網絡安全管理工作方案
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡安全管理工作方案范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
網絡安全管理工作方案范文第1篇
摘 要 隨著當代網絡技術的不斷完善和發展,如何利用網絡資源進行高效的檔案管理工作已經成為檔案管理(從業)人員必須面臨的重要課題。本文主要分析了檔案管理工作中如何融入現代網絡的成分才能進行更好的創新,以及網絡對檔案管理工作帶來的安全隱患問題進行研究,并提出一些合理化的建議和觀點。
關鍵詞 網絡環境 檔案管理 創新 安全防護
檔案管理是社會工作的重要組成部分,是用以記錄社會變遷、發展和革新的一種工作過程和內容,其管理水平的高低直接影響著社會資料保管的質量。在當代網絡信息技術飛速發展的背景下,檔案的管理工作也應該與時俱進,充分利用網絡資源來提高檔案管理水平,在保護好紙質資料的同時,也要對其進行電子信息存檔,將管理方法由單一的紙質保管逐漸轉變為紙質與電子技術的結合,并在管理的過程中不斷改進方法,努力創造出更完善、更實用、經濟效益更高的管理辦法。
一、網絡環境對檔案管理工作的新要求
(一)提供滿足人們需求的檔案信息
前人們對信息的需求量不斷增大,社會公眾對檔案信息的需求已經不再滿足于傳統的信息提高方式,而是向著更寬廣、更深入的領域發展。基于這種現狀下,檔案管理部門應與時俱進,對管理工作進行創造和改進,不斷提高檔案的管理水平,提高檔案信息的共享程度,以便更好地滿足人民群眾的需求。檔案管理部門應該研究我國人民使用和查閱檔案信息的類型和特征,對檔案利用的原因和信息共享情況進行分析,從而真正弄清人民所需要的檔案信息類型,以便對癥下藥,提供更多的符合人們需要的信息。同時還要對檔案進行宣傳,為檔案管理工作創造有利的外部條件。
(二)建立網絡檔案的信息服務體系
檔案管理工作要根據整個行業的發展形勢,建立全方位信息管理系統,對行業內的相關檔案信息進行統一的整理和分類,在對信息處理完成之后,在進行整體性的利用和開發,努力創造資源共享的條件,為國家經濟發展和人們獲取信息服務。此外,還應根據時代的發展趨勢,建立國家層次的檔案管理體制,開創全國范圍的的信息共享平臺,使我國的檔案信息能被充分利用,發揮出更大的社會效益和經濟效益。
二、在網絡環境下進行檔案管理工作創新的途徑
(一)積極做好線上服務工作
在當今的社會里,由于人們的工作和生活都變得越來越豐富多彩,所以人們對信息的需求量也在不斷增加,對各種類型的信息都有可能產生需求,同時人們對獲取信息的速度也在提升。傳統的信息管理方式已經無法滿足人們的需要,社會公眾和檔案館等相關部門應該構積極建檔案管理信息化,做好網絡信息的以供人們便捷地獲取,使檔案管理能更好地為人民服務。
(二)做好信息共享工作
檔案管理部門要建立起自己的信息網站,在合法合規的前提下及時正確地將各類檔案的公開信息出去,并通過鏈接的方式將各類混亂的信息整合在一起,建立一個一站式的信息檢索平臺,最大限度的實現信息共享,給人們的工作和生活帶來更大方面。同時也能實現檔案管理各部門之間的信息共享,有效提高部門之間的信息傳遞和溝通,降低檔案管理成本,提高效率。此外還可以促進檔案信息化的不斷完善,提高檔案信息的使用價值。
(三)做好檔案信息的細分工作
如今的網絡上充斥著各種各樣類型的信息,有價值和無價值的都在網上流動著,如果檔案管理部門對信息的定位不夠準確,就會造成人們查詢的不便。所以檔案管理部門不僅要將信息的采集和保管工作做好,還要對其進行精細化的分類整理,將各類信息垂直劃分為層次不同的類型,并在數據庫中安排好存放位置。讓用戶可以通過接口對所需要的信息進行快速準確的定位,還可以選擇是否要進一步的查詢,以此來減少用戶的檢索時間,提高的效率。
(四)做好用戶信息反饋工作
檔案管理部門可以在自己的網站上建立一個用戶反饋專欄,收集用戶對網站的設計、信息服務等活動的滿意度,通過反饋,檔案部門可以清晰地了解檔案信息所具備的社會價值以及自己的工作所存在的問題,為改進工作提供明確的方向,同時對相關人員的工作也可以起到一個監督作用,讓他們在工作崗位上能夠嚴格要求自己的行為規范,促進他們服務意識、責任感和職業道德的提升。檔案部門收集用戶的反饋后,還須做出一些后續的努力,如對檔案管理人員進行培訓。
三、在網絡環境下,檔案管理工作的安全防護措施
(一)建立完整的網絡檔案管理系統
在當今的網絡時代中,各種檔案信息資源通過網絡這個媒介而組成一個龐大的體系,當把檔案信息錄入到數據庫時,檔案信息就會根據某種邏輯傳遞到某個數據庫和各個數據庫之間以及運行程序和數據字段之間,經過進行重組后成為檔案管理網絡的數據序,這一復雜的過程對整個網絡檔案管理的信息信息數據庫完整性具有極其重要的作用。所以這對檔案管理信息化的工作人員的能做技能提出了更高的要求,他們不但要掌握各個數據庫之間的特殊邏輯關系,還要對運行過程中出現的關于完整性的問題及時地修改和維護,做大限度地降低對數據庫造成的有意或無意的傷害。
(二)保證電子檔案的正常查閱
如今檔案管理信息系統更新換代快,比如辦公軟件版本的更新換代,低級版本的軟件是無法打開高級版本的文件的。所以為了確保電子檔案可以隨時正常使用和查閱,必須保證所有的檔案信息文件都保存為與系統相一致的或與系統之間可以互相兼容的版本和格式。遇到操作系統需要更新的情況,還需要對系統的配套軟件進行同步更新,確保操作系統和配套軟件處于一個動態的、互相的兼容的狀態中,方便檔案信息的隨時讀取,同時也為網絡檔案信息的有效性和完整性提供有力的保障。
(三)保證網絡檔案管理的安全性
相對于傳統的檔案管理方式,網絡檔案管理信息面臨的安全性更加復雜多變,也更難以把控。網絡檔案管理的系統安全指的是通過網絡硬件和軟件系統的合理設計,使檔案信息能夠正常地運行,并長期保持著良好的狀態,使其的功能可以充分地發揮出來,為查閱的洪湖提供優質的信息服務。要實現網絡檔案管理的安全性,必須在利用、保護和管理過程中,保證各項信息資源的傳輸安全和有效管理。例如,在進行檔案管理的實際工作中,要建立和完善有效的內部管理體制,對訪問權限和查詢進行嚴格控制,還要采取各項有效措施對病毒進行預防和查殺等。
四、結語
檔案管理工作對社會生活的影響重大,在網絡時代的新形式下,我國的檔案管理工作正面臨著新的機遇和挑戰,構建網絡檔案信息平臺,實現檔案資料的共享,已經成為時展的需求,所以檔案管理部門應該進行工作方法和工作內容的創新,充分利用網絡信息技術促進檔案管理工作的質量和效率的提高,更好地為社會公眾和經濟發展服務。同時還要重視網絡檔案管理的安全防護問題,保證檔案管理工作的可持續發展。
參考文獻:
[1] 李巍.網絡環境下檔案管理工作的創新與安全防護[J].湖北函授大學學報,2013,26(3):98-99.
[2] 李巍.網絡環境下檔案管理工作的創新與安全防護[J].吉林農業科技學院學報,2013,22(3):36-38,90.
[3] 王茹熠.數字檔案信息安全防護對策分析[D].黑龍江大學,2009.DOI:10.7666/d.y1499847.
[4] 鄧保國.網絡環境下檔案信息服務方式的變革[J].科技情報開發與經濟,2004,14(3):22-23.
網絡安全管理工作方案范文第2篇
一、工作目標
要通過安全保密檢查,各計算機信息系統安全管理重點單位的計算機安全保密意識得到進一步提高,信息安全保密管理措施得到進一步貫徹落實,信息安全保密長效機制得到進一步的健全和完善,計算機信息系統和信息的管理得到進一步的規范和加強。
二、工作內容
(一)保密檢查:計算機信息系統和信息網絡安全保密管理制度以及技術措施的落實情況。
(二)信息安全檢查:網絡重點單位信息網絡安全檢查,包括安全組織成立、安全管理制度建立、安全措施落實情況。
(三)國家安全事項檢查:計算機網絡涉及國家安全事項。
(四)重要信息系統安全監測(包括網絡安全和保密技術檢測)。
(五)安全管理技術人員培訓。
(六)各有關部門充分利用聯合檢查平臺深化本部門的其他重點工作。
三、組織領導
(一)市里成立聯合檢查領導小組。領導小組是聯合檢查工作的組織協調機構,由五部門有關負責同志組成:
*(*市國家保密局副局長)、*(*市*局副局長)、*(*市國家安全局副局長)、*(廣東省電信有限公司*市分公司,副總經理)、*(*市信息產業局,副局長)。
領導小組下設工作小組和辦公室,工作小組由五部門相關處室負責同志組成,負責工作的聯絡和實施檢查。辦公室設在牽頭單位,負責日常工作。本年度工作由*市*局牽頭組織,下一年度工作由輪值單位牽頭組織。
(二)各縣(市)參照市模式成立相應機構,建立聯合工作機制,有關單位落實人員開展信息安全保密檢查工作。
(三)分工情況:市聯合安全保密檢查領導小組負責市直單位的信息安全保密檢查,并組織對各縣(市)工作開展情況進行督查。各縣(市)檢查領導小組負責本轄區內各單位的安全保密檢查。
四、時間安排
(一)準備階段:6月中旬—7月上旬。
1、召開市五部門領導小組和工作小組會議,研究、制定工作方案。
2、部署各縣(市)開展安全保密檢查工作。
3、市保密、*、國家安全、信息、電信等五部門各自指導下級業務部門開展聯合檢查工作小組成員的培訓工作。
4、編訂安全保密工作檢查指引。
5、確定自查對象。
(二)自查階段:7月上旬—7月中旬。
發出通知和檢查指引,要求各相關單位按照通知的要求和指引內容的提示,認真組織開展信息安全保密自查工作。
(三)抽查階段:7月中旬—8月上旬。
市安全保密聯合檢查領導小組根據工作開展情況,研究確定重點抽查單位,派出工作組全面開展信息安全保密抽查工作。并督促相關單位做好準備,迎接省聯合檢查組的檢查。
(四)總結階段:8月中旬—8月下旬。
1、聯合檢查領導小組對抽查和各單位的自查情況進行總結,10月5日前將工作開展情況上報省聯合檢查領導小組。
2、召開五部門領導小組、工作小組會議,總結本年度的工作,初步議定明年工作計劃,并對有關資料進行交接。
五、檢查范圍
檢查的范圍主要是計算機信息系統重點安全保護單位(簡稱:“重點單位”),包括:涉及國家安全、經濟命脈、社會穩定的基礎信息網絡和重要信息系統及其單位。具體包括:
1、縣級以上的國家機關、國防單位;
2、財政、金融、稅務、海關、審計、工商、社會保障、能源、交通運輸、國防工業等關系到國計民生的單位;
3、國家及省重點科研、教育單位;
4、國有大中型企業;
5、互聯單位、接入單位及重點網站;
6、向公眾提供上網服務的場所。
六、檢查方式
采取單位自查、匯報,檢查小組組織實地檢查、檢測等多種方式進行。
七、人員培訓
培訓對象是全市各計算機信息系統重點安全保護單位的網絡管理維護技術人員,參加安全保密培訓和信息網絡安全專業技術人員繼續教育培訓。各重點單位在開展自查工作中,須將本單位的自查工作情況總結和本單位從事計算機信息系統或網絡管理維護的技術人員名單、聯系方式7月30日前報送市聯合檢查領導小組的牽頭組織單位(20*年牽頭組織單位是*市*局)。8月底前要分期分批完成對全市重點單位網絡管理技術人員的培訓工作。培訓完成并通過考試后,頒發有五個部門統一發的保密培訓證書和信息網絡安全專業技術人員繼續教育證書。培訓的師資為*電視大學及其教學點。
六、工作要求
(一)高度重視,加強工作的組織領導。這次檢查,是省保密委員會和省公共信息網絡安全管理領導小組部署的一項重要工作,是在新時期下加強和做好信息安全保密工作的重要環節。開展信息安全保密檢查工作,對及時掌握本地計算機信息管理重點單位的信息安全保密工作和管理的狀況,及時發現存在的安全保密隱患和漏洞,有針對性采取有效措施加強管理,增強信息安全保密意識,提高信息安全保密防范能力具有十分重要的意義。各單位要從講政治、講大局出發,從構建和諧平安網絡環境的高度,充分認識到信息安全保密檢查工作的重要性和必要性。要切實落實工作責任,明確工作要求,加強對安全保密檢查工作的組織領導,確保我市的安全保密檢查工作取得實效。
網絡安全管理工作方案范文第3篇
我叫,年由部隊轉業到市紀委工作,任住房公積金管理中心紀檢組長。在工作中堅持原則、勤奮務實、秉公執紀、清正廉潔,積極投身黨風廉政建設和反腐敗工作中,充分發揮紀檢監察職能作用,機關效能建設獲全市優勝單位,行風建設取得優異成績,有力促進了各項工作的開展,著重作了以下工作。
一、抓學習、重教育、使黨風廉政建設工作扎實深入地開展起來
我十分重視對黨員干部的黨性觀念和政治理論教育,注重從思想基礎抓起,做到循序漸進。一是積極組織進行中央《建立健全教育、制度、監督并重的懲治和預防腐敗體系實施綱要》(以下簡稱實施綱要)的教育和貫徹落實,結合住房公積金管理工作實際組織制定出落實《實施綱要》和市委《實施辦法》的工作方案,將具體內容分解到各個處室和相關責任人,強化監督、強化責任、狠抓落實。二是著力抓好和優良傳統教育,經常利用政治學習日和黨團活動時間,組織進行正反兩方面典型教育和瓞倡廉警示教育,使中心黨員干部在不斷提高政治理論素養的基礎上,進一步增強廉潔勤政和遵紀守法的自覺性。三是狠抓黨風廉政建設工作的落實,組織制定了《關于進一步加強黨風廉政建設的實施意見》和《黨風廉政建設實施辦法》,細化了黨風廉政建設責任制,形成了明確責任、實行一崗雙責、一級抓一級、層層抓落實的監督機制。今年進行廉政教育談話36人次,使黨員干部經常保持清正廉潔、紀律嚴明、風清氣正和積極向上的精神狀態。
二、建制度、強管理,使住房公積金管理工作安全規范、有度運行
我認真堅持“健全制度、強化管理、嚴肅紀律、高度統一”工作原則,把健全制度、規范管理作為管好、用好住房公積金的基礎。首先協助黨組完善和細化領導班子學習和議事制度。制定了黨內民主生活會、領導班子科學民主決策和誶事制度。制定了黨內民主生活會、領導班子科學民主決策和會議制度。使中心領導班子民主集中制原則體系進一步完善,科學民主決策機制更加成熟。第二,完善和細化公積金業務管理程序。在去年完善制度的基礎上,先后又完善細化了公積金代款辦法和程序、公積金繳存辦法和程序、公積金支取辦法和程序、網絡安全管理等制度,使中心工作秩序有章可循,業務開展有法可依、程序規范,有效避免了各種風險的發性。第三,組織制定廉政勤政工作制度,物后組織制定了《領導干部行為準則》、《加強領導干部思想建設、維護團結工作規范》,《干部任中和離任審計規定》、《廉政談話制度》、《評廉述廉制度》、《嚴肅查處“不作為、亂作為”等違紀問題暫行辦法》和《效能建設實施方案》、《行風建設實施方案》,《政務公開透明實施方案》,使中心黨風廉政建設進一步規范化、制度化。
網絡安全管理工作方案范文第4篇
一、積極主動,充分發揮綜合協調作用
(一)進一步加強上下級機關部門間聯系。充分發揮綜合協調作用,確保局黨組的各項決策部署落到實處。貫徹落實“四個服務”理念,認真做好各類會議、重要活動安排的組織和服務工作,力求高效有序。
(二)優化工作機制。進一步落實工作制度,規范工作程序,努力克服形式主義,改進會風和文風,確保領導同志從“文山”、“會海”和一般性事務中擺脫出來,集中精力抓大事、抓落實。
(三)善于拾遺補缺。顧全大局,對于一些急事、難事、瑣事和其他部門不便于協調的事,勇于承擔,認真負責。
二、抓督查、督辦、進一步推進工作落實
(一)加強對貫徹落實市局工作會議部署、要求的督查。緊緊圍繞全年工作任務、目標,督促相關職能處室制定督查工作方案,落實督查任務,開展督查工作,確保市局全年工作任務的完成;加強局屬單位及機關辦公區域安全保衛督查。認真落實防火、防盜等安全防范措施和辦公室內部衛生工作,積極應對突發事件,強化節假日值班制度,落實值班責任。
(二)加強專項督查。以上級農業部門重大部署,市委市政府工作重點和人大代表、政協委員提案,領導重要批示為重點,加強督辦工作,推進重點工作落實,協同、督促有關處室對市長熱線、市長信箱轉辦文件的及時辦理。
三、抓服務保障,全力加強自身建設
(一)推進內部管理標準化。整合工作職能,明確工作目標,落實工作措施,做到責任到崗、任務到人,讓同志們都能精心謀事、潛心干事、專心做事,盡職盡責把工作做好。
(二)加強業務能力建設。以創造學習型辦公室為抓手,以理論學習、業務學習、相關法律、法規、條例學習為重點,努力提高辦公室人員的綜合素質,提升服務意識,明晰工作職責,提高工作水平,增強工作積極性和主動性,打造一個良好的機關“窗口”形象。
(三)加強作風建設。要樹立“辦公室工作無小事”的思想意識,大力倡導求真務實的工作作風。要摸實情、辦實事、創實績,在具體工作中,做到遇事不推、不壓、不拖、不靠。大力提倡團結協作的作風,自覺維護內部團結,調動一切積極因素,營造一個團結和諧的工作氛圍。
四、抓日常工作管理,切實提高辦公室工作效能
(一)優化文件流轉程序,著力打造及時、準確、有效的信息渠道,完善公文流轉機制,促進來文、來電、網上通知等各類信息有序、有效、上傳下達,明確責任,強化意識,確保局系統信息渠道暢通,確保局機關各類文件資料流轉規范、運行高效,提高機關工作效能和效率。
(二)完善檔案管理工作,維護檔案的完整與安全
做好機關文書檔案的整理立卷工作。督促相關處室、人事、業務、財務檔案的整理歸檔,加強與市檔案局的工作聯系,逐步采用分布式檔案室系統軟件管理,做到軟件保存和紙質文件材料存檔并舉,建成便捷、快速、規范的檔案管理模式,努力完成市檔案目標管理任務。
(三)進一步做好公文制度的審核工作
嚴格局機關對上、對下和市直有關部門行文的審核,確保各類發文文件格式規范適當,努力做到紙質發文與網上發文同步進行,認真抓好機關公文質量的審核工作,切實提高局機關辦文工作水平與質量。
(四)進一步加強固定資產、辦公用品的管理
嚴格執行市政府《關于辦公用品定點采購制度》及本局《大宗物品采購制度》規定。堅持陽光操作,購進驗收、入庫和領用登記制度,做好固定資產登記和保管報廢工作。
(五)切實加強行車安全工作
進一步加強機關車輛管理,認真落實《機關管理辦法》,重點突出機關車輛安全管理工作,認真組織學習《道路交通法》等相關法規以及車輛保養維護常識,切實加強駕駛員的行車安全教育與日常管理,進一步抓好定人、定點、定車加油制度及定點維修制度的落實,杜絕非駕駛人員駕駛公車現象。
(六)切實加強保密工作管理
認真落實局機關人員保密責任,嚴格文件管理,適時開展多種形式的保密教育,增強局機關人員的保密意識。抓好信息網絡安全工作,努力完成市保密工作目標任務,杜絕泄密事件發生。
(七)認真做好外事接待工作
認真執行對外接待呈批手續,積極開展對外交流,堅持有利于工作開展,有利于招商引資,有利于提升綜合社會效益的原則,厲行節約,熱情真誠,細致周到地做好對外接待工作。
網絡安全管理工作方案范文第5篇
21世紀是信息化的社會,計算機技術不斷進步,并在生產領域得到深入應用。特別是會計電算化的推廣,把以電子計算機為代表的現代化數據處理工具及以信息論、系統論、數據庫、計算機網絡等新興理論和技術應用于會計核算、財務管理工作中以提高財務管理水平和經濟效益,實現會計工作的現代化。目前,越來越多的企業開始全業務的采用信息系統,形成了一個網絡經濟時代,各個企業、事業單位的信息化情況表現出了前所未有的綜合性和開放性。這種信息化的高度集中帶來了高效益,但同時,也帶來了高度的風險,信息系統審計也就在這種歷史背景下應運而生。
一、信息系統審計的內涵和外延難以把握
隨著信息技術的發展,信息系統在財務、管理領域的應用程度不斷提高,功能日趨完善,其軟硬件結構的復雜性和涉及領域的廣泛性以及信息處理技術更新的頻繁性使得審計人員難以同步把握信息系統審計的內涵和外延。從外延上看,信息系統審計主要包括兩個部分,一是對信息系統主體的審計,二是對信息系統應用環境的審計,包括網絡環境、使用環境、管理使用情況等。一般說來,審計信息系統本身相對容易,但審計信息系統的應用環境卻存在較多不確定因素,比如某公司的信息系統通過防火墻連接到互聯網,而在防火墻內還存在其它系統,其它系統是不是也在審計范圍之內?
從內涵上看,信息系統審計主要是對信息系統的安全性和可靠性進行評估、評價。安全性、可靠性是一個比較廣泛的概念,以系統安全性為例,它包括:ISO開放系統互連安全體系結構、TCP/IP安全體系、開放系統互連的安全管理、安全服務和功能配置;系統安全涉及的信息安全技術包括:密碼技術、訪問控制技術、機密性和完整性保護技術、數字簽名技術、抗抵賴技術、預(報)警機制、公證技術、防火墻技術、漏洞檢測技術、網絡隔離技術、計算機病毒防范等。由于信息技術本身的限制性,絕大部分信息系統本身均存在安全性問題(如防護級別最高、防護技術最好的美國國防部也常有被攻擊的情況)。
把握不準信息系統審計的外延和內涵,就難以解決以下三個問題:一是難以解決審計力量與審計任務之間的矛盾,難以控制審計風險,即不該審的審了,該審的卻未審;二是由于絕大部分信息系統本身均存在安全性問題,信息系統審計很容易演變成“信息系統是否存在問題源自于審計人員的技術水平,而不是系統本身的安全性和可靠性”,即,絕大部分信息系統均存在不安全、不可靠因素,就看審計人員能否發現由于信息系統的安全性問題是絕對的,而審計人員的視角和技術水平是相對的,信息系統審計的成果部分取決于審計人員對信息系統審計內容的把握程度;三是由于審計需要大量的證據支撐,對于未造成損失但信息系統存在不安全隱患的問題難以定性,即便是造成了損失,也難以界定這些損失與信息系統不安全、不可靠因素之間聯系。
因此,審計部門應根據“全面審計、突出重點”及“先易后難”、“先系統本身后系統環境”的原則,參照國家信息技術部的有關標準,界定信息系統工作的外延和內涵,將信息系統審計的主要方向定在:被審計單位的信息系統的安全性、可靠性是否達到應有的水平或標準,而不是系統是否有安全性和可靠性問題。
二、信息系統審計評價標準很難確定
信息系統安全審計,涉及會計信息處理自動化、表示代碼化、信息處理與存儲集中化、內部控制程序化等諸多廣泛、復雜的計算機專業技術環節,其技術性較高。而我國信息系統審計正處于起步階段,對審計機關如何開展信息系統審計尚在積極探索中,因此,目前尚沒有一個完整的、成熟的具有示范作用的審計案例,也缺少具備實際指導意義的相關信息系統審計準則和操作指南。
近年來,國家安全部門相繼出臺了多個安全標準,例如公安部出臺的《計算機信息系統安全保護等級劃分準則》(GB17859-1999)、《信息安全等級保護管理辦法》,還有相應的安全技術規范《信息安全技術 信息系統通用安全技術要求》(GB/T20271-2006)、《信息安全技術 網絡基礎安全技術要求》(GB/T20270-2006)、《信息安全技術 操作系統安全技術要求》(GB/T20272-2006)、《信息安全技術 數據庫管理系統安全技術要求》(GB/T20273-2006)、《信息安全技術 服務器技術要求》、《信息安全技術 終端計算機系統安全等級技術要求》(GA/T671-2006)等技術標準。但在實際操作中,這些標準在可操作性上還有待提高,一是信息系統安全等級的確定,缺乏一個等級認定的部門,目前是由各個單位自己定級報送,會存在低報等級風險;二是等級要求沒有量化和詳細解釋,等級認定存在困難。這些都給具體的審計實務工作帶來極大的困難。
因此建議審計部門及時組織總結實踐經驗,規范信息系統安全審計的有關概念、審計內容、工作流程和技術方法、形成信息系統安全審計準則、操作指南或實務公告的準則體系,這是信息系統安全審計得以健康發展的基礎。
三、信息系統審計缺乏相應的人才
我國目前尚缺乏既熟悉審計業務又掌握計算機技術同時了解國內標準信息系統流程的復合型人才,進行信息系統審計所涉及的知識面非常廣,涉及會計、審計、管理和計算機等知識,而進行信息系統安全性審計主要從系統總體安全、系統運行安全、數據中心安全、硬件設備安全和網絡安全情況五個方面來進行,每個方面都涉及不同的知識點。當對系統總體安全進行審計時,則要求審計人員具有系統總體分析、系統設計和系統安全分析的知識;當對系統運行進行審計時,則要求審計人員具有系統運行管理、系統維護和系統安全管理的知識;當對數據中心安全進行審計時,則要求審計人員具有工程建設、數據中心安全維護和災備等知識;當對硬件設備安全進行審計時,則要求審計人員具有設備采購、設備維護和設備安全分析等知識;當對網絡安全情況進行審計時,則要求審計人員具有網絡安全分析和網絡防范等知識。但在當前情況下,審計人員能夠掌握上述某一方面的知識都已經難能可貴,更不用說要掌握所有的知識面。
建議審計部門加強對審計人員理論培訓,并組織審計人員進行實踐,通過實踐經驗來鞏固理論知識,培養出更多的信息系統審計復合型人才和相應的專業性人才。
四、信息系統審計需要相應的法規支持和成果考核標準
我們通常依據《中華人民共和國審計法》、《中華人民共和國審計法實施條例》及《國務院辦公廳關于利用計算機信息系統開展審計工作有關問題的通知》(〔2001〕88號)的規定:“被審計單位應當按照審計機關的要求,提供與財政收支、財務收支有關的電子數據和必要的計算機技術文檔等資料”,要求被審計單位提供電子數據,開展電子數據式審計工作。但開展信息系統安全審計的方法、步驟要求我們必須獲取被審計單位信息系統底層數據庫的數據字典、程序開發文檔、甚至程序源代碼等核心文檔已經高級管理用戶的權限。但事實上大多數被審計單位也不掌握這些核心文檔,軟件開發公司又以知識產權應收保護為由拒絕提供文檔。特別是要求SAP、Oracle等國外軟件開發商提供開發文檔非常困難。因此,應出臺更為明確的法規以支持信息系統安全審計工作。其次,信息系統審計的實施需要耗費大量的人力物力,在目前審計機關工作繁重的背景下,開展此項工作需要審計工作方案以及考評指標的支撐。因此,審計相關部門應該考慮把信息系統審計納入年初審計工作計劃,并出臺相應的考評標準。
五、信息系統審計自身風險較大
數據分析式計算機輔助審計是要求被審計單位按照審計的需求提供電子數據,審計人員將數據轉換后導入計算機進行分析。這種過程避免了直接操作被審計單位信息系統所帶來的風險。然而,信息系統安全性審計的很多步驟必須要在被審計單位信息系統上直接執行,這種在真實系統上的操作必然存在安全風險。如對電信公司計費系統的審計,如果測試時間不當或測試用例不完善都可能影響計費系統的正常運行。
