发挥审计"免疫系统"功能 构筑信息系统安全屏障 抵御金融危机
张磊 王健兵(审计署上海特派办)
2008年以来,以美国次贷危机爆发为标识的金融危机迅速席卷全球,对各个国家的经济安全造成极大危害,同样也使得我国经济在改革开放以来面临罕见的重大挑战和严峻考验,经济运行发生重大波折和困难,国家整体金融安全和经济安全受到严重威胁。党中央和国务院在应对金融危机中,见事早、出手快、措施准、工作实,通过实施积极的财政政策和适度宽松的货币政策,取得良好的效果。但是,总结和反思国际金融危机的教训,研究国家审计如何发挥审计“免疫系统”功能作用在揭示和防范国家经济中存在的风险、维护国家经济安全发挥更大的作用,显得尤为重要。
一、抵御金融危机,信息化将发挥更大的作用同时也面临严峻的挑战
反思这次金融危机的教训,特别是金融危机对我国经济安全形成的安全威胁,我们清楚地认识到:市场经济越发展,对外交流越深入,经济全球化程度越高,信息化在保障国家经济稳定运行,抵御金融危机中占据越来越重要的位置。
1、 信息化有助于国家经济稳定运行,抵御金融危机
在金融危机爆发以后,应对危机比较主动,生存发展比较好的企业大体上多是具有创新能力的、拥有品牌的并且市场定位比较好的企业。信息化对企业的创新、品牌的确立、市场的开拓以及降低成本、提高效率等一系列和核心竞争力相关基本要素的形成具有重要作用。现代企业的竞争,从某种程度上来说就是信息资源的竞争,而信息资源既是共享资源,又是稀缺资源,企业要在拥有品牌优势、资本优势、市场优势的基础上,利用信息资源为决策和经营提供现代化服务。将信息化植入企业的生产、经营与管理当中,可以优化组织结构、管理链条和工艺,不仅能减少在经营过程中的人力、物力和资源的浪费,还可以实现企业的资源优化配置,降低消耗,提高效率和效益。更重要的是,借助信息化,企业还能尽早建立风险防范预案,将风险管理落到实处。
除此之外,信息化对抵御金融危机还有一个十分重要的作用,那就是宏观调控。在经济市场化、全球化程度越来越高的环境下,一个好的信息机制显得十分重要。现在回过头来看,金融危机的形成和发展,有一个十分重要的警示,就是以经济运行、市场运行相关的信息不足以支撑市场的调整和政府的宏观调控。所以信息化的发展将在稳定国家经济运行,抵御金融危机上发挥更大的作用。
2、 在金融危机环境下,信息化面临新的挑战
快速的产品设计和推广、丰富便捷的客户服务、智能化的管理平台是国内企业迎接新一轮更加严峻市场竞争的利器,而这些都需要强大的信息化支持作后盾。从国内企业的实际情况来看,要构建现代化、国际化的IT运营平台,面临着种种挑战。
首先是随着改革开放的深入发展和我国经济与全球的进一步接轨,我国原有企业的信息化不足以支撑经济发展的需求,要在新一轮严峻的市场竞争中脱颖而出,企业需要大力发展信息化。以我国信息化程度普遍较高的银行业来看,近年来,我国金融市场空前繁荣,证券、基金等理财服务呈爆炸式增长,给银行原有的信息系统造成了巨大的压力。银行业的信息系统相对新业务发展相对滞后,很多新业务的发展缺乏信息系统的有效支撑。在激烈的市场竞争中企业只有大力地研发新技术、新产品、新方法,提供高效、快捷的服务,才能体现出存在的价值。同时,客户需求的多样化对企业信息化提出了更高的要求。随着客户需求的多样化,客户对产品及服务的要求已从单一实用目标向个性组合的多重目标发展,不同的客户具有不同的行业背景、财务状况、信用品质,对产品、服务有不同要求,这就要求企业要为他们单独设计、“量体定做”,以满足不同的需求。
其次是信息安全问题在金融危机中更加凸显。在金融危机中,一方面是针对企业信息、个人信息窃取的黑客事件增多,黑客通过信息系统入侵窃取信息的报道时有出现;另一方面,在金融危机的恶劣环境的逼迫下,有些企业的员工会经不住利益的诱惑,将公司的商业机密出卖给竞争对手。更有甚者,为报复企业的裁员行为,被裁员工可能会将客户信息、技术文档、设计图纸、财务报表等商业机密删除或恶意破坏。除了员工,各大企业也使出了浑身解数来抢占市场份额,恶意挖人、商业窃密等事件屡见不鲜。企业信息安全的重要性越来越得到人们的认同,信息安全不仅会影响到企业的发展,同样也会对国家的经济安全形成威胁。2009年发生的力拓间谍案可见一斑,在中国保密局某官员撰写的文章中称:力拓的商业间谍行为让中国蒙受了巨大经济损失,其中涉及国际市场上的原材料购买、知识产权等各个方面,其经济损失额度相当于澳大利亚国内生产总值10%,达7000亿元人民币。
二、 维护国家经济安全,积极开展信息系统安全审计
信息技术的发展使得它在国家经济活动中得到越来越多的应用,相应地,由于一些信息系统的安全措施不到位,使得涉及国家安全、经济安全相关信息泄漏的威胁也日益增加,进而对国家经济安全、国家安全形成威胁。因此,作为国家审计,在应对金融危机中要充分发挥“免疫系统”功能作用,必须要加大信息系统安全审计,切实维护国家经济安全。
1、 信息系统安全审计的本质即维护国家经济安全
信息系统安全审计是信息系统审计的一个重要组成部分。根据信息系统审计专家Ron Weber的说法:信息系统审计是通过收集和分析相关信息,以评价一个计算机信息系统及其数据的安全可靠程度,系统工作的有效性和系统的资源利用率的过程。从这个说法我们可以看出,“四性”是信息系统审计必须关注的方面,即信息系统资的可靠性、信息系统中数据的完整性、信息系统的有效性和信息系统的效率性。而信息系统安全审计正是评价信息系统安全控制在识别、防范各种安全威胁,保护信息系统资源和数据完整性中发挥作用,帮助被审计单位信息系统在一个更加安全、可靠的环境下运行,保障被审计单位信息安全,抵御金融危机。同时,信息系统安全审计也是安全审计的一个重要内容,随着国家安全意识的逐步提高,对于国防、金融、环保安全愈发的重视,而作为这些安全的基础支撑,信息系统安全审计应当成为安全审计中的重要部分。因此,信息系统安全审计的本质就是维护国家经济安全。
2、 信息系统安全审计的目标
信息系统安全审计的目标应当与国家审计的本质一致。国家审计的本质是国家社会经济运行的“免疫系统”,因此信息系统安全审计的最高目标就是充分发挥“免疫系统”功能作用,其主要任务就是维护国家安全和国家利益。同时,信息系统安全审计的目标在不同组织方式下表现也不同。信息系统安全审计如果不是独立立项,而是作为常规审计的一部分,那么信息系统安全审计的目标就是服务于整个审计目标,对于审计数据的真实性和完整性进行评价;如果信息系统安全审计是独立立项,那么信息系统安全审计的目标就是提高信息系统的安全,对于信息系统资源的保护、信息系统数据的完整性以及信息系统在识别、防范各种安全威胁方面进行评价。但是,不管信息系统安全审计的目标表现为什么,它从本质上都是一致的,就是维护被审计单位的信息系统可靠、安全运行。这使得企业在面临金融危机冲击的环境下,更加有效得利用信息化来保障企业更具有竞争力,从而在严峻的市场竞争中脱颖而出。
3、 信息系统安全审计的功能
信息系统安全审计应发挥以下几个功能,一是预防功能,即通过开展信息系统安全审计,发现被审计单位信息系统存在的隐患和漏洞,将可能利用信息系统这些隐患给被审计单位造成损害的风险控制在最小范围;二是介入功能,即在发现隐患和漏洞后,积极介入“治疗”,堵塞漏洞,消除隐患;三是分析功能,即全面分析隐患和漏洞形成的原因,是由于硬件配备不到位,或是管理制度存在空白点,还是人员安全意识差,在分析原因的基础再发挥其建设功能;四是建设功能,针对隐患和漏洞产生的原因,补章建制,加强管理,真正发挥审计“免疫系统”功能。通过信息系统安全审计,切实提高企业抵御金融危机的能力。
4、信息系统安全审计的范围
在当前,国家审计应该从抵御金融危机的角度出发确定信息系统安全审计的范围,一是要选择与抵御金融危机密切相关并且被审计单位业务对信息系统依赖程度高的企业,只有企业的经济活动与其信息系统关系密不可分的情况下,其信息系统的重要程度才会越突出,而这也正是国家审计开展信息系统安全审计必须重点关注的对象。比如海关、银行、保险类企业,又比如在国家经济生活中占非常重要位置的央企等;二是要根据国家信息系统安全保护等级来选择。国家信息系统安全保护等级是根据国务院《中华人民共和国计算机信息系统安全保护条例》和公安部《计算机信息系统安全保护等级划分准则》对计算机信息系统实行的分级、分类。在开展信息系统安全审计时,应对信被审计单位中息系统安全保护等级定级高的信息系统重点开展审计。
三、 采取多种手段,大力开展信息系统安全审计
目前,我国国家审计在信息系统安全审计方面还处于起步阶段,面临不少困难,特别是在金融危机冲击下,通过审计,有效迅速帮助企业提高信息系统安全性、可靠性还需要采取一些措施,加快信息系统安全审计的发展:
1、加大宣传,增强信息系统安全审计认识
金融危机的到来,使得人们对于企业的信息化有了新的认识。越来越多的人们认识到,开展企业信息化,有助于企业增强核心竞争力,从而能够更早地从金融危机中恢复过来。正是基于这种情况,国家审计开展信息系统安全审计的需求就显得很紧迫,也很必要。但是,在一个更广泛的层面,信息系统安全审计还没有引起人们的共识,一些审计人员和被审计单位还停留在以前的认识阶段,对于开展信息系统安全审计,维护国家安全的认识还不统一。导致在推动开展信息系统安全审计方面,积极性不高,投入不够。因此,有必要加大宣传解释力度,提高社会对于信息系统安全审计的认识。同时,在全面审计的基础上,突出重点,找到一些信息系统安全审计的突破口,进行信息系统安全审计的探索,如在海关、银行以及大型企业等信息系统较完备,业务对信息系统依赖较大的单位进行信息系统安全审计的试点。
2、加强立法,加快配套法律法规支持力度
我们现在开展计算机审计通常依据是《中华人民共和国审计法》、《中华人民共和国审计法实施条例》和《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》(国办发[2001]88号)等法律法规。但是,这些法律法规只规定了被审计单位提供电子数据,对于和业务紧密联系的信息系统审计没有做出较明确的规定,在实际审计过程中,被审单位常以各种理由拒绝审计机关对信息系统进行更深入的检查,尤其是在信息系统安全性方面,由于涉及内容较为敏感,开展信息系统安全审计的难度更大。但是,国家审计要切实有效发挥“免疫系统”功能,抵御金融危机,保障国家经济平稳运行,必须进行企业的信息系统审计特别是信息系统安全审计。因此,国家立法机构应加强对信息系统审计的相关立法,出台更为明确的法规以支持信息系统安全审计工作的开展。
3、研究制定信息系统安全审计的操作指南和评价标准
有很多国际上开展信息系统安全审计的规定可以借鉴,如2002年美国通过的《2002年公众公司会计改革和投資者保护法案》,即我们熟知的萨班斯-奥克斯法案,美国国家标准和技术研究院发布的NIST-SP800系列标准,ISO组织提出的《信息技术—信息安全管理业务规范》(ISO/IEC17799标准)等,这些规定都比较明确的提出了开展信息系统安全审计的基准和指南。在我国,近年来也纷纷出台了一系列如《计算机信息系统安全保护等级划分准则》,《信息安全技术—信息系统通用安全技术要求》等技术标准。但在信息系统安全审计实践中,这些标准的可操作性还有待提高。审计署应联合相关部门,在研究中国实际情况的基础上,借鉴国外的先进经验,制定出符合中国国情的信息系统安全审计标准和指南,以进一步开展好信息系统安全审计。同时,在信息系统安全审计评价标准方面,可以借鉴COBIT模型的三维结构体系,建立信息系统安全的五维分析法,即从信息系统硬件安全、信息系统软件安全、信息系统运行安全、人员体系安全和制度体系安全等五个维度入手进行信息系统安全审计,每个维度再细分成不同子维度并根据子维度不通的重要性设置不同权重。在对一个信息系统进行安全审计时,分别对每个维度进行评估打分,然后按照各自权重计算总分来综合评价该信息系统的安全状况。
4、加快信息系统审计专业人才的培养
开展信息系统安全审计,需要熟悉、精通审计专业和计算机专业的高端复合型人才。一是要精通审计,熟悉审计原理和审计实务;二是要掌握相关的信息安全技术,如计算机技术,数据库技术、网络技术等知识的复合型人才。从国家审计机关目前人员现状来看,这方面的人才相当匮乏。
5、加强对审计人员的培训,规避开展信息系统安全审计本身存在的相应风险
常规的数据式审计中,审计人员将被审计单位提供的电子数据整理导入审计软件中进行审计分析,避免了直接操作被审计单位信息系统,也就避免了会因此带来的审计风险。但信息系统安全审计不同,它评价的是信息系统在识别、防范各种安全威胁、保护信息系统资源和信息系统数据完整性方面的作用,因此很多操作需要直接接触被审计单位的信息系统,这会给审计带来一定的审计风险。比如在某电力企业审计过程中,其核心的电能量管理系统的安全保护等级被定义为4级,在检查其信息系统在识别、防范各种安全威胁方面的作用时,如果测试时间不当或者测试用例不完善,可能会导致该系统出现故障,影响其正常运行。因此,在开展信息系统安全审计时,一方面要做好相关准备,避免误操作引起的安全风险;另一方面加强人员培训,提高审计人员在信息系统安全审计方面的能力,规避审计风险。
总之,在全球都在抗击金融危机,纷纷采取各种有效措施来激励企业发展,以期尽快从金融危机中恢复过来的大环境下,信息系统安全工作显得尤为重要。国家审计机关要在实践中落实科学发展观,发挥“免疫系统”功能作用,就要积极探索、开展信息系统安全审计,切实维护国家经济安全,保障国家利益。(作者:张磊 王健兵 审计署上海特派办)
一、抵御金融危机,信息化将发挥更大的作用同时也面临严峻的挑战
反思这次金融危机的教训,特别是金融危机对我国经济安全形成的安全威胁,我们清楚地认识到:市场经济越发展,对外交流越深入,经济全球化程度越高,信息化在保障国家经济稳定运行,抵御金融危机中占据越来越重要的位置。
1、 信息化有助于国家经济稳定运行,抵御金融危机
在金融危机爆发以后,应对危机比较主动,生存发展比较好的企业大体上多是具有创新能力的、拥有品牌的并且市场定位比较好的企业。信息化对企业的创新、品牌的确立、市场的开拓以及降低成本、提高效率等一系列和核心竞争力相关基本要素的形成具有重要作用。现代企业的竞争,从某种程度上来说就是信息资源的竞争,而信息资源既是共享资源,又是稀缺资源,企业要在拥有品牌优势、资本优势、市场优势的基础上,利用信息资源为决策和经营提供现代化服务。将信息化植入企业的生产、经营与管理当中,可以优化组织结构、管理链条和工艺,不仅能减少在经营过程中的人力、物力和资源的浪费,还可以实现企业的资源优化配置,降低消耗,提高效率和效益。更重要的是,借助信息化,企业还能尽早建立风险防范预案,将风险管理落到实处。
除此之外,信息化对抵御金融危机还有一个十分重要的作用,那就是宏观调控。在经济市场化、全球化程度越来越高的环境下,一个好的信息机制显得十分重要。现在回过头来看,金融危机的形成和发展,有一个十分重要的警示,就是以经济运行、市场运行相关的信息不足以支撑市场的调整和政府的宏观调控。所以信息化的发展将在稳定国家经济运行,抵御金融危机上发挥更大的作用。
2、 在金融危机环境下,信息化面临新的挑战
快速的产品设计和推广、丰富便捷的客户服务、智能化的管理平台是国内企业迎接新一轮更加严峻市场竞争的利器,而这些都需要强大的信息化支持作后盾。从国内企业的实际情况来看,要构建现代化、国际化的IT运营平台,面临着种种挑战。
首先是随着改革开放的深入发展和我国经济与全球的进一步接轨,我国原有企业的信息化不足以支撑经济发展的需求,要在新一轮严峻的市场竞争中脱颖而出,企业需要大力发展信息化。以我国信息化程度普遍较高的银行业来看,近年来,我国金融市场空前繁荣,证券、基金等理财服务呈爆炸式增长,给银行原有的信息系统造成了巨大的压力。银行业的信息系统相对新业务发展相对滞后,很多新业务的发展缺乏信息系统的有效支撑。在激烈的市场竞争中企业只有大力地研发新技术、新产品、新方法,提供高效、快捷的服务,才能体现出存在的价值。同时,客户需求的多样化对企业信息化提出了更高的要求。随着客户需求的多样化,客户对产品及服务的要求已从单一实用目标向个性组合的多重目标发展,不同的客户具有不同的行业背景、财务状况、信用品质,对产品、服务有不同要求,这就要求企业要为他们单独设计、“量体定做”,以满足不同的需求。
其次是信息安全问题在金融危机中更加凸显。在金融危机中,一方面是针对企业信息、个人信息窃取的黑客事件增多,黑客通过信息系统入侵窃取信息的报道时有出现;另一方面,在金融危机的恶劣环境的逼迫下,有些企业的员工会经不住利益的诱惑,将公司的商业机密出卖给竞争对手。更有甚者,为报复企业的裁员行为,被裁员工可能会将客户信息、技术文档、设计图纸、财务报表等商业机密删除或恶意破坏。除了员工,各大企业也使出了浑身解数来抢占市场份额,恶意挖人、商业窃密等事件屡见不鲜。企业信息安全的重要性越来越得到人们的认同,信息安全不仅会影响到企业的发展,同样也会对国家的经济安全形成威胁。2009年发生的力拓间谍案可见一斑,在中国保密局某官员撰写的文章中称:力拓的商业间谍行为让中国蒙受了巨大经济损失,其中涉及国际市场上的原材料购买、知识产权等各个方面,其经济损失额度相当于澳大利亚国内生产总值10%,达7000亿元人民币。
二、 维护国家经济安全,积极开展信息系统安全审计
信息技术的发展使得它在国家经济活动中得到越来越多的应用,相应地,由于一些信息系统的安全措施不到位,使得涉及国家安全、经济安全相关信息泄漏的威胁也日益增加,进而对国家经济安全、国家安全形成威胁。因此,作为国家审计,在应对金融危机中要充分发挥“免疫系统”功能作用,必须要加大信息系统安全审计,切实维护国家经济安全。
1、 信息系统安全审计的本质即维护国家经济安全
信息系统安全审计是信息系统审计的一个重要组成部分。根据信息系统审计专家Ron Weber的说法:信息系统审计是通过收集和分析相关信息,以评价一个计算机信息系统及其数据的安全可靠程度,系统工作的有效性和系统的资源利用率的过程。从这个说法我们可以看出,“四性”是信息系统审计必须关注的方面,即信息系统资的可靠性、信息系统中数据的完整性、信息系统的有效性和信息系统的效率性。而信息系统安全审计正是评价信息系统安全控制在识别、防范各种安全威胁,保护信息系统资源和数据完整性中发挥作用,帮助被审计单位信息系统在一个更加安全、可靠的环境下运行,保障被审计单位信息安全,抵御金融危机。同时,信息系统安全审计也是安全审计的一个重要内容,随着国家安全意识的逐步提高,对于国防、金融、环保安全愈发的重视,而作为这些安全的基础支撑,信息系统安全审计应当成为安全审计中的重要部分。因此,信息系统安全审计的本质就是维护国家经济安全。
2、 信息系统安全审计的目标
信息系统安全审计的目标应当与国家审计的本质一致。国家审计的本质是国家社会经济运行的“免疫系统”,因此信息系统安全审计的最高目标就是充分发挥“免疫系统”功能作用,其主要任务就是维护国家安全和国家利益。同时,信息系统安全审计的目标在不同组织方式下表现也不同。信息系统安全审计如果不是独立立项,而是作为常规审计的一部分,那么信息系统安全审计的目标就是服务于整个审计目标,对于审计数据的真实性和完整性进行评价;如果信息系统安全审计是独立立项,那么信息系统安全审计的目标就是提高信息系统的安全,对于信息系统资源的保护、信息系统数据的完整性以及信息系统在识别、防范各种安全威胁方面进行评价。但是,不管信息系统安全审计的目标表现为什么,它从本质上都是一致的,就是维护被审计单位的信息系统可靠、安全运行。这使得企业在面临金融危机冲击的环境下,更加有效得利用信息化来保障企业更具有竞争力,从而在严峻的市场竞争中脱颖而出。
3、 信息系统安全审计的功能
信息系统安全审计应发挥以下几个功能,一是预防功能,即通过开展信息系统安全审计,发现被审计单位信息系统存在的隐患和漏洞,将可能利用信息系统这些隐患给被审计单位造成损害的风险控制在最小范围;二是介入功能,即在发现隐患和漏洞后,积极介入“治疗”,堵塞漏洞,消除隐患;三是分析功能,即全面分析隐患和漏洞形成的原因,是由于硬件配备不到位,或是管理制度存在空白点,还是人员安全意识差,在分析原因的基础再发挥其建设功能;四是建设功能,针对隐患和漏洞产生的原因,补章建制,加强管理,真正发挥审计“免疫系统”功能。通过信息系统安全审计,切实提高企业抵御金融危机的能力。
4、信息系统安全审计的范围
在当前,国家审计应该从抵御金融危机的角度出发确定信息系统安全审计的范围,一是要选择与抵御金融危机密切相关并且被审计单位业务对信息系统依赖程度高的企业,只有企业的经济活动与其信息系统关系密不可分的情况下,其信息系统的重要程度才会越突出,而这也正是国家审计开展信息系统安全审计必须重点关注的对象。比如海关、银行、保险类企业,又比如在国家经济生活中占非常重要位置的央企等;二是要根据国家信息系统安全保护等级来选择。国家信息系统安全保护等级是根据国务院《中华人民共和国计算机信息系统安全保护条例》和公安部《计算机信息系统安全保护等级划分准则》对计算机信息系统实行的分级、分类。在开展信息系统安全审计时,应对信被审计单位中息系统安全保护等级定级高的信息系统重点开展审计。
三、 采取多种手段,大力开展信息系统安全审计
目前,我国国家审计在信息系统安全审计方面还处于起步阶段,面临不少困难,特别是在金融危机冲击下,通过审计,有效迅速帮助企业提高信息系统安全性、可靠性还需要采取一些措施,加快信息系统安全审计的发展:
1、加大宣传,增强信息系统安全审计认识
金融危机的到来,使得人们对于企业的信息化有了新的认识。越来越多的人们认识到,开展企业信息化,有助于企业增强核心竞争力,从而能够更早地从金融危机中恢复过来。正是基于这种情况,国家审计开展信息系统安全审计的需求就显得很紧迫,也很必要。但是,在一个更广泛的层面,信息系统安全审计还没有引起人们的共识,一些审计人员和被审计单位还停留在以前的认识阶段,对于开展信息系统安全审计,维护国家安全的认识还不统一。导致在推动开展信息系统安全审计方面,积极性不高,投入不够。因此,有必要加大宣传解释力度,提高社会对于信息系统安全审计的认识。同时,在全面审计的基础上,突出重点,找到一些信息系统安全审计的突破口,进行信息系统安全审计的探索,如在海关、银行以及大型企业等信息系统较完备,业务对信息系统依赖较大的单位进行信息系统安全审计的试点。
2、加强立法,加快配套法律法规支持力度
我们现在开展计算机审计通常依据是《中华人民共和国审计法》、《中华人民共和国审计法实施条例》和《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》(国办发[2001]88号)等法律法规。但是,这些法律法规只规定了被审计单位提供电子数据,对于和业务紧密联系的信息系统审计没有做出较明确的规定,在实际审计过程中,被审单位常以各种理由拒绝审计机关对信息系统进行更深入的检查,尤其是在信息系统安全性方面,由于涉及内容较为敏感,开展信息系统安全审计的难度更大。但是,国家审计要切实有效发挥“免疫系统”功能,抵御金融危机,保障国家经济平稳运行,必须进行企业的信息系统审计特别是信息系统安全审计。因此,国家立法机构应加强对信息系统审计的相关立法,出台更为明确的法规以支持信息系统安全审计工作的开展。
3、研究制定信息系统安全审计的操作指南和评价标准
有很多国际上开展信息系统安全审计的规定可以借鉴,如2002年美国通过的《2002年公众公司会计改革和投資者保护法案》,即我们熟知的萨班斯-奥克斯法案,美国国家标准和技术研究院发布的NIST-SP800系列标准,ISO组织提出的《信息技术—信息安全管理业务规范》(ISO/IEC17799标准)等,这些规定都比较明确的提出了开展信息系统安全审计的基准和指南。在我国,近年来也纷纷出台了一系列如《计算机信息系统安全保护等级划分准则》,《信息安全技术—信息系统通用安全技术要求》等技术标准。但在信息系统安全审计实践中,这些标准的可操作性还有待提高。审计署应联合相关部门,在研究中国实际情况的基础上,借鉴国外的先进经验,制定出符合中国国情的信息系统安全审计标准和指南,以进一步开展好信息系统安全审计。同时,在信息系统安全审计评价标准方面,可以借鉴COBIT模型的三维结构体系,建立信息系统安全的五维分析法,即从信息系统硬件安全、信息系统软件安全、信息系统运行安全、人员体系安全和制度体系安全等五个维度入手进行信息系统安全审计,每个维度再细分成不同子维度并根据子维度不通的重要性设置不同权重。在对一个信息系统进行安全审计时,分别对每个维度进行评估打分,然后按照各自权重计算总分来综合评价该信息系统的安全状况。
4、加快信息系统审计专业人才的培养
开展信息系统安全审计,需要熟悉、精通审计专业和计算机专业的高端复合型人才。一是要精通审计,熟悉审计原理和审计实务;二是要掌握相关的信息安全技术,如计算机技术,数据库技术、网络技术等知识的复合型人才。从国家审计机关目前人员现状来看,这方面的人才相当匮乏。
5、加强对审计人员的培训,规避开展信息系统安全审计本身存在的相应风险
常规的数据式审计中,审计人员将被审计单位提供的电子数据整理导入审计软件中进行审计分析,避免了直接操作被审计单位信息系统,也就避免了会因此带来的审计风险。但信息系统安全审计不同,它评价的是信息系统在识别、防范各种安全威胁、保护信息系统资源和信息系统数据完整性方面的作用,因此很多操作需要直接接触被审计单位的信息系统,这会给审计带来一定的审计风险。比如在某电力企业审计过程中,其核心的电能量管理系统的安全保护等级被定义为4级,在检查其信息系统在识别、防范各种安全威胁方面的作用时,如果测试时间不当或者测试用例不完善,可能会导致该系统出现故障,影响其正常运行。因此,在开展信息系统安全审计时,一方面要做好相关准备,避免误操作引起的安全风险;另一方面加强人员培训,提高审计人员在信息系统安全审计方面的能力,规避审计风险。
总之,在全球都在抗击金融危机,纷纷采取各种有效措施来激励企业发展,以期尽快从金融危机中恢复过来的大环境下,信息系统安全工作显得尤为重要。国家审计机关要在实践中落实科学发展观,发挥“免疫系统”功能作用,就要积极探索、开展信息系统安全审计,切实维护国家经济安全,保障国家利益。(作者:张磊 王健兵 审计署上海特派办)
| 【关闭】 【打印】 |
