24周年

財(cái)稅實(shí)務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.30 蘋果版本:8.7.30

開發(fā)者:北京正保會(huì)計(jì)科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點(diǎn)擊下載>

淺談信息安全等級保護(hù)政策審計(jì)

來源: 王楠 編輯: 2009/12/23 13:19:47  字體:

  當(dāng)前,我國審計(jì)機(jī)關(guān)不同程度地開展了信息系統(tǒng)審計(jì),并取得了一定成果。信息系統(tǒng)審計(jì)不僅關(guān)注被審計(jì)單位信息系統(tǒng)的真實(shí)性、合規(guī)性,同時(shí)也是對被審計(jì)單位落實(shí)國家信息系統(tǒng)相關(guān)政策情況的檢驗(yàn)。信息系統(tǒng)審計(jì)同樣可以開展“政策審計(jì)”,以政策措施為主線開展審計(jì),特別關(guān)注政策措施是否落實(shí)、落實(shí)的時(shí)間、落實(shí)的效果、落實(shí)中出現(xiàn)的問題及新情況等方面,建立信息系統(tǒng)法律法規(guī)遵循性審計(jì)的方法和規(guī)范。充分體現(xiàn)審計(jì)這一高層次監(jiān)督效能。

  近幾年,為開展信息系統(tǒng)安全等級保護(hù)工作,國家頒布了一系列的法律法規(guī)和技術(shù)標(biāo)準(zhǔn),如《信息安全等級保護(hù)管理辦法》(公通字[2007]43號(hào))、《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》(公信安[2007]861號(hào))、《信息系統(tǒng)安全等級保護(hù)定級指南》、《信息系統(tǒng)安全等級保護(hù)基本要求》等,建立起國家重要信息系統(tǒng)安全保護(hù)制度體系。而被審計(jì)單位通常信息化程度較高,且其重要業(yè)務(wù)均依賴信息系統(tǒng)完成,一般都納入國家重要信息系統(tǒng)等級保護(hù)體系。信息安全等級保護(hù)政策審計(jì)需要在深刻理解國家相關(guān)政策的基礎(chǔ)上,綜合運(yùn)用多種審計(jì)方法,對被審計(jì)單位落實(shí)等級保護(hù)政策的情況做出綜合評價(jià)。

  一、信息安全等級保護(hù)政策審計(jì)的審前調(diào)查

  如同傳統(tǒng)審計(jì),信息安全等級保護(hù)政策審計(jì)也需要做審前調(diào)查,制定詳細(xì)的實(shí)施方案。審前調(diào)查的主要工作內(nèi)容包括:一是掌握被審計(jì)單位的整體信息部門的總體情況,包括信息部門的管理體制、機(jī)構(gòu)設(shè)置、人員編制情況,規(guī)章制度、重要會(huì)議記錄和有關(guān)文件以及以往接受審計(jì)的相關(guān)情況等,做到心中有數(shù),全面掌握。二是初步掌握被審計(jì)單位信息系統(tǒng)納入等級保護(hù)范圍的情況,包括了解所有信息系統(tǒng)的功能、在業(yè)務(wù)流程中扮演的角色、對社會(huì)秩序和國家安全的影響程度,重點(diǎn)關(guān)注影響國計(jì)民生和社會(huì)安全的重要信息系統(tǒng)。三是設(shè)計(jì)模擬定級流程,繪制模擬定級過程涉及的表單,確定量化定級的計(jì)算模型。四是調(diào)查被審計(jì)單位開展信息系統(tǒng)安全等級保護(hù)后續(xù)工作的情況,檢查被審計(jì)單位有無遵循相關(guān)法律法規(guī)的規(guī)定,是否將后續(xù)工作做到實(shí)處。

  審前調(diào)查的首要任務(wù)是梳理國家和地方的相關(guān)政策,深刻理解政策頒布的初衷和內(nèi)涵。以廣東省為例,除國家頒布的上述法規(guī)外,廣東省還頒布了《廣東省信息系統(tǒng)安全保護(hù)條例》,《廣州市重要信息系統(tǒng)安全等級保護(hù)定級工作實(shí)施方案》等。審計(jì)人員必須吃透這些法律法規(guī),并對照其中的規(guī)定,制定可行的實(shí)施方案。

  二、信息安全等級保護(hù)政策審計(jì)的實(shí)施過程

  在審計(jì)實(shí)踐中,經(jīng)常會(huì)遇到被審計(jì)單位為逃避有關(guān)部門監(jiān)管,故意漏報(bào)應(yīng)納入保護(hù)范疇的信息系統(tǒng)數(shù)目的情況,此時(shí)需要根據(jù)審前調(diào)查的結(jié)果,對整體信息系統(tǒng)進(jìn)行評估,判定哪些信息系統(tǒng)應(yīng)納而未納入等級保護(hù)體系。審計(jì)人員需要參考有關(guān)法規(guī),按照信息系統(tǒng)的重要程度對系統(tǒng)進(jìn)行分類判定,初步排查應(yīng)納入等級保護(hù)體系的信息系統(tǒng)。在此過程中,審計(jì)人員可根據(jù)行業(yè)的重要程度、被審計(jì)單位在行業(yè)中的排名和地位、同行業(yè)相關(guān)系統(tǒng)對比、公安部門頒布的相關(guān)參考意見以及系統(tǒng)扮演的業(yè)務(wù)角色等方面進(jìn)行綜合判斷。

  對于已納入定級范圍的信息系統(tǒng),應(yīng)重點(diǎn)關(guān)注其定級是否合理,是否真實(shí)反映系統(tǒng)的重要程度。在時(shí)間緊、任務(wù)重的情況下,審計(jì)人員可選取被審計(jì)單位中某些信息安全等級高而實(shí)際中定級偏低的系統(tǒng),在技術(shù)和管理的各個(gè)層面進(jìn)行安全控制的整體性驗(yàn)證。包括分析系統(tǒng)的業(yè)務(wù)流程,還原定級過程,重點(diǎn)揭示定級過程中可能存在的問題等。在模擬定級過程中,審計(jì)人員根據(jù)審前調(diào)查設(shè)計(jì)的表單,對照表單中需要驗(yàn)證的內(nèi)容進(jìn)行專業(yè)評分,根據(jù)評分結(jié)果和審前調(diào)查確定的量化定級的計(jì)算模型,對系統(tǒng)的安全級別進(jìn)行科學(xué)評定。,被審計(jì)單位有時(shí)出于多種目的,故意將信息系統(tǒng)定級偏低,審計(jì)人員必須堅(jiān)持自己的判定,做到有理有據(jù),不可聽信被審計(jì)單位的一面之詞,要站在政策審計(jì)的高度,指出被審計(jì)單位在定級過程中存在的問題。

  對已納入定級范圍的信息系統(tǒng)還應(yīng)重點(diǎn)檢查其是否按照相關(guān)規(guī)定開展后續(xù)工作,這是一般被審計(jì)單位落實(shí)等級保護(hù)政策的薄弱環(huán)節(jié)。審計(jì)人員可通過走訪、調(diào)查等方式,了解被審計(jì)單位是否已開展自查和整改等工作,必要的時(shí)候可展開差異測試,從而可評估被審計(jì)單位是否真正重視信息系統(tǒng)等級保護(hù)工作。

  三、信息安全等級保護(hù)政策審計(jì)報(bào)告

  一般而言,信息安全等級保護(hù)政策審計(jì)屬于信息系統(tǒng)審計(jì)的一個(gè)內(nèi)容,其結(jié)果既可綜合到信息系統(tǒng)審計(jì)報(bào)告中,亦可出具單獨(dú)的審計(jì)報(bào)告。除反映被審計(jì)單位落實(shí)信息安全等級保護(hù)政策的情況外,可結(jié)合實(shí)際,注重從政策措施以及體制、機(jī)制、制度層面發(fā)現(xiàn)問題并提出審計(jì)意見和建議,充分發(fā)揮審計(jì)“免疫系統(tǒng)”的功能。

  四、開展信息安全等級保護(hù)政策審計(jì)的一些體會(huì)

  目前,信息安全等級保護(hù)政策審計(jì)仍然是一個(gè)新課題,還需要審計(jì)人員在實(shí)踐中加以探索。筆者有幸參加了我辦對某大型國企開展的經(jīng)濟(jì)責(zé)任審計(jì)項(xiàng)目,對開展信息安全等級保護(hù)政策審計(jì)有一些小小的體會(huì),愿與讀者共饗:

  一是審計(jì)人員必須具備敏銳的政治敏感度,深刻理解政策出臺(tái)的背景和內(nèi)涵,做到有的放矢。

  二是審計(jì)人員必須具備良好的專業(yè)素養(yǎng),有足夠的能力設(shè)計(jì)可行的實(shí)施方案,保證方案的制定、工作的實(shí)施、數(shù)據(jù)的采集整理以及審計(jì)報(bào)告的提交能按時(shí)按質(zhì)按量完成。

  三是審計(jì)人員必須堅(jiān)持審計(jì)結(jié)果,做到有理有據(jù)。在審計(jì)過程中要爭取被審計(jì)單位的理解與支持,以確保工作的順利開展。

  四是審計(jì)人員應(yīng)拓展思路,跳出信息系統(tǒng)審計(jì)的傳統(tǒng)思維模式,不拘泥于技術(shù)的層面,而從國家政策的高度提出高質(zhì)量的審計(jì)建議。

責(zé)任編輯:小奇

實(shí)務(wù)學(xué)習(xí)指南

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - m.yinshua168.com.cn All Rights Reserved. 北京正保會(huì)計(jì)科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號(hào)-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號(hào)