作者:佚名2010-1-1811:42:08来源:会计人网
当前,我国审计机关不同程度地开展了信息系统审计,并取得了一定成果。信息系统审计不仅关注被审计单位信息系统的真实性、合规性,同时也是对被审计单位落实国家信息系统相关政策情况的检验。信息系统审计同样可以开展“政策审计”,以政策措施为主线开展审计,特别关注政策措施是否落实、落实的时间、落实的效果、落实中出现的问题及新情况等方面,建立信息系统法律法规遵循性审计的方法和规范。充分体现审计这一高层次监督效能。
近几年,为开展信息系统安全等级保护工作,国家颁布了一系列的法律法规和技术标准,如《信息安全等级保护管理办法》(公通字[2007]43号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》等,建立起国家重要信息系统安全保护制度体系。而被审计单位通常信息化程度较高,且其重要业务均依赖信息系统完成,一般都纳入国家重要信息系统等级保护体系。信息安全等级保护政策审计需要在深刻理解国家相关政策的基础上,综合运用多种审计方法,对被审计单位落实等级保护政策的情况做出综合评价。
一、信息安全等级保护政策审计的审前调查
如同传统审计,信息安全等级保护政策审计也需要做审前调查,制定详细的实施方案。审前调查的主要工作内容包括:一是掌握被审计单位的整体信息部门的总体情况,包括信息部门的管理体制、机构设置、人员编制情况,规章制度、重要会议记录和有关文件以及以往接受审计的相关情况等,做到心中有数,全面掌握。二是初步掌握被审计单位信息系统纳入等级保护范围的情况,包括了解所有信息系统的功能、在业务流程中扮演的角色、对社会秩序和国家安全的影响程度,重点关注影响国计民生和社会安全的重要信息系统。三是设计模拟定级流程,绘制模拟定级过程涉及的表单,确定量化定级的计算模型。四是调查被审计单位开展信息系统安全等级保护后续工作的情况,检查被审计单位有无遵循相关法律法规的规定,是否将后续工作做到实处。
审前调查的首要任务是梳理国家和地方的相关政策,深刻理解政策颁布的初衷和内涵。以广东省为例,除国家颁布的上述法规外,广东省还颁布了《广东省信息系统安全保护条例》,《广州市重要信息系统安全等级保护定级工作实施方案》等。审计人员必须吃透这些法律法规,并对照其中的规定,制定可行的实施方案。
二、信息安全等级保护政策审计的实施过程
在审计实践中,经常会遇到被审计单位为逃避有关部门监管,故意漏报应纳入保护范畴的信息系统数目的情况,此时需要根据审前调查的结果,对整体信息系统进行评估,判定哪些信息系统应纳而未纳入等级保护体系。审计人员需要参考有关法规,按照信息系统的重要程度对系统进行分类判定,初步排查应纳入等级保护体系的信息系统。在此过程中,审计人员可根据行业的重要程度、被审计单位在行业中的排名和地位、同行业相关系统对比、公安部门颁布的相关参考意见以及系统扮演的业务角色等方面进行综合判断。
对于已纳入定级范围的信息系统,应重点关注其定级是否合理,是否真实反映系统的重要程度。在时间紧、任务重的情况下,审计人员可选取被审计单位中某些信息安全等级高而实际中定级偏低的系统,在技术和管理的各个层面进行安全控制的整体性验证。包括分析系统的业务流程,还原定级过程,重点揭示定级过程中可能存在的问题等。在模拟定级过程中,审计人员根据审前调查设计的表单,对照表单中需要验证的内容进行专业评分,根据评分结果和审前调查确定的量化定级的计算模型,对系统的安全级别进行科学评定。,被审计单位有时出于多种目的,故意将信息系统定级偏低,审计人员必须坚持自己的判定,做到有理有据,不可听信被审计单位的一面之词,要站在政策审计的高度,指出被审计单位在定级过程中存在的问题。
对已纳入定级范围的信息系统还应重点检查其是否按照相关规定开展后续工作,这是一般被审计单位落实等级保护政策的薄弱环节。审计人员可通过走访、调查等方式,了解被审计单位是否已开展自查和整改等工作,必要的时候可展开差异测试,从而可评估被审计单位是否真正重视信息系统等级保护工作。
三、信息安全等级保护政策审计报告
一般而言,信息安全等级保护政策审计属于信息系统审计的一个内容,其结果既可综合到信息系统审计报告中,亦可出具单独的审计报告。除反映被审计单位落实信息安全等级保护政策的情况外,可结合实际,注重从政策措施以及体制、机制、制度层面发现问题并提出审计意见和建议,充分发挥审计“免疫系统”的功能。
四、开展信息安全等级保护政策审计的一些体会
目前,信息安全等级保护政策审计仍然是一个新课题,还需要审计人员在实践中加以探索。笔者有幸参加了我办对某大型国企开展的经济责任审计项目,对开展信息安全等级保护政策审计有一些小小的体会,愿与读者共飨:
一是审计人员必须具备敏锐的政治敏感度,深刻理解政策出台的背景和内涵,做到有的放矢。
二是审计人员必须具备良好的专业素养,有足够的能力设计可行的实施方案,保证方案的制定、工作的实施、数据的采集整理以及审计报告的提交能按时按质按量完成。
三是审计人员必须坚持审计结果,做到有理有据。在审计过程中要争取被审计单位的理解与支持,以确保工作的顺利开展。
四是审计人员应拓展思路,跳出信息系统审计的传统思维模式,不拘泥于技术的层面,而从国家政策的高度提出高质量的审计建议。
-
浅谈审计保密
51人看过
-
浅谈伤残等级
371人看过
-
浅谈校园安全问题与对策
269人看过
-
浅谈审计风险
254人看过
-
浅谈搞好领导干部决策审计
338人看过
-
浅谈审计调查的谈话技巧
84人看过
-
审计方法(一)数据式审计数据式审计是以被审计单位底层数据库原始数据为切入点,在对信息系统内部控制测评的基础上,通过对底层数据的采集、转换、整理、分析和验证,形成审计中间表,并且运用查询分析、多维分析、数据挖掘等多种技术方法构建模型进行数据分析,发现趋势、异常和错误,把握总体、突出重点、精确延伸,从而收集审计证据,实现审计目标的审计方式。这种审计模式关注的重点是数据,而不是传统意义上的账目,也不是一般审计人员望而生畏的信息系统。与传统的审计模式相比,数据式审计模式扩大了审计对象,它包括信息系统的内部控制和电子数据。核心审计方法也由传统的抽样和测试方法,改变为对所有采集的数据进行清理、转换,并建立审计中间表和审计分析模型,对数据进行分析。在审计技术方面,则包括如数据采集、清理和转换,中间表及审计分析模型技术等。这种模式下的审计程序要求审前调查充分而细致,而审计准备和实施阶段的界限则变得不是很明显。在审2023-04-24273人看过 -
合同条款在我国保险业蓬勃发展之时,不法分子把罪恶之手伸向了保险领域,大肆进行保险诈骗活动。有的故意虚构保险标的,骗取保险金;有的编造虚假的保险事故原因,夸大损失程度;有的故意制造事故,骗取。这些都给我国的保险业蒙上了一层阴影,为此,惩治和打击保险诈骗违法犯罪已成为我国面临的重要任务。保险行为是一种民事法律行为,是双方当事人约定,一方交付保险费,另一方根据合同条款的约定对保险责任范围内的对方损失负责赔偿财物的行为。保险具有危险性、契约性、互救性的特征。我国刑法第198条规定:违反保险管理法规,意图骗取保险金,采取虚构保险事故或隐瞒事实真相等手段,向保险公司索取保险金,金额较大的行为,应追究刑事责任。一、保险诈骗的构成要件1、客体是指我国保险业的正常秩序,主观上具有非法占有公共财产的所有权。投保人缴纳保险费依法建立起来的保险基金是属于保险公司的公共财产。而保险诈骗的投保人则利用保险欺诈行为,企图非法占2023-04-23156人看过 -
股份有限公司各保监局,各保险公司、保险资产管理公司,中国保险行业协会:为贯彻落实国家信息安全等级保护制度,按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)要求,中国保监会将在保险行业内开展信息系统安全等级保护定级工作。现将有关事项通知如下:一、等级保护定级工作的要求及组织方式各单位应按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求和“自主定级、自主保护”的工作原则,成立相应的领导及实施机构,结合本单位的实际情况,准确开展信息系统等级保护定级工作。保监会成立等级保护定级工作领导小组,统一领导、解决保险行业信息安全等级保护定级工作中的重大问题;保监会等级保护定级工作领导小组下设办公室,具体负责保监会机关信息系统等级保护定级的具体实施工作和行业定级工作的指导审核。各保监局负责本局内独立运行的信息系统等级保护定级工作,并对各自辖区内的保险公司分支机构的等级2023-04-23310人看过 -
商业秘密保护饮料界的长青树**可-乐公司,藉着其对可-乐配方的完善保密措施,而能长胜不衰;1986年关税暨贸易总协定(GATT)谈判中,美欧等多个先进国家提议在GATT架构中,加入保护商业秘密一项,并于1990年3月,列入总协定报告中,要求会员国按照巴黎公约第10条之2的反不正当竞争规定保护商业秘密;1994年GATT乌拉圭回合谈判与贸易有关之智慧财产权协议(TRIPs)中,则被明确独立规定出来。另外,美国鉴于其国内商业间谍活动日益增加之情形,而在1996年10月,通过了「1996商业间谍法案TheEconomicEspionageActof1996,EEA)》,实在也是因为科技快速及高度的发展,技术研发与创新要求日高,造成企业间为挖掘竞争对手机密资料,以致商业间谍活动日络,而对经济秩序造成困扰而产生的因应措施。保护商业秘密刻不容缓前述情形在在显示出,商业秘密在智慧财产权保护一环中不可被忽视的地位。也2023-04-22126人看过
-
政府投资作者:佚名2008-10-2417:09:25来源:本站整理一、树立“大效益审计”理念,整合优势资源做好政府投资项目效益审计,地方审计机关无论是从人力、物力,还是财力等现有状况,要想在效益审计上有所突破,确保审计质量、降低效益审计风险的确是困难重重,问题多多。但解决问题的办法还是要依赖审计机关内部的审计人员,不能仅局限于投资审计力量,可以考虑尝试打破科室界限,整合工程审计、财政财务审计、农业环保审计、计算机审计等方面的专业审计力量,树立“大效益”审计理念,整合优势资源,成立复合型审计组。同时,加强对现有审计人员的业务培训和交流,除此之外,还要要加大审计机关工程技术人员的数量和比重,配备经济人员、工程技术人员和法律人员、计算机、项目管理、环境评估等专业人员充实到审计队伍中来,还可外聘工程技术人员,在社会上形成稳定的审计网络,保证投资效益审计业务的正常开展。相信树立大效益审计观,必将促进效益审2023-04-24104人看过 -
计算机犯罪【摘要】本文就开展计算机辅助审计的必要性、优势,以及利用计算机审计应注意的问题等进行探讨,以加大计算机审计的步伐。【关键词】审计;计算机审计;辅助审计随着电算化的发展和普及,计算机已广泛应用于企业经营管理、劳资财会、生产建设等各个领域,从而使得企业信息化程度不断提高,也对审计工作提出了新的挑战。一、企业开展计算机辅助审计的优势(一)有助于提高审计工作的效率,降低审计成本计算机辅助审计的运用既提高了审计的正确性与准确性,也使审计人员从冗长乏味的计算工作中解放出来。计算机的优势在于能对数据进行高速、正确的运算处理,而审计工作的对象正是以数据为基础的财务及其他资料,因此正可利用计算机的高速、正确性来辅助审计,以提高审计工作的效率,降低审计成本。(二)可以帮助审计人员扩展审计的范围通过计算机辅助审计技术可以直接对企业全部的会计资料进行审计,无论其资料是以书面形式保存还是储存在计算机系统的磁媒介或其2023-04-24370人看过
审计方法是审计人员在审计监督活动过程中所运用的各种手段的总称。 审计基本方法是指审计调查、分析、调整和报告;审计技术方法是指核对法、审阅法、查询法、分析法、盘存法、实验鉴定法、详查法、抽查法等。它们有机地组合成为一个完整的审计方法体系。... 更多>
-
2024-01-05 -
2023-08-17 -
2023-08-17 -
2023-08-13 -
2023-08-06
-
浅谈幼儿的工伤保险等级划分广东在线咨询 2022-08-18工伤保险等级划分详细的标准是1.1在工作时间和工作场所内,因工作原因受到事故伤害的; 1.2工作时间前后在工作场所内,从事与工作有关的预备性或者收尾性工作受到事故伤害的。 -
浅谈工伤伤残等级的认定标准广西在线咨询 2022-05-30工伤鉴定标准是受伤职工被认定为工伤后,对伤残程度进行鉴定所依据的标准。在我国对工伤职工伤残等级进行鉴定所依据的标准为《劳动能力鉴定职工工伤与职业病致残等级分级(B16180-2016)》这是最新的中华人民共和国国家标准。共分为十个鉴定标准,最严重的为一级伤残,最轻的为十级伤残。现将一级和十级鉴定标准简介如下:一级伤残的鉴定标准包括:极重度智能损伤;四肢瘫肌力≤3级或三肢瘫肌力≤2级;重度非肢体瘫运 -
浅谈如何有效开展安全生产行政执法重庆在线咨询 2022-04-04安全生产行政执法人员在收集证据时,可以采取抽样取证的方法;在证据可能灭失或者以后难以取得的情况下,经本单位负责人批准,可以先行登记保存,并应当在7日内作出处理决定:(一)违法事实成立依法应当没收的,作出行政处罚决定,予以没收;依法应当扣留或者封存的,予以扣留或者封存;(二)违法事实不成立,或者依法不应当予以没收、扣留、封存的,解除登记保存。 -
信息安全等级保护管理办法(试行)第7条规定如何?江苏在线咨询 2022-09-05信息系统的运营、使用单位应当依据本办法和有关标准,确定信息系统的安全保护等级。有主管部门的,应当报主管部门审核批准。 -
信息安全事故等级如何划分?江苏在线咨询 2022-10-06《信息安全技术信息安全事件分类分级指南》有详细描述信息安全事件的分级主要考虑三个要素:信息系统的重要程度、系统损失和社会影响特别重大事件(Ⅰ级)特别重大事件是指能够导致特别严重影响或破坏的信息安全事件,包括以下情况:)会使特别重要信息系统遭受特别严重的系统损失;b)产生特别重大的社会影响。5.2.3重大事件(Ⅱ级)重大事件是指能够导致严重影响或破坏的信息安全事件,包括以下情况:)会使特别重要信息系
