論文摘要:本文強調審計工作的安全�、高效和信息化���,從審計工作的現狀����、發展瓶頸到信息化審計的制度健全、引入主機系統安全審計�����、業務系統安全審計等相關管理辦法����、新技術或新理念和待解決的問題等方面,論述構建安全高效的審計信息化安全保障體系的措施�����。
論文關鍵詞:審計 信息化 安全保障體系 主機審計
審計是客觀評價個人��,組織�����、制度�、程序�����、項目或產品�。審計執行是以確定有效性和可靠性的信息����,還提供了一個可內控的評估系統�����。審計的目標是表達人�、組織��、系統等的評估意見����,審計人員在測試環境中進行評估工作����。審計必須出示合理并基本無誤的報表,通常是利用統計抽樣來完成。審計也是用來考察和防止虛假數據及欺騙行為����,檢查�、考證目標的完整性�、準確性,以及檢查目標是否符合既定的標準、尺度和其它審計準則��。實現審計的信息化�,有利于管理層迅速準確的做出決定,對于政企業發展、社會經濟的進步都具有重要作用。目前���,我國的審計工作尚存在性質認定模糊、工作范圍過于狹窄等問題,有待進一步加強和改進��。
審計的基礎工作是內部審計�����,內審是審計監督體系中不可或缺的重要組成部分�,是全面經濟管理必不可少的手段����,是加強任何機構內部管理的必要�,推動經濟管理向科學化方向發展的重要環節也是審計。因此說審計部門是其他監督部門不能代替的�����,促進黨風廉政建設��、加強對黨政領導干部及管理人員的監督都可以通過審計來完成��。審計應用與高新技術機構中,在防范風險中發揮著重要作用����,也有助于領導層做出正確決策��。
一、審計工作的現狀及存在的問題
隨著我國經濟迅猛發展�,審計監督力度不斷增強�,審計范圍也不斷擴大����。當前,審計方式已由財政財務審計向效益審計發展���,由賬項基礎審計向制度基礎審計、風險基礎審計發展��,由事后審計向事中���、事前審計發展。審計管理上建立審計質量控制體系���,要求審計機關把審計管理工作前移,把質量控制體系貫穿與審計工作中�。在此趨勢下��,傳統的審計方法暴露出其效率低、審計范圍小等劣勢,使得完成審計任務���,達到審計目標越發缺乏及時性�。
(一)內部審計性質認定較為模糊。內部審計是市場經濟條件下��,基于加強經營管理的內在需要��,也是內部審計賴以存在的客觀基礎���。但是����,現代內部審計的產生卻是一個行政命令產物�����,強調外向性服務�����。這種審計模式使人們對內部審計在性質認定上產生模糊,阻礙了內部審計的發展�����。內部審計很難融入經營管理中����,審計工作很難正常開展,很難履行監督評價職能和開展保證咨詢活動��,因此就不能充分發揮其應有的內向性服務的作用���。
(二)內部審計工作范圍過于狹窄��。內部審計的目的在于為組織增加價值并提高組織的運作效率,其職能是監督和服務���。但是,我國內部審計工作的重心局限在財務收支的真實性及合規性審計��。長久以來內部審計突出了監督職能���,而忽視了服務職能��。內部審計認識水平��、思想觀念的束縛以及管理體制等諸多因素,影響和阻礙著內審作用的有效發揮。原因有會計人員知識水平��、業務素質不高��,也有不重視法律��、法規的因素,還有監管不力、查處不嚴的原因。目前內部審計尚處在查錯階段���,停留在調賬、糾正錯誤上,還不能多角度�����、深層次分析問題�,沒有較國際先進的審計理念,我國內部審計的作用尚待開發。審計人員的計算機知識匱乏���,不適應電算化、信息化的迅速發展���。目前多數審計人員硬件知識掌握不熟練,軟件知識了解也不足�,因此不能有效地評估信息系統的安全性���、效益性�����。由于計算機審計軟件開發標準不同,功能也不完整,因此全面推廣計算機輔助審計就有一定難度���,導致審計人員的知識和審計手段滯后于信息化的發展。
二、信息化審計體系的健全
當前國家審計信息化發展的趨勢是建立審計信息資源的標準化、共享化����、公開化���,逐步達到向現代審計方式的轉變��。這一趨勢是隨著當前科學發展、和諧社會的推進,國家確立的公共財政建設�����、公共服務的實施��、公共產品的提供應運而生的�,三個“公共”的主旨是:國家財政資金的使用更注重民生;使用重點更注重服務;使用效益更注重民意���。
信息安全審計是任何機構內控�����、信息系統治理�����、安全風險控制等不可或缺的關鍵手段。收集并評估證據以決定一個計算機系統是否有效地做到保護資產、維護數據完整�����、完成目標����,同時能更經濟的使用資源�。信息安全審計與信息安全管理密切相關,信息安全審計的主要依據是出于不同的角度提出的控制體系的信息安全管理相關的標準����。這些控制體系下的信息化審計可以有效地控制信息安全��,從而達到安全審計的目的,提高信息系統的安全性���。由此,國際組織也制定了相關文件規范填補信息系統審計方面的某些空白�。例如《信息安全管理業務規范》通過了國際標準化組織ISO的認可�����,正式成為國際標準。我國法律也針對信息安全審計制定出了《中華人民共和國審計法》����、《國務院辦公廳關利用計算機信息系統開展審計工作有關的通知》等文件��,基本規范了內部審計機制,健全了內部審計機構;強調機構應加強內審工作�����,機構內部要形成有權就有責����、用權受監督的最佳氛圍;審計委員會直接對領導班子負責,其成員需具有相應的獨立性��,委員會成員具良好的職業操守和能力���,內審人員應當具備內審人員從業資格���,其工作范圍不應受到人為限制��。內部審計機構對審計過程中發現的重大問題�����,視具體情況,可以直接向審計委員會或者領導層報告��。
三���、主機系統安全審計
信息技術審計���,或信息系統審計�,是一個信息技術基礎設施控制范圍內的檢查。信息系統審計是一個通過收集和評價審計證據���,對信息系統是否能夠保護資產的安全、維護數據的完整�、使被審計單位的目標得以有效地實現����、使組織的資源得到高效地使用等方面做出判斷的過程����。
以技術劃分,信息化安全審計主要分為主機審計�����、網絡審計�、應用審計��、數據庫審計�,綜合審計��。簡單的說獲取���、記錄被審計主機的狀態信息和敏感操作就是主機審計�,主機審計可以從已有的系統審計記錄中提取相關信息����,并以審計規則為標準來分析判斷被審計主機是否存在違規行為。總之�����,為了在最大限度保障安全的基礎上找到最佳途徑使得業務正常工作的一切行為及手段��,而對計算機信息系統的薄弱環節進行檢測��、評估及分析,都可稱作安全審計。
主機安全審計系統中事件產生器、分析器和響應單元已經分別以智能審計代理主機、系統中心����、管理與報警處置控制臺來替代�����。實現主機安全系統的審計包括系統安全審計、主機應用安全審計及用戶行為審計。智能審計替代主機安裝在網絡計算機用戶上���,并按照設計思路監視用戶操作行為,同時智能分析事件安全。從面向防護的對象可將主機安全審計系統分為系統安全審計�����、主機應用安全審計�、用戶行為審計��、移動數據防護審計等方面����。
四���、待解決的若干問題
計算機與信息系統廣泛使用���,如何加強對終端用戶計算機的安全管理成為一個急需解決的問題。這就需要建立一個信息安全體系,也就是建立安全策略體系��、安全管理體系和安全技術體系����。
保護網絡設備、設施、介質���,對操作系統、數據庫及服務系統進行漏洞修補和安全加固,對服務器建立嚴格審核。在安全管理上完善人員管理���、資產管理、站點維護管理、災難管理�、應急響應�����、安全服務、人才管理,形成一套比較完備的信息系統安全管理保障體系�����。
防火墻是保證網絡安全的重要屏障��,也是降低網絡安全風險的重要因素。VPN可以通過一個公用網絡建立一個臨時的���、安壘的連接,是一條穿過混亂的公用網絡的安全���、穩定的隧道。借助專業的防DDos系統��,可以有效的阻止惡意攻擊��。信息系統的安全需求是全方位的�、系統的����、整體的,需要從技術�、管理等方面進行全面的安全設計和建設���,有效提高信息系統的防護����、檢側���、響應�����、恢復能力�,以抵御不斷出現的安全威脅與風險����,保證系統長期穩定可靠的運行。嚴格的安全管理制度��,明確的安全職責劃分��,合理的人員角色定義,都可以在很大程度上減少網絡的安全隱患。
從戰略高度充分認識信息安全的重要性和緊迫性���。健全安全管理組織體系,明確安全管理的相關組織、機構和職責���,建立集中統一、分工協作�、各司其職的安全管理責任機制�����。為了確保突發重大安全事件時,能得到及時的響應和支援�,信息系統必須建立和逐步完善應急響應支援體系��,確保整個信息系統的安全穩定運行。
參考文獻:
[1]宋新月���,內部審計在經濟管理中的重要作用淺析[J],知識經濟,2009
周德銘我國“十一五”審計信息化發展動向��,電子政務����,2008�����,
馬永�����,淺談企業信息安全保障體系建設,計算機安全����,2007,
