件设备”的情况时,可参照“C1.资产责任”。BS7799标准对“资产责任”的说明有“组织可根据运作流程与系统结构识别资产,列出清单”,“组织的管理者应该确定专人负责相关资产,防止资产的被盗、丢失与滥用”。借鉴C1的信息安全管理目标与措施,IT审计师可以关注被审单位是否列出了系统硬件设备的清单,是否有专人对资产负责。如果相关方面的管理完备,则说明“硬件设备”在责任方面不存在固有风险,IT审计师也不需要再对此方面的固有风险进行评价。再如,IT审计师在确认“硬件设备”方面的固有风险时,还可参照“E3.通用控制”。BS7799标准对“通用控制”的说明有“定期进行资产清查”,“未经授权,资产不能随便迁移”等。借鉴这一措施,IT审计师需要了解被审系统的有关资产清查记录以及资产转移登记手续,如果相关记录不完整或手续不完备,则IT审计师可直接认定“硬件设备”在控制方面存在固有风险。
(二) 逻辑层次的风险评价
逻辑层次的内容包括软件环境、系统生命周期和逻辑安全[7]。其中,软件环境包括系统软件、网络软件与应用软件;系统生命周期包括系统规划、分析、设计、编码、测试、试运行以及维护;逻辑安全包括软件与数据接触、数据加密机制、数据完整性、入侵检测、病毒与恶意代码以及防火墙。针对以上分类,下面对逻辑层次风险评价进行具体分析。
首先是软件环境风险评价。在评价软件环境风险时可以借鉴BS7799标准A、B、C1、D、E1、E3、F、G、H、I、J。例如,IT审计师在掌握被审系统有关“网络软件”的情况时,可借鉴“G2.用户访问管理”标准。BS7799对该标准的阐述包括“建立用户登记过程,对用户访问实施授权”,“对特权实行严格管理”,“对用户口令进行严格管理”等。借鉴G2下相关信息安全管理措施,IT审计师可以详细核查被审网络软件是否建立了用户注册与登记过程、被审软件的特权管理是否严格、是否要求用户秘密保守口令。假若IT审计师发现用户并未得到访问网络软件的权限却可以轻易访问网络软件,则该软件必然存在风险,IT审计师就可通过与BS7799标准比照并发表评价结论。又如,IT审计师在评价“系统软件”固有风险时,可借鉴“G5.系统访问与使用的监控”标准。该标准的阐述有“使用终端安全登陆程序来访问信息服务”,“对高风险的不活动终端采取时限措施”。IT审计师在评价“系统软件”自身风险时,可套用上述安全措施,逐项分析被审系统软件是否完全达到上述标准并作出合理的风险评价。其次是系统生命周期的风险评价。在评价系统生命周期风险时,可借鉴BS7799标准A、B、D1、D3、E、F1、F2、F3、F4、F6、F7、G、H、I、J。如IT审计师在检查被审系统的“系统设计”时,可参照“H1.系统安全要求”。H1的解释为“系统设计阶段应该充分考虑系统安全性,组织在项目开始阶段需要识别所有的安全要求,并将其作为系统设计开发不可或缺的一部分进行调整与确认”。因而,IT审计师在检查系统设计有关资料时,需要分析被审单位是否把上述解释融入系统设计中,或是否全面、有效地融入设计过程,如果被审单位考虑了诸因素,IT审计师就可以确认被审系统的设计环节在此方面不存在风险。假若IT审计师发现在系统设计阶段被审单位没有考虑到需要“引入控制”,且在系统运营期间对系统的“控制”也不够重视,则IT审计师可以作出系统自身安全及系统设计开发过程存在风险的结论。第三是逻辑安全的风险评价。在评价逻辑安全风险时,可以借鉴BS7799标准A、B、C2、D、E1、E3、F、G1、G2、G4、G5、G6、G7、G8、H、I、J。IT审计师在检查被审系统的“病毒与恶意代码”时,可借鉴“G4.网络访问控制”。BS7799对该标准的阐述有“建立并实施网络用户服务使用方针”,“从用户终端到网络服务的路径必须受到控制”以及“对外部链接的用户进行身份鉴别”等。IT审计师在审计过程中,应该关注被审系统在上述方面的执行思路与执行程度,假若被审单位对上述方面缺乏重视,则恶意用户未经授权或未受限制就能轻易访问系统,系统遭受病毒或恶意代码损害的风险会相应加大。再如,IT审计师在评价系统“数据完整性”的风险时,可借鉴“F1.操作程序与职责”。该标准的描述有“在执行作业的过程中,提供差错处理及例外情况的指导”,“进行职责分离,减少出现非授权更改与数据信息滥用的机会”等。结合上述措施,IT审计师应该关注被审单位是否通过外键、约束、规则等方式保障数据的完整性,如果被审单位没有按照上述方法操作,则被审系统将会在“数据完整性”方面存在风险。
需要强调的是中观信息系统固有风险的评价较为复杂。在理论研究中,本文仅选取BS7799的某些标准举例进行阐述,但在实践中,IT审计师不应只借鉴BS7799标准的单个或部分标准,就做出某方面存在“固有风险”的结论。如仅从C1看,“硬件设备”无固有风险,但从E3看,“硬件设备”确实存在固有风险。鉴于此,IT审计师应由“点”及“面”,全面借鉴BS7799标准的整个体系。只有如此,才能更科学具体地进行物理及逻辑层次的风险评价。
四、 中观信息系统内部控制的评价机制
图1中的“abPc”路径是中观信息系统控制风险产生的路径,控制风险的形成条件是“假定存在内部控制制度,但是内控制度不科学、不健全或执行不到位”,产生控制风险最主要的原因是内部控制机制失效,即“P”过程出现问题。评价内部控制是IT审计师防范审计风险的关键,也是中观信息系统审计实施阶段的一项重要工作。然而,当前我国信息系统审计方面的标准与规范仅有四项,因而IT审计师对信息系统内部控制的评价还处于摸索阶段,急需详细的流程与规范进行指导。笔者认为,BS77991《信息安全管理实施细则》与BS77992《信息安全管理体系规范》能够为IT审计师评价中观信息系统的内部控制提供思路。BS7799是一套完备的信息安全管理体系,IT审计师完全可以借鉴其体系与框架来设计中观信息系统内部控制评价流程,构建适用于中观信息系统的审计流程。BS7799标准的具体借鉴思路见表1,具体阐述如下。
(一) 一般控制的评价
1. 组织管理的内部控制评价
在评价组织管理的内控时,可借鉴BS7799标准A、B、C1、D1、D3、E、F、G、H、I、J。IT审计师可将BS7799标准体系作为信息系统组织管理内部控制的衡量标准,并以此确认被审系统组织管理内控制度的科学性与健全性。假若某中观经济主体将信息系统的部分管理活动外包,则IT审计师可借鉴BS7799中的“B3.外包控制”标准,检查外包合同的全面性与合理性。如果被审单位在外包合同中规定了信息系统的风险、承包主客体各自的系统安全控制程序,并明确规定了“哪些措施必须到位,以保证涉及外包的所有各方关注各自的安全责任”,“哪些措施用以确定与检测信息资产的完整性和保密性”,“采取哪些实物的和逻辑的控制以限制和限定授权用户对系统敏感信息的访问”以及“发生灾难时,采用怎样的策略来维持服务可用性”,则IT审计师就可确认被审系统在外包方面的控制设计具有科学性与全面性,只需再对外包控制条款的执行效果进行评价就可以得出对被审单位外包活动评价的整体结论。
2. 数据资源管理的内部控制评价
在评价数据资源管理的内控时,可以借鉴BS7799标准A、B、C、D、E1、E3、F、G、H、I、J。信息系统数据包括数据字典、权限设置、存储分配、网络地址、硬件配置与系统配置参数,系统数据资源管理有数据存放、备份、恢复等,内容相对复杂。IT审计师在评价数据资源管理的内部控制时,也需要借鉴BS7799标准体系。例如,IT审计师可借鉴“F1.操作程序与职责”或“G6.应用访问控制”评价数据资源管理。F1与G6的阐述有“识别和记录重要数据的更改”、“对数据更改的潜在影响作出评估”、“向所有相关人员传达更改数据的细节”、“数据更改不成功的恢复措施”、“控制用户的数据访问权,如对读、写、删除等进行限制”、“在系统共享中,对敏感的数据实施高级别的保护”。IT审计师在审计时,有必要根据上述思路对系统数据管理的控制制度进行深层次评价。在当前缺乏信息系统审计规范的情况下,以BS7799体系作为评价数据资源管理内部控制的指南,不失为一种好的审计策略。
3. 环境安全管理的内部控制评价
在评价环境安全管理的内控时可以借鉴BS7799标准A、B、C1、D、E、F、G、H、I、J。信息系统的环境安全管理包括物理环境安全管理与软件环境安全管理,系统环境是否安全决定着危险因素对脆弱性的攻击程度,进而决定着信息系统风险。IT审计师在审计系统环境的安全管理过程时,需要关注设备、网络、软件以及硬件等方面。在评价系统环境安全管理的内部控制时,IT审计师有必要借助上述BS7799标准体系。例如,BS7799的“E1.安全区域”标准与“E2.设备安全”标准的解释有“信息处理设施可能受到非法物理访问、盗窃、泄密等威胁,通过建立安全区域、严格进入控制等控制措施对重要的系统设施进行全面保护”,“应该对信息处理设施运作产生不良影响的环境条件加以监控,如,湿度与温度的影响”。类似上述的BS7799系列标准都为IT审计师如何确认环境安全管理的内控提供了审计指导,且其指导思路清晰、全面。IT审计师通过借鉴BS7799系列标准,可以深层次挖掘系统环境安全管理规章制度中存在的疏漏以及执行中存在的问题,从而有效评判环境安全管理的控制风险。
4. 系统运行管理的内部控制评价
在评价系统运行管理的内控时,可以借鉴BS7799标准A、B、C1、D、E1、E3、F、G、H、I、J。中观经济主体对运行系统的管理相对复杂,涉及到系统组织、系统维护、系统完善等多个方面。由于系统运行中需要管理的环节繁多,而且目前也没有规范与流程可以参考,因而,评价系统运行管理的内控也有必要借鉴上述BS7799标准体系。例如,BS7799标准“D2.设备安全”与“H5.开发与支持过程中的安全”的阐述有“信息系统操作者需要接受安全意识培训,熟悉与系统运行相关的安全职责、安全程序与故障制度”,“系统运行中,建立并实施更改控制程序”以及“对操作系统的更改进行技术评审”等方面。IT审计师采用询问、观察、检查、穿行测试等方法评审系统运行管理的内部控制,需要有上述明细的、清晰的信息安全管理规则予以指导,这些标准可以指导IT审计师了解被审系统是否有健全的运行管理规范及是否得到有效运行,借此,IT审计师可以作出全面的内控判断,进而出具正确的审计结论。
(二) 应用控制的评价
信息系统的应用控制包括输入控制、处理控制与输出控制。在评价系统输入控制、处理控制以及输出控制三者的内控时,同样有必要借鉴BS7799标准,且BS7799标准中A、B、D、E1、E3、F1、F2、F3、F4、F5、F7、G1、G2、G4、G5、G6、G7、G8、H、I、J相对应的信息安全管理目标与措施能够在IT审计师对三者进行内控评价时提供相对详尽的审计框架。为确保信息系统输入、处理与输出的信息完整、正确,中观经济主体需要加强对信息系统的应用控制。IT审计师在中观信息系统审计的过程中,需要做到对被审系统应用控制进行正确评价。
在IT审计师对应用控制的符合性测试过程中,上述BS7799标准体系可以对应用控制评价进行全程指导。例如,BS7799标准中“H2.应用系统的安全”提到“数据输入的错误,可以通过双重输入或其他输入检查侦测,建立用于响应输入错误的程序”,“已正确输入的数据可因处理错误或故意行为而被破坏,系统应有确认检查功能以探测数据的破坏”,“为确保所存储的信息相对于各种情况的处理是正确而恰当的,来自应用系统的输出数据应该得到确认”等控制策略,并提出了相对详细的控制措施。应用控制环节是信息处理的脆弱集结点,IT审计师在进行应用控制的符合性测试环节时有必要考虑周全,详尽规划。IT审计师可以遵循H2全面实施针对应用控制的审计,依照BS7799标准体系,检查被审系统对于超范围数值、数据区中的无效字符、丢失的数据、未经认可的控制数据等系统输入问题的控制措施以及应急处理能力;检查是否对系统产生的数据进行了确认,系统的批处理控制措施、平衡控制措施等,以及相关控制行为的执行力度;检查信息输出是否实施了可信性检查、一致性控制等措施,如果有相关措施,那么执行力度如何。BS7799标准体系较为全面,对于IT审计师评价系统的应用控制贡献很大,如果IT审计师能够创造性借鉴该标准,必可做好符合性测试,为实质性测试夯实基础,也定会提高审计质量。
五、 结束语
表1是笔者在分析某商业银行信息系统与某区域物流信息系统的基础上,对“BS7799标准如何应用于信息系统审计”所进行的设计,当针对其他行业时,或许需要对表1进行适当调整。不同行业、不同特性的中观经济主体在信息系统审计中运用BS7799标准时侧重点会有所不同。本文以分析中观信息系统风险为着手点,沿用BS7799标准对中观信息系统审计进行研究,旨在抛砖引玉。
参考文献:
[1]王会金,刘国城.中观经济主体信息系统审计的理论分析及实施路径探索[J].审计与经济研究,2009(5):2731.
[2]BSI.ISO/IEC17799-2000 Information technologycode of practice for information security management[S]. London:British Standards Institation,2000:179202.
[3]BSI.BS779922002 information security managementspecification for information security management systems[S]. London: British Standards Institation,2002:267280
[4]孙强.信息系统审计[M].北京:机械工业出版社,2003.
[5]刘国城,王会金.中观信息系统审计风险的理论探索与体系构架[J].审计研究,2011(2):2128.
[6]王会金.中观信息系统审计风险控制体系研究――以COBIT框架与数据挖掘技术相结合为视角[J].审计与经济研究,2012(1):1623.
[7]科飞管理咨询公司.信息安全管理概论-BS7799理解与实施[M].北京:机械工业出版社, 2002.
BS7799 Criterion and Its Application in Mesoinformation Systems Audit
LIU Guocheng
(Jinshen College of Nanjing Audit University, Nanjing 210029, China)
Abstract: Starting with the genetic analysis of mesoinformation system risks and losses, this paper first studies the evaluation model of mesoinformation system inherent risks from both physical and logical levels based on the BS7799 standards, and then explores the inner control evaluation model of mesoinformation system from two levels of general control and application control,in order to provide an application guidance for IT auditors in their practice of mesoinformation system audit.
审计信息安全管理篇4
我市审计信息化推进工程的总体目标是:“十二五”期间完成“金审工程”二期建设任务,积极推进“金审工程”三期建设,以现场审计实施系统(AO)和审计管理系统(OA)为抓手,深化审计信息化应用,建立健全审计管理、审计作业和信息交流三大平台,构建完善基础支撑、安全运行、人才支持、制度保障四大体系,基本形成与省及市“金审工程”建设相配套、网络互联互通、应用体系相辅相成、审计技术装备和监督手段相对完善的数字化审计系统。
二、主要任务
(一)进一步完善审计信息化基础网络。在现有网络平台基础上,依托国家电子政务外网,配合省审计厅、市审计局实施完成省、市、县(市、区)三级审计专网的系统整合和网络安全建设,建立一套以审计专网为基础的联系市审计局及重点被审计对象的立体化网络框架。完善网络安全系统,建设全市审计信息系统综合监管运行平台,通过信息采集、数据分析、监管预警,保障审计网络和应用系统的安全运行。
(二)稳步推进审计信息中心建设。配合市审计局做好审计视频会商系统的延伸覆盖,建设审计署、省、市及我市四级审计机关双向互联的视频会商系统。融合审计管理、审计视频会商、异地协同作业、信息等几大系统功能,构建具备统计、分析、评价、预警、展示等功能为一体的审计信息中心,服务于领导决策、重大问题会审以及紧急事件指挥调度。提高决策指挥的有效性、及时性、便捷性,为审计机关构建一个信息丰富、展现灵活、指挥有效的审计信息操作平台。
(三)积极配合筹建审计数据中心。参照省、市两级建设“审计数据交换和处理中心”的要求,建立我市具有数据采集、共享、交换、管理等功能的县级审计数据交换中心,实现与省、市审计数据中心的资源共享。力争到2014年底前,积累形成一定规模的审计管理和审计业务(包括政府预算执行、税收、金融、企业、固定资产投资、社会保障、外资运用、农业与资源环保、经济责任等审计内容)数据库资源。
(四)稳步推进联网审计软件的扩展。按照省审计厅在全省范围内逐步推广对财政、税务、社保、公积金等重要行业实行联网审计的要求,结合我市实际,在原有联网审计基础上积极推进各种形式的联网审计。针对财政预算执行、国库集中支付、政府采购、税收征管、社保基金等全省统一信息管理系统和数据大集中环境,配合省审计厅、市审计局探索省、市、县(市、区)三级审计机关联动的联网审计组织模式。
(五)积极探索信息系统审计。在审计项目实施过程中,应充分关注被审计单位信息系统的可靠性和安全性,积极探索开展信息系统审计,评价电子数据的真实性、完整性以及系统的合规性、安全性,避免“假账真审”,降低审计风险,促进被审计单位的信息安全。
(六)加快审计信息化队伍建设。建立优秀人才引进机制,将更多高素质人才充实到审计信息化队伍中,继续加大培训力度,整合现有各类审计信息化人才。“十二五”末,全市审计机关内部要基本构建完成包括审计信息化领军人才、骨干人才、应用人才在内较为完备的审计信息化人才队伍。
三、措施要求
(一)加强对审计工作的领导和支持。发展改革委要积极支持“审计信息化推进工程”建设,将“金审工程”资金列入“十二五”发展规划和2012年度项目计划;财政部门要将“金审工程”所需资金列入年度预算;政府信息化主管部门要为审计机关依托电子政务外网规划建设审计专网提供必要的支持和服务;审计机关要切实加强对审计信息化工作的组织协调,安排专人负责,科学规划,精心实施,确保按时完成各项目标任务。
(二)积极配合,确保审计信息系统发挥效用。全市各乡镇街道、市直各有关单位和国有企事业单位要积极配合审计机关开展审计信息化工作,在开发、部署会计核算软件、业务信息(管理)系统时,要切实按照已颁布实施的《财经信息技术会计核算软件数据接口》等系列国家标准执行,为审计机关预留数据接口。按照国家相关标准提供审计所需的财务、业务电子数据,不断丰富和完善审计数据中心的数据库,积极配合审计机关开展联网审计和信息系统审计。
审计信息安全管理篇5
关键词:安全审计系统;网络安全管理;措施
互联网时代信息技术虽然使人们的生活更加便捷,却带来了网络安全问题。尽管网络外部检测技术和防御系统已经持续建设,在某种程度抵御外部网络的入侵,保护网络数据信息的安全,但是内部网络的违规操作、非法访问等造成的网络安全问题在外部网络的防御措施得不到有效解决。因此可以利用安全审计系统进行网络安全管理,检测访问网络内部系统的用户,监控其网络行为,记录其异常网络行为,针对记录结果解决网络安全问题,对网络安全隐患的评判具有重要作用。本文主要介绍安全审计系统以及作用,阐述其在网络安全管理的必要性以及实际应用。
1网络安全管理的安全审计系统
1.1安全审计系统的组成
①事件产生器;②事件数据库;③事件分析器;④响应单元。事件产生器的作用:将单位网络获得的事件提供给网络安全审计系统;事件分析器的作用:详细地分析所得到的数据;事件响应单元的作用:根据时间分析器得到的分析结果做出相应的反映;事件数据库的作用:保存时间分析器得到的分析结果。
1.2安全审计系统的要求
1.2.1记录与再现记录安全审计系统中全部违规操作、非法行为,再现系统某种状态的主要行为。1.2.2入侵检测审计系统检查出大多数常见的系统入侵的意图,设计相应程序阻止入侵行为。1.2.3记录入侵行为审计系统记录所有的入侵企图,对于成功入侵用户,可以根据入侵记录恢复系统。1.2.4系统本身的安全性安全审计系统必须保证自身系统操作系统和软件安全以及审计数据安全才可以发挥其在网络安全管理的作用。
2网络安全审计的必要性
2.1提高企业数据安全管理绩效
高新科技技术已经渗透到社会方方面面,有利也有弊,其中企业来说,网络信息安全的问题频频出现,这对于企业网络运营和实际经营造成很大的冲击、带来经济损失。防火墙、防病毒软件、反入侵系统虽然可以解决部分内部用户的非法违规网络行为导致的网络信息安全问题,某种程度也保障了网络信息安全。网络信息外部的防卫无法抵御内部用户在没有网络监管时对网络内部的不合法操作,网络外部的安全防卫措施无法解决网络内部出现的故障。所以企业网络要正常运营、企业经营要得到持续发展,必须要建立企业内部的安全审计系统,对内部用户访问网络系统进行严格监控和审计,有必要时可以采取相应措施惩戒造成网络安全问题的人员,让网络信息安全事件不再发生。
2.2提高网络信息安全性
(1)安全审计系统采取访问控制手段对网络信息进行安全审计和监控,从而提高网络信息安全;(2)对网络信息加密实现网络信息安全审计的目的,实现网络数据私有,做到网络安全管理,为了提高网络信息安全水平要经常维护与检查安全日志;(3)安全审计网络中传输的信息,监控网络操作行为,提高网络信息安全性,提供社会组织的网络化行为安全性保障。
3安全审计系统在网络安全管理的应用
安全审计系统和基础网络病毒防护产品相互结合,共同保护网络的整体安全。企业传统的网络安全体系建设只注重网络边界的安全,重点建设针对外部网络向企业内网攻击的防护措施,没有考虑到内网自身存在的安全隐患,企业的网络信息安全无法得到有效保障。因此,借助安全审计系统对企业网络安全进行审计和评估,实现企业网络的全面安全监督。随着互联网科技快速发展,银行金融行业处于信息化时代,信息化推动银行智能化发展,银行网络信息安全对银行安全稳定发展非常重要,如银行数据集中处理有风险、网络金融服务容易受到黑客、病毒攻击等。由于银行涉及到金钱等财务利益上的交易,而且银行作为信息化时代以客户为主导的服务行业,必须严格地对客户信息进行保密,保障客户信息安全。不仅银行关系到国计民生、对社会经济发展也具有重要意义,所以控制银行信息化风险的最有效方法就是建立银行网络信息安全审计系统。网络的广泛应用给教育行业带来很大便利,目前很多高校和发达地区中小学都建立自己的校园网,但是网络问题作为信息化水平发展的附属品,给校园网安全管理造成很大困扰。虽然校园网已经加大网络外部病毒防御系统建设,但是网络内部检测和审计更需要引起重视,为了减少网络有害信息和侵权行为,规范师生上网行为,维护校园网安全稳定运行,非常有必要建立校园网络安全审计系统。
4结语
本文详细介绍了网络安全管理的安全审计系统以及功能,并且阐述了网络安全审计的必要性,安全审计系统的使用,使网络监控力度大大加强,让网络监控效率得到显著提高,为信息化建设提供了良好的保障。
参考文献
[1]付晓坤.网络安全审计技术的运用[J].中国水运,2013(09):50-51.
[2]张文颖.探讨网络安全中安全审计与监控系统的设计与实现[J].电脑知识与技术,2013(16):3738.
[3]伍闽敏.建设企业计算机网络安全审计系统的必要性及其技术要求[J].信息安全与技术,2011(12):34-36.
审计信息安全管理篇6
信息系统的安全防护是一个高速发展的交叉学科,涉及到信息系统的管理方式、技术手段和人员行为等诸多方面。在技术防护方式上,最显著的一个转变就是由网络边缘型防护转变为以信息、数据为核心的内网防护,其中最具代表性、最活跃的领域就是网络系统综合审计监管。
由于审计监管直接涉及网络的核心机密,国家在相关规定中对使用国外产品提出了明确的限制性政策。2003年前后,国内厂家开始从事该领域的开发研究,市场上出现了一些产品。这个阶段,信息系统的审计监管不论是在理论形态上还是在技术成熟度上都处于起步阶段,业内没有统一的国家标准或行业标准,研发企业大多处于自发状态,很多产品甚至保留着工程项目的特征。
这些年对信息系统的审计监管的安全需求在提高,研发企业与终端用户之间的交流明显加强,研发企业在不同用户身上积累了较为丰富的需求内容,所采用的技术也逐渐完善、成熟。截止目前,国内在信息系统审计监管领域从事研发的单位已经比较多,具有一定影响力的产品也有十几种。
用户需求分析
目前市场上存在各种审计监管类产品,从用户的角度来看,这些产品存在诸多不尽如人意的地方。归根结底是企业、厂商对用户的需求不能准确把握,用户分类众多,需求各异。那么,用户的需求又有哪些呢?
1.审计监管对象是用户行为
广义的信息系统包含服务器、网络节点计算机、笔记本计算机、网络设备、存储设备、移动介质、自动化办公设备、通信线缆,甚至包括与系统相关的管理人员、用户。一般来说,审计监管系统的主要作用是对网络中用户的行为进行审计,本质上是要知道“什么时候发生了什么事,是谁干的”问题。从技术角度说,就是对用户在网络中的动作进行记录、审查,所以要以用户的行为作为核心对象。
对单机的监管一直以来是管理和技术两方面都较有难度的问题。为了简化对全系统的管理,保持审计数据的统一格式,要求审计监管系统具有针对单机的特定设计。这种设计以摆渡方式分发策略、传递日志数据,能够与网络中系统保持一致,并对数据进行提取和分析,产生综合报告。
2.完善角色设计和权限划分
信息系统在管理角色设计上要符合国家的有关规定,至少要设计管理和审计两种角色。管理角色完成系统配置、策略制定分发的任务,审计角色完成对管理角色操作行为审计和用户操作行为审计的任务。出于对任务的需要,审计角色应当可以查看管理角色所做的系统配置状态、策略情况,但不能修改。相应地,审计角色在对审计数据进行清空、删除、编辑等动作时,需要管理角色的允许,以两把钥匙保证数据的可信性。
审计监管系统一般由服务端、客户端、管理端组成,C/S模式居多。在系统管理上应采用分布式管理模式,同时要加入权限分级的设计,实现不同级别的管理角色有不同的管理范畴或管理区域。为了提高管理的安全性要求,可以限定管理计算机的IP地址等特征参数。
3.使用用户身份认证模块
审计监管系统要做到对网络环境中用户行为的审计,就需要把虚拟的账号与真实人员的身份一一对应,以避免假冒身份。一般说来,这个过程采用替换操作系统身份认证模块的方式实现。在众多的技术中以PKI体系为核心的,带证书USB KEY的技术相对成熟稳定,便于与信息系统中其他应用接口;同时其安全强度大,用户操作简便。
4.灵活的策略管理、分发中心
策略管理相当于审计监管系统的大脑。它设计的成败直接关系系统的易用性和功能性。先进的设计应当把策略与目标分离,可以实现计算机、账号、人员、设备的灵活组合,这样可以由用户根据需要定制出细粒度非常好的管理模版。在策略分发上要具有针对用户组、单个用户的能力,上下级策略要有继承和覆盖的逻辑关系。策略的下发以客户端主动获取为上,这样便于在防火墙遍地的网络中部署客户端。
当然,为了兼顾系统反应速度,需要在获取时间上做好权衡。策略应当设计成可以单独导出备份,另外在传递上可以离线传递。
5.获取客户端状态
获取客户端的软硬件信息是监管的基础,一般来说包含设备信息、软件安装信息、进程信息、账号信息、网络连接状态信息等。其中需要特别指出的是,截取用户计算机操作界面、获取敲键信息等属于明令禁止的行为。
6.监管控制客户端外设
审计监管在一定程度体现在对用户计算机外设、进程、窗口、程序等的控制上。对安全信息系统而言,与其他无关网络物理隔离是最高定律。对存在外联能力的设备,如Modem、红外线设备、无线网卡设备、蓝牙设备等需要在默认状态下禁止使用。对这类设备的控制能力也是审计监管系统的一个基础。这个控制应当稳定、可靠,在计算机正常模式和安全模式下都有效,能够抵抗用户的违规启用动作。
7.管理控制移动存储介质
优盘、移动硬盘、MP3、智能手机等移动存储介质的普及对信息系统的安全带来巨大的隐患,通过部署审计监管系统可以实现对移动存储介质的注册、管理功能,并发挥两个作用,一是没注册的介质禁止或限制使用,二是注册的介质不可以在没装审计软件的计算机上使用。前者采用集中对介质进行注册的方式,注册后的介质在高级格式化后依然有效;后者依靠采用适当的加密过程,保证数据在离开客户端环境后无法解密,这种加密/解密的过程对用户而言是透明的,其底层可采用PKI证书中的公钥/私钥方式。系统应有对介质的管理界面,可以注销或启用注册的介质。 要做到管理移动存储介质对各种数据操作的记录和审计。必要时可以配置策略,允许备份拷贝到移动介质上的文件以加密的形式保存,在启用一套合法的流程后可以打开该文件,以备审查。
对移动介质的控制较好的是结合安全区域的设计,即支持安全域的划分,并且能够定义移动介质策略的有效范围。
8.坚强的系统自身安全性设计
审计监管系统自身要具有足够的安全性,服务器上的数据要采取必要的安全措施,尤其日志信息应具有良好的抗毁能力;客户端的进程、文件、注册表应隐藏,设置守护进程或采用重启机制,防止用户的恶意中止。
9. 通用性良好的数据存储模式
安全信息系统的审计日志保存期可能较长,要保证数据以通用的数据格式存储,即使脱离软件系统本身,也有办法读取数据。避免日志数据对软件系统的绝对依赖。
10.产生准确的审计信息
审计监管系统最根本的作用就是生成并获取审计信息,这包括用户违规信息、移动介质文件操作信息、打印机操作行为、网络访问痕迹等等。所产生的信息要求准确、明晰,既要不漏审又要不产生多余的垃圾信息。这个要求看起来简单,但难做好。
11.生成数据提取、挖掘和报表
审计数据产生后应可以方便地查询,可以灵活定义组合查询的各种条件,如时间段、IP地址、账号、操作类型等等。为了方便起见,安全信息系统的审计系统应具备数据挖掘、统计的能力,可以根据需要产生某种报表;可以对相关事件进行一定程度的关联分析,统计某类型数据、某安全域范围或某用户的审计信息,可以由管理员定制、产生审计报告。报告的格式形式、包含的内容项目可以相对灵活地定制。
12.具有良好性能、兼容性、稳定性
审计监管系统尤其是客户端软件应具有良好的兼容性、稳定性,可以在Windows XP、Windows Servers2000、等系统中运行,不与常用的各类工具软件、应用软件冲突,软件占用的系统资源较低,不影响用户正常使用计算机。
框架设计
如上所述,审计监管系统功能要求很复杂,没有一个统一的、合理的框架设计是不可行的。要使整个系统功能满足设计需求,有必要采用一体化的设计、合理规划功能模块之间的内在关系,保证系统在功能增长后逻辑依然井然有序,模块之间关系不乱,性能和稳定性不受影响。
在需求分析的基础上,可以对审计监管系统的技术框架规划如附图所示。
框架图以比较宏观的方式表述了审计监管系统的总体功能需要和主要组成部分,以及各组件之间的逻辑关系。
从框架图中可以看出策略管理中心在整个系统中处于核心地位,由它实现系统中各部件的沟通,它是一个系统设计的灵魂所在。好的策略管理、分配模式可实现用户、账号、计算机、设备之间的高度灵活配置组合,能够完成想得到的精细控制,满足不同用户的安全需求。在实际设计中策略应完全独立于将应用到的目标对象,可以借鉴Windows域组策略的实现模式。
综合审计系统客户端组件中PKI公钥/私钥体系是实现安全域划分或计算机分组、数据加/解密、身份认证和访问控制的基础,而且还是系统自身安全性的一个保障,如可以采用证书技术在管理端、服务端、客户端之间进行身份鉴别和数据传输加密。
在安全域和设备控制的共同作用下可以实现对移动存储介质的有效管理,实现用户需要的双向管理要求。
在综合审计系统中最具技术挑战性的是对获取的数据进行提炼、分析、统计、汇总,最终形成用户需要的各种报表,这个功能的强弱往往可以反映出设计人员对审计本质的认识程度和开发队伍的技术实力。
由上述可见,安全信息系统对综合审计监管的技术需求是很复杂的,它与一般的商业范畴系统审计有很大的不同,需要业内企业、厂商与用户共同分析需求、规划管理流程和操作流程。在产品上需要有一个科学、合理、完善的技术框架基础,以模块的方式实现各种复杂的功能,达到保证信息系统安全的最终目标。
什么是信息系统审计?
信息系统审计(IS audit)目前还没有公认通用的定义。1985年,日本通产省情报处理开发协会信息系统审计委员会认为:信息系统审计是由独立于审计对象的信息系统审计师,站在客观的立场上,对以计算机为核心的信息系统进行综合的检查、评价,向有关人员提出问题与劝告,追求系统的有效利用和故障排除,使系统更加健全。国际信息系统审计领域的权威专家Ron Weber将它定义为“收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源。”这一定义既包括信息系统的外部审计的鉴证目标――即对被审计单位的信息系统保护资产安全及数据完整的鉴证,又包含内部审计的管理目标――即不仅包括被审计信息系统保护资产安全及数据完整,而且包括信息系统的有效性目标。
信息系统审计监管技术发展新方向
信息系统审计监管技术的发展趋势将会朝着标准化、技术综合化、与信息系统管理方式深度关联化等几个方向发展。
标准化是指信息系统审计在监管的基础项目中逐渐形成,针对每个项目可对比的技术指标逐渐统一的过程。例如,对目标计算机敏感外设的禁用、限制性使用能力已经成为监管系统的一个基本要求。
为了实现审计监管的能力,审计监管系统与网络中其他安全技术的关联越来越紧密。在更大程度上审计监管会更加以其他技术为基础,审计监管本身的技术更加趋于综合化,将和其他技术贯穿在同一主线。例如,为了实现对用户行为的审计,需要有效地区别用户,这就需要用户身份认证系统的支持;为了审计用户行为是否越权,需要有效地区分用户的权限,就这需要用户访问控制系统的支持。
审计信息安全管理篇7
根据自治区、地区有关要求,按照《XXX新闻宣传报道管理办法》有关内容,为进一步加强我县网络和信息安全管理工作,现就有关事项通知如下。
一、建立健全网络和信息安全管理制度
各单位要按照网络与信息安全的有关法律、法规规定和工作要求,制定并组织实施本单位网络与信息安全管理规章制度。要明确网络与信息安全工作中的各种责任,规范计算机信息网络系统内部控制及管理制度,切实做好本单位网络与信息安全保障工作。
二、切实加强网络和信息安全管理
各单位要设立计算机信息网络系统应用管理领导小组,负责对计算机信息网络系统建设及应用、管理、维护等工作进行指导、协调、检查、监督。要建立本单位计算机信息网络系统应用管理岗位责任制,明确主管领导,落实责任部门,各尽其职,常抓不懈,并按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实履行好信息安全保障职责。
三、严格执行计算机网络使用管理规定
各单位要提高计算机网络使用安全意识,严禁涉密计算机连接互联网及其他公共信息网络,严禁在非涉密计算机上存储、处理涉密信息,严禁在涉密与非涉密计算机之间交叉使用移动存储介质。办公内网必须与互联网及其他公共信息网络实行物理隔离,并强化身份鉴别、访问控制、安全审计等技术防护措施,有效监控违规操作,严防违规下载涉密和敏感信息。通过互联网电子邮箱、即时通信工具等处理、传递、转发涉密和敏感信息。
四、加强网站、微信公众平台信息审查监管
各单位通过站、微信公众平台在互联网上公开信息,要遵循涉密不公开、公开不涉密的原则,按照信息公开条例和有关规定,建立严格的审查制度。要对网站上的信息进行审核把关,审核内容包括:上网信息有无涉密问题;上网信息目前对外是否适宜;信息中的文字、数据、图表、图像是否准确等。未经本单位领导许可严禁以单位的名义在网上信息,严禁交流传播涉密信息。坚持先审查、后公开,一事一审、全面审查。各单位网络信息审查工作要有领导分管、部门负责、专人实施。
严肃突发、敏感事(案)件的新闻报道纪律,对民族、宗教、军事、环保、反腐、人权、计划生育、严打活动、暴恐案件、自然灾害,涉暴涉恐公捕大会、案件审理、非宗教教职人员、留大胡须、蒙面罩袍等敏感事(案)件的新闻稿件原则上不进行宣传报道,如确需宣传报道的,经县领导同意,上报地区层层审核,经自治区党委宣传部审核同意后,方可按照宣传内容做到统一口径、统一,确保信息的时效性和严肃性。
五、组织开展网络和信息安全清理检查
各单位要在近期集中开展一次网络安全清理自查工作。对办公网络、站和微信公众平台的安全威胁和风险进行认真分析,制定并组织实施本单位各种网络与信息安全工作计划、工作方案,及时按照要求消除信息安全隐患。各单位要加大网络和信息安全监管检查力度,及时发现问题、堵塞漏洞、消除隐患;要全面清查,严格把关,对自查中发现的问题要立即纠正,存在严重问题的单位要认真整改。
审计信息安全管理篇8
论文摘要:内部控制是社会经济发展到一定阶段的产物,其内容在不断的发展与变化,而内部审计是内部监督机制的重要组成部分。目前计算机信息系统已在企业中广泛使用,而在内部审计过程中如何加强计算机信息系统的风险防范,是企业内部控制过程中迫切需要解决的问题。
企业信息系统化的运用,原来的手工控制则变为手工与电脑控制相结合或全部由电脑自动进行控制。计算机信息系统的广泛使用,与技术管理相对薄弱和稽核监督的长期空白已形成了尖锐的矛盾。信息系统风险控制能力差的现状,迫切需要我们加强风险管理和监控。
一、发挥内部审计作用,加强企业内部控制
(一)企业应加强内部控制
随着市场经济的深入发展,企业逐步成为自主经营、自我约束、自我发展、自我完善的商品生产者和经营者。在“优胜劣汰、适者生存”的市场经济中,企业要想真正的做到“自主经营、自我约束、自我发展、自我完善”,必须要加强内部控制,建立有效、完善的内部控制制度,这样才能在一个绝对的高度上,对企业进行高瞻远瞩的控制,才能做出与时俱进的决策。
(二)内部审计是企业内部监督机制的重要组成部分
内部审计也是企业内部控制的一个重要的组成部分,是监督内部控制其他环节的主要力量。WWW.133229.COm内部审计通过对控制环境和控制程序的有效性进行监督,评估企业的内部控制是否被执行,是否及时反馈有关执行结果的信息,是否帮助企业更有效地实现预期控制目标。同时,在监控过程中,内部审计可以促进控制环境的建立和改善,为改进控制制度提供建设性的意见,为企业建立健全所需要的内部控制水平服务。在内部控制的监督过程中,内部审计发挥着越来越重要的作用。
二、内部审计在防范信息系统风险中面临的问题
(一)信息系统安全管理机制不健全
企业信息系统风险的存在,很多是由于管理不善或控制不严造成的。一方面,缺乏一套统一的安全策略体系来指导安全管理工作,无法建立系统内部明确、全面的安全规范要求。从现有管理制度规范来看,主要存在的问题是可操作性差,条理不清、重叠或遗漏等;另一方面,现有安全管理制度的管理对象基本是网络系统管理员等技术部人员,管理对象没有全面涵盖所有信息系统技术相关人员,包括所有网络系统上的内部终端人员和外部人员。
(二)内部审计在信息系统风险防范中的角色缺乏独立性
内部审计的角色发生了转变。从传统的事后审计而逐渐转向事前和事中审计,主动参与内部控制系统的建立和完善。内部审计人员即承担着评价硬件和应用信息系统安全的任务,如果又同时有参与了系统的开发和实施过程,那么内部审计人员就却乏独立性。反之,如果处于对丧失独立性的担心,内部审计人员有可能会拒绝参与系统和软件的开发,那么系统开发过程中存在的风险又无法得到控制。
(三)内审部门技术力量薄弱造成对信息系统审计形成风险
审计稽核部门的技术力量薄弱,不熟悉业务系统的流程和功能,对信息系统缺乏必要的认证能力和标准。突出表现为以下几个方面:一是实施审计稽核的手段和方法没有得到及时更新,不适应信息系统管理的要求,大部分仍停留在手工审计阶段;二是审计稽核部门对计算机账务系统实施审计的依据仅依赖于被审计单位提供的打印资料或事后资料,计算机账务的真实性审计很难得到保证。
三、加强风险防范的措施和对策
(一)构建信息系统安全管理组织及规范体系
加强信息系统的自我风险评估体系,让信息系统的管理和技术人员在自身的职责范围之内正确识别和评估潜在操作风险,主要包括内控制度的查漏补缺、工作流程的整理和规范、应急预案完善和演练等。同时加强对操作人员的管理,规范操作程序。一是加强密码管理,明确规定操作人员的权限,操作员必须在规定的权限内办理业务,用户口令及密码必须专人专用,严禁公开口令及密码;二是要建立健全操作员岗位目标责任制,对网络操作人员要明确目标任务,规范操作程序,严格落实奖惩制度。三是要严格岗位设置,不相容职务进行分离。严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗。四是要加强系统内部的稽核监督检查。稽核监督应贯穿于网络操作的全过程,重点是加强对系统设计开发、内控管理制度落实、操作运行等方面的
(二)关注信息系统的稳定性、安全性和有效性审计
首先,审计人员应运用用一定的技术方法识别系统的完整性,该过程包括检查、测试、评估系统的内制,以保证系统的稳定性;其次,审计人员应评价系统存在的风险和可能产生的后果将成为审计的核心工作和基本内容,保证信息系统的安全性。应根据审计的标准和准则,评价控制环境的和it基础设施的安全,确保系统满足组织的业务需要,保护信息资产的安全完整,以防非授权使用、泄露、修改、损坏或丢失;最后,还应鉴别信息系统的有效性。内部审计必须理解并熟悉操作环境,了解系统技术的复杂性及其对决策的影响;对来自内部的安全隐患,采用一定的方法进行系统诊断、检验、测试,评价其有效性及效率,以支持组织业务目标的实现
(三)改善内审机构,提高内审人员素质,培养信息系统审计师
为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价。信息系统审计师也称ls审计师或it审计师,是指那些既通晓信息系统的软件和硬件(包括信息系统的开发、运营、维护、管理和安全等),又熟悉经济管理的内部审计人才。
(四)聘请专家进行协助
内部审计人员的知识、技能和经验虽然有助于信息系统的风险防御,但现实中必须承认,在企业中同时具备计算机技术和审计专业知识的人才非常短缺。再出色的内部审计人员可能面临一些系统内的专业问题却无法解决,因此有必要聘请外部专家。可以通过专家的协助测试运用其专业技能测试系统安全,进一步防范和解决信息系统风险的存在。
参考文献: