随着信息技术的飞速发展，信息系统审计也越来越得到了各国审计部门的重视。近日，在读到美国审计署（简称为GAO）对国家税务局（简称为IRS）2012和2011财年信息系统审计报告时，联系自己的日常工作，有以下几点感触，与大家分享。
    
    一是设定了明确的审计目标。GAO对本次信息系统审计设定的目标是评估IRS的信息安全控制是否有效地保证了财务信息和敏感纳税人信息的私密性、完整性和实用性。IRS的信息系统规模较大，设定明确的目标使GAO可以更为深入的分析IRS系统的信息安全控制策略，以便发现其中存在的问题。在大型单位或者企业的信息系统规模庞大，往往受限于审计时间和人员数量的要求，难以开展对企业信息系统的全面审计。在审计初期，确定明确的目标，选取某一方面进行重点审计，能更好的利用现有的时间和人员资源，取得更好的效果。
    
    二是全面分析了IRS系统的安全控制策略。GAO对IRS系统安全控制的审查非常全面、细致，包括了系统的访问控制策略、应急处理计划和信息安全计划等各个方面。具体在对系统访问控制策略的审查时，又涉及到物理安全控制措施、数据加密技术、授权控制等诸多环节。例如在对数据加密技术的审查中，GAO认为IRS“在保护内部网络上传输的敏感信息方面，虽然加强了密码控制，但是其用户名、密码和数据仍继续频繁地在没有加密的情况下进行传送。甚至许多服务器习惯性地设置了较弱的密码，不能有效防止在传送过程中泄密”。对于信息系统安全而言，小疏忽往往会造成严重的泄密后果，所以严格细致的检查对于信息系统审计是必要的。
    
    三是提出的审计建议针对性强，关注整改。GAO在报告中提出的建议可执行性强，很多是针对发现的具体问题提出的整改意见。如其中有一条是要求IRS保证系统同一服务器上的多个数据库使用独立的用户账号。另外，GAO还关注对以前审计提出问题的整改，如在报告提到GAO以前给出118个与信息安全有关的审计建议中有58个已得到关注，其中有13个仍没有完全解决。
    
    通过读GAO的审计报告，可以深刻感受到GAO信息系统审计的专业性和严谨性。这也对我们今后信息系统审计工作的开展有着良好的借鉴作用。（王钧剑）

【关闭】    【打印】