随着我国经济和科技的持续发展,计算机病毒传播和网络非法入侵日益猖獗,给我国政治、经济和社会生活造成严重影响。同时,伴随审计信息化时代的到来,传统的纸质资料被海量的电子数据资料所替代。电子数据资料存储的媒介就是计算机及网络信息平台,如果犯罪分子利用一些安全漏洞,对被审计单位的敏感信息进行提取进行非法活动,将对审计工作的公信力及权威性产生极为不利的影响。 一、当前审计环境下可能引发的信息安全事故
随着我国经济和科技的持续发展,计算机病毒传播和网络非法入侵日益猖獗,给我国政治、经济和社会生活造成严重影响。同时,伴随审计信息化时代的到来,传统的纸质资料被海量的电子数据资料所替代。电子数据资料存储的媒介就是计算机及网络信息平台,如果犯罪分子利用一些安全漏洞,对被审计单位的敏感信息进行提取进行非法活动,将对审计工作的公信力及权威性产生极为不利的影响。
一、当前审计环境下可能引发的信息安全事故
在审计工作中,最严重的信息安全事故就是内网非法外联,人为因素导致的内网计算机通过网线、无线网卡、蓝牙等方式接入外网,或者内网计算机使用外部U盘、移动硬盘等移动储存装备接入外网,打破审计机关内网与外网之间的屏障,不仅使内网计算机面临内网的攻击,更是为外网攻击内网打开了大门。另外,重要信息未能及时备份或删除所导致的信息不能妥善保存及销毁、防病毒软件使用不当导致审计业务计算机处于危险状态、安全设置不完善导致审计业务操作系统存在漏洞、信息使用环境不安全导致信息泄露风险等问题时有发生。
二、引发信息安全事故的原因
(一)审计机关外在环境因素带来的信息安全威胁
在审计信息化的环境之下,审计信息已经从纸质信息变成了电子信息,同时,审计工作的开展依赖于由大型服务器、电子计算机、打印机等其他终端的设备和它们的网络系统构成的审计信息系统,要透过审计内网 外网平台实现审计工作的开展。审计内网连接着审计署、审计厅,承载着审计管理及办公业务,审计外网连接着互联网、公务邮,承载着外部信息及电子邮件等信息交换业务。我们审计的业务环境导致电子信息存储的媒介是物理实体形式,因此,外部人员可以通过互联网利用木马病毒等攻击手段、非法接入内网、窃取审计人员笔记本电脑、U盘等存储设备等方式窃取、破坏审计敏感信息,使审计信息存在安全威胁。
(二)审计机关人员内部因素带来的信息安全威胁
近年来信息安全问题事件频发,人们往往把问题解决的关注点仅放在技术层面上,人为因素常被忽视。实际上,人的行为及其相关因素对信息安全也起到至关重要的作用,一是,我国在传统审计技术层面已经形成了较为成熟的、规范的法律法规体系,但在信息安全方面还没有形成系统的法律法规和标准技术规范体系,同时,审计人员对现有的信息安全相关法律法规不够了解,导致信息安全法律边线不明确。二是信息安全制度再多、再严、再完善,执行制度的始终是人,审计人员工作中会接触和利用各种各样的单位电子资料和数据,小到公民个人的隐私信息、一个单位的财务和内部资料,大到政府决策等保密度较高的信息,在工作中由于缺乏信息安全常识及意识,有意或无意中将数据泄露就会给公民、单位甚至社会造成严重的影响。
三、审计人员在新形势如何把握信息安全
作为新时代的审计人员要在日常的工作中树立正确的网络安全观,提高警觉性,做到关口前移,防患于未然。
(一)强化信息安全意识,提高警觉性。信息安全意识是指审计人员对信息安全政策、规章和指导方针重要性的理解程度以及对其中相关规定的遵守、执行状态。强化信息安全意识对于降低信息安全风险是非常重要的。在审计信息化、数据化、智慧化时代,作为一名与大量电子信息“亲密”接触的审计人员,应该加强防范意识,认清保证信息安全在审计工作中的重要性。在审计的过程中,时刻常鸣“警醒”之声,全面、规范、标准、精确地获取审计信息,充分了解电子信息的可靠性、完备性和风险性,端正信息安全态度,改进信息安全行为,提高做好信息安全工作的主动性和自觉性。
(二)明确信息安全法律法规要求。一是提高审计人员的法律意识。为审计人员提供相关的培训和指导,学习《中华人民共和国保守国家秘密法》《国家安全法》《计算机信息系统安全保护条例》等法律法规,同时了解电子政务系统信息安全相关知识,深化审计人员对信息安全相关法律法规的了解程度,让审计人员在审计过程中自觉遵守信息安全法律红线;二是制定符合当地审计实际情况的信息安全相关政策和制度,明确信息安全审计的法律法规要求,规范审计人员的行为,促进有序规范应用各种办公载体。在以上措施的同时,审计机关还可以与专业的法律顾问合作,为审计人员提供咨询和指导,帮助审计人员了解信息安全相关法律法规的内容和要求,确保不发生失泄密事件。
(三)提升审计人员信息数据利用能力。一是熟练掌握计算机类设备及各类办公系统的应用要求。审计人员了解系统相关知识,包括计算机软、硬件系统、操作系统及常用软件的安装、使用及维护,还要熟悉常见的Access、SqlServer、db2、Oracle等数据库系统的数据基本操作流程及数据的相互转换,使用过程中不图个人“小方便”而存“侥幸心理”,不超“近路”,严格按操作流程进行,做到操作规范;二是养成良好的计算机使用习惯,注意操作细节。审计人员的笔记本电脑应设置登录密码、移动存储设施密码,并且对重要数据进行加密保护,还要安装专门防病毒和防火墙软件,或者将机密数据保存在移动硬盘、U盘等存储介质上加以备份,同时,传送电子信息数据时注意传送方式,保证电子信息传送的可靠性及安全性。
(四)强化日常信息安全监督检查。审计机关应明确专门的审计信息安全监管科室,定期组织开展信息安全检查。从审计人员信息存储硬件安全、信息流通网络安全、信息数据应用安全等多方面进行信息安全检查,督促审计人员严格执行信息安全制度规定,严格遵循信息查询和使用的操作流程,形成了良好稳定的信息安全环境,让信息安全意识内化于心,外化于行。对于发现的相关风险隐患和苗头及时进行纠正和整改,并对相关责任人进行严肃问责,筑牢信息安全的高压防线。定期检查的同时还要在审计项目开展的不同阶段,对审计信息安全进行检查,及时发现可能造成信息安全事故的行为和不稳定因素,确保执行有监督,监督无死角。
