外审员信息安全
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇外审员信息安全范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
外审员信息安全范文第1篇
随着中国国际航空股份有限公司(以下简称“国航”)信息系统建设的飞速发展,在2008年北京奥运会的安全保障工作中,安全不再只是空防安全和飞行安全,信息安全也已经成为奥运安保的重要环节,并被纳入国航及信息管理部的年度重点工作之中。
在此背景下,国航与IBM公司合作启动了信息安全规划咨询项目,它旨在为国航信息安全体系建设打下坚实的理论基础。同时,国航也通过该项目完成了未来3~5年信息安全建设的发展规划,建立了信息安全管理体系,并最终于2009年5月26日通过了ISO27001信息安全管理体系国际认证,使国航成为国内民航业第一家获得IS027001国际认证的单位。
与飞行安全一样重要
由于信息化建设已经深入到国航业务的各个角落,所以,几乎所有业务都与信息技术相关,特别是涉及到客户信任度的商务及财务方面更是如此。因此,在国航未来的发展战略中,信息安全已经占据了越来越重要的位置。现在,公司上下已经形成一个共识:打造信息安全管理体系这张保护网,就像确保飞行安全一样重要。
基于这样一个共识,我们从国航的业务愿景出发,引导出了国航的信息安全愿景,即国航需要建立起一个成熟的、具备国际水平的信息安全保障体系,这个保障体系第一要保证国航的核心业务不中断,第二要保障国航信息系统不被攻击,第三要保障重要的客户信息不被泄漏,通过一个全方位的安全保障体系为国航的业务愿景保驾护航。
虽然现在已获得了ISO27001国际认证,但国航的信息安全建设经历了一个漫长的过程,大致可以分为四个阶段:
第一个阶段是在2006年以前,当时信息系统对于国航的支撑力度相对有限,同时从整个业界来看,的安全威胁还不是很明显,所以,信息安全建设的特点是以零星建设和被动建设为主。
第二个阶段是2007~2008年,随着国航核心系统逐步投入运行,以及北京奥运会的临近,的安全风险不断增加,这是,国航开始针对性地对重点领域搭建技术防护措施。
第三个阶段是从2008年开始,随着国航对自身信息安全认识的不断深入,国航按照Is02700 L的标准,建立起了信息安全的管理体系。同时,还启动了全面的信息系统战略规划,根据国际最佳实践并结合国航的特色,制定了未来3~5年信息安全技术平台建设的蓝图和路径。自此,国航整个信息安全建设有了一个更加科学和更加明细的路线图。
搭建“安全翘翘板”
整体而言,国航的信息安全体系主要是以IT基础架构和安全技术架构为基础,通过信息安全组织与人员对业务逻辑的准确理解和制度流程的有效执行,实现完整的信息安全管理过程。
应该说,信息安全体系是一个非常复杂的体系。业界有个说法叫“安全翘翘板”,这个翘翘板主要是在IT基础结构的基础上,包括三方面内容:一是技术平台,二是组织和人员,三是制度和流程,通过这三方面的有效执行,从而构成信息安全体系。另外,还要加上安全的管理架构和技术架构,最后和业务逻辑结合起来,这样才能构成一个完整的信息安全体系。
目前,依据ISO27001标准,国航建立了包含三个一级方针,三十一个二级规章的信息安全管理策略体系。通过信息安全管理策略体系的建立、北京奥运会期间的整改措施以及1S02700I外审督促,国航的管理体系评测水平不断提升,其中体系评价范围从运行维护中心到全信息管理部,IS027001中要求的十一个领域都有大幅提高。
在技术平台建设方面,国航针对一些紧迫性问题做了针对性的部署。比如网络安全架构不清晰、来自互联网的威胁日益增加、防护能力偏弱、用户行为控制存在漏洞、系统服务器安全性不足等问题,国航不但划分了安全领域,还部署了防DOS攻击、入侵检测、入侵防御等设备,另外,在重点用户单位引入终端安全管理,利用弱点扫描工具发现系统漏洞等技术措施,配合各项管理措施,很好地完成了北京奥运信息安全保障工作。
在信息安全管理体系建立过程中,国航还特别成立了公司级的信息安全管理委员会,落实了信息安全管控中心职能,借鉴国际最佳实践的功能划分,采用两级管控机制,在对组织机构不做大调整的情况下落实了安全管理责任。
国航ISO27001信息安全管理体系策略文件于2008年底正式,并组织了近200人次的信息安全培训,采用自评结合复核为主的审查方式定期对体系文件的贯彻和执行情况进行了解。通过内部认证培训,培养了专兼职质量安全员34人,以承担未来各部门的安全内审职责。
纳入安全运行标准体系
正如国航副总裁贺利所说,通过ISO27001国际认证,并不代表国航的信息安全工作已经做到位,而是意味着信息安全工作开始起步,后面需要完善的工作还有很多。
因此接下来,国航首先将不断对现有管理体系的操作细则进行完善,进一步细化信息安全管理域成熟等级评价机制,在IBM公司提出的四级评价基础上,针对国航实际情况再进行细分,持续强化规章的定期评审机制,同时要求所有部分在编写自身业务指导书时落实信息安全规章。
另外,信息管理郝还将和国航相关部门一起建立基于岗位信息资源的管控机制。以后国航每一个岗位上的工作人员,可以访问什么样的内容,能够访问多大的资源,都和岗位密切结合起来,这样就能使信息安全的控制预先做好相应的防控。
在技术平台方面,国航将依照既定的信息安全建设规划,在未来三年内,分步在用户身份与信任凭证管理、访问控制、信息流控制、完整性保护、安全监控与审计五大安全服务领域增加功能组件,建立起符合国航的、完整的信息安全技术平台。
外审员信息安全范文第2篇
巧合的是,当天有媒体报道了我国30省份至少有275位艾滋病感染者个人信息遭泄露的事件。犯罪分子在诈骗电话中能准确地描述出病患的个人信息,包括真实姓名、身份证号、联系方式、户籍信息、确诊时间、随访的医院或区县疾控等等,并谎称能为病患办理补助而需要收取不菲的手续费。中国疾病预防控制中心相关负责人于7月17日表示,国家艾滋病感染者相关信息系统被列为国家网络信息重点安全保护对象,目前已经报案,将积极配合公安部门尽快破案。此事还引起了世界卫生组织驻华代表处和联合国艾滋病联合规划署驻华代表处的关注。7月18日,两家代表处联合发表声明,强调“加强现有系统以杜绝类似信息入侵事件再次发生,至关重要”。
国家对于健康医疗大数据的安全十分重视,据统计,《意见》中,“安全”这个词出现了33次。而此次疑似真实发生的医疗数据安全事件,成为“安全是核心基础”的最佳注脚。
他山之石,可以攻玉
――英国健康医疗数据安全的审查和建议
不止我们,许多其他国家也发生了一系列事件,向全世界宣告了他们对健康医疗数据安全的关切。在英国,国家医疗服务体系(National Health Service, NHS)于2016年7月6日做出停止care.data健康医疗大数据平台的决定中,“安全”即是重要原因之一。
在很大程度上,NHS决定关闭care.data,是基于7月6日的两份评估报告。第一份报告《安全的数据,安全的医疗》(“Safe Data, Safe Care”)由英国医疗质量委员会(Care Quality Commission,CQC)。医疗质量委员会是英格兰健康和社会医疗的独立监管机构,其职责是监控、检查和评价医疗服务,促进医疗服务符合标准规范以保证其质量和安全。作为独立第三方,CQC经常地区、国家级的健康和社会医疗质量报告。2015年9月,受英国卫生大臣委托,CQC对NHS处理病人敏感数据过程的安全现状进行审查,并提出改进数据安全的建议。
第二份报告《对数据安全、同意和选择退出的审查》(“Review of Data Security, Consent and Opt-Outs”)是由英国“国家健康和医疗数据守护者”(National Data Guardian for Health and Care, NDG)。2015年9月,英国卫生大臣也委托其与CQC紧密合作,共同提出新的数据安全标准、测评数据安全合规的新方法,以及获取同意共享数据的新模式。在英国,NDG由卫生大臣任命,其主要职责是确保公众能够信任医疗健康系统将保护个人信息,以及个人信息将被用于提高健康医疗水平。
CQC和NDG在对533起数据安全事故调查后发现,大多数事故与纸质的医疗记录相关,且80%到90%的数据安全事故是因为工作人员的习惯无意之中引起的,比如点击了不安全的链接、丢失了存储数据的介质等。但是随着医疗信息系统的普及、数据的逐步集中化及对公众开放访问入口,如果不提升安全防护水平,更严重、更大规模数据泄露的风险将会增加。综合CQC和NDG的报告,英国NHS数据安全工作中存在以下问题:
首先,虽然很多机构都建立了数据安全方面的策略与规程,但并没有在日常工作中得到有效实施,很多机构只依赖策略和规程,而不是通过检测验证系统是否足够安全,也未要求其供应商也遵循同样的管理措施。
其次,NHS的绝大部分工作人员认可数据安全的重要性,但是培训质量参差不齐,有些机构培训覆盖面不够,未涉及合同商、数据共享方、临时员工等,有些机构未将安全事故经验作为培训内容的重要参考。
再次,机构往往不清楚如何从目前存在的大量安全标准中选取合适的参考,许多机构很少去学习其他机构保护数据安全的做法,也很少请外部第三方机构做专业的安全测评。
针对上述问题,CQC和NDG提出的建议简要概括如下:第一,每个机构的领导应该明确数据安全的责任人和其职责,类似于组织医疗事务和财务的管理和问责制度,包括建立有效的内审机制,必要时进行外审以验证安全措施有效性,对恶意类数据安全事件进行严厉处罚等;第二,所有的工作人员应该获得足够的资源,包括正确的信息、工具、培训等,以便于他们履行数据安全处理和共享的职责;第三,IT系统和所有的安全协议都应该按照实际的病人治疗过程和一线工作人员的需求进行设计;第四,应该按照新的数据标准要求设计自评估系统,并选取优秀的案例供其他机构进行同步学习;第五,NHS应该修改通用财务合同模板,确保各机构能够落实数据安全标准,地方机构和供应商签署的合同也应有相应的条款,当供应商无法满足安全要求时不应与其续签合同。
虽然NHS以及care.data计划在数据安全管理方面受到诟病,但从以上审查结果中不难看出,英国作为健康和医疗大数据集中应用的先行者,已经在数据安全方面做了很多有价值的工作,比如配套的法律法规、标准规范,任命了专门的数据保护官员,建立了独立的监管和审计机构,建立了数据安全风险管理的信息系统等。
但是,由于健康和医疗数据的高度敏感性,对其进行集中存储和管理后,一方面会引起恶意人员的高度关注,另一方面一旦发生数据泄露其影响面非常广,对于每个病人来说其后果很难挽回;因此,健康医疗数据的安全工作可谓难上加难,即便英国具备一定的基础,其数据安全治理也未在一开始取得理想的效果,但从近期频繁的安全审查中可以看出,英国政府建立的数据安全监督机构、数据保护官等正在发挥积极作用,正视已出现的问题并提出注重实效的解决方案,以重新赢回公众的信任。
善治病者,必医其受病之处
――我国健康医疗数据安全形势严峻
早在2013年底,国家卫生和计划生育委员会就了《关于加快推进人口健康信息化建设的指导意见》,提出在“十三五”期间将大力推动全国人口健康信息大平台的建设。从安全需求上来说,这个信息平台一是将承载全国13亿公民的人口、健康、医疗等隐私信息,数据保密性要求高;二是将提供公民个人医疗保障、诊疗等信息化服务不能中断,业务连续性要求高;三是将为国家卫生计生行业未来发展提供决策依据,信息容错率要求高。然而目前,我国在健康医疗数据安全保障方面情况堪忧,行业整体安全态势趋于严峻。主要问题包括:
首先,行业合并导致底数不清。卫生、计生行业合并时间并不算太长,业务层面的整合已初步实现,但数据层面的整合尚属起步阶段,在实际执行过程中易滋生死角盲区。从网上已公开的医疗行业信息安全事件中不难发现,绝大多数安全事件的第一步突破点来自于安全管控体系的“法外之地”。
其次,行业信息安全人才与经费保障缺口较大。据不完全统计,医疗行业2015年整体信息化建设资金超过300亿,但信息安全投入不足6亿,占比不足2%,而对于有较高安全保障要求的行业,安全占比普遍超过10%;在人才队伍方面,专业信息安全从业人员严重缺失,许多机构甚至出现“身着白大褂的大夫在看病之余兼职管安全”的状况。
再次,缺乏具备行业特色的信息安全指导框架。健康医疗行业特殊性较高,目前行业虽然已推行国家信息安全等级保护要求,但尚未建设具备行业业务特点的信息安全保障体系,也没有专门的行业信息安全技术标准,不利于有针对性地开展安全防护工作。
第四,行业网络涉及面广,不易管控。我国医疗卫生机构总数已超百万,以药品方面为例,我国有6000多家化学制药企业,药品经营流通企业17000多家,而作为世界制药大国的美国,才分别为200多家和50多家。超大规模、超复杂接入对构建安全的卫生计生网络来说,难度巨大。
另外,不易树立行业信息安全标杆。全国医疗信息化及软件生产供应商达数百家。以行业龙头东软集团为例,其拥有的市场份额不足5%,离散化的分布导致安全的最佳实践无法快速复制推广,在现有保障能力下也很难做到“避轻就重”“抓大放小”。
外审员信息安全范文第3篇
一、农机监理电子档案所包括的主要内容
农机监理电子档案主要包括全市拖拉机及驾驶员电子档案、外省籍驾驶证及拖拉机登记电子档案。采用的是浙江省农机监理业务系统软件,整个软件分为牌证受理岗、牌证管理岗、考试岗和档案管理岗四个岗位。在一岗中主要进行拖拉机注册登记、转入登记、变更登记、转移登记、抵押登记、注销登记、拖拉机变更备案、补换牌证、换发牌证等牌证受理业务。同时还进行拖拉机驾驶证初次受理、增驾受理、转入受理、其他业务受理、管理岗、违法行为记分、驾驶证注销等业务。在二岗中,主要对一岗中受理的拖拉机及驾驶员档案业务进行管理送审,属于牌证管理岗的范畴。在三岗中,主要为考试岗,对于在二岗中拖拉机驾驶员初次受理和增驾受理的人员进行科目一、二、三、四的考试,并给予考试评分,只有通过科目一、二、三、四的拖拉机驾驶员才可在二岗里核发拖拉机驾驶证。在四岗中,主要是档案管理岗,主要为拖拉机及驾驶员档案归案、档案查询、档案更正、档案增补及对已被注销的拖拉机及驾驶员档案的高级查询。农机监理电子档案的应用,可以迅速和准确地计算出全市拖拉机及驾驶员在册的拥有量、年检年审的情况、农机事故的统计数据和外省籍驾驶证及拖拉机的登记情况,给农机监理工作带来了很多便利,大大提高了工作效率。
二、影响农机监理电子档案安生性的不利因素
1.档案安全保护意识薄弱
档案安全保护教育不普遍,档案安全意识淡薄,缺乏安全风险意识,突出表现在档案网络工作“安全第一、预防为主”的意识不强。档案服务及利用人员由于网络安全防护技术较低和安全防护意识不高,造成的无意侵权或电子档案光盘存储的选择等问题,都给农机监理电子档案的安全保管带来威胁。
2.计算机软硬件的设备故障
由于农机监理的电子档案一般不能直接利用,它的形成和处理与利用均需借助计算机软硬件设备的支持才能实现。而计算机系统是由许多部分组成,每个部分的薄弱环节都极易遭到破坏。如:数据易被误输;应用软件易被篡改或盗用;硬件设备中的芯片和电子线路易被损坏等。这些故障的发生都有可能导致农机监理电子档案的丢失或破坏,从而对农机监理造成不可挽回的损失。
3.电子档案存储载体的保护技术问题
农机监理电子档案的载体材料是磁性物质和光盘。聚酯底基是磁盘和磁带的支持体,它具有易产生静电而吸引尘埃导致卷曲、易与磁粉脱离、伸长后不易恢复等缺点。粘和剂起着连接底基和磁粉的作用,它具有易热胀冷缩、磨损、脱落、粘连、生霉等缺点,直接影响信息再现。并且磁粉中的磁性氧化物颗粒的剩磁感应强度是记录和再现信息的决定因素,它极易受外磁场的影响而导致退磁、消磁等。目前光盘常用的介质主要有碲、碲合金、硒、碳铝化合物以及一些在激光热效应作用下易产生物化性质变化的材料,这些材料不稳定,易氧化,易与碱溶液发生反应。因此,电子档案载体材料的这些特点,决定了农机监理电子档案容易受外部环境的影响。
4.计算机病毒与黑客的攻击
计算机病毒已成为当今破坏计算机操作系统的头号杀手,它是一种特殊的具有破坏力的计算机程序,具有自我复制能力,会以各种方式和途径攻击计算机系统的应用软件和数据库以及硬件设备,并可通过非授权入侵在可执行程序或数据文件中,从而造成电子文档的破坏或系统的瘫痪。此外,有些计算机黑客也利用电脑网络进行犯罪活动,他们伺机寻找系统和软件方面的某些缺陷来攻击,通过破译口令与密码而获取使用权限。非法访问、删除或修改某些重要电子文档,使文件所有者和利用者均遭受巨大损失。
三、加强农机监理电子档案安全管理的相应对策
1.加强电子档案安全管理的宣传教育,增强责任意识
要大力普及农机监理电子档案信息安全知识及网络窃密知识,使广大农机监理档案人员了解电子文档的特性,防范农机监理电子文档无意丢失或泄密,提高对各种攻击手段的认识和警惕性,如不随意下载或安装不明软件,不随意打开陌生电子文件等。对农机监理电子档案保护意识融入到档案的价值论中,从而营造农机监理电子档案安全保护新环境。
2.充分采用信息备份技术
信息备份是信息安全保障最重要的辅助措施,它可以为受损或崩溃的信息系统提供良好、有效的恢复手段。一旦原文件遭到破坏,还有相同的备份文件可以取而代之,为了防止存档载体物理性能变化或设备故障而丢失信息,农机监理电子档案的备份系统可以从硬件级备份、软件级备份、人工级备份三个层次入手。每年应对备份磁带或光盘进行抽检,并对农机监理电子档案的读取、处理设备的更新情况进行一次检查登记,这种多层次的综合应用才能达到理想的备份目的,做到万无一失。
3.加强电子文件的载体保护
电子文件载体使用的是磁性、光学材料等精密型载体,对保存环境提出了很高的要求。因此对电子文件载体的保护可以参照《电子文件归档与管理规范》的要求,改进电子档案的存放环境,保持适应的温湿度,采用去湿机,去湿剂氯化钙和硅胶、空调调节系统等措施调节档案库内温湿度。并将农机监理电子档案避光保存,避免光线尤其是紫外线直接照射光盘,最大限度地减少电子档案曝光时间和曝光强度。同时,农机监理电子档案在整理、保管、利用时应避开电动机、发电机、变压器、电视机、消磁器、无线电装置等具体退滋或消磁设备的干扰。
4.多渠道防治计算机病毒和各种攻击
外审员信息安全范文第4篇
20世纪90年代以来,信息技术革命已演进为经济社会的全方位变革,信息化和全球化相互交织,正在重构世界政治经济格局。2002年,国家信息化领导小组会议决定把电子政务建设作为今后一个时期中国信息化工作的重点,启动并开始建设“十二金”工程。经过这些年的发展,政府核心业务系统建设取得重要成果,发挥了显著的经济社会效益,涌现出一批具有国际先进水平的成果。 “金关”工程形成了由“电子海关”、“电子口岸”和“电子总署”组成的海关全方位信息化应用格局,是世界上最先进的海关信息系统之一。 “金税” 、“金审” 、“金盾” 、国家电子政务标准体系建设项目、“金保”社保与低保、“金质” 、“金土”等工程都取得了显著成绩,政府同时还在完善信息化发展环境方面做了大量工作,为信息化和电子政务的健康发展奠定了良好的基础。
2006年的“2020年国家信息化发展战略”将大力推进信息化提升到覆盖我国现代化建设全局的战略举措的高度,提出大力推进信息化是贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型国家的迫切需要和必然选择。 “2020年信息化发展战略的总目标”提出了“一二三四”的具体战略目标,包括促进一个转变即经济增长方式根本转变;实现两个跨越,即信息技术跨越式发展,产业跨越式发展;提升三个水平,即提升网络普及水平,提升信息资源开发利用水平,提升信息安全保障水平;增强四个能力,即增强政府公共服务能力,增强先进文化传播能力,增强军革能力,增强国民信息技术应用能力。
几个趋势影响重大
站在2014年,我们回顾上述发展战略目标,可以看到很多目标已有了基本实现和长足进步。截至2012年底,我国网站数达到268万个,网民总数达5.64亿,移动用户突破11亿,2/3使用移动互联网,互联网普及率达到42.1%。我国的互联网基础设施能力不断增强,宽带网络速率大幅提升,移动互联网成为上网的主要方式,移动智能终端快速发展,智能手机出货量超美国,互联网已成为社会运行的核心基础设施。自主创新能力与上世纪相比,以华为、曙光、浪潮等一批企业为代表,确实有了很大增强,过去我们在技术上无法摆脱跨国公司的境况也得以扭转改变,信息化取得的成效十分明显。
“十”后提出的信息化发展新目标是信息化要在经济社会各领域中迅速发展,加速知识和信息的创新传播,加速ICT技术与政府、产业、公众生活的融合,形成发展新模式;要力促数字技术以常态准则普遍接受和使用;要完善创新环境,引发自主性、前瞻性创新和革新,创立低成本高利润的产业结构和可持续增长模式。
新一代ICT技术的创新发展正推动世界范围内生产力、生产方式、生活方式和经济社会发展观发生着前所未有的深刻变革。在全球信息科技极速发展的宏大画面里,以下的几个趋势影响重大:
海量数据为科技创新提供了新的机遇和挑战。深度挖掘海量数据价值的大数据业务具备巨大的发展潜力。
新型计算模式“SO- LO-MO-CO”,即包括SO(社交服务)、LO(位置服务)、MO(移动服务)和CO(商业服务)在内的新模式在不断变化中进一步趋向融合。
苹果开创的APP应用商店模式推动了软件应用的新型消费模式,彻底改变了无线互联网时代的软件业发展的竞争规则和格局。
物联网技术的发展,使人与物、人和人之间的联系方式都在变化,可穿戴设备作为连接移动互联网和物联网的媒介,带动移动终端高速发展,成为网络的核心接入设备。
随着移动云服务的发展,多数国家与地区均可通过移动宽带网络支持先进的云计算应用,全球云流量的增速将超过全球数据中心总流量,应用服务云端化将成为主流。
基于Client/Server模型桌面虚拟化的发展将个人电脑桌面环境从PC机中分离,在网络环境下由服务器提供“虚拟化”的面,提供与本地桌面相同的用户体验。
开放API平台潮流。提供开放API的平台将网站服务封装成一系列数据接口开放,网站可进行复杂的数据交互,成为与操作系统等价的开发平台,第三方开发者可利用平台开发丰富多彩的应用。
随着互联网的经济社会影响力与日俱增,在我国信息化进程取得巨大进步的同时,中国的信息化发展面临着加快信息化建设、扩大信息消费的重大机遇与网络信息安全巨大挑战并存的新的发展格局。
现阶段,我国互联网网络基础设施建设存在严重的结构不平衡,广大农村地区宽带接入情况较差,互联网普及率较低。目前我国互联网网速平均速率仅1.774M,排名全球第71位,仍处于“低速宽带”阶段,与世界发达国家相比,我国的互联网建设仍需进行跨越式提升,建设宽带中国是实现中国梦不可忽缺的元素。网络安全管理上的巨大挑战既有由转型发展期的社会管理新形势对网络安全管理上的挑战,更需要重视网络空间作为陆、海、空、天等物理空间之后,具有国家性质的第五个实体空间(可称之为“领网”),既具领土、领海、领空等国家疆域的性质,又具有公海、外太空领域等难以确定疆域的无国界特征,给维护国家带来新的挑战。在国家网络安全方面,值得关注的是我国能源、交通、金融和国防等关键领域的网络和信息安全问题日益严峻和紧迫;同时还应指出的是,我国现有重要工业控制系统其核心底层技术或产品主要来自境外,安全面临严峻挑战和新的威胁,一旦发生安全问题,将严重影响人们正常的生产生活,严重干扰正常的社会经济秩序,造成重大经济损失和社会影响。
向整合协同方向发展
放眼未来,我国的信息化发展需要经历单一机构型、整合型和平台型三个阶段,标志着信息化从单一机构应用到跨部门协同,再到社会参与公共治理的转变,这既是信息化深化的规律,也是社会信息时代转型的趋势。从全球信息化发展来看,“整合治理”是主要趋势, “整合治理”以提升政府的整体履职能力以及政府与社会各个方面的共同努力为路径,从而全面提升公共利益。“整合治理”的主要目标在于加强政府机构之间、政府与公民之间以及政府与其他各种类型的利益相关者之间的合作,以构筑一种新型的内外关系。《2009联合国电子政务调查报告》指出“如果没有整合性后台政务系统作支撑,就不可能提供高质量的政府服务。今天越来越显示出跨组织的业务协同和信息共享的重要性,电子政务必须向整合和协同的方向发展”。
国家制订的“十二五”规划建议明确了信息化的战略地位,在电子政务方面,提出要以信息共享、互联互通为重点,大力推进国家电子政务网络建设,整合提升政府公共服务和管理能力。
工业和信息化部制订的《国家电子政务发展规划》明确了有关电子政务建设的“四个必须”的指导方针,即必须坚持将科学发展观贯穿电子政务发展全过程(统筹规划,顶层设计,政务与技术深度融合,深化应用);必须坚持把以人为本和构建和谐社会作为电子政务发展的出发点和落脚点。(以服务社会公众为中心,解决重大问题和突出矛盾,加快服务向基层延伸,使电子政务惠及全民);必须坚持把深化应用和突出成效作为电子政务发展的根本要求(提高履行职责能力,优化业务流程,创新服务模式,加大政务信息资源开发利用,信息共享和业务协同,建设集约化、应用平台化、服务整体化,提高电子政务效益);必须坚持创新发展和加强管理的有机统一(新技术在电子政务中的应用,健全管理体制机制,开展考核评估,带动信息产业发展,提升信息安全保障能力)。
依据国家“十二五”规划工作的总体安排,国家发展和改革委员会牵头组织并编制了《“十二五”国家政务信息化工程建设规划》,规划是决策国家重大信息化工程和安排中央财政预算内投资的重要依据。规划中提出到“十二五”期末,形成统一完整的国家电子政务网络,基本满足政务应用需要;初步建成共享开放的国家基础信息资源体系,支撑面向国计民生的决策管理和公共服务,显著提高政务信息的公开程度;基本建成国家网络与信息安全基础设施,网络与信息安全保障作用明显增强;基本建成覆盖经济社会发展主要领域的重要政务信息系统,治国理政能力和依法行政水平得到进一步提升。规划中还对各地区、各部门及有关单位切实加强《规划》实施的组织领导,进一步明确工程项目完工投用后的共用共享机制,增强部门间的业务协同能力,确保取得实际效果,对切实提高投资效益提出了具体要求。
正视须尽快解决的问题
上述规划的制订,需要有效解决当前政府信息化建设的以下主要问题,主要包括面向公共服务和改善民生的重要信息系统尚需加快建设;条块分割,信息孤岛现象依然比较严重(国办调研38个部委有80个专网);信息共享和业务协同的程度亟待提高(专网实现横向交互的比例不到0.1%);重建设轻应用、重硬件轻软件的状况尚需改善(网络资源的利用率不到5%);网络和信息安全的态势不容乐观(2010年网络泄密案占全国泄密案的70%,网络失泄密的文件资料达70万份)。以往的政务信息化建设政策文件主要以单一部门业务活动过程为主线,以提高效率为宗旨组织信息化工程建设,形成相对离散的工程项目群。《规划》是以协同相关部门解决社会问题为主线,以提高效能为宗旨组织信息化工程建设,通过集约整合的发展方式,形成支撑治国理政公共服务的信息化工程有机整体。规划主要创新点在于推动实现三个转变,一是建设目标的转变,即从过去注重业务流程电子化,提高办公效率,转向更加注重支撑部门履行职能,提高效能;二是建设思路的转变,即从各自为政、相互封闭的建设方式,转向跨部门跨区域的协同互动和资源共享;三是建设模式的转变,即从粗放式、离散化的建设模式,转向集约化、整体化的可持续发展模式。《规划》的总体思路是围绕两条主线,一是信息共享、业务协同、集约建设、节约投资,二是目标驱动、需求导向、机制创新、注重效能,突出了保障和改善民生、维护经济社会安全、提升治国理政能力三个重点。
近十年我国在全球信息通信技术发展指数(IDI)、全球电子政务发展指数(EGDI)和全球网络化准备指数(NRI)中的排名呈现“先上升、后下降”的变化。我国的信息化建设工作依然任重而道远。
正视我国信息化必须尽快解决的问题:推进基础设施的资源整合与共建共用;依据需求,推进基础信息资源和业务信息的新信息机制创新和交换、汇聚于共享;运用IT新技术,整合形成能够构建适应不同领域和部门的统一平台,为领域、行业、公众和其他用户实现面向应用的协同共享;以业务内外分解为原则推进服务适度集中和适度社会化
全国上下,无论是中央还是地方政府,为更快更好地推动信息化进程,必须提升信息化战略意识,创新信息化管理体制,采取多种手段大幅提高全社会信息化技能水平,积极探索和激励创新体系,逐步推进信息化建设目标的五个关键转变,从信息化重建设、轻应用向注重深化应用转变;从信息网络分散建设向资源整合利用转变;从信息系统独立运行向互联互通和资源共享转变;从信息管理偏重自我服务向注重公共服务转变;从信息网站自建自管向发挥社会力量转变。
外审员信息安全范文第5篇
【关键词】会计电算化;审计
随着我国会计电算化的普及程度和影响力越来越大,会计电算化必然会向更高的阶段发展,例如通过利用计算机、网络等技术,将企业产品开发、生产和销售等过程实现系统化,甚至会出现以信息系统为基础的管理职能,这样一来管理层能将个人经验和智能系统相结合,更好地实现对企业的管理和决策。会计电算化的普遍应用使审计工作发生了很大变化,对适应手工会计核算的审计线索、审计技术等产生了重大的影响,主要体现在以下几个方面。
一、对审计线索的影响
在手工会计条件下,从原始凭证到记账凭证,由过账到财务报表的编制,每一步都有不同人员根据分工填写的文字记录,都有经手人签字。通过经济责任来加强相互的联系和制约。一旦出现问题就可以逐步审查,审计线索非常清楚。在会计电算化中,一方面会计组织形式和人员设置发生变化,内部控制制度不仅要增加有关计算机方面控制的要求,而且使内控的结构、方式、对象等方面都发生了改变;另一方面会计记录的储存和处理发生了巨大变化,会计凭证通过输入形成数据文件储存;总分类账为文件代替,明细分类账采用满页打印,两类数据的日常核对在计算机系统内进行;报表的编制采用按事先的公式,从账簿文件及其他文件中取数计算,数据的来源、公式的定义、编制结果及打印格式均采用机内文件的形式。采用计算机处理会计资料后, 由于数据处理过程的完全自动化,业务数据录入计算机之后,全部会计处理均按程序指令自动生成,绝大部分的文字记录消失了,账面信息变成了磁性介质上的代码。磁性介质删除修改不留痕迹,审计人员对直接打印输出的会计报表是否按企业提供的公式定义文件加以编制的存在质疑。审计线索由可见转为不可见,内容上也增加了计算机系统、应用程序、操作人员等线索,原有的审计线索有些实质上也发生了改变,如内部控制制度等。
二、对会计系统内部控制评价范围的影响
在手工会计环境下,企业内部控制的范围主要针对的是会计业务处理过程。在会计电算化环境下,除在手工环境下会计系统控制的范围外,还包括如网络系统安全的控制、系统权限控制、修改程序的控制等。手工会计系统的内部控制已经不能适应电算化的特点,审计方法已经由制度基础审计过渡到风险导向审计。为了系统的安全可靠性和会计信息的完整性,必须针对固有风险建立新的内部控制。如输入、输出的授权控制,业务处理的审核等。处理有关电子数据处理的制度、人工执行的程序控制及对内部控制的程序化是关注的重点。审计人员要对电算化信息系统内部控制的弱点纳入评估并提出该进建议。
三、对审计技术的影响
在手工会计条件下,审计主要是利用算盘、计算机等工具,采用审计查帐法、审计分析法、审计调查法等对被审单位进行审查。审计可采用顺查、逆查和抽查,并通过审阅、核对、分析、比较、调查和证实等方法完成,所有工作由手工进行。会计电算化条件下,人工的审查技术仍然使用,但审计人员要利用计算机辅助审计技术,它是结合计算机技术对客户电算化会计系统进行审计的各种方法的总称,包括面向数据的测试和面向系统的测试。用专门的审计软件区应对各种工作平台下的会计软件,完成审计目标。
四、对审计内容的影响
采用电算化前的登记出纳帐或日记帐(出纳)登记总分类帐和明细分类帐(会计)编制会计报表(会计)等程序变为记帐(操作员)打印帐表(操作员)。手工账下其数据处理是否合理合法,是否存在舞弊和差错,则主要取决于会计人员业务水平的高低、工作态度的好坏和工作能力的大小,以及对有关法律法规和财经纪律、考核制度的理解程度及其贯彻执行情况。因而,审计的主要内容是其财政财务收支状况及其有关的经济活动。电算化环境下会计数据处理的结果是否真实可靠,除了上述因素,还取决于会计数据处理过程中所使用的计算机硬件系统和软件系统是否准确可靠,操作运行及处理流程是否符合要求等。由于会计电算化信息系统的特点,审计内容扩大,审计工作的的重心也由对会计资料的错误的审查移向对计算机处理和控制功能的审查,这就包括系统的开发和设计、软件程序、数据文件及内部控制的审计等,即除要电算化会计信息系统进行事后审计外,还应提倡在会计信息系统的设计、开发阶段,应有审计人员参与进行事前和事中的审计。
五、对审计标准和准则的影响
在整个审计工作中,审计师必须遵循一定的准则和标准保证审计工作质量所必需的。手工会计环境下的审计工作中建立起完善的审计标准,如审计人员、审计方法、审计环境、审计报告、标准职业道德规范、审计效果衡量标准、财务审计准则、经济效益审计准则等。但由于审计线索、审计内容、审计技术等的变化,过去的审计标准的某些部分已不再适用,而与电算化系统有关的准则和标准尚未建立,在这种形势下要完成审计工作,必须修改和完善相应的审计准则和标准,如电算化审计人员考核标准、电算化信息管理系统开发审计准则和其内部控制审计准则、审计应用软件标准等都亟待建立和完善。
六、对审计工作人员的影响
会计电算化给审计带来的变化使审计人员面临新的难题。审计人员在整个审计过程中发挥着核心作用。从审计计划的制定、审计程序的确定、审计技术的选用及审计方法的采用,都需要审计人员的操作。审计人员不仅要具有丰富的会计、财务、审计知识,还要掌握计算机知识及应用技术,掌握数据处理及管理技术,能够编写各种测试审查程序,建立符合自己要求的电算化审计系统。
七、对审计风险的影响
会计电算化环境下,传统的会计岗位职责和内部控制制度发生了变化,某些安全已不是企业内部控制所能完全控制的。因此审计风险中所包含的固有风险、控制风险、检查风险日益复杂。在计算机辅助系统的控制下,固有风险基本上得到了控制,但是由于网络的开放性和会计信息资源的共享性,会计资料被非法修改和窃取的可能性大大增加了,同时计算机病毒和网络黑客也在危害着会计信息安全。在这种情况下控制风险更加难以确定。
参考文献:
[1]金会琴.会计电算化对内部审计的影响及对策[J].经济管理与科学对策,2009(4):149-02.
[2]何丽娜,刘泽玲.会计电算化对审计的影响及对策[J].河北工业科技,2007(3).
[3]刘亚萍.浅谈审计应对会计电算化挑战的策略选择[J].财经纵横,2009(8).
