1、企业计算机审计电子数据安全保护对策研究摘 要 本文针对企业计算机审计电子数据的主要内容,分析了企业计算机审计电子数据安全保护存在的突出问题,提出了做好企业计算机审计电子数据安全保护的目标与思路,并对企业计算机审计电子数据安全保护的实施步骤和主要成效进行了详细阐述,旨在为企业内部审计计算机审计工作提供有力保障。 关键词 计算机审计;电子数据;数据安全;保护;对策 doi : 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 15. 020 中图分类号 F239.1 文献标识码 A 文章编号 1673 - 0194(2013)15-0026-03 随着企业信息
2、化建设应用工作的不断推进,企业内部审计计算机审计工作持续开展,并产生了大量的计算机审计电子数据,这些数据涉及企业生产经营管理活动的重要内容,也是企业重要的信息资源,因此,企业计算机审计电子数据安全保护工作十分重要。加强企业计算机审计电子数据安全保护能力、降低审计人员个人携带计算机审计电子数据的安全风险,不仅是企业信息安全保护的要求,而且是企业计算机审计自身的内在要求。与此同时,随着信息化技术的不断更新换代和计算机审计环境的越发复杂,要做好计算机审计电子数据安全保护工作,就要与时俱进、不断探索研究。 1 企业计算机审计电子数据的主要内容 企业计算机审计电子数据的主要内容包括审计人员个人计算机存储
3、的由被审计单位提供的本单位生产运营管理报告、业务数据、财务报表等与审计项目相关的电子数据,以及参加审计项目实施过程中涉及的审计工作方案、审计实施方案、审计工作记录、审计工作底稿、审计报告等审计工作数据。 2 企业计算机审计电子数据安全保护方面存在的突出问题 企业在计算机审计电子数据安全保护方面采取了一些措施,一方面在管理上要求审计人员提高信息安全保密意识,另一方面在技术上为审计人员个人计算机安装防病毒软件等,虽然取得了一定成效,但在企业计算机审计电子数据安全保护方面尚未形成有效的体系,仍然存在以下几个方面的突出问题。 2.1 管理方面 一是数据整理与挖掘利用困难。审计数据是审计人员多年工作经验
4、、审计知识的积累与沉淀,利用现有手段难以从数据挖掘利用的角度进一步梳理数据,无法实现数据的多维分类,无法充分进行数据价值挖掘利用。二是数据权限管理困难。数据访问与使用权限控制缺乏平台支持,难以实现更深入的权限控制,增加了管理与操作的难度和工作量。三是桌面标准化管理困难。审计工作依赖于终端设备,使用的软件不统一,给信息交流与利用带来困难,同时管理上也存在很大难度。 2.2 技术方面 一是安全性不足。现有技术手段的安全水平与审计电子数据的重要性尚有差距,不能满足审计业务对信息安全与保密的需要。其一,数据以明文传输,数据在传输过程中一旦被截获,信息容易泄露;其二,服务器上数据以明文存储,一旦服务器被
5、入侵,入侵者可以很轻易地获取所有未加密文件;其三,终端上数据以明文方式存放,特别是正在开展的审计项目数据以明文方式存在审计人员的终端设备中,如果设备丢失或系统感染病毒,就会造成重大损失。二是权限配置与备份困难。企业邮件账号域认证初步实现访问控制,但其控制粒度尚不能满足使用需要,且配置比较繁琐。数据手工备份、同步与恢复不能满足需要。 2.3 使用方面 一是审计人员难以找到需要的信息。各单位审计人员只能查看本单位的部分共享审计资料,缺乏按关键字、审计对象、审计类型等多种方式的全面数据搜索,审计人员难以找到最适合的可参考与可借鉴的资料信息。二是尚不能完全实现审计工作与外网分离。通过上网本为审计人员提
6、供从外网搜索资料等功能,满足了审计人员对外网大部分的需求;但审计人员出差期间,订购火车票时,需用笔记本电脑付费,而且审计人员习惯于使用终端设备,日常办公和其他方面依然和审计工作共用终端设备,未完全实现审计工作与外网的分离。 2.4 保障方面 一是终端数据清理工作量大。现阶段审计人员的终端设备数据清理工作,耗时长,工作量大,信息处负责数据清理工作的同志工作负荷重,急需通过其他手段,提高工作效率和清理效果。二是 IT 运维工作压力大。信息处负责企业 IT 设备的维护工作,各电脑终端存在操作系统不统一、审计软件与办公软件不统一、审计人员出差远程维护难等问题,造成 IT运维难度大,信息处承担了很大的工
7、作压力。终端设备容易因电脑病毒、系统漏洞、恶意网站等各种原因,造成审计数据的泄露。亟需通过新的IT 手段,提高审计 IT 桌面安全性,降低 IT 维护难度,提高 IT 维护效率和效果。 3 目标与思路 企业计算机审计电子数据安全保护是一项系统化工作,只有明确计算机审计电子数据安全保护的主要目标,理清计算机审计电子数据安全保护的整体思路,并不断探索研究,才能持续提高计算机审计电子数据安全保护能力。 3.1 主要目标 企业计算机审计电子数据安全保护的主要目标是实行计算机审计电子数据集中统一管理、按需授权访问,降低个人携带审计电子数据意外风险;计算机审计电子数据集中管理的服务器环境,要遵照企业统一安
8、全策略,采用相应的物理安全、网络安全、主机安全、应用安全、备份与恢复安全等技术措施,以及安全管理职责、安全管理制度、人员安全管理、系统建设管理、系统运维管理等管理措施,整体确保计算机审计电子数据安全受控。 3.2 整体思路 企业计算机审计电子数据安全保护的整体思路是依托企业信息技术统一安全保护策略,通过建立计算机审计电子数据集中管理平台,实现审计工作办公内网与外部公网分离、审计工作环境与个人计算机终端分离,逐步实现审计人员个人计算机审计电子数据按需携带向零携带转变,最终实现计算机审计电子数据实时在线与安全受控。 4 实施步骤 企业计算机审计电子数据安全保护工作是一项长期而艰巨的任务,不可能一蹴
9、而就。在管理上,需要企业高度重视计算机审计电子数据安全保护工作,一方面要给予这项工作统一领导和各种资源的支持,另一方面审计人员要不断提高信息安全保护意识;在技术上,要与时俱进,采用先进的信息技术手段,有步骤、有计划地逐步开展。 4.1 审计数据集中管理,个人历史数据清零 利用企业现有软件硬件资源,创建审计数据集中统一管理存储空间,采用企业邮件域认证方式,按照单位审计人员授权访问;审计人员自行整理个人计算机审计电子数据,按照个人权限上传至统一管理存储区域;利用专用存储介质数据清除工具对审计人员个人计算机硬盘逐一进行清理;实现审计人员个人计算机审计电子数据集中管理,个人计算机历史审计数据清零。 4
10、.2 审计网络环境分离,审计数据按需携带 针对审计工作以企业办公内网环境为主,需要借助企业外网查找资料的特点,为审计人员公网应用配发个人上网本;实行审计人员个人计算机在办公内网专用,个人上网本在公网环境专用;在审计项目开展前,为审计人员个人计算机装载系统软件,并按照审计项目需要装载相关审计数据;在审计项目结束后,利用专用存储介质数据检查工具对审计人员个人计算机和上网本使用情况进行检查,确保按照要求使用;实现审计工作内网应用和外网应用分离,审计数据按需携带。 4.3 审计工作环境分离,审计数据实时在线 借鉴先进技术应用实践经验,建立企业审计电子数据管理平台,采用统一的信息技术安全保护策略,通过企
11、业邮件域认证登录个人移动办公桌面;采用云技术为审计人员呈现个人办公系统软件环境,所有审计工作将在审计电子数据管理平台完成,审计人员个人计算机将不再存储任何审计相关数据;利用专用存储介质数据检查工具对审计人员个人计算机和上网本定期进行数据存储检查,确保介质审计数据零存储;实现审计工作环境与个人计算机终端分离,审计数据实时在线。 5 主要成效 结合企业计算机审计工作实际,通过虚拟化等技术手段,建设审计电子数据管理平台,采取计算机审计电子数据集中管理、审计办公桌面集中管理、审计应用软件统一管理和信息安全策略集中管理等具体措施,最终实现审计工作环境分离、审计数据实时在线,从而实时有效地进行计算机审计电
12、子数据安全保护。 5.1 实现电子数据集中管理 集中管理审计电子数据,提供数据多种分类和检索方式,审计人员根据分配的权限、关键字、文档类型、提交时间等快速定位所需文档,为深入发掘审计电子数据价值提供支撑,为审计管理和审计项目工作提供丰富有效的数据资源。审计电子数据管理平台,采用经国家相关安全部门认证的数据加密技术和手段,通过数据加密存储、加密传输、加密备份和数据访问控制机制,全面保障数据的安全性,实现数据的全生命周期管理。 5.2 实现办公桌面集中管理 采用云计算和虚拟化技术,提供标准的、灵活的、可扩展的办公桌面环境,通过集中配置和统一分配审计办公桌面,提高审计办公资源申请、配制、获取、维护与
13、收回清理的工作效率,同时服务器、存储、网络等资源能得到更加充分的利用。审计人员可以快速获得所需办公桌面,系统严格控制,实现审计工作数据与个人本地终端完全分离,且工作状态自动保存,可从任何地点重新接入和恢复。 5.3 实现应用软件统一管理 集中管理 OA 系统、Office 等办公软件,审计管理系统、财务辅助审计系统等审计软件,以及 FMIS、ERP 等其他专业软件,统一配置到审计人员办公桌面。审计人员还可以根据需要,申请所需的其他应用软件,经审批通过后集中配置、统一分配到办公桌面,满足审计人员工作需要,提高审计人员的工作效率,提升信息人员的运维水平。 5.4 实现安全策略集中部署 在虚拟桌面、
14、办公应用、审计数据 3 个层级,集中部署管理防病毒软件、办公应用软件和数据加密管理软件等,通过一次性集中配置,发布到所有审计办公桌面,实现桌面安全、应用安全和数据安全,建立全面的审计办公和电子数据三级安全防护体系,提升审计办公和审计电子数据的安全保护能力。 6 总 结 企业计算机审计电子数据安全保护工作是一项系统工程,需要技术和管理并重,在将计算机审计电子数据安全保护纳入企业保密管理工作范畴的同时,要建立企业个人计算机审计电子数据集中管理制和个人计算机存储介质安全清理检查制,定期开展计算机审计电子数据安全检查工作,将检查结果定期予以公布,并将计算机审计电子数据安全保护工作情况纳入绩效考核,全面提高计算机审计电子数据安全保护能力,为企业内部审计计算机审计工作提供有力保障。 主要参考文献 1审计署企业审计司.企业计算机审计论文集C.北京:中国时代经济出版社,2012. 2中国内部审计协会.内部审计计算机应用技术M.北京:西苑出版社,2009. 3刘汝焯,等.计算机审计概念、框架与规则M.北京:清华大学出版社,2007.
