前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全管理工作方案范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
摘 要 随着当代网络技术的不断完善和发展,如何利用网络资源进行高效的档案管理工作已经成为档案管理(从业)人员必须面临的重要课题。本文主要分析了档案管理工作中如何融入现代网络的成分才能进行更好的创新,以及网络对档案管理工作带来的安全隐患问题进行研究,并提出一些合理化的建议和观点。
关键词 网络环境 档案管理 创新 安全防护
档案管理是社会工作的重要组成部分,是用以记录社会变迁、发展和革新的一种工作过程和内容,其管理水平的高低直接影响着社会资料保管的质量。在当代网络信息技术飞速发展的背景下,档案的管理工作也应该与时俱进,充分利用网络资源来提高档案管理水平,在保护好纸质资料的同时,也要对其进行电子信息存档,将管理方法由单一的纸质保管逐渐转变为纸质与电子技术的结合,并在管理的过程中不断改进方法,努力创造出更完善、更实用、经济效益更高的管理办法。
一、网络环境对档案管理工作的新要求
(一)提供满足人们需求的档案信息
前人们对信息的需求量不断增大,社会公众对档案信息的需求已经不再满足于传统的信息提高方式,而是向着更宽广、更深入的领域发展。基于这种现状下,档案管理部门应与时俱进,对管理工作进行创造和改进,不断提高档案的管理水平,提高档案信息的共享程度,以便更好地满足人民群众的需求。档案管理部门应该研究我国人民使用和查阅档案信息的类型和特征,对档案利用的原因和信息共享情况进行分析,从而真正弄清人民所需要的档案信息类型,以便对症下药,提供更多的符合人们需要的信息。同时还要对档案进行宣传,为档案管理工作创造有利的外部条件。
(二)建立网络档案的信息服务体系
档案管理工作要根据整个行业的发展形势,建立全方位信息管理系统,对行业内的相关档案信息进行统一的整理和分类,在对信息处理完成之后,在进行整体性的利用和开发,努力创造资源共享的条件,为国家经济发展和人们获取信息服务。此外,还应根据时代的发展趋势,建立国家层次的档案管理体制,开创全国范围的的信息共享平台,使我国的档案信息能被充分利用,发挥出更大的社会效益和经济效益。
二、在网络环境下进行档案管理工作创新的途径
(一)积极做好线上服务工作
在当今的社会里,由于人们的工作和生活都变得越来越丰富多彩,所以人们对信息的需求量也在不断增加,对各种类型的信息都有可能产生需求,同时人们对获取信息的速度也在提升。传统的信息管理方式已经无法满足人们的需要,社会公众和档案馆等相关部门应该构积极建档案管理信息化,做好网络信息的以供人们便捷地获取,使档案管理能更好地为人民服务。
(二)做好信息共享工作
档案管理部门要建立起自己的信息网站,在合法合规的前提下及时正确地将各类档案的公开信息出去,并通过链接的方式将各类混乱的信息整合在一起,建立一个一站式的信息检索平台,最大限度的实现信息共享,给人们的工作和生活带来更大方面。同时也能实现档案管理各部门之间的信息共享,有效提高部门之间的信息传递和沟通,降低档案管理成本,提高效率。此外还可以促进档案信息化的不断完善,提高档案信息的使用价值。
(三)做好档案信息的细分工作
如今的网络上充斥着各种各样类型的信息,有价值和无价值的都在网上流动着,如果档案管理部门对信息的定位不够准确,就会造成人们查询的不便。所以档案管理部门不仅要将信息的采集和保管工作做好,还要对其进行精细化的分类整理,将各类信息垂直划分为层次不同的类型,并在数据库中安排好存放位置。让用户可以通过接口对所需要的信息进行快速准确的定位,还可以选择是否要进一步的查询,以此来减少用户的检索时间,提高的效率。
(四)做好用户信息反馈工作
档案管理部门可以在自己的网站上建立一个用户反馈专栏,收集用户对网站的设计、信息服务等活动的满意度,通过反馈,档案部门可以清晰地了解档案信息所具备的社会价值以及自己的工作所存在的问题,为改进工作提供明确的方向,同时对相关人员的工作也可以起到一个监督作用,让他们在工作岗位上能够严格要求自己的行为规范,促进他们服务意识、责任感和职业道德的提升。档案部门收集用户的反馈后,还须做出一些后续的努力,如对档案管理人员进行培训。
三、在网络环境下,档案管理工作的安全防护措施
(一)建立完整的网络档案管理系统
在当今的网络时代中,各种档案信息资源通过网络这个媒介而组成一个庞大的体系,当把档案信息录入到数据库时,档案信息就会根据某种逻辑传递到某个数据库和各个数据库之间以及运行程序和数据字段之间,经过进行重组后成为档案管理网络的数据序,这一复杂的过程对整个网络档案管理的信息信息数据库完整性具有极其重要的作用。所以这对档案管理信息化的工作人员的能做技能提出了更高的要求,他们不但要掌握各个数据库之间的特殊逻辑关系,还要对运行过程中出现的关于完整性的问题及时地修改和维护,做大限度地降低对数据库造成的有意或无意的伤害。
(二)保证电子档案的正常查阅
如今档案管理信息系统更新换代快,比如办公软件版本的更新换代,低级版本的软件是无法打开高级版本的文件的。所以为了确保电子档案可以随时正常使用和查阅,必须保证所有的档案信息文件都保存为与系统相一致的或与系统之间可以互相兼容的版本和格式。遇到操作系统需要更新的情况,还需要对系统的配套软件进行同步更新,确保操作系统和配套软件处于一个动态的、互相的兼容的状态中,方便档案信息的随时读取,同时也为网络档案信息的有效性和完整性提供有力的保障。
(三)保证网络档案管理的安全性
相对于传统的档案管理方式,网络档案管理信息面临的安全性更加复杂多变,也更难以把控。网络档案管理的系统安全指的是通过网络硬件和软件系统的合理设计,使档案信息能够正常地运行,并长期保持着良好的状态,使其的功能可以充分地发挥出来,为查阅的洪湖提供优质的信息服务。要实现网络档案管理的安全性,必须在利用、保护和管理过程中,保证各项信息资源的传输安全和有效管理。例如,在进行档案管理的实际工作中,要建立和完善有效的内部管理体制,对访问权限和查询进行严格控制,还要采取各项有效措施对病毒进行预防和查杀等。
四、结语
档案管理工作对社会生活的影响重大,在网络时代的新形式下,我国的档案管理工作正面临着新的机遇和挑战,构建网络档案信息平台,实现档案资料的共享,已经成为时展的需求,所以档案管理部门应该进行工作方法和工作内容的创新,充分利用网络信息技术促进档案管理工作的质量和效率的提高,更好地为社会公众和经济发展服务。同时还要重视网络档案管理的安全防护问题,保证档案管理工作的可持续发展。
参考文献:
[1] 李巍.网络环境下档案管理工作的创新与安全防护[J].湖北函授大学学报,2013,26(3):98-99.
[2] 李巍.网络环境下档案管理工作的创新与安全防护[J].吉林农业科技学院学报,2013,22(3):36-38,90.
[3] 王茹熠.数字档案信息安全防护对策分析[D].黑龙江大学,2009.DOI:10.7666/d.y1499847.
[4] 邓保国.网络环境下档案信息服务方式的变革[J].科技情报开发与经济,2004,14(3):22-23.
一、工作目标
要通过安全保密检查,各计算机信息系统安全管理重点单位的计算机安全保密意识得到进一步提高,信息安全保密管理措施得到进一步贯彻落实,信息安全保密长效机制得到进一步的健全和完善,计算机信息系统和信息的管理得到进一步的规范和加强。
二、工作内容
(一)保密检查:计算机信息系统和信息网络安全保密管理制度以及技术措施的落实情况。
(二)信息安全检查:网络重点单位信息网络安全检查,包括安全组织成立、安全管理制度建立、安全措施落实情况。
(三)国家安全事项检查:计算机网络涉及国家安全事项。
(四)重要信息系统安全监测(包括网络安全和保密技术检测)。
(五)安全管理技术人员培训。
(六)各有关部门充分利用联合检查平台深化本部门的其他重点工作。
三、组织领导
(一)市里成立联合检查领导小组。领导小组是联合检查工作的组织协调机构,由五部门有关负责同志组成:
*(*市国家保密局副局长)、*(*市*局副局长)、*(*市国家安全局副局长)、*(广东省电信有限公司*市分公司,副总经理)、*(*市信息产业局,副局长)。
领导小组下设工作小组和办公室,工作小组由五部门相关处室负责同志组成,负责工作的联络和实施检查。办公室设在牵头单位,负责日常工作。本年度工作由*市*局牵头组织,下一年度工作由轮值单位牵头组织。
(二)各县(市)参照市模式成立相应机构,建立联合工作机制,有关单位落实人员开展信息安全保密检查工作。
(三)分工情况:市联合安全保密检查领导小组负责市直单位的信息安全保密检查,并组织对各县(市)工作开展情况进行督查。各县(市)检查领导小组负责本辖区内各单位的安全保密检查。
四、时间安排
(一)准备阶段:6月中旬—7月上旬。
1、召开市五部门领导小组和工作小组会议,研究、制定工作方案。
2、部署各县(市)开展安全保密检查工作。
3、市保密、*、国家安全、信息、电信等五部门各自指导下级业务部门开展联合检查工作小组成员的培训工作。
4、编订安全保密工作检查指引。
5、确定自查对象。
(二)自查阶段:7月上旬—7月中旬。
发出通知和检查指引,要求各相关单位按照通知的要求和指引内容的提示,认真组织开展信息安全保密自查工作。
(三)抽查阶段:7月中旬—8月上旬。
市安全保密联合检查领导小组根据工作开展情况,研究确定重点抽查单位,派出工作组全面开展信息安全保密抽查工作。并督促相关单位做好准备,迎接省联合检查组的检查。
(四)总结阶段:8月中旬—8月下旬。
1、联合检查领导小组对抽查和各单位的自查情况进行总结,10月5日前将工作开展情况上报省联合检查领导小组。
2、召开五部门领导小组、工作小组会议,总结本年度的工作,初步议定明年工作计划,并对有关资料进行交接。
五、检查范围
检查的范围主要是计算机信息系统重点安全保护单位(简称:“重点单位”),包括:涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统及其单位。具体包括:
1、县级以上的国家机关、国防单位;
2、财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的单位;
3、国家及省重点科研、教育单位;
4、国有大中型企业;
5、互联单位、接入单位及重点网站;
6、向公众提供上网服务的场所。
六、检查方式
采取单位自查、汇报,检查小组组织实地检查、检测等多种方式进行。
七、人员培训
培训对象是全市各计算机信息系统重点安全保护单位的网络管理维护技术人员,参加安全保密培训和信息网络安全专业技术人员继续教育培训。各重点单位在开展自查工作中,须将本单位的自查工作情况总结和本单位从事计算机信息系统或网络管理维护的技术人员名单、联系方式7月30日前报送市联合检查领导小组的牵头组织单位(20*年牵头组织单位是*市*局)。8月底前要分期分批完成对全市重点单位网络管理技术人员的培训工作。培训完成并通过考试后,颁发有五个部门统一发的保密培训证书和信息网络安全专业技术人员继续教育证书。培训的师资为*电视大学及其教学点。
六、工作要求
(一)高度重视,加强工作的组织领导。这次检查,是省保密委员会和省公共信息网络安全管理领导小组部署的一项重要工作,是在新时期下加强和做好信息安全保密工作的重要环节。开展信息安全保密检查工作,对及时掌握本地计算机信息管理重点单位的信息安全保密工作和管理的状况,及时发现存在的安全保密隐患和漏洞,有针对性采取有效措施加强管理,增强信息安全保密意识,提高信息安全保密防范能力具有十分重要的意义。各单位要从讲政治、讲大局出发,从构建和谐平安网络环境的高度,充分认识到信息安全保密检查工作的重要性和必要性。要切实落实工作责任,明确工作要求,加强对安全保密检查工作的组织领导,确保我市的安全保密检查工作取得实效。
我叫,年由部队转业到市纪委工作,任住房公积金管理中心纪检组长。在工作中坚持原则、勤奋务实、秉公执纪、清正廉洁,积极投身党风廉政建设和反腐败工作中,充分发挥纪检监察职能作用,机关效能建设获全市优胜单位,行风建设取得优异成绩,有力促进了各项工作的开展,着重作了以下工作。
一、抓学习、重教育、使党风廉政建设工作扎实深入地开展起来
我十分重视对党员干部的党性观念和政治理论教育,注重从思想基础抓起,做到循序渐进。一是积极组织进行中央《建立健全教育、制度、监督并重的惩治和预防腐败体系实施纲要》(以下简称实施纲要)的教育和贯彻落实,结合住房公积金管理工作实际组织制定出落实《实施纲要》和市委《实施办法》的工作方案,将具体内容分解到各个处室和相关责任人,强化监督、强化责任、狠抓落实。二是着力抓好和优良传统教育,经常利用政治学习日和党团活动时间,组织进行正反两方面典型教育和瓞倡廉警示教育,使中心党员干部在不断提高政治理论素养的基础上,进一步增强廉洁勤政和遵纪守法的自觉性。三是狠抓党风廉政建设工作的落实,组织制定了《关于进一步加强党风廉政建设的实施意见》和《党风廉政建设实施办法》,细化了党风廉政建设责任制,形成了明确责任、实行一岗双责、一级抓一级、层层抓落实的监督机制。今年进行廉政教育谈话36人次,使党员干部经常保持清正廉洁、纪律严明、风清气正和积极向上的精神状态。
二、建制度、强管理,使住房公积金管理工作安全规范、有度运行
我认真坚持“健全制度、强化管理、严肃纪律、高度统一”工作原则,把健全制度、规范管理作为管好、用好住房公积金的基础。首先协助党组完善和细化领导班子学习和议事制度。制定了党内民主生活会、领导班子科学民主决策和谇事制度。制定了党内民主生活会、领导班子科学民主决策和会议制度。使中心领导班子民主集中制原则体系进一步完善,科学民主决策机制更加成熟。第二,完善和细化公积金业务管理程序。在去年完善制度的基础上,先后又完善细化了公积金代款办法和程序、公积金缴存办法和程序、公积金支取办法和程序、网络安全管理等制度,使中心工作秩序有章可循,业务开展有法可依、程序规范,有效避免了各种风险的发性。第三,组织制定廉政勤政工作制度,物后组织制定了《领导干部行为准则》、《加强领导干部思想建设、维护团结工作规范》,《干部任中和离任审计规定》、《廉政谈话制度》、《评廉述廉制度》、《严肃查处“不作为、乱作为”等违纪问题暂行办法》和《效能建设实施方案》、《行风建设实施方案》,《政务公开透明实施方案》,使中心党风廉政建设进一步规范化、制度化。
一、积极主动,充分发挥综合协调作用
(一)进一步加强上下级机关部门间联系。充分发挥综合协调作用,确保局党组的各项决策部署落到实处。贯彻落实“四个服务”理念,认真做好各类会议、重要活动安排的组织和服务工作,力求高效有序。
(二)优化工作机制。进一步落实工作制度,规范工作程序,努力克服形式主义,改进会风和文风,确保领导同志从“文山”、“会海”和一般性事务中摆脱出来,集中精力抓大事、抓落实。
(三)善于拾遗补缺。顾全大局,对于一些急事、难事、琐事和其他部门不便于协调的事,勇于承担,认真负责。
二、抓督查、督办、进一步推进工作落实
(一)加强对贯彻落实市局工作会议部署、要求的督查。紧紧围绕全年工作任务、目标,督促相关职能处室制定督查工作方案,落实督查任务,开展督查工作,确保市局全年工作任务的完成;加强局属单位及机关办公区域安全保卫督查。认真落实防火、防盗等安全防范措施和办公室内部卫生工作,积极应对突发事件,强化节假日值班制度,落实值班责任。
(二)加强专项督查。以上级农业部门重大部署,市委市政府工作重点和人大代表、政协委员提案,领导重要批示为重点,加强督办工作,推进重点工作落实,协同、督促有关处室对市长热线、市长信箱转办文件的及时办理。
三、抓服务保障,全力加强自身建设
(一)推进内部管理标准化。整合工作职能,明确工作目标,落实工作措施,做到责任到岗、任务到人,让同志们都能精心谋事、潜心干事、专心做事,尽职尽责把工作做好。
(二)加强业务能力建设。以创造学习型办公室为抓手,以理论学习、业务学习、相关法律、法规、条例学习为重点,努力提高办公室人员的综合素质,提升服务意识,明晰工作职责,提高工作水平,增强工作积极性和主动性,打造一个良好的机关“窗口”形象。
(三)加强作风建设。要树立“办公室工作无小事”的思想意识,大力倡导求真务实的工作作风。要摸实情、办实事、创实绩,在具体工作中,做到遇事不推、不压、不拖、不靠。大力提倡团结协作的作风,自觉维护内部团结,调动一切积极因素,营造一个团结和谐的工作氛围。
四、抓日常工作管理,切实提高办公室工作效能
(一)优化文件流转程序,着力打造及时、准确、有效的信息渠道,完善公文流转机制,促进来文、来电、网上通知等各类信息有序、有效、上传下达,明确责任,强化意识,确保局系统信息渠道畅通,确保局机关各类文件资料流转规范、运行高效,提高机关工作效能和效率。
(二)完善档案管理工作,维护档案的完整与安全
做好机关文书档案的整理立卷工作。督促相关处室、人事、业务、财务档案的整理归档,加强与市档案局的工作联系,逐步采用分布式档案室系统软件管理,做到软件保存和纸质文件材料存档并举,建成便捷、快速、规范的档案管理模式,努力完成市档案目标管理任务。
(三)进一步做好公文制度的审核工作
严格局机关对上、对下和市直有关部门行文的审核,确保各类发文文件格式规范适当,努力做到纸质发文与网上发文同步进行,认真抓好机关公文质量的审核工作,切实提高局机关办文工作水平与质量。
(四)进一步加强固定资产、办公用品的管理
严格执行市政府《关于办公用品定点采购制度》及本局《大宗物品采购制度》规定。坚持阳光操作,购进验收、入库和领用登记制度,做好固定资产登记和保管报废工作。
(五)切实加强行车安全工作
进一步加强机关车辆管理,认真落实《机关管理办法》,重点突出机关车辆安全管理工作,认真组织学习《道路交通法》等相关法规以及车辆保养维护常识,切实加强驾驶员的行车安全教育与日常管理,进一步抓好定人、定点、定车加油制度及定点维修制度的落实,杜绝非驾驶人员驾驶公车现象。
(六)切实加强保密工作管理
认真落实局机关人员保密责任,严格文件管理,适时开展多种形式的保密教育,增强局机关人员的保密意识。抓好信息网络安全工作,努力完成市保密工作目标任务,杜绝泄密事件发生。
(七)认真做好外事接待工作
认真执行对外接待呈批手续,积极开展对外交流,坚持有利于工作开展,有利于招商引资,有利于提升综合社会效益的原则,厉行节约,热情真诚,细致周到地做好对外接待工作。
21世纪是信息化的社会,计算机技术不断进步,并在生产领域得到深入应用。特别是会计电算化的推广,把以电子计算机为代表的现代化数据处理工具及以信息论、系统论、数据库、计算机网络等新兴理论和技术应用于会计核算、财务管理工作中以提高财务管理水平和经济效益,实现会计工作的现代化。目前,越来越多的企业开始全业务的采用信息系统,形成了一个网络经济时代,各个企业、事业单位的信息化情况表现出了前所未有的综合性和开放性。这种信息化的高度集中带来了高效益,但同时,也带来了高度的风险,信息系统审计也就在这种历史背景下应运而生。
一、信息系统审计的内涵和外延难以把握
随着信息技术的发展,信息系统在财务、管理领域的应用程度不断提高,功能日趋完善,其软硬件结构的复杂性和涉及领域的广泛性以及信息处理技术更新的频繁性使得审计人员难以同步把握信息系统审计的内涵和外延。从外延上看,信息系统审计主要包括两个部分,一是对信息系统主体的审计,二是对信息系统应用环境的审计,包括网络环境、使用环境、管理使用情况等。一般说来,审计信息系统本身相对容易,但审计信息系统的应用环境却存在较多不确定因素,比如某公司的信息系统通过防火墙连接到互联网,而在防火墙内还存在其它系统,其它系统是不是也在审计范围之内?
从内涵上看,信息系统审计主要是对信息系统的安全性和可靠性进行评估、评价。安全性、可靠性是一个比较广泛的概念,以系统安全性为例,它包括:ISO开放系统互连安全体系结构、TCP/IP安全体系、开放系统互连的安全管理、安全服务和功能配置;系统安全涉及的信息安全技术包括:密码技术、访问控制技术、机密性和完整性保护技术、数字签名技术、抗抵赖技术、预(报)警机制、公证技术、防火墙技术、漏洞检测技术、网络隔离技术、计算机病毒防范等。由于信息技术本身的限制性,绝大部分信息系统本身均存在安全性问题(如防护级别最高、防护技术最好的美国国防部也常有被攻击的情况)。
把握不准信息系统审计的外延和内涵,就难以解决以下三个问题:一是难以解决审计力量与审计任务之间的矛盾,难以控制审计风险,即不该审的审了,该审的却未审;二是由于绝大部分信息系统本身均存在安全性问题,信息系统审计很容易演变成“信息系统是否存在问题源自于审计人员的技术水平,而不是系统本身的安全性和可靠性”,即,绝大部分信息系统均存在不安全、不可靠因素,就看审计人员能否发现由于信息系统的安全性问题是绝对的,而审计人员的视角和技术水平是相对的,信息系统审计的成果部分取决于审计人员对信息系统审计内容的把握程度;三是由于审计需要大量的证据支撑,对于未造成损失但信息系统存在不安全隐患的问题难以定性,即便是造成了损失,也难以界定这些损失与信息系统不安全、不可靠因素之间联系。
因此,审计部门应根据“全面审计、突出重点”及“先易后难”、“先系统本身后系统环境”的原则,参照国家信息技术部的有关标准,界定信息系统工作的外延和内涵,将信息系统审计的主要方向定在:被审计单位的信息系统的安全性、可靠性是否达到应有的水平或标准,而不是系统是否有安全性和可靠性问题。
二、信息系统审计评价标准很难确定
信息系统安全审计,涉及会计信息处理自动化、表示代码化、信息处理与存储集中化、内部控制程序化等诸多广泛、复杂的计算机专业技术环节,其技术性较高。而我国信息系统审计正处于起步阶段,对审计机关如何开展信息系统审计尚在积极探索中,因此,目前尚没有一个完整的、成熟的具有示范作用的审计案例,也缺少具备实际指导意义的相关信息系统审计准则和操作指南。
近年来,国家安全部门相继出台了多个安全标准,例如公安部出台的《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息安全等级保护管理办法》,还有相应的安全技术规范《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准。但在实际操作中,这些标准在可操作性上还有待提高,一是信息系统安全等级的确定,缺乏一个等级认定的部门,目前是由各个单位自己定级报送,会存在低报等级风险;二是等级要求没有量化和详细解释,等级认定存在困难。这些都给具体的审计实务工作带来极大的困难。
因此建议审计部门及时组织总结实践经验,规范信息系统安全审计的有关概念、审计内容、工作流程和技术方法、形成信息系统安全审计准则、操作指南或实务公告的准则体系,这是信息系统安全审计得以健康发展的基础。
三、信息系统审计缺乏相应的人才
我国目前尚缺乏既熟悉审计业务又掌握计算机技术同时了解国内标准信息系统流程的复合型人才,进行信息系统审计所涉及的知识面非常广,涉及会计、审计、管理和计算机等知识,而进行信息系统安全性审计主要从系统总体安全、系统运行安全、数据中心安全、硬件设备安全和网络安全情况五个方面来进行,每个方面都涉及不同的知识点。当对系统总体安全进行审计时,则要求审计人员具有系统总体分析、系统设计和系统安全分析的知识;当对系统运行进行审计时,则要求审计人员具有系统运行管理、系统维护和系统安全管理的知识;当对数据中心安全进行审计时,则要求审计人员具有工程建设、数据中心安全维护和灾备等知识;当对硬件设备安全进行审计时,则要求审计人员具有设备采购、设备维护和设备安全分析等知识;当对网络安全情况进行审计时,则要求审计人员具有网络安全分析和网络防范等知识。但在当前情况下,审计人员能够掌握上述某一方面的知识都已经难能可贵,更不用说要掌握所有的知识面。
建议审计部门加强对审计人员理论培训,并组织审计人员进行实践,通过实践经验来巩固理论知识,培养出更多的信息系统审计复合型人才和相应的专业性人才。
四、信息系统审计需要相应的法规支持和成果考核标准
我们通常依据《中华人民共和国审计法》、《中华人民共和国审计法实施条例》及《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》(〔2001〕88号)的规定:“被审计单位应当按照审计机关的要求,提供与财政收支、财务收支有关的电子数据和必要的计算机技术文档等资料”,要求被审计单位提供电子数据,开展电子数据式审计工作。但开展信息系统安全审计的方法、步骤要求我们必须获取被审计单位信息系统底层数据库的数据字典、程序开发文档、甚至程序源代码等核心文档已经高级管理用户的权限。但事实上大多数被审计单位也不掌握这些核心文档,软件开发公司又以知识产权应收保护为由拒绝提供文档。特别是要求SAP、Oracle等国外软件开发商提供开发文档非常困难。因此,应出台更为明确的法规以支持信息系统安全审计工作。其次,信息系统审计的实施需要耗费大量的人力物力,在目前审计机关工作繁重的背景下,开展此项工作需要审计工作方案以及考评指标的支撑。因此,审计相关部门应该考虑把信息系统审计纳入年初审计工作计划,并出台相应的考评标准。
五、信息系统审计自身风险较大
数据分析式计算机辅助审计是要求被审计单位按照审计的需求提供电子数据,审计人员将数据转换后导入计算机进行分析。这种过程避免了直接操作被审计单位信息系统所带来的风险。然而,信息系统安全性审计的很多步骤必须要在被审计单位信息系统上直接执行,这种在真实系统上的操作必然存在安全风险。如对电信公司计费系统的审计,如果测试时间不当或测试用例不完善都可能影响计费系统的正常运行。