審計信息安全管理精選(五篇)
發布時間:2023-10-10 17:14:25
序言:作為思想的載體和知識的探索者,寫作是一種獨特的藝術,我們為您準備了不同風格的5篇審計信息安全管理,期待它們能激發您的靈感。
篇1
一、引言
從審計的角度,風險評估是現代風險導向審計的核心理念。無論是在歷史財務報表審計還是在網絡審計中,現代風險導向審計均要求審計師在執行審計工作過程中應以風險評估為中心,通過對被審計單位及其環境的了解,評估確定被審計單位的高風險領域,從而確定審計的范圍和重點,進一步決定如何收集、收集多少和收集何種性質的證據,以便更有效地控制和提高審計效果及審計效率。從企業管理的角度,企業風險管理將風險評估作為其基本的要素之一進行規范,要求企業在識別和評估風險可能對企業產生影響的基礎上,采取積極的措施來控制風險,降低風險為企業帶來損失的概率或縮小損失程度來達到控制目的。信息安全風險評估作為企業風險管理的一部分,是企業信息安全管理的基礎和關鍵環節。盡管如此,風險評估在網絡審計、歷史財務報表審計和企業信息安全管理等工作中的運用卻不盡相同,本文在分析計算機信息系統環境下所有特定風險和網絡審計風險基本要素的基礎上,從風險評估中應關注的風險范圍、風險評估的目的、內容、程序及實施流程等內容展開,將網絡審計與歷史財務報表審計和信息安全管理的風險評估進行對比分析,以期深化對網絡審計風險評估的理解。
二、網絡審計與歷史財務報表審計的風險評估比較
(一)審計風險要素根據美國注冊會計師協會的第47號審計標準說明中的審計風險模型,審計風險又由固有風險、控制風險和檢查風險構成。其中,固有風險是指不考慮被審計單位相關的內部控制政策或程序的情況下,其財務報表某項認定產生重大錯報的可能性;控制風險是被審計單位內部控制未能及時防止或發現財務報表上某項錯報或漏報的可能性;檢查風險是審計人員通過預定的審計程序未能發現被審計單位財務報表上存在重大錯報或漏報的可能性。在網絡審計中,審計風險仍然包括固有風險、控制風險和檢查風險要素,但其具體內容直接受計算機網絡環境下信息系統特定風險的影響。計算機及網絡技術的應用能提高企業經營活動的效率,為企業的經營管理帶來很大的優越性,但同時也為企業帶來了一些新的風險。這些新的風險主要表現為:(1)數據與職責過于集中化。由于手工系統中的職責分工、互相牽制等控制措施都被歸并到計算機系統自動處理過程中去了,這些集中的數據庫技術無疑會增加數據縱和破壞的風險。(2)系統程序易于被非法調用甚至遭到篡改。由于計算機系統有較高的技術要求,非專業人員難以察覺計算機舞弊的線索,這加大了數據被非法使用的可能性。如經過批準的系統使用人員濫用系統,或者說,企業對接近信息缺乏控制使得重要的數據或程序被盜竊等。(3)錯誤程序的風險,例如程序中的差錯反復和差錯級聯、數據處理不合邏輯、甚至是程序本身存在錯誤等。(4)信息系統缺乏應用的審計接口,使得審計人員在審計工作中難以有效地采集或獲取企業信息系統中的數據,從而無法正常開展審計工作。(5)網絡系統在技術和商業上的風險,如計算機信息系統所依賴的硬件設備可能出現一些不可預料的故障,或者信息系統所依賴的物理工作環境可能對整個信息系統的運行效能帶來影響等。相對應地,網絡審計的固有風險主要是指系統環境風險,即財務電算化系統本身所處的環境引起的風險,它可分為硬件環境風險和軟件環境風險。控制風險包括系統控制風險和財務數據風險,其中,系統控制風險是指會計電算化系統的內部控制不嚴密造成的風險,財務數據風險是指電磁性財務數據被篡改的可能性。檢查風險包括審計軟件風險和人員操作風險,審計軟件風險是指計算機審計軟件本身缺陷原因造成的風險,人員操作風險是指計算機審計系統的操作人員、技術人員和開發人員等在工作中由于主觀或客觀原因造成的風險。
(二)風險評估目的無論在網絡審計還是歷史財務報表審計中,風險評估只是審計的一項重要程序,貫穿于審計的整個過程。與其他審計程序緊密聯系而不是一項獨立的活動。盡管如此,兩者所關注的風險范圍則有所不同。歷史財務報表審計的風險評估要求審計人員主要關注的是被審計單位的重大錯報風險――財務報表在審計前存在重大錯報的可能性。由于網絡審計的審計對象包括被審計單位基于網絡的財務信息和網絡財務信息系統兩類,因此審計人員關注的風險應是被審計單位經營過程中與該兩類審計對象相關的風險。(1)對于與企業網絡財務信息系統相關的風險,審計人員應該從信息系統生命周期的各個階段和信息系統的各組成部分及運行環境兩方面出發進行評估。信息系統生命周期是指該信息系統從產生到完成乃至進入維護的各個階段及其活動,無論是在早期的線性開發模型中還是在更為復雜的螺旋式等模型中,一個信息系統的生命周期大都包括規劃和啟動、設計開發或采購、集成實現、運行和維護、廢棄等五個基本階段。由于信息系統在不同階段的活動內容不同,企業在不同階段的控制目標和控制行為也會有所不同,因此,審計人員的風險評估應該貫穿于信息系統的整個生命周期。信息系統的組成部分是指構成該信息系統的硬件、軟件及數據等,信息系統的運行環境是指信息系統正常運行使用所依托的物理和管理平臺。具體可將其分為五個層面:物理層,即信息系統運行所必備的機房、設備、辦公場所、系統線路及相關環境;網絡層,即信息系統所需的網絡架構的安全情況、網絡設備的漏洞情況、網絡設備配置的缺陷情況等;系統層,即信息系統本身的漏洞情況、配置的缺陷情況;應用層,即信息系統所使用的應用軟件的漏洞情況、安全功能缺陷情況;管理層,即被審計單位在該信息系統的運行使用過程中的組織、策略、技術管理等方面的情況。(2)對于與企業基于網絡的財務信息相關的風險,審計人員應著重關注財務信息的重大錯報風險和信息的安全風險。重大錯報風險主要指被審計單位基于網絡的相關財務信息存在重大錯報的可能性,它是針對企業借助于網絡信息系統或網絡技術對有關賬戶、交易或事項進行確認、計量或披露而言。網絡審計中關注的重大錯報風險與傳統審CtT的內涵基本上是一致的,審計人員在審計時應當考慮被審計單位的行業狀況、經營性質、法律及監管環境、會計政策和會計方法的選用、財務業績的衡量和評價等方面的情況對財務信息錯報可能的影響。信息安全風險涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風險,主要針對企業利用信息系統或一定的網絡平臺來存儲、傳輸、披露相關財務信息而言。在審計過程中,審eta員應當主要關注相關財務信息被盜用、非法攻擊或篡改及非法使用的可能性。當然,這兩類風險并非完全分離的,評估時審計人員應將兩者結合起來考慮。
(三)風險評估內容 廣泛意義的風險評估是指考慮潛在事件對目標實現的影響程度。由于網絡審計與歷史財務報表審計風險評估的目的并不完全相同,因此兩者在風險評估的內容上也是存在區別的。總的來說,網絡審計的風險評估內容比歷史財務報表審計的風險評估內容更廣泛和深入。根據《中國注冊會計師審計準則第1211號――了解被審計單位及其環境并評估重大錯報風
險》,在歷史財務報表審計中,審計人員的風險評估應以了解被審計單位及其環境為內容。為識別和評價重大錯報風險,審計人員了解的具體內容包括被審計單位所在行業狀況、法律環境與監管環境以及其他外部因素、被審計單位的性質、被審計單位對會計政策的選擇和運用、被審計單位的目標、戰略以及相關經營風險、被審計單位財務業績的衡量和評價及被審it@位的內部控制等。在網絡審計中。為了識別和評估上文所述的兩類風險,審計人員除了從以上方面了解被審計單位及其環境外,還應該關注其他相關的潛在事件及其影響,尤其是企業的財務信息系統及基于網絡的財務信息可能面l臨的威脅或存在的脆弱點。其中,威脅是指對信息系統及財務信息構成潛在破壞的可能性因素或者事件,它可能是一些如工作人員缺乏責任心、專業技能不足或惡意篡改等人為因素,也可能是一些如灰塵、火災或通訊線路故障等環境因素。脆弱點是指信息系統及基于網絡的財務信息所存在的薄弱環節,它是系統或網絡財務信息本身固有的,包括物理環境、組織、過程、人員、管理、配置、硬軟件及信息等各方面的弱點。一般來說,脆弱點本身不會帶來損失或信息錯報,威脅卻總是要利用網絡、系統的弱點來成功地引起破壞。因此,我們認為網絡審計申風險評估的內容應包括以下幾方面:(1)識別被審計單位財務信息系統及其基于網絡的財務信息可能面臨的威脅,并分析威脅發生的可能性;(2)識別被審計單位財務信息系統及其基于網絡的財務信息可能存在的脆弱點,并分析脆弱點的嚴重程度;(3)根據威脅發生的可能性和脆弱點發生的嚴重程度,判斷風險發生的可能性;(4)根據風險發生的可能性,評價風險對財務信息系統和基于網絡的財務信息可能帶來的影響;(5)若被審計單位存在風險防范或化解措施,審計人員在進行風險評估時還應該考慮相應措施的可行性及有效性。
(四)風險評估程序《中國注冊會計師審計準則第1211-----了解被審計單位及其環境并評估重大錯報風險》中要求,審計人員應當實施詢問、分析程序、觀察和檢查等程序,以獲取被審計單位的信息,進而評估被審計單位的重大錯報風險。這些程序同樣適用于網絡審計中的風險評估。但在具體運用時網絡審計中更加注重了解和分析被審計單位與信息系統及網絡技術使用相關的事項。在實施詢問程序時,審計人員的詢問對象圍繞信息系統和基于網絡的財務信息可大致分為管理人員、系統開發和維護人員(或信息編制人員)、系統使用人員(或信息的內部使用人員)、系統或網絡技術顧問及其他外部相關人員(如律師)等五類,分別從不同角度了解信息系統和基于網絡的財務信息可能存在的威脅和脆弱點。在實施分析程序時,除了研究財務數據及與財務信息相關的非財務數據可能的異常趨勢外,審計人員應格外關注對信息系統及網絡的特性情況,被審計單位對信息系統的使用情況等內容的分析比較。實施觀察和檢查時,除執行常規程序外,審計人員應注意觀察信息系統的操作使用和檢查信息系統文檔。除此之外,針對特定系統或網絡技術風險的評估,審計人員還需要實施一些特定的程序。技術方面如IOS取樣分析、滲透測試、工具掃描、安全策略分析等;管理方面如風險問卷調查、風險顧問訪談、風險策略分析、文檔審核等。其中,IDS取樣分析是指通過在核心網絡采樣監聽通信數據方式,獲取網絡中存在的攻擊和蠕蟲行為,并對通信流量進行分析;滲透測試是指在獲取用戶授權后,通過真實模擬黑客使用的工具、方法來進行實際漏洞發現和利用的安全測試方法;工具掃描是指通過評估工具軟件或專用安全評估系統自動獲取評估對象的脆弱性信息,包括主機掃描、網絡掃描、數據庫掃描等,用于分析系統、應用、網絡設備存在的常見漏洞。風險問卷調查與風險顧問訪談要求審計人員分別采用問卷和面談的方式向有關主體了解被審計單位的風險狀況,使用時關鍵是要明確問卷或訪談的對象情況風險策略分析要求審計人員對企業所設定的風險管理和應對策略的有效性進行分析,進而評價企業相關風險發生的概率以及可能帶來的損失;文檔審核是一種事前評價方法,屬于前置軟件測試的一部分,主要包括需求文檔測試和設計文檔測試。這些特定程序主要是針對被審計單位信息系統和基于網絡的財務信息在網絡安全風險方面進行評價,審計人員在具體使用時應結合被審計單位的業務性質選擇合適的程序。
三、網絡審計與信息安全管理的風險評估比較
(一)風險評估的目的信息安全管理中的風險評估(即信息安全風險評估)是指根據國家有關信息安全技術標準,對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程。作為信息安全保障體系建立過程中的重要的評價方法和決策機制,信息安全風險評估是企業管理的組成部分,它具有規劃、組織、協調和控制等管理的基本特征,其主要目的在于從企業內部風險管理的角度,在系統分析和評估風險發生的可能性及帶來的損失的基礎上,提出有針對性的防護和整改措施,將企業面臨或遭遇的風險控制在可接受水平,最大限度地保證組織的信息安全。而網絡審計是由獨立審計人員向企業提供的一項鑒證服務,其風險評估的目的在于識別和評價潛在事件對被審計單位基于網絡的財務信息的合法性、公允性以及網絡財務信息系統的合規性、可靠性和有效性的影響程度,從而指導進一步審計程序。因此,兩者風險評估的目的是不一樣。從評估所應關注的風險范圍來看,兩者具有一致性,即都需要考慮與信息系統和信息相關的風險。但是,具體的關注邊界則是不一樣的。信息安全風險評估要評估企業資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性,并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響,它要求評估人員關注與企業整個信息系統和所有的信息相關的風險,包括實體安全風險、數據安全風險、軟件安全風險、運行安全風險等。網絡審計中,審計人員是對被審計單位的網絡財務信息系統和基于網絡的財務信息發表意見,因此,風險評估時審計人員主要關注的是與企業財務信息系統和基于網絡的財務信息相關的風險,而不是與企業的整個信息系統和所有的信息相關的風險。根據評估實施者的不同,信息安全風險評估形式包括自評估和他評估。自評估是由組織自身對所擁有的信息系統進行的風險評估活動;他評估通常是由組織的上級主管機關或業務主管機關發起的,旨在依據已經頒布的法規或標準進行的具有強制意味的檢查。自評估和他評估都可以通過風險評估服務機構進行咨詢、服務、培訓以及風險評估有關工具的提供。因此。對審計人員而言,受托執行的信息安全風險評估應當歸屬于管理咨詢類,即屬于非鑒證業務,與網絡審計嚴格區分開來。
(二)風險評估的內容在我國國家質量監督檢驗檢疫總局的《信息安全風險評估指南》(征求意見稿)國家標準中,它將信息安全風險評估的內容分為兩部分:基本要素和相關屬性,提出信息安全風險評估應圍繞其基本要素展開,并充分考慮與這些基本要素相關的其他屬性。其中,風險評估的基本要素包括資產、脆弱性、威脅、風險和安全措施;相關屬性包括業務戰略、資產價值、安全需求、安全事件、殘余風險等。在此基礎上的風險計算過程是:(1)對信息資產進行識別,并對資產賦值;(2)對威脅進行分析,并對威
脅發生的可能性賦值;(3)識別信息資產的脆弱性,并對弱點的嚴重程度賦值;(4)根據威脅和脆弱性計算安全事件發生的可能性;(5)根據脆弱性的嚴重程度及安全事件所作用的資產的價值計算安全事件造成的損失;(6)根據安全事件發生的可能性以及安全事件出現后的損失,計算安全事件一旦發生對組織的影響,即風險值。結合上文網絡審計風險評估五個方面的內容可以看出,網絡審計和信息安全風險評估在內容上有相近之處,即都需要針對信息系統和信息可能面臨的威脅和存在的脆弱點進行識別。但是,信息安全管理作為企業的一項內部管理,其風險評估工作需要從兩個層次展開:一是評估風險發生的可能性及其影響;二是提出防護或整改措施以控制風險。第一個層次的工作實質上是為第二層次工作服務的,其重點在第二層次。《信息安全風險評估指南》(征求意見稿)提出,企業在確定出風險水平后,應對不可接受的風險選擇適當的處理方式及控制措施,并形成風險處理計劃。其中,風險處理的方式包括回避風險、降低風險、轉移風險、接受風險,而控制措施的選擇應兼顧管理和技術,考慮企業發展戰略、企業文化、人員素質,并特別關注成本與風險的平衡。網絡審計的風險評估工作主要集中在第一個層次,即審計人員通過風險評估,為進一步審計中做出合理的職業判斷、有效地實施網絡審計程序和實現網絡審計目標提供重要基礎。因此,兩者的評估內容是存在區別的。
篇2
[關鍵詞] 大壩安全監測; 設備; 選型
1工程概況
新立城水庫位于吉林省伊通河中上游,距長春市區16km,控制流域面積1 970平方公里,總庫容5.92億立方米,是一座以防洪、供水為主的大型水庫。水庫按百年一遇洪水設計,按可能最大洪水校核。樞紐工程包括大壩、輸水洞和溢洪道等主要建筑物。
2大壩滲流監測系統建設必要性
雖然新立城水庫大壩現有安全監測設施對揭示水庫存在的問題和保證大壩安全運行發揮了重要作用,但監測項目設置仍存在不足,不能適應新立城水庫工程管理技術進步的要求;本次除險加固后,原設滲流監測設施無法全部保留,也不滿足《土石壩安全監測技術規范》(SL60—1994)的要求,主要表現為:
(1) 大壩壩基壩體滲流監測雖已建立包括輸水洞滲漏監測在內的6個監測斷面,但監測儀器的布設基于當時大壩滲流狀態,一是壩基高噴灌漿施工勢必導致壩頂及上游監測設施損壞,二是原監測儀器布置難以滿足建立灌漿體后的滲流監測要求。在灌漿體有效作用下,壩軸線下游布設的監測儀器尤其是壩體滲流監測儀器可能處于非有效工作狀態,應針對大壩新的防滲體系布設和完善滲流監測測點。
(2) 在目前條件下減壓井能起到一定的排水減壓作用,但灌漿體建立后,減壓井功效將發生根本的改變,應視具體情況更新監測方案。滲流量監測將以總堰為主進行監測。
3滲流監測系統技術方案設計
3.1滲流監測斷面及測點設計
大壩除險加固主體工程為壩基高噴灌漿,其主旨為根治大壩壩基滲透隱患。對于灌漿完工后的防滲效果以及大壩滲流場的變化情況,均需要有針對性地在特定的位置安裝監測設施,對其工程效果進行監測。
本次滲流監測設計充分考慮壩基地質情況及此次除險加固工程的工程內容,并結合原滲流監測系統的布置及系統運行成果,共布設14個監測斷面,分別為0+405、0+605、0+805、1+005、1+205、1+405、1+591、1+805、1+911、2+005、2+201、2+401、2+525。下面以幾個典型斷面為例闡述一下監測系統的布點原則。
(1) 0+405斷面。大壩0+000~0+400樁號處于壩址河道岸坡段,此壩段滲流隱患屬于次要部位,建壩時未清至壩基風化巖石,基礎仍為強透水層。盡管庫區天然及淤積覆蓋深厚,但了解壩基灌漿效果還是必要的。因此,此斷面僅在灌漿斷面前后各布置一個測點,監測其灌漿效果。
(2) 1+205、1+405、1+591、1+805、1+911、2+005斷面。大壩1+200~2+200樁號處于壩址河床段,壩高超過15米。此壩段是大壩變形較大的壩段,也是壩基滲透隱患嚴重的壩段,應予以重點監測。因此,在1+205、1+405、1+591、1+805、1+911、2+005樁號各布置一個監測斷面。其中,1+405和2+005斷面布置及監測目的與0+405斷面相同;1+205斷面布置3條監測垂線,分別位于灌漿斷面前、后及下游馬道,每條垂線壩基壩體各布置一個測點,監測高壓灌漿在壩基壩體防滲效果、壩基滲流壓力分布和壩體浸潤線。1+591斷面布置4條監測垂線,灌漿斷面前、后各一個鉆孔,每孔壩基壩體各設一個測點,監測高壓灌漿效果,每條垂線壩基壩體各布置一個測點,監測灌漿在壩基壩體防滲效果、壩基滲流壓力分布和壩體浸潤線。下游馬道和壩腳下游的兩條垂線均沿用原滲流監測系統測點,監測壩基滲流壓力分布和壩體浸潤線;1+805斷面布置4條監測垂線,灌漿斷面前、后布置與1+591斷面布置和監測目的相同,下游馬道垂線上布置一個壩體測點,監測壩體浸潤線,下游壩腳外壩基布置一個測點,與灌漿斷面前、后壩基測點形成壩基監測斷面,監測本斷面壩基滲流壓力分布情況;1+911斷面灌漿斷面前壩基設一個測點,下游馬道和壩腳下游的兩條垂線均沿用原滲流監測系統測點,本斷面3測點均為壩基測點,旨在監測灌漿在壩基的防滲效果。
(3) 2+201、2+401、2+525斷面。大壩2+200~2+600樁號為壩址主河槽段,亦即最大壩高段,是大壩滲流監測的重點壩段。為此,在2+201、2+401、2+525斷面各布置一個完整監測斷面,監測壩基壩體滲流壓力狀態。其中2+201、2+401斷面基于原滲流斷面布置,并盡量利用原系統有效測點。
上述滲流監測斷面及布設滲流測點構成大壩滲流監測體系,基于其監測成果,對大壩壩基、壩體滲流壓力平面分布狀態進行總體評價。
3.2大壩滲流監測系統儀器選型
大壩滲流安全監測和管理自動化系統,采用分布式自動化數據采集系統,各斷面測點滲流監測數據傳入從站的MCU,從站MCU數據無線傳輸到設在水庫管理局工程管理處總控制室控制主站。
3.2.1儀器選型原則
掌握儀器的使用條件,了解其應用歷史,包括儀器應用歷史、正常使用年限、使用環境、故障率、準確度、精度等;考察生產廠家的生產能力,售后保證條件;足夠的可靠性、耐久性及滿足工程需要的使用精度要求;必須根據工程性態的預測結果、物理量的變化范圍、使用條件、使用年限及性價比確定儀器類型、型號、量程及精度等級等。
3.2.2滲流壓力監測儀器
滲流壓力監測儀器品種和類型較多,有振弦式、差動電阻式、電阻應變片式以及電感式、氣動式等類型,國內外生產廠家知名的就有20余家。各孔隙水壓力計的性能指標和穩定性各有特點,通過性能價格比的綜合比較,新立城水庫大壩滲流監測所用孔隙水壓力計選用美國GEOKON公司生產的振弦式4500系列孔隙水壓力計。該類傳感器全部采用受溫度影響最小的不銹鋼元件制造,振弦元件設在焊接成的真空密封腔內,鋼弦的兩端采用特殊鍛壓工藝技術固定,標準透水石是用帶50微米小孔的不銹鋼制成,從而保證了產品的高穩定性和微型化,具有堅固耐用、外形尺寸小、安裝簡便、測值穩定可靠、精度和分辨率高等特點,因而在國內許多大型水利工程中得到應用,如二灘水電站、三峽水利樞紐、丹江口水電站、葛洲壩樞紐、官廳水庫、黃碧莊水庫、潘家口水利樞紐、萬家寨引黃入晉工程、豐滿水電站等近百個水利工程的安全監測,取得了較好的監測效果。
3.3測控單元(MCU)選型
3.3.1選型原則
大壩安全監測自動化系統起步于20世紀80年代,在90年代得到較大的發展,國內外均有成熟的產品問世并在實際應用中日臻完善。考慮到進口產品雖在性能上具有較大的優勢,但其價位高、維護不及時且對操作管理人員要求高(英文操作軟件),建議大壩測控單元選用國內產品。
3.3.2本系統建議MCU選型
依據新立城水庫大壩滲流監測系統工程的特點以及系統建設先進性的要求,數據采集單元(MCU),選用基康儀器(北京)有限公司生產的測量控制單元BGK-MICRO-40MCU。
篇3
【關鍵詞】保密意識 審計信息安全
審計信息是審計人員在工作中運用一定的技術、方法、手段,收集加工提煉整理的業務信息,是反映和體現審計工作成果的重要載體,主要包括審計工作信息和審計項目信息,涉及銀行敏感信息及經營決策管理的商業秘密。審計人員泄密風險如影隨形,無時不在,審計信息保密事關銀行信息安全和審計聲譽。因此,審計人員肩負審計數據及信息安全的重任,牢固樹立保密意識、嚴格履行保密職責、執行保密紀律是每個審計人員義不容辭的責任。
一、審計信息渠道
審計信息主要來源于審計管理系統及平臺信息和審計業務信息收集兩個方面:
第一,審計管理系統及平臺信息是審計人員在實施審計項目、進行審計管理的過程中,通過審計應用系統及平臺獲取審計業務操作與管理的業務和數據信息,包括非現場審計系統(OAS系統)信息、審計管理信息系統(AMIS系統)信息、審計知識庫系統信息、任期經濟責任審計信息資料庫信息、總審計室信息平臺等信息。
第二,審計業務信息是審計項目和日常審計工作中由各級機構提供的業務信息以及審計項目信息。業務信息包括審計機構審計計劃、審計研究成果、被審計機構經營計劃及業務指標、客戶及其賬戶信息、業務管理信息等,以及通過Notes郵箱、辦公自動化系統(OA系統)、檔案管理信息系統等收集整理的各類業務信息。審計項目信息包括審計方案、審計報告、審計模型、審計證據、審計工作底稿,以及審計過程中通過會計檔案管理系統、UAAP統一報表平臺、對公信貸業務流程系統(CLPM系統)、個人信貸管理系統(A+P系統)、信貸管理系統(CMISII系統)、ODSB二期及ERPF報表查詢等收集加工整理的各類信息。
二、主要問題和風險
(一)審計信息未集中管理,存在泄密的潛在風險隱患
便攜式計算機是審計人員的必備工具,其中存儲大量重要信息,實施審計項目按照審計方案要求分組開展,審計現場點多面廣,審計資料不便于集中,審計人員注重信息資料使用忽視保密管理,對敏感及信息未經加密處理采取保密措施,形成審計信息安全隱患。一是項目實施過程中審計信息處于分散失控狀態,缺乏安全管理;二是審計項目結束后,由于未明確和指定專人負責歸集審計項目信息,致使審計人員未及時清理、歸集移除審計項目電子信息資料,長久滯留審計人員計算機中將可能導致審計信息流失和泄密。
(二)計算機上網導致審計信息失密,造成損失形成銀行聲譽風險
計算機上網成為信息泄露的主要途徑,計算機使用無線鍵盤或鼠標上網、移動存儲介質與聯網計算機交叉使用將會導致失泄密。一是審計人員因工作需要,有時通過互聯網傳送或下載工作信息,或上網查詢信貸客戶企業注冊登記等信息,如果客戶敏感信息被不法分子截獲并利用,給客戶帶來不利影響的同時,將會導致銀行聲譽風險的嚴重后果。二是審計人員使用的計算機、U盤等磁介質若不采取保密措施,未經加密在互聯網上傳輸行內重要數據或信息,被竊密者運用技術軟件竊取,無意中將泄露銀行敏感信息或商業秘密,給銀行造成無可估量的損失。
(三)審計管理系統用戶認證安全機制低、對客戶敏感信息訪問無控制
由于非現場審計系統對相關敏感數據字段未能加密,在審計項目實施過程中,審計人員登錄系統可任意查詢導出相關的信息及數據,存在敏感信息和商業秘密泄漏的風險。
三、審計信息安全管理措施
第一,健全制度,落實責任。為加強審計信息安全保密,對于計算機設備使用管理、審計管理系統運行管理及數據信息安全保密管理,制定信息安全管理制度,明確責任,落實保密職責。
第二,加強安全保密培訓和教育,筑牢審計人員的安全和風險意識。一是要警鐘長鳴,加強警示教育,做到防患于未然。二是建立信息安全的長效機制,將審計信息安全保密作為審計人員培訓教育的重要內容,使之深刻認識安全無小事,牢記“失之毫厘、謬以千里”道理,始終繃緊安全保密意識的弦,嚴守保密紀律,自覺履行保密職責。
第三,加強審計系統用戶管理,嚴格用戶操作權限,禁止將用戶口令及UKEY轉借他人使用。在未開展審計項目階段限制非現場審計系統操作用戶,使用系統必須經過申請批準,以防止敏感信息泄露。搭建開放的非現場審計系統學習培訓環境,提供審計人員用于學習操作非現場系統。
第四,利用管理信息平臺FTP服務器對審計重要信息進行管理,實現遠程資源共享,審計人員可查詢相關工作信息,本機不再保存敏感信息和數據,切實防范便攜機或移動硬盤存儲審計信息失泄密的風險隱患。
第五,落實安全管理責任,簽訂《審計崗位人員保密協議》,強化保密意識,約束審計信息保密行為。
第六,加強計算機管理,嚴防信息失泄密。設置屏幕保護的時間和密碼,確保在長時間不使用計算機時對屏幕上和系統內的敏感信息進行安全保護。計算機做到專機專用,與互聯網物理隔離,禁止通過電子郵箱或互聯網傳輸及重要工作信息,避免移動存儲介質交叉使用。
第七,應用技術手段加強信息安全管理,審計條線全員推廣使用Windows7(企業版)操作系統,應用全盤加密(BitLocker)功能,能夠有效降低因設備物理丟失導致的審計信息泄露風險,有助于加強審計信息安全管理。
篇4
關鍵詞:安全審計系統;網絡安全管理;措施
互聯網時代信息技術雖然使人們的生活更加便捷,卻帶來了網絡安全問題。盡管網絡外部檢測技術和防御系統已經持續建設,在某種程度抵御外部網絡的入侵,保護網絡數據信息的安全,但是內部網絡的違規操作、非法訪問等造成的網絡安全問題在外部網絡的防御措施得不到有效解決。因此可以利用安全審計系統進行網絡安全管理,檢測訪問網絡內部系統的用戶,監控其網絡行為,記錄其異常網絡行為,針對記錄結果解決網絡安全問題,對網絡安全隱患的評判具有重要作用。本文主要介紹安全審計系統以及作用,闡述其在網絡安全管理的必要性以及實際應用。
1網絡安全管理的安全審計系統
1.1安全審計系統的組成
①事件產生器;②事件數據庫;③事件分析器;④響應單元。事件產生器的作用:將單位網絡獲得的事件提供給網絡安全審計系統;事件分析器的作用:詳細地分析所得到的數據;事件響應單元的作用:根據時間分析器得到的分析結果做出相應的反映;事件數據庫的作用:保存時間分析器得到的分析結果。
1.2安全審計系統的要求
1.2.1記錄與再現記錄安全審計系統中全部違規操作、非法行為,再現系統某種狀態的主要行為。1.2.2入侵檢測審計系統檢查出大多數常見的系統入侵的意圖,設計相應程序阻止入侵行為。1.2.3記錄入侵行為審計系統記錄所有的入侵企圖,對于成功入侵用戶,可以根據入侵記錄恢復系統。1.2.4系統本身的安全性安全審計系統必須保證自身系統操作系統和軟件安全以及審計數據安全才可以發揮其在網絡安全管理的作用。
2網絡安全審計的必要性
2.1提高企業數據安全管理績效
高新科技技術已經滲透到社會方方面面,有利也有弊,其中企業來說,網絡信息安全的問題頻頻出現,這對于企業網絡運營和實際經營造成很大的沖擊、帶來經濟損失。防火墻、防病毒軟件、反入侵系統雖然可以解決部分內部用戶的非法違規網絡行為導致的網絡信息安全問題,某種程度也保障了網絡信息安全。網絡信息外部的防衛無法抵御內部用戶在沒有網絡監管時對網絡內部的不合法操作,網絡外部的安全防衛措施無法解決網絡內部出現的故障。所以企業網絡要正常運營、企業經營要得到持續發展,必須要建立企業內部的安全審計系統,對內部用戶訪問網絡系統進行嚴格監控和審計,有必要時可以采取相應措施懲戒造成網絡安全問題的人員,讓網絡信息安全事件不再發生。
2.2提高網絡信息安全性
(1)安全審計系統采取訪問控制手段對網絡信息進行安全審計和監控,從而提高網絡信息安全;(2)對網絡信息加密實現網絡信息安全審計的目的,實現網絡數據私有,做到網絡安全管理,為了提高網絡信息安全水平要經常維護與檢查安全日志;(3)安全審計網絡中傳輸的信息,監控網絡操作行為,提高網絡信息安全性,提供社會組織的網絡化行為安全性保障。
3安全審計系統在網絡安全管理的應用
安全審計系統和基礎網絡病毒防護產品相互結合,共同保護網絡的整體安全。企業傳統的網絡安全體系建設只注重網絡邊界的安全,重點建設針對外部網絡向企業內網攻擊的防護措施,沒有考慮到內網自身存在的安全隱患,企業的網絡信息安全無法得到有效保障。因此,借助安全審計系統對企業網絡安全進行審計和評估,實現企業網絡的全面安全監督。隨著互聯網科技快速發展,銀行金融行業處于信息化時代,信息化推動銀行智能化發展,銀行網絡信息安全對銀行安全穩定發展非常重要,如銀行數據集中處理有風險、網絡金融服務容易受到黑客、病毒攻擊等。由于銀行涉及到金錢等財務利益上的交易,而且銀行作為信息化時代以客戶為主導的服務行業,必須嚴格地對客戶信息進行保密,保障客戶信息安全。不僅銀行關系到國計民生、對社會經濟發展也具有重要意義,所以控制銀行信息化風險的最有效方法就是建立銀行網絡信息安全審計系統。網絡的廣泛應用給教育行業帶來很大便利,目前很多高校和發達地區中小學都建立自己的校園網,但是網絡問題作為信息化水平發展的附屬品,給校園網安全管理造成很大困擾。雖然校園網已經加大網絡外部病毒防御系統建設,但是網絡內部檢測和審計更需要引起重視,為了減少網絡有害信息和侵權行為,規范師生上網行為,維護校園網安全穩定運行,非常有必要建立校園網絡安全審計系統。
4結語
本文詳細介紹了網絡安全管理的安全審計系統以及功能,并且闡述了網絡安全審計的必要性,安全審計系統的使用,使網絡監控力度大大加強,讓網絡監控效率得到顯著提高,為信息化建設提供了良好的保障。
參考文獻
[1]付曉坤.網絡安全審計技術的運用[J].中國水運,2013(09):50-51.
[2]張文穎.探討網絡安全中安全審計與監控系統的設計與實現[J].電腦知識與技術,2013(16):3738.
篇5
研究院的安全服務主要包含四大獨立服務:安全服務、監測服務、睿眼通和信息安全應急響應指揮平臺。服務內容主要包括以下幾個方面:
首先是安全咨詢。以“業務需求管理”為核心出發點,依托ISO27001、ISO17799等國際信息安全標準和法規及行業規范,融合自上而下的指導方針、管理策略、業務流程運行規則、系統操作指南,建立信息安全管理體系。
其次是安全培訓。安全培訓旨在提高客戶的信息安全意識和技能,為最大程度上提高客戶的整體安全防衛意識和安全防衛技能,真正把信息安全管理體系落到實處,提供強力有效的技術支撐保障。
再次是安全評估。對信息資產所面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用所帶來風險的可能性評估,為客戶信息安全管理體系策劃提供基礎。
最后是安全加固。結合等級保護國家政策及行業規范,通過現場調研,合理使用安全加固工具等為客戶提供安全加固服務,主要提供主機加固、系統加固、數據庫加固、應用服務器加固、應用加固等服務,安全補丁、安全策略調優、配置優化等服務。
七大監測服務主要包括下幾個方面:
第一,“睿眼”外網安全監測預警服務平臺是一套軟硬件一體化監測平臺,以大數據技術為依托,集成了Web漏洞掃描檢測技術、采用遠程監測對外網網站提供7×24小時實時安全監測服務。通過對網站的不間斷監測服務及時發現威脅,從而提升網站的安全防護能力和網站服務質量,并通過安全監測平臺的事件跟蹤功能建立起一種長效的安全保障機制。
第二,“睿眼”移動安全監測預警服務平臺,為政府和企事業單位搭建一個應用App統一存放、統一管理、統一安全監測的AppStroe平臺,通過此平臺進一步提升用戶辦事體驗,同時方便國家、省部級對下級單位進行移動App管理和統計。
第三,“睿眼”內網安全監測預警服務平臺,基于對內網網絡系統安全運行的考慮,平臺提供對內網的實時安全監測、分析和預警功能。
睿眼通
睿眼通是七大監測預警服務平臺提供給客戶的一款智能移動終端,基于客戶對信息安全情況的即時需求,以七大監測預警服務平臺監測結果為主線,可以成為客戶處理信息安全問題、了解安全狀態趨勢、掌握最新安全資訊的貼心助手,隨時隨地了解網站及信息系統等的整體運行情況。
信息安全應急響應指揮平臺
應急響應指揮平臺通過各大監測預警服務平臺實時監測結果,對告警的安全故障或安全威脅,以最短的時間進行故障排查定位和應急處理。
安全產品
公司安全產品包括堡壘主機系統、系統安全加固、審計系統和信息共享管理系統。
(1)堡壘主機系統。堡壘主機是一種被加固的可以防御進攻的計算機,具備堅強的安全防護能力。堡壘主機系統軟件扮演著看門者的職責,所有對網絡設備和服務器的請求都要從這扇大門經過。
(2)系統安全加固。系統安全加固V1.0產品是軟硬件相結合的產品,通過硬件USB-KEY,提高了服務器系統的安全性,克服單純使用軟件防護的局限性;軟件部分包括服務器操作系統安全增強軟件、服務器安全,以及統一安全管理平臺軟件。
(3)審計系統
①日志審計系統。日志審計系統一方面可以集中收集、長時間存放所有的記錄日志,避免日志遭到惡意篡改或刪除而在安全事件發生時無據可查的狀況發生,另一方面日志審計系統強大的日志審計功能可以為組織審計人員提供日志實時監控、高效檢索、審計報表等日志審計手段,從而使原本不可能完成的海量日志審計工作可以在短時間內輕松完成,大大減少信息部門的工作量。
②網絡安全審計系統。網絡安全審計系統主要通過旁路監視并記錄對數據庫服務器的各類操作行為,通過對各類網絡行為的分析,實時地、智能地監控審計,并將審計數據存儲,以便日后進行查詢、分析,實現對整個網絡環境內的操作訪問行為的監控和審計。
