外審員信息安全
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇外審員信息安全范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
外審員信息安全范文第1篇
隨著中國國際航空股份有限公司(以下簡稱“國航”)信息系統建設的飛速發展,在2008年北京奧運會的安全保障工作中,安全不再只是空防安全和飛行安全,信息安全也已經成為奧運安保的重要環節,并被納入國航及信息管理部的年度重點工作之中。
在此背景下,國航與IBM公司合作啟動了信息安全規劃咨詢項目,它旨在為國航信息安全體系建設打下堅實的理論基礎。同時,國航也通過該項目完成了未來3~5年信息安全建設的發展規劃,建立了信息安全管理體系,并最終于2009年5月26日通過了ISO27001信息安全管理體系國際認證,使國航成為國內民航業第一家獲得IS027001國際認證的單位。
與飛行安全一樣重要
由于信息化建設已經深入到國航業務的各個角落,所以,幾乎所有業務都與信息技術相關,特別是涉及到客戶信任度的商務及財務方面更是如此。因此,在國航未來的發展戰略中,信息安全已經占據了越來越重要的位置。現在,公司上下已經形成一個共識:打造信息安全管理體系這張保護網,就像確保飛行安全一樣重要。
基于這樣一個共識,我們從國航的業務愿景出發,引導出了國航的信息安全愿景,即國航需要建立起一個成熟的、具備國際水平的信息安全保障體系,這個保障體系第一要保證國航的核心業務不中斷,第二要保障國航信息系統不被攻擊,第三要保障重要的客戶信息不被泄漏,通過一個全方位的安全保障體系為國航的業務愿景保駕護航。
雖然現在已獲得了ISO27001國際認證,但國航的信息安全建設經歷了一個漫長的過程,大致可以分為四個階段:
第一個階段是在2006年以前,當時信息系統對于國航的支撐力度相對有限,同時從整個業界來看,的安全威脅還不是很明顯,所以,信息安全建設的特點是以零星建設和被動建設為主。
第二個階段是2007~2008年,隨著國航核心系統逐步投入運行,以及北京奧運會的臨近,的安全風險不斷增加,這是,國航開始針對性地對重點領域搭建技術防護措施。
第三個階段是從2008年開始,隨著國航對自身信息安全認識的不斷深入,國航按照Is02700 L的標準,建立起了信息安全的管理體系。同時,還啟動了全面的信息系統戰略規劃,根據國際最佳實踐并結合國航的特色,制定了未來3~5年信息安全技術平臺建設的藍圖和路徑。自此,國航整個信息安全建設有了一個更加科學和更加明細的路線圖。
搭建“安全翹翹板”
整體而言,國航的信息安全體系主要是以IT基礎架構和安全技術架構為基礎,通過信息安全組織與人員對業務邏輯的準確理解和制度流程的有效執行,實現完整的信息安全管理過程。
應該說,信息安全體系是一個非常復雜的體系。業界有個說法叫“安全翹翹板”,這個翹翹板主要是在IT基礎結構的基礎上,包括三方面內容:一是技術平臺,二是組織和人員,三是制度和流程,通過這三方面的有效執行,從而構成信息安全體系。另外,還要加上安全的管理架構和技術架構,最后和業務邏輯結合起來,這樣才能構成一個完整的信息安全體系。
目前,依據ISO27001標準,國航建立了包含三個一級方針,三十一個二級規章的信息安全管理策略體系。通過信息安全管理策略體系的建立、北京奧運會期間的整改措施以及1S02700I外審督促,國航的管理體系評測水平不斷提升,其中體系評價范圍從運行維護中心到全信息管理部,IS027001中要求的十一個領域都有大幅提高。
在技術平臺建設方面,國航針對一些緊迫性問題做了針對性的部署。比如網絡安全架構不清晰、來自互聯網的威脅日益增加、防護能力偏弱、用戶行為控制存在漏洞、系統服務器安全性不足等問題,國航不但劃分了安全領域,還部署了防DOS攻擊、入侵檢測、入侵防御等設備,另外,在重點用戶單位引入終端安全管理,利用弱點掃描工具發現系統漏洞等技術措施,配合各項管理措施,很好地完成了北京奧運信息安全保障工作。
在信息安全管理體系建立過程中,國航還特別成立了公司級的信息安全管理委員會,落實了信息安全管控中心職能,借鑒國際最佳實踐的功能劃分,采用兩級管控機制,在對組織機構不做大調整的情況下落實了安全管理責任。
國航ISO27001信息安全管理體系策略文件于2008年底正式,并組織了近200人次的信息安全培訓,采用自評結合復核為主的審查方式定期對體系文件的貫徹和執行情況進行了解。通過內部認證培訓,培養了專兼職質量安全員34人,以承擔未來各部門的安全內審職責。
納入安全運行標準體系
正如國航副總裁賀利所說,通過ISO27001國際認證,并不代表國航的信息安全工作已經做到位,而是意味著信息安全工作開始起步,后面需要完善的工作還有很多。
因此接下來,國航首先將不斷對現有管理體系的操作細則進行完善,進一步細化信息安全管理域成熟等級評價機制,在IBM公司提出的四級評價基礎上,針對國航實際情況再進行細分,持續強化規章的定期評審機制,同時要求所有部分在編寫自身業務指導書時落實信息安全規章。
另外,信息管理郝還將和國航相關部門一起建立基于崗位信息資源的管控機制。以后國航每一個崗位上的工作人員,可以訪問什么樣的內容,能夠訪問多大的資源,都和崗位密切結合起來,這樣就能使信息安全的控制預先做好相應的防控。
在技術平臺方面,國航將依照既定的信息安全建設規劃,在未來三年內,分步在用戶身份與信任憑證管理、訪問控制、信息流控制、完整性保護、安全監控與審計五大安全服務領域增加功能組件,建立起符合國航的、完整的信息安全技術平臺。
外審員信息安全范文第2篇
巧合的是,當天有媒體報道了我國30省份至少有275位艾滋病感染者個人信息遭泄露的事件。犯罪分子在詐騙電話中能準確地描述出病患的個人信息,包括真實姓名、身份證號、聯系方式、戶籍信息、確診時間、隨訪的醫院或區縣疾控等等,并謊稱能為病患辦理補助而需要收取不菲的手續費。中國疾病預防控制中心相關負責人于7月17日表示,國家艾滋病感染者相關信息系統被列為國家網絡信息重點安全保護對象,目前已經報案,將積極配合公安部門盡快破案。此事還引起了世界衛生組織駐華代表處和聯合國艾滋病聯合規劃署駐華代表處的關注。7月18日,兩家代表處聯合發表聲明,強調“加強現有系統以杜絕類似信息入侵事件再次發生,至關重要”。
國家對于健康醫療大數據的安全十分重視,據統計,《意見》中,“安全”這個詞出現了33次。而此次疑似真實發生的醫療數據安全事件,成為“安全是核心基礎”的最佳注腳。
他山之石,可以攻玉
――英國健康醫療數據安全的審查和建議
不止我們,許多其他國家也發生了一系列事件,向全世界宣告了他們對健康醫療數據安全的關切。在英國,國家醫療服務體系(National Health Service, NHS)于2016年7月6日做出停止care.data健康醫療大數據平臺的決定中,“安全”即是重要原因之一。
在很大程度上,NHS決定關閉care.data,是基于7月6日的兩份評估報告。第一份報告《安全的數據,安全的醫療》(“Safe Data, Safe Care”)由英國醫療質量委員會(Care Quality Commission,CQC)。醫療質量委員會是英格蘭健康和社會醫療的獨立監管機構,其職責是監控、檢查和評價醫療服務,促進醫療服務符合標準規范以保證其質量和安全。作為獨立第三方,CQC經常地區、國家級的健康和社會醫療質量報告。2015年9月,受英國衛生大臣委托,CQC對NHS處理病人敏感數據過程的安全現狀進行審查,并提出改進數據安全的建議。
第二份報告《對數據安全、同意和選擇退出的審查》(“Review of Data Security, Consent and Opt-Outs”)是由英國“國家健康和醫療數據守護者”(National Data Guardian for Health and Care, NDG)。2015年9月,英國衛生大臣也委托其與CQC緊密合作,共同提出新的數據安全標準、測評數據安全合規的新方法,以及獲取同意共享數據的新模式。在英國,NDG由衛生大臣任命,其主要職責是確保公眾能夠信任醫療健康系統將保護個人信息,以及個人信息將被用于提高健康醫療水平。
CQC和NDG在對533起數據安全事故調查后發現,大多數事故與紙質的醫療記錄相關,且80%到90%的數據安全事故是因為工作人員的習慣無意之中引起的,比如點擊了不安全的鏈接、丟失了存儲數據的介質等。但是隨著醫療信息系統的普及、數據的逐步集中化及對公眾開放訪問入口,如果不提升安全防護水平,更嚴重、更大規模數據泄露的風險將會增加。綜合CQC和NDG的報告,英國NHS數據安全工作中存在以下問題:
首先,雖然很多機構都建立了數據安全方面的策略與規程,但并沒有在日常工作中得到有效實施,很多機構只依賴策略和規程,而不是通過檢測驗證系統是否足夠安全,也未要求其供應商也遵循同樣的管理措施。
其次,NHS的絕大部分工作人員認可數據安全的重要性,但是培訓質量參差不齊,有些機構培訓覆蓋面不夠,未涉及合同商、數據共享方、臨時員工等,有些機構未將安全事故經驗作為培訓內容的重要參考。
再次,機構往往不清楚如何從目前存在的大量安全標準中選取合適的參考,許多機構很少去學習其他機構保護數據安全的做法,也很少請外部第三方機構做專業的安全測評。
針對上述問題,CQC和NDG提出的建議簡要概括如下:第一,每個機構的領導應該明確數據安全的責任人和其職責,類似于組織醫療事務和財務的管理和問責制度,包括建立有效的內審機制,必要時進行外審以驗證安全措施有效性,對惡意類數據安全事件進行嚴厲處罰等;第二,所有的工作人員應該獲得足夠的資源,包括正確的信息、工具、培訓等,以便于他們履行數據安全處理和共享的職責;第三,IT系統和所有的安全協議都應該按照實際的病人治療過程和一線工作人員的需求進行設計;第四,應該按照新的數據標準要求設計自評估系統,并選取優秀的案例供其他機構進行同步學習;第五,NHS應該修改通用財務合同模板,確保各機構能夠落實數據安全標準,地方機構和供應商簽署的合同也應有相應的條款,當供應商無法滿足安全要求時不應與其續簽合同。
雖然NHS以及care.data計劃在數據安全管理方面受到詬病,但從以上審查結果中不難看出,英國作為健康和醫療大數據集中應用的先行者,已經在數據安全方面做了很多有價值的工作,比如配套的法律法規、標準規范,任命了專門的數據保護官員,建立了獨立的監管和審計機構,建立了數據安全風險管理的信息系統等。
但是,由于健康和醫療數據的高度敏感性,對其進行集中存儲和管理后,一方面會引起惡意人員的高度關注,另一方面一旦發生數據泄露其影響面非常廣,對于每個病人來說其后果很難挽回;因此,健康醫療數據的安全工作可謂難上加難,即便英國具備一定的基礎,其數據安全治理也未在一開始取得理想的效果,但從近期頻繁的安全審查中可以看出,英國政府建立的數據安全監督機構、數據保護官等正在發揮積極作用,正視已出現的問題并提出注重實效的解決方案,以重新贏回公眾的信任。
善治病者,必醫其受病之處
――我國健康醫療數據安全形勢嚴峻
早在2013年底,國家衛生和計劃生育委員會就了《關于加快推進人口健康信息化建設的指導意見》,提出在“十三五”期間將大力推動全國人口健康信息大平臺的建設。從安全需求上來說,這個信息平臺一是將承載全國13億公民的人口、健康、醫療等隱私信息,數據保密性要求高;二是將提供公民個人醫療保障、診療等信息化服務不能中斷,業務連續性要求高;三是將為國家衛生計生行業未來發展提供決策依據,信息容錯率要求高。然而目前,我國在健康醫療數據安全保障方面情況堪憂,行業整體安全態勢趨于嚴峻。主要問題包括:
首先,行業合并導致底數不清。衛生、計生行業合并時間并不算太長,業務層面的整合已初步實現,但數據層面的整合尚屬起步階段,在實際執行過程中易滋生死角盲區。從網上已公開的醫療行業信息安全事件中不難發現,絕大多數安全事件的第一步突破點來自于安全管控體系的“法外之地”。
其次,行業信息安全人才與經費保障缺口較大。據不完全統計,醫療行業2015年整體信息化建設資金超過300億,但信息安全投入不足6億,占比不足2%,而對于有較高安全保障要求的行業,安全占比普遍超過10%;在人才隊伍方面,專業信息安全從業人員嚴重缺失,許多機構甚至出現“身著白大褂的大夫在看病之余兼職管安全”的狀況。
再次,缺乏具備行業特色的信息安全指導框架。健康醫療行業特殊性較高,目前行業雖然已推行國家信息安全等級保護要求,但尚未建設具備行業業務特點的信息安全保障體系,也沒有專門的行業信息安全技術標準,不利于有針對性地開展安全防護工作。
第四,行業網絡涉及面廣,不易管控。我國醫療衛生機構總數已超百萬,以藥品方面為例,我國有6000多家化學制藥企業,藥品經營流通企業17000多家,而作為世界制藥大國的美國,才分別為200多家和50多家。超大規模、超復雜接入對構建安全的衛生計生網絡來說,難度巨大。
另外,不易樹立行業信息安全標桿。全國醫療信息化及軟件生產供應商達數百家。以行業龍頭東軟集團為例,其擁有的市場份額不足5%,離散化的分布導致安全的最佳實踐無法快速復制推廣,在現有保障能力下也很難做到“避輕就重”“抓大放小”。
外審員信息安全范文第3篇
一、農機監理電子檔案所包括的主要內容
農機監理電子檔案主要包括全市拖拉機及駕駛員電子檔案、外省籍駕駛證及拖拉機登記電子檔案。采用的是浙江省農機監理業務系統軟件,整個軟件分為牌證受理崗、牌證管理崗、考試崗和檔案管理崗四個崗位。在一崗中主要進行拖拉機注冊登記、轉入登記、變更登記、轉移登記、抵押登記、注銷登記、拖拉機變更備案、補換牌證、換發牌證等牌證受理業務。同時還進行拖拉機駕駛證初次受理、增駕受理、轉入受理、其他業務受理、管理崗、違法行為記分、駕駛證注銷等業務。在二崗中,主要對一崗中受理的拖拉機及駕駛員檔案業務進行管理送審,屬于牌證管理崗的范疇。在三崗中,主要為考試崗,對于在二崗中拖拉機駕駛員初次受理和增駕受理的人員進行科目一、二、三、四的考試,并給予考試評分,只有通過科目一、二、三、四的拖拉機駕駛員才可在二崗里核發拖拉機駕駛證。在四崗中,主要是檔案管理崗,主要為拖拉機及駕駛員檔案歸案、檔案查詢、檔案更正、檔案增補及對已被注銷的拖拉機及駕駛員檔案的高級查詢。農機監理電子檔案的應用,可以迅速和準確地計算出全市拖拉機及駕駛員在冊的擁有量、年檢年審的情況、農機事故的統計數據和外省籍駕駛證及拖拉機的登記情況,給農機監理工作帶來了很多便利,大大提高了工作效率。
二、影響農機監理電子檔案安生性的不利因素
1.檔案安全保護意識薄弱
檔案安全保護教育不普遍,檔案安全意識淡薄,缺乏安全風險意識,突出表現在檔案網絡工作“安全第一、預防為主”的意識不強。檔案服務及利用人員由于網絡安全防護技術較低和安全防護意識不高,造成的無意侵權或電子檔案光盤存儲的選擇等問題,都給農機監理電子檔案的安全保管帶來威脅。
2.計算機軟硬件的設備故障
由于農機監理的電子檔案一般不能直接利用,它的形成和處理與利用均需借助計算機軟硬件設備的支持才能實現。而計算機系統是由許多部分組成,每個部分的薄弱環節都極易遭到破壞。如:數據易被誤輸;應用軟件易被篡改或盜用;硬件設備中的芯片和電子線路易被損壞等。這些故障的發生都有可能導致農機監理電子檔案的丟失或破壞,從而對農機監理造成不可挽回的損失。
3.電子檔案存儲載體的保護技術問題
農機監理電子檔案的載體材料是磁性物質和光盤。聚酯底基是磁盤和磁帶的支持體,它具有易產生靜電而吸引塵埃導致卷曲、易與磁粉脫離、伸長后不易恢復等缺點。粘和劑起著連接底基和磁粉的作用,它具有易熱脹冷縮、磨損、脫落、粘連、生霉等缺點,直接影響信息再現。并且磁粉中的磁性氧化物顆粒的剩磁感應強度是記錄和再現信息的決定因素,它極易受外磁場的影響而導致退磁、消磁等。目前光盤常用的介質主要有碲、碲合金、硒、碳鋁化合物以及一些在激光熱效應作用下易產生物化性質變化的材料,這些材料不穩定,易氧化,易與堿溶液發生反應。因此,電子檔案載體材料的這些特點,決定了農機監理電子檔案容易受外部環境的影響。
4.計算機病毒與黑客的攻擊
計算機病毒已成為當今破壞計算機操作系統的頭號殺手,它是一種特殊的具有破壞力的計算機程序,具有自我復制能力,會以各種方式和途徑攻擊計算機系統的應用軟件和數據庫以及硬件設備,并可通過非授權入侵在可執行程序或數據文件中,從而造成電子文檔的破壞或系統的癱瘓。此外,有些計算機黑客也利用電腦網絡進行犯罪活動,他們伺機尋找系統和軟件方面的某些缺陷來攻擊,通過破譯口令與密碼而獲取使用權限。非法訪問、刪除或修改某些重要電子文檔,使文件所有者和利用者均遭受巨大損失。
三、加強農機監理電子檔案安全管理的相應對策
1.加強電子檔案安全管理的宣傳教育,增強責任意識
要大力普及農機監理電子檔案信息安全知識及網絡竊密知識,使廣大農機監理檔案人員了解電子文檔的特性,防范農機監理電子文檔無意丟失或泄密,提高對各種攻擊手段的認識和警惕性,如不隨意下載或安裝不明軟件,不隨意打開陌生電子文件等。對農機監理電子檔案保護意識融入到檔案的價值論中,從而營造農機監理電子檔案安全保護新環境。
2.充分采用信息備份技術
信息備份是信息安全保障最重要的輔助措施,它可以為受損或崩潰的信息系統提供良好、有效的恢復手段。一旦原文件遭到破壞,還有相同的備份文件可以取而代之,為了防止存檔載體物理性能變化或設備故障而丟失信息,農機監理電子檔案的備份系統可以從硬件級備份、軟件級備份、人工級備份三個層次入手。每年應對備份磁帶或光盤進行抽檢,并對農機監理電子檔案的讀取、處理設備的更新情況進行一次檢查登記,這種多層次的綜合應用才能達到理想的備份目的,做到萬無一失。
3.加強電子文件的載體保護
電子文件載體使用的是磁性、光學材料等精密型載體,對保存環境提出了很高的要求。因此對電子文件載體的保護可以參照《電子文件歸檔與管理規范》的要求,改進電子檔案的存放環境,保持適應的溫濕度,采用去濕機,去濕劑氯化鈣和硅膠、空調調節系統等措施調節檔案庫內溫濕度。并將農機監理電子檔案避光保存,避免光線尤其是紫外線直接照射光盤,最大限度地減少電子檔案曝光時間和曝光強度。同時,農機監理電子檔案在整理、保管、利用時應避開電動機、發電機、變壓器、電視機、消磁器、無線電裝置等具體退滋或消磁設備的干擾。
4.多渠道防治計算機病毒和各種攻擊
外審員信息安全范文第4篇
20世紀90年代以來,信息技術革命已演進為經濟社會的全方位變革,信息化和全球化相互交織,正在重構世界政治經濟格局。2002年,國家信息化領導小組會議決定把電子政務建設作為今后一個時期中國信息化工作的重點,啟動并開始建設“十二金”工程。經過這些年的發展,政府核心業務系統建設取得重要成果,發揮了顯著的經濟社會效益,涌現出一批具有國際先進水平的成果。 “金關”工程形成了由“電子海關”、“電子口岸”和“電子總署”組成的海關全方位信息化應用格局,是世界上最先進的海關信息系統之一。 “金稅” 、“金審” 、“金盾” 、國家電子政務標準體系建設項目、“金保”社保與低保、“金質” 、“金土”等工程都取得了顯著成績,政府同時還在完善信息化發展環境方面做了大量工作,為信息化和電子政務的健康發展奠定了良好的基礎。
2006年的“2020年國家信息化發展戰略”將大力推進信息化提升到覆蓋我國現代化建設全局的戰略舉措的高度,提出大力推進信息化是貫徹落實科學發展觀、全面建設小康社會、構建社會主義和諧社會和建設創新型國家的迫切需要和必然選擇。 “2020年信息化發展戰略的總目標”提出了“一二三四”的具體戰略目標,包括促進一個轉變即經濟增長方式根本轉變;實現兩個跨越,即信息技術跨越式發展,產業跨越式發展;提升三個水平,即提升網絡普及水平,提升信息資源開發利用水平,提升信息安全保障水平;增強四個能力,即增強政府公共服務能力,增強先進文化傳播能力,增強軍革能力,增強國民信息技術應用能力。
幾個趨勢影響重大
站在2014年,我們回顧上述發展戰略目標,可以看到很多目標已有了基本實現和長足進步。截至2012年底,我國網站數達到268萬個,網民總數達5.64億,移動用戶突破11億,2/3使用移動互聯網,互聯網普及率達到42.1%。我國的互聯網基礎設施能力不斷增強,寬帶網絡速率大幅提升,移動互聯網成為上網的主要方式,移動智能終端快速發展,智能手機出貨量超美國,互聯網已成為社會運行的核心基礎設施。自主創新能力與上世紀相比,以華為、曙光、浪潮等一批企業為代表,確實有了很大增強,過去我們在技術上無法擺脫跨國公司的境況也得以扭轉改變,信息化取得的成效十分明顯。
“十”后提出的信息化發展新目標是信息化要在經濟社會各領域中迅速發展,加速知識和信息的創新傳播,加速ICT技術與政府、產業、公眾生活的融合,形成發展新模式;要力促數字技術以常態準則普遍接受和使用;要完善創新環境,引發自主性、前瞻性創新和革新,創立低成本高利潤的產業結構和可持續增長模式。
新一代ICT技術的創新發展正推動世界范圍內生產力、生產方式、生活方式和經濟社會發展觀發生著前所未有的深刻變革。在全球信息科技極速發展的宏大畫面里,以下的幾個趨勢影響重大:
海量數據為科技創新提供了新的機遇和挑戰。深度挖掘海量數據價值的大數據業務具備巨大的發展潛力。
新型計算模式“SO- LO-MO-CO”,即包括SO(社交服務)、LO(位置服務)、MO(移動服務)和CO(商業服務)在內的新模式在不斷變化中進一步趨向融合。
蘋果開創的APP應用商店模式推動了軟件應用的新型消費模式,徹底改變了無線互聯網時代的軟件業發展的競爭規則和格局。
物聯網技術的發展,使人與物、人和人之間的聯系方式都在變化,可穿戴設備作為連接移動互聯網和物聯網的媒介,帶動移動終端高速發展,成為網絡的核心接入設備。
隨著移動云服務的發展,多數國家與地區均可通過移動寬帶網絡支持先進的云計算應用,全球云流量的增速將超過全球數據中心總流量,應用服務云端化將成為主流。
基于Client/Server模型桌面虛擬化的發展將個人電腦桌面環境從PC機中分離,在網絡環境下由服務器提供“虛擬化”的面,提供與本地桌面相同的用戶體驗。
開放API平臺潮流。提供開放API的平臺將網站服務封裝成一系列數據接口開放,網站可進行復雜的數據交互,成為與操作系統等價的開發平臺,第三方開發者可利用平臺開發豐富多彩的應用。
隨著互聯網的經濟社會影響力與日俱增,在我國信息化進程取得巨大進步的同時,中國的信息化發展面臨著加快信息化建設、擴大信息消費的重大機遇與網絡信息安全巨大挑戰并存的新的發展格局。
現階段,我國互聯網網絡基礎設施建設存在嚴重的結構不平衡,廣大農村地區寬帶接入情況較差,互聯網普及率較低。目前我國互聯網網速平均速率僅1.774M,排名全球第71位,仍處于“低速寬帶”階段,與世界發達國家相比,我國的互聯網建設仍需進行跨越式提升,建設寬帶中國是實現中國夢不可忽缺的元素。網絡安全管理上的巨大挑戰既有由轉型發展期的社會管理新形勢對網絡安全管理上的挑戰,更需要重視網絡空間作為陸、海、空、天等物理空間之后,具有國家性質的第五個實體空間(可稱之為“領網”),既具領土、領海、領空等國家疆域的性質,又具有公海、外太空領域等難以確定疆域的無國界特征,給維護國家帶來新的挑戰。在國家網絡安全方面,值得關注的是我國能源、交通、金融和國防等關鍵領域的網絡和信息安全問題日益嚴峻和緊迫;同時還應指出的是,我國現有重要工業控制系統其核心底層技術或產品主要來自境外,安全面臨嚴峻挑戰和新的威脅,一旦發生安全問題,將嚴重影響人們正常的生產生活,嚴重干擾正常的社會經濟秩序,造成重大經濟損失和社會影響。
向整合協同方向發展
放眼未來,我國的信息化發展需要經歷單一機構型、整合型和平臺型三個階段,標志著信息化從單一機構應用到跨部門協同,再到社會參與公共治理的轉變,這既是信息化深化的規律,也是社會信息時代轉型的趨勢。從全球信息化發展來看,“整合治理”是主要趨勢, “整合治理”以提升政府的整體履職能力以及政府與社會各個方面的共同努力為路徑,從而全面提升公共利益。“整合治理”的主要目標在于加強政府機構之間、政府與公民之間以及政府與其他各種類型的利益相關者之間的合作,以構筑一種新型的內外關系。《2009聯合國電子政務調查報告》指出“如果沒有整合性后臺政務系統作支撐,就不可能提供高質量的政府服務。今天越來越顯示出跨組織的業務協同和信息共享的重要性,電子政務必須向整合和協同的方向發展”。
國家制訂的“十二五”規劃建議明確了信息化的戰略地位,在電子政務方面,提出要以信息共享、互聯互通為重點,大力推進國家電子政務網絡建設,整合提升政府公共服務和管理能力。
工業和信息化部制訂的《國家電子政務發展規劃》明確了有關電子政務建設的“四個必須”的指導方針,即必須堅持將科學發展觀貫穿電子政務發展全過程(統籌規劃,頂層設計,政務與技術深度融合,深化應用);必須堅持把以人為本和構建和諧社會作為電子政務發展的出發點和落腳點。(以服務社會公眾為中心,解決重大問題和突出矛盾,加快服務向基層延伸,使電子政務惠及全民);必須堅持把深化應用和突出成效作為電子政務發展的根本要求(提高履行職責能力,優化業務流程,創新服務模式,加大政務信息資源開發利用,信息共享和業務協同,建設集約化、應用平臺化、服務整體化,提高電子政務效益);必須堅持創新發展和加強管理的有機統一(新技術在電子政務中的應用,健全管理體制機制,開展考核評估,帶動信息產業發展,提升信息安全保障能力)。
依據國家“十二五”規劃工作的總體安排,國家發展和改革委員會牽頭組織并編制了《“十二五”國家政務信息化工程建設規劃》,規劃是決策國家重大信息化工程和安排中央財政預算內投資的重要依據。規劃中提出到“十二五”期末,形成統一完整的國家電子政務網絡,基本滿足政務應用需要;初步建成共享開放的國家基礎信息資源體系,支撐面向國計民生的決策管理和公共服務,顯著提高政務信息的公開程度;基本建成國家網絡與信息安全基礎設施,網絡與信息安全保障作用明顯增強;基本建成覆蓋經濟社會發展主要領域的重要政務信息系統,治國理政能力和依法行政水平得到進一步提升。規劃中還對各地區、各部門及有關單位切實加強《規劃》實施的組織領導,進一步明確工程項目完工投用后的共用共享機制,增強部門間的業務協同能力,確保取得實際效果,對切實提高投資效益提出了具體要求。
正視須盡快解決的問題
上述規劃的制訂,需要有效解決當前政府信息化建設的以下主要問題,主要包括面向公共服務和改善民生的重要信息系統尚需加快建設;條塊分割,信息孤島現象依然比較嚴重(國辦調研38個部委有80個專網);信息共享和業務協同的程度亟待提高(專網實現橫向交互的比例不到0.1%);重建設輕應用、重硬件輕軟件的狀況尚需改善(網絡資源的利用率不到5%);網絡和信息安全的態勢不容樂觀(2010年網絡泄密案占全國泄密案的70%,網絡失泄密的文件資料達70萬份)。以往的政務信息化建設政策文件主要以單一部門業務活動過程為主線,以提高效率為宗旨組織信息化工程建設,形成相對離散的工程項目群。《規劃》是以協同相關部門解決社會問題為主線,以提高效能為宗旨組織信息化工程建設,通過集約整合的發展方式,形成支撐治國理政公共服務的信息化工程有機整體。規劃主要創新點在于推動實現三個轉變,一是建設目標的轉變,即從過去注重業務流程電子化,提高辦公效率,轉向更加注重支撐部門履行職能,提高效能;二是建設思路的轉變,即從各自為政、相互封閉的建設方式,轉向跨部門跨區域的協同互動和資源共享;三是建設模式的轉變,即從粗放式、離散化的建設模式,轉向集約化、整體化的可持續發展模式。《規劃》的總體思路是圍繞兩條主線,一是信息共享、業務協同、集約建設、節約投資,二是目標驅動、需求導向、機制創新、注重效能,突出了保障和改善民生、維護經濟社會安全、提升治國理政能力三個重點。
近十年我國在全球信息通信技術發展指數(IDI)、全球電子政務發展指數(EGDI)和全球網絡化準備指數(NRI)中的排名呈現“先上升、后下降”的變化。我國的信息化建設工作依然任重而道遠。
正視我國信息化必須盡快解決的問題:推進基礎設施的資源整合與共建共用;依據需求,推進基礎信息資源和業務信息的新信息機制創新和交換、匯聚于共享;運用IT新技術,整合形成能夠構建適應不同領域和部門的統一平臺,為領域、行業、公眾和其他用戶實現面向應用的協同共享;以業務內外分解為原則推進服務適度集中和適度社會化
全國上下,無論是中央還是地方政府,為更快更好地推動信息化進程,必須提升信息化戰略意識,創新信息化管理體制,采取多種手段大幅提高全社會信息化技能水平,積極探索和激勵創新體系,逐步推進信息化建設目標的五個關鍵轉變,從信息化重建設、輕應用向注重深化應用轉變;從信息網絡分散建設向資源整合利用轉變;從信息系統獨立運行向互聯互通和資源共享轉變;從信息管理偏重自我服務向注重公共服務轉變;從信息網站自建自管向發揮社會力量轉變。
外審員信息安全范文第5篇
【關鍵詞】會計電算化;審計
隨著我國會計電算化的普及程度和影響力越來越大,會計電算化必然會向更高的階段發展,例如通過利用計算機、網絡等技術,將企業產品開發、生產和銷售等過程實現系統化,甚至會出現以信息系統為基礎的管理職能,這樣一來管理層能將個人經驗和智能系統相結合,更好地實現對企業的管理和決策。會計電算化的普遍應用使審計工作發生了很大變化,對適應手工會計核算的審計線索、審計技術等產生了重大的影響,主要體現在以下幾個方面。
一、對審計線索的影響
在手工會計條件下,從原始憑證到記賬憑證,由過賬到財務報表的編制,每一步都有不同人員根據分工填寫的文字記錄,都有經手人簽字。通過經濟責任來加強相互的聯系和制約。一旦出現問題就可以逐步審查,審計線索非常清楚。在會計電算化中,一方面會計組織形式和人員設置發生變化,內部控制制度不僅要增加有關計算機方面控制的要求,而且使內控的結構、方式、對象等方面都發生了改變;另一方面會計記錄的儲存和處理發生了巨大變化,會計憑證通過輸入形成數據文件儲存;總分類賬為文件代替,明細分類賬采用滿頁打印,兩類數據的日常核對在計算機系統內進行;報表的編制采用按事先的公式,從賬簿文件及其他文件中取數計算,數據的來源、公式的定義、編制結果及打印格式均采用機內文件的形式。采用計算機處理會計資料后, 由于數據處理過程的完全自動化,業務數據錄入計算機之后,全部會計處理均按程序指令自動生成,絕大部分的文字記錄消失了,賬面信息變成了磁性介質上的代碼。磁性介質刪除修改不留痕跡,審計人員對直接打印輸出的會計報表是否按企業提供的公式定義文件加以編制的存在質疑。審計線索由可見轉為不可見,內容上也增加了計算機系統、應用程序、操作人員等線索,原有的審計線索有些實質上也發生了改變,如內部控制制度等。
二、對會計系統內部控制評價范圍的影響
在手工會計環境下,企業內部控制的范圍主要針對的是會計業務處理過程。在會計電算化環境下,除在手工環境下會計系統控制的范圍外,還包括如網絡系統安全的控制、系統權限控制、修改程序的控制等。手工會計系統的內部控制已經不能適應電算化的特點,審計方法已經由制度基礎審計過渡到風險導向審計。為了系統的安全可靠性和會計信息的完整性,必須針對固有風險建立新的內部控制。如輸入、輸出的授權控制,業務處理的審核等。處理有關電子數據處理的制度、人工執行的程序控制及對內部控制的程序化是關注的重點。審計人員要對電算化信息系統內部控制的弱點納入評估并提出該進建議。
三、對審計技術的影響
在手工會計條件下,審計主要是利用算盤、計算機等工具,采用審計查帳法、審計分析法、審計調查法等對被審單位進行審查。審計可采用順查、逆查和抽查,并通過審閱、核對、分析、比較、調查和證實等方法完成,所有工作由手工進行。會計電算化條件下,人工的審查技術仍然使用,但審計人員要利用計算機輔助審計技術,它是結合計算機技術對客戶電算化會計系統進行審計的各種方法的總稱,包括面向數據的測試和面向系統的測試。用專門的審計軟件區應對各種工作平臺下的會計軟件,完成審計目標。
四、對審計內容的影響
采用電算化前的登記出納帳或日記帳(出納)登記總分類帳和明細分類帳(會計)編制會計報表(會計)等程序變為記帳(操作員)打印帳表(操作員)。手工賬下其數據處理是否合理合法,是否存在舞弊和差錯,則主要取決于會計人員業務水平的高低、工作態度的好壞和工作能力的大小,以及對有關法律法規和財經紀律、考核制度的理解程度及其貫徹執行情況。因而,審計的主要內容是其財政財務收支狀況及其有關的經濟活動。電算化環境下會計數據處理的結果是否真實可靠,除了上述因素,還取決于會計數據處理過程中所使用的計算機硬件系統和軟件系統是否準確可靠,操作運行及處理流程是否符合要求等。由于會計電算化信息系統的特點,審計內容擴大,審計工作的的重心也由對會計資料的錯誤的審查移向對計算機處理和控制功能的審查,這就包括系統的開發和設計、軟件程序、數據文件及內部控制的審計等,即除要電算化會計信息系統進行事后審計外,還應提倡在會計信息系統的設計、開發階段,應有審計人員參與進行事前和事中的審計。
五、對審計標準和準則的影響
在整個審計工作中,審計師必須遵循一定的準則和標準保證審計工作質量所必需的。手工會計環境下的審計工作中建立起完善的審計標準,如審計人員、審計方法、審計環境、審計報告、標準職業道德規范、審計效果衡量標準、財務審計準則、經濟效益審計準則等。但由于審計線索、審計內容、審計技術等的變化,過去的審計標準的某些部分已不再適用,而與電算化系統有關的準則和標準尚未建立,在這種形勢下要完成審計工作,必須修改和完善相應的審計準則和標準,如電算化審計人員考核標準、電算化信息管理系統開發審計準則和其內部控制審計準則、審計應用軟件標準等都亟待建立和完善。
六、對審計工作人員的影響
會計電算化給審計帶來的變化使審計人員面臨新的難題。審計人員在整個審計過程中發揮著核心作用。從審計計劃的制定、審計程序的確定、審計技術的選用及審計方法的采用,都需要審計人員的操作。審計人員不僅要具有豐富的會計、財務、審計知識,還要掌握計算機知識及應用技術,掌握數據處理及管理技術,能夠編寫各種測試審查程序,建立符合自己要求的電算化審計系統。
七、對審計風險的影響
會計電算化環境下,傳統的會計崗位職責和內部控制制度發生了變化,某些安全已不是企業內部控制所能完全控制的。因此審計風險中所包含的固有風險、控制風險、檢查風險日益復雜。在計算機輔助系統的控制下,固有風險基本上得到了控制,但是由于網絡的開放性和會計信息資源的共享性,會計資料被非法修改和竊取的可能性大大增加了,同時計算機病毒和網絡黑客也在危害著會計信息安全。在這種情況下控制風險更加難以確定。
參考文獻:
[1]金會琴.會計電算化對內部審計的影響及對策[J].經濟管理與科學對策,2009(4):149-02.
[2]何麗娜,劉澤玲.會計電算化對審計的影響及對策[J].河北工業科技,2007(3).
[3]劉亞萍.淺談審計應對會計電算化挑戰的策略選擇[J].財經縱橫,2009(8).
