企業(yè)計(jì)算機(jī)審計(jì)電子數(shù)據(jù)安全保護(hù)對(duì)策研究

[摘 要] 本文針對(duì)企業(yè)計(jì)算機(jī)審計(jì)電子數(shù)據(jù)的主要內(nèi)容，分析了企業(yè)計(jì)算機(jī)審計(jì)電子數(shù)據(jù)安全保護(hù)存在的突出問(wèn)題，提出了做好企業(yè)計(jì)算機(jī)審計(jì)電子數(shù)據(jù)安全保護(hù)的目標(biāo)與思路，并對(duì)企業(yè)計(jì)算機(jī)審計(jì)電子數(shù)據(jù)安全保護(hù)的實(shí)施步驟和主要成效進(jìn)行了詳細(xì)闡述，旨在為企業(yè)內(nèi)部審計(jì)計(jì)算機(jī)審計(jì)工作提供有力保障。

[關(guān)鍵詞] 計(jì)算機(jī)審計(jì)；電子數(shù)據(jù)；數(shù)據(jù)安全；保護(hù)；對(duì)策

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 15. 020

[中圖分類號(hào)] F239.1 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2013）15-0026-03

隨著企業(yè)信息化建設(shè)應(yīng)用工作的不斷推進(jìn)，企業(yè)內(nèi)部審計(jì)計(jì)算機(jī)審計(jì)工作持續(xù)開展，并產(chǎn)生了大量的計(jì)算機(jī)審計(jì)電子數(shù)據(jù)，這些數(shù)據(jù)涉及企業(yè)生產(chǎn)經(jīng)營(yíng)管理活動(dòng)的重要內(nèi)容，也是企業(yè)重要的信息資源，因此，企業(yè)計(jì)算機(jī)審計(jì)電子數(shù)據(jù)安全保護(hù)工作十分重要。加強(qiáng)企業(yè)計(jì)算機(jī)審計(jì)電子數(shù)據(jù)安全保護(hù)能力、降低審計(jì)人員個(gè)人攜帶計(jì)算機(jī)審計(jì)電子數(shù)據(jù)的安全風(fēng)險(xiǎn)，不僅是企業(yè)信息安全保護(hù)的要求，而且是企業(yè)計(jì)算機(jī)審計(jì)自身的內(nèi)在要求。與此同時(shí)，隨著信息化技術(shù)的不斷更新?lián)Q代和計(jì)算機(jī)審計(jì)環(huán)境的越發(fā)復(fù)雜，要做好計(jì)算機(jī)審計(jì)電子數(shù)據(jù)安全保護(hù)工作，就要與時(shí)俱進(jìn)、不斷探索研究。

1 企業(yè)計(jì)算機(jī)審計(jì)電子數(shù)據(jù)的主要內(nèi)容

企業(yè)計(jì)算機(jī)審計(jì)電子數(shù)據(jù)的主要內(nèi)容包括審計(jì)人員個(gè)人計(jì)算機(jī)存儲(chǔ)的由被審計(jì)單位提供的本單位生產(chǎn)運(yùn)營(yíng)管理報(bào)告、業(yè)務(wù)數(shù)據(jù)、財(cái)務(wù)報(bào)表等與審計(jì)項(xiàng)目相關(guān)的電子數(shù)據(jù)，以及參加審計(jì)項(xiàng)目實(shí)施過(guò)程中涉及的審計(jì)工作方案、審計(jì)實(shí)施方案、審計(jì)工作記錄、審計(jì)工作底稿、審計(jì)報(bào)告等審計(jì)工作數(shù)據(jù)。

2 企業(yè)計(jì)算機(jī)審計(jì)電子數(shù)據(jù)安全保護(hù)方面存在的突出問(wèn)題

企業(yè)在計(jì)算機(jī)審計(jì)電子數(shù)據(jù)安全保護(hù)方面采取了一些措施，一方面在管理上要求審計(jì)人員提高信息安全保密意識(shí)，另一方面在技術(shù)上為審計(jì)人員個(gè)人計(jì)算機(jī)安裝防病毒軟件等，雖然取得了一定成效，但在企業(yè)計(jì)算機(jī)審計(jì)電子數(shù)據(jù)安全保護(hù)方面尚未形成有效的體系，仍然存在以下幾個(gè)方面的突出問(wèn)題。

2.1 管理方面

一是數(shù)據(jù)整理與挖掘利用困難。審計(jì)數(shù)據(jù)是審計(jì)人員多年工作經(jīng)驗(yàn)、審計(jì)知識(shí)的積累與沉淀，利用現(xiàn)有手段難以從數(shù)據(jù)挖掘利用的角度進(jìn)一步梳理數(shù)據(jù)，無(wú)法實(shí)現(xiàn)數(shù)據(jù)的多維分類，無(wú)法充分進(jìn)行數(shù)據(jù)價(jià)值挖掘利用。二是數(shù)據(jù)權(quán)限管理困難。數(shù)據(jù)訪問(wèn)與使用權(quán)限控制缺乏平臺(tái)支持，難以實(shí)現(xiàn)更深入的權(quán)限控制，增加了管理與操作的難度和工作量。三是桌面標(biāo)準(zhǔn)化管理困難。審計(jì)工作依賴于終端設(shè)備，使用的軟件不統(tǒng)一，給信息交流與利用帶來(lái)困難，同時(shí)管理上也存在很大難度。

2.2 技術(shù)方面

一是安全性不足。現(xiàn)有技術(shù)手段的安全水平與審計(jì)電子數(shù)據(jù)的重要性尚有差距，不能滿足審計(jì)業(yè)務(wù)對(duì)信息安全與保密的需要。其一，數(shù)據(jù)以明文傳輸，數(shù)據(jù)在傳輸過(guò)程中一旦被截獲，信息容易泄露；其二，服務(wù)器上數(shù)據(jù)以明文存儲(chǔ)，一旦服務(wù)器被入侵，入侵者可以很輕易地獲取所有未加密文件；其三，終端上數(shù)據(jù)以明文方式存放，特別是正在開展的審計(jì)項(xiàng)目數(shù)據(jù)以明文方式存在審計(jì)人員的終端設(shè)備中，如果設(shè)備丟失或系統(tǒng)感染病毒，就會(huì)造成重大損失。二是權(quán)限配置與備份困難。企業(yè)郵件賬號(hào)域認(rèn)證初步實(shí)現(xiàn)訪問(wèn)控制，但其控制粒度尚不能滿足使用需要，且配置比較繁瑣。數(shù)據(jù)手工備份、同步與恢復(fù)不能滿足需要。

2.3 使用方面

一是審計(jì)人員難以找到需要的信息。各單位審計(jì)人員只能查看本單位的部分共享審計(jì)資料，缺乏按關(guān)鍵字、審計(jì)對(duì)象、審計(jì)類型等多種方式的全面數(shù)據(jù)搜索，審計(jì)人員難以找到最適合的可參考與可借鑒的資料信息。二是尚不能完全實(shí)現(xiàn)審計(jì)工作與外網(wǎng)分離。通過(guò)上網(wǎng)本為審計(jì)人員提供從外網(wǎng)搜索資料等功能，滿足了審計(jì)人員對(duì)外網(wǎng)大部分的需求；但審計(jì)人員出差期間，訂購(gòu)火車票時(shí)，需用筆記本電腦付費(fèi)，而且審計(jì)人員習(xí)慣于使用終端設(shè)備，日常辦公和其他方面依然和審計(jì)工作共用終端設(shè)備，未完全實(shí)現(xiàn)審計(jì)工作與外網(wǎng)的分離。

2.4 保障方面

一是終端數(shù)據(jù)清理工作量大。現(xiàn)階段審計(jì)人員的終端設(shè)備數(shù)據(jù)清理工作，耗時(shí)長(zhǎng)，工作量大，信息處負(fù)責(zé)數(shù)據(jù)清理工作的同志工作負(fù)荷重，急需通過(guò)其他手段，提高工作效率和清理效果。二是IT運(yùn)維工作壓力大。信息處負(fù)責(zé)企業(yè)IT設(shè)備的維護(hù)工作，各電腦終端存在操作系統(tǒng)不統(tǒng)一、審計(jì)軟件與辦公軟件不統(tǒng)一、審計(jì)人員出差遠(yuǎn)程維護(hù)難等問(wèn)題，造成IT運(yùn)維難度大，信息處承擔(dān)了很大的工作壓力。終端設(shè)備容易因電腦病毒、系統(tǒng)漏洞、惡意網(wǎng)站等各種原因，造成審計(jì)數(shù)據(jù)的泄露。亟需通過(guò)新的IT手段，提高審計(jì)IT桌面安全性，降低IT維護(hù)難度，提高IT維護(hù)效率和效果。

3 目標(biāo)與思路

企業(yè)計(jì)算機(jī)審計(jì)電子數(shù)據(jù)安全保護(hù)是一項(xiàng)系統(tǒng)化工作，只有明確計(jì)算機(jī)審計(jì)電子數(shù)據(jù)安全保護(hù)的主要目標(biāo)，理清計(jì)算機(jī)審計(jì)電子數(shù)據(jù)安全保護(hù)的整體思路，并不斷探索研究，才能持續(xù)提高計(jì)算機(jī)審計(jì)電子數(shù)據(jù)安全保護(hù)能力。

3.1 主要目標(biāo)

企業(yè)計(jì)算機(jī)審計(jì)電子數(shù)據(jù)安全保護(hù)的主要目標(biāo)是實(shí)行計(jì)算機(jī)審計(jì)電子數(shù)據(jù)集中統(tǒng)一管理、按需授權(quán)訪問(wèn)，降低個(gè)人攜帶審計(jì)電子數(shù)據(jù)意外風(fēng)險(xiǎn)；計(jì)算機(jī)審計(jì)電子數(shù)據(jù)集中管理的服務(wù)器環(huán)境，要遵照企業(yè)統(tǒng)一安全策略，采用相應(yīng)的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、備份與恢復(fù)安全等技術(shù)措施，以及安全管理職責(zé)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等管理措施，整體確保計(jì)算機(jī)審計(jì)電子數(shù)據(jù)安全受控。

3.2 整體思路

企業(yè)計(jì)算機(jī)審計(jì)電子數(shù)據(jù)安全保護(hù)的整體思路是依托企業(yè)信息技術(shù)統(tǒng)一安全保護(hù)策略，通過(guò)建立計(jì)算機(jī)審計(jì)電子數(shù)據(jù)集中管理平臺(tái)，實(shí)現(xiàn)審計(jì)工作辦公內(nèi)網(wǎng)與外部公網(wǎng)分離、審計(jì)工作環(huán)境與個(gè)人計(jì)算機(jī)終端分離，逐步實(shí)現(xiàn)審計(jì)人員個(gè)人計(jì)算機(jī)審計(jì)電子數(shù)據(jù)按需攜帶向零攜帶轉(zhuǎn)變，最終實(shí)現(xiàn)計(jì)算機(jī)審計(jì)電子數(shù)據(jù)實(shí)時(shí)在線與安全受控。

4 實(shí)施步驟

企業(yè)計(jì)算機(jī)審計(jì)電子數(shù)據(jù)安全保護(hù)工作是一項(xiàng)長(zhǎng)期而艱巨的任務(wù)，不可能一蹴而就。在管理上，需要企業(yè)高度重視計(jì)算機(jī)審計(jì)電子數(shù)據(jù)安全保護(hù)工作，一方面要給予這項(xiàng)工作統(tǒng)一領(lǐng)導(dǎo)和各種資源的支持，另一方面審計(jì)人員要不斷提高信息安全保護(hù)意識(shí)；在技術(shù)上，要與時(shí)俱進(jìn)，采用先進(jìn)的信息技術(shù)手段，有步驟、有計(jì)劃地逐步開展。

4.1 審計(jì)數(shù)據(jù)集中管理，個(gè)人歷史數(shù)據(jù)清零

利用企業(yè)現(xiàn)有軟件硬件資源，創(chuàng)建審計(jì)數(shù)據(jù)集中統(tǒng)一管理存儲(chǔ)空間，采用企業(yè)郵件域認(rèn)證方式，按照單位審計(jì)人員授權(quán)訪問(wèn)；審計(jì)人員自行整理個(gè)人計(jì)算機(jī)審計(jì)電子數(shù)據(jù)，按照個(gè)人權(quán)限上傳至統(tǒng)一管理存儲(chǔ)區(qū)域；利用專用存儲(chǔ)介質(zhì)數(shù)據(jù)清除工具對(duì)審計(jì)人員個(gè)人計(jì)算機(jī)硬盤逐一進(jìn)行清理；實(shí)現(xiàn)審計(jì)人員個(gè)人計(jì)算機(jī)審計(jì)電子數(shù)據(jù)集中管理，個(gè)人計(jì)算機(jī)歷史審計(jì)數(shù)據(jù)清零。

4.2 審計(jì)網(wǎng)絡(luò)環(huán)境分離，審計(jì)數(shù)據(jù)按需攜帶

針對(duì)審計(jì)工作以企業(yè)辦公內(nèi)網(wǎng)環(huán)境為主，需要借助企業(yè)外網(wǎng)查找資料的特點(diǎn)，為審計(jì)人員公網(wǎng)應(yīng)用配發(fā)個(gè)人上網(wǎng)本；實(shí)行審計(jì)人員個(gè)人計(jì)算機(jī)在辦公內(nèi)網(wǎng)專用，個(gè)人上網(wǎng)本在公網(wǎng)環(huán)境專用；在審計(jì)項(xiàng)目開展前，為審計(jì)人員個(gè)人計(jì)算機(jī)裝載系統(tǒng)軟件，并按照審計(jì)項(xiàng)目需要裝載相關(guān)審計(jì)數(shù)據(jù)；在審計(jì)項(xiàng)目結(jié)束后，利用專用存儲(chǔ)介質(zhì)數(shù)據(jù)檢查工具對(duì)審計(jì)人員個(gè)人計(jì)算機(jī)和上網(wǎng)本使用情況進(jìn)行檢查，確保按照要求使用；實(shí)現(xiàn)審計(jì)工作內(nèi)網(wǎng)應(yīng)用和外網(wǎng)應(yīng)用分離，審計(jì)數(shù)據(jù)按需攜帶。

4.3 審計(jì)工作環(huán)境分離，審計(jì)數(shù)據(jù)實(shí)時(shí)在線

借鑒先進(jìn)技術(shù)應(yīng)用實(shí)踐經(jīng)驗(yàn)，建立企業(yè)審計(jì)電子數(shù)據(jù)管理平臺(tái)，采用統(tǒng)一的信息技術(shù)安全保護(hù)策略，通過(guò)企業(yè)郵件域認(rèn)證登錄個(gè)人移動(dòng)辦公桌面；采用云技術(shù)為審計(jì)人員呈現(xiàn)個(gè)人辦公系統(tǒng)軟件環(huán)境，所有審計(jì)工作將在審計(jì)電子數(shù)據(jù)管理平臺(tái)完成，審計(jì)人員個(gè)人計(jì)算機(jī)將不再存儲(chǔ)任何審計(jì)相關(guān)數(shù)據(jù)；利用專用存儲(chǔ)介質(zhì)數(shù)據(jù)檢查工具對(duì)審計(jì)人員個(gè)人計(jì)算機(jī)和上網(wǎng)本定期進(jìn)行數(shù)據(jù)存儲(chǔ)檢查，確保介質(zhì)審計(jì)數(shù)據(jù)零存儲(chǔ)；實(shí)現(xiàn)審計(jì)工作環(huán)境與個(gè)人計(jì)算機(jī)終端分離，審計(jì)數(shù)據(jù)實(shí)時(shí)在線。

5 主要成效

結(jié)合企業(yè)計(jì)算機(jī)審計(jì)工作實(shí)際，通過(guò)虛擬化等技術(shù)手段，建設(shè)審計(jì)電子數(shù)據(jù)管理平臺(tái)，采取計(jì)算機(jī)審計(jì)電子數(shù)據(jù)集中管理、審計(jì)辦公桌面集中管理、審計(jì)應(yīng)用軟件統(tǒng)一管理和信息安全策略集中管理等具體措施，最終實(shí)現(xiàn)審計(jì)工作環(huán)境分離、審計(jì)數(shù)據(jù)實(shí)時(shí)在線，從而實(shí)時(shí)有效地進(jìn)行計(jì)算機(jī)審計(jì)電子數(shù)據(jù)安全保護(hù)。

5.1 實(shí)現(xiàn)電子數(shù)據(jù)集中管理

集中管理審計(jì)電子數(shù)據(jù)，提供數(shù)據(jù)多種分類和檢索方式，審計(jì)人員根據(jù)分配的權(quán)限、關(guān)鍵字、文檔類型、提交時(shí)間等快速定位所需文檔，為深入發(fā)掘?qū)徲?jì)電子數(shù)據(jù)價(jià)值提供支撐，為審計(jì)管理和審計(jì)項(xiàng)目工作提供豐富有效的數(shù)據(jù)資源。審計(jì)電子數(shù)據(jù)管理平臺(tái)，采用經(jīng)國(guó)家相關(guān)安全部門認(rèn)證的數(shù)據(jù)加密技術(shù)和手段，通過(guò)數(shù)據(jù)加密存儲(chǔ)、加密傳輸、加密備份和數(shù)據(jù)訪問(wèn)控制機(jī)制，全面保障數(shù)據(jù)的安全性，實(shí)現(xiàn)數(shù)據(jù)的全生命周期管理。

5.2 實(shí)現(xiàn)辦公桌面集中管理

采用云計(jì)算和虛擬化技術(shù)，提供標(biāo)準(zhǔn)的、靈活的、可擴(kuò)展的辦公桌面環(huán)境，通過(guò)集中配置和統(tǒng)一分配審計(jì)辦公桌面，提高審計(jì)辦公資源申請(qǐng)、配制、獲取、維護(hù)與收回清理的工作效率，同時(shí)服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)等資源能得到更加充分的利用。審計(jì)人員可以快速獲得所需辦公桌面，系統(tǒng)嚴(yán)格控制，實(shí)現(xiàn)審計(jì)工作數(shù)據(jù)與個(gè)人本地終端完全分離，且工作狀態(tài)自動(dòng)保存，可從任何地點(diǎn)重新接入和恢復(fù)。

5.3 實(shí)現(xiàn)應(yīng)用軟件統(tǒng)一管理

集中管理OA系統(tǒng)、Office等辦公軟件，審計(jì)管理系統(tǒng)、財(cái)務(wù)輔助審計(jì)系統(tǒng)等審計(jì)軟件，以及FMIS、ERP等其他專業(yè)軟件，統(tǒng)一配置到審計(jì)人員辦公桌面。審計(jì)人員還可以根據(jù)需要，申請(qǐng)所需的其他應(yīng)用軟件，經(jīng)審批通過(guò)后集中配置、統(tǒng)一分配到辦公桌面，滿足審計(jì)人員工作需要，提高審計(jì)人員的工作效率，提升信息人員的運(yùn)維水平。

5.4 實(shí)現(xiàn)安全策略集中部署

在虛擬桌面、辦公應(yīng)用、審計(jì)數(shù)據(jù)3個(gè)層級(jí)，集中部署管理防病毒軟件、辦公應(yīng)用軟件和數(shù)據(jù)加密管理軟件等，通過(guò)一次性集中配置，發(fā)布到所有審計(jì)辦公桌面，實(shí)現(xiàn)桌面安全、應(yīng)用安全和數(shù)據(jù)安全，建立全面的審計(jì)辦公和電子數(shù)據(jù)三級(jí)安全防護(hù)體系，提升審計(jì)辦公和審計(jì)電子數(shù)據(jù)的安全保護(hù)能力。

6 總 結(jié)

企業(yè)計(jì)算機(jī)審計(jì)電子數(shù)據(jù)安全保護(hù)工作是一項(xiàng)系統(tǒng)工程，需要技術(shù)和管理并重，在將計(jì)算機(jī)審計(jì)電子數(shù)據(jù)安全保護(hù)納入企業(yè)保密管理工作范疇的同時(shí)，要建立企業(yè)個(gè)人計(jì)算機(jī)審計(jì)電子數(shù)據(jù)集中管理制和個(gè)人計(jì)算機(jī)存儲(chǔ)介質(zhì)安全清理檢查制，定期開展計(jì)算機(jī)審計(jì)電子數(shù)據(jù)安全檢查工作，將檢查結(jié)果定期予以公布，并將計(jì)算機(jī)審計(jì)電子數(shù)據(jù)安全保護(hù)工作情況納入績(jī)效考核，全面提高計(jì)算機(jī)審計(jì)電子數(shù)據(jù)安全保護(hù)能力，為企業(yè)內(nèi)部審計(jì)計(jì)算機(jī)審計(jì)工作提供有力保障。

主要參考文獻(xiàn)

[1]審計(jì)署企業(yè)審計(jì)司.企業(yè)計(jì)算機(jī)審計(jì)論文集[C].北京：中國(guó)時(shí)代經(jīng)濟(jì)出版社，2012.

[2]中國(guó)內(nèi)部審計(jì)協(xié)會(huì).內(nèi)部審計(jì)計(jì)算機(jī)應(yīng)用技術(shù)[M].北京：西苑出版社，2009.

[3]劉汝焯，等.計(jì)算機(jī)審計(jì)——概念、框架與規(guī)則[M].北京：清華大學(xué)出版社，2007.