論文摘要：本文強(qiáng)調(diào)審計(jì)工作的安全、高效和信息化，從審計(jì)工作的現(xiàn)狀、發(fā)展瓶頸到信息化審計(jì)的制度健全、引入主機(jī)系統(tǒng)安全審計(jì)、業(yè)務(wù)系統(tǒng)安全審計(jì)等相關(guān)管理辦法、新技術(shù)或新理念和待解決的問題等方面，論述構(gòu)建安全高效的審計(jì)信息化安全保障體系的措施。

　　論文關(guān)鍵詞：審計(jì) 信息化 安全保障體系 主機(jī)審計(jì)

　　審計(jì)是客觀評價個人，組織、制度、程序、項(xiàng)目或產(chǎn)品。審計(jì)執(zhí)行是以確定有效性和可靠性的信息，還提供了一個可內(nèi)控的評估系統(tǒng)。審計(jì)的目標(biāo)是表達(dá)人、組織、系統(tǒng)等的評估意見，審計(jì)人員在測試環(huán)境中進(jìn)行評估工作。審計(jì)必須出示合理并基本無誤的報表，通常是利用統(tǒng)計(jì)抽樣來完成。審計(jì)也是用來考察和防止虛假數(shù)據(jù)及欺騙行為，檢查、考證目標(biāo)的完整性、準(zhǔn)確性，以及檢查目標(biāo)是否符合既定的標(biāo)準(zhǔn)、尺度和其它審計(jì)準(zhǔn)則。實(shí)現(xiàn)審計(jì)的信息化，有利于管理層迅速準(zhǔn)確的做出決定，對于政企業(yè)發(fā)展、社會經(jīng)濟(jì)的進(jìn)步都具有重要作用。目前，我國的審計(jì)工作尚存在性質(zhì)認(rèn)定模糊、工作范圍過于狹窄等問題，有待進(jìn)一步加強(qiáng)和改進(jìn)。

　　審計(jì)的基礎(chǔ)工作是內(nèi)部審計(jì)，內(nèi)審是審計(jì)監(jiān)督體系中不可或缺的重要組成部分，是全面經(jīng)濟(jì)管理必不可少的手段，是加強(qiáng)任何機(jī)構(gòu)內(nèi)部管理的必要，推動經(jīng)濟(jì)管理向科學(xué)化方向發(fā)展的重要環(huán)節(jié)也是審計(jì)。因此說審計(jì)部門是其他監(jiān)督部門不能代替的，促進(jìn)黨風(fēng)廉政建設(shè)、加強(qiáng)對黨政領(lǐng)導(dǎo)干部及管理人員的監(jiān)督都可以通過審計(jì)來完成。審計(jì)應(yīng)用與高新技術(shù)機(jī)構(gòu)中，在防范風(fēng)險中發(fā)揮著重要作用，也有助于領(lǐng)導(dǎo)層做出正確決策。

　　一、審計(jì)工作的現(xiàn)狀及存在的問題

　　隨著我國經(jīng)濟(jì)迅猛發(fā)展，審計(jì)監(jiān)督力度不斷增強(qiáng)，審計(jì)范圍也不斷擴(kuò)大。當(dāng)前，審計(jì)方式已由財(cái)政財(cái)務(wù)審計(jì)向效益審計(jì)發(fā)展，由賬項(xiàng)基礎(chǔ)審計(jì)向制度基礎(chǔ)審計(jì)、風(fēng)險基礎(chǔ)審計(jì)發(fā)展，由事后審計(jì)向事中、事前審計(jì)發(fā)展。審計(jì)管理上建立審計(jì)質(zhì)量控制體系，要求審計(jì)機(jī)關(guān)把審計(jì)管理工作前移，把質(zhì)量控制體系貫穿與審計(jì)工作中。在此趨勢下，傳統(tǒng)的審計(jì)方法暴露出其效率低、審計(jì)范圍小等劣勢，使得完成審計(jì)任務(wù)，達(dá)到審計(jì)目標(biāo)越發(fā)缺乏及時性。

　　(一)內(nèi)部審計(jì)性質(zhì)認(rèn)定較為模糊。內(nèi)部審計(jì)是市場經(jīng)濟(jì)條件下，基于加強(qiáng)經(jīng)營管理的內(nèi)在需要，也是內(nèi)部審計(jì)賴以存在的客觀基礎(chǔ)。但是，現(xiàn)代內(nèi)部審計(jì)的產(chǎn)生卻是一個行政命令產(chǎn)物，強(qiáng)調(diào)外向性服務(wù)。這種審計(jì)模式使人們對內(nèi)部審計(jì)在性質(zhì)認(rèn)定上產(chǎn)生模糊，阻礙了內(nèi)部審計(jì)的發(fā)展。內(nèi)部審計(jì)很難融入經(jīng)營管理中，審計(jì)工作很難正常開展，很難履行監(jiān)督評價職能和開展保證咨詢活動，因此就不能充分發(fā)揮其應(yīng)有的內(nèi)向性服務(wù)的作用。

　　(二)內(nèi)部審計(jì)工作范圍過于狹窄。內(nèi)部審計(jì)的目的在于為組織增加價值并提高組織的運(yùn)作效率，其職能是監(jiān)督和服務(wù)。但是，我國內(nèi)部審計(jì)工作的重心局限在財(cái)務(wù)收支的真實(shí)性及合規(guī)性審計(jì)。長久以來內(nèi)部審計(jì)突出了監(jiān)督職能，而忽視了服務(wù)職能。內(nèi)部審計(jì)認(rèn)識水平、思想觀念的束縛以及管理體制等諸多因素，影響和阻礙著內(nèi)審作用的有效發(fā)揮。原因有會計(jì)人員知識水平、業(yè)務(wù)素質(zhì)不高，也有不重視法律、法規(guī)的因素，還有監(jiān)管不力、查處不嚴(yán)的原因。目前內(nèi)部審計(jì)尚處在查錯階段，停留在調(diào)賬、糾正錯誤上，還不能多角度、深層次分析問題，沒有較國際先進(jìn)的審計(jì)理念，我國內(nèi)部審計(jì)的作用尚待開發(fā)。審計(jì)人員的計(jì)算機(jī)知識匱乏，不適應(yīng)電算化、信息化的迅速發(fā)展。目前多數(shù)審計(jì)人員硬件知識掌握不熟練，軟件知識了解也不足，因此不能有效地評估信息系統(tǒng)的安全性、效益性。由于計(jì)算機(jī)審計(jì)軟件開發(fā)標(biāo)準(zhǔn)不同，功能也不完整，因此全面推廣計(jì)算機(jī)輔助審計(jì)就有一定難度，導(dǎo)致審計(jì)人員的知識和審計(jì)手段滯后于信息化的發(fā)展。

　　二、信息化審計(jì)體系的健全

　　當(dāng)前國家審計(jì)信息化發(fā)展的趨勢是建立審計(jì)信息資源的標(biāo)準(zhǔn)化、共享化、公開化，逐步達(dá)到向現(xiàn)代審計(jì)方式的轉(zhuǎn)變。這一趨勢是隨著當(dāng)前科學(xué)發(fā)展、和諧社會的推進(jìn)，國家確立的公共財(cái)政建設(shè)、公共服務(wù)的實(shí)施、公共產(chǎn)品的提供應(yīng)運(yùn)而生的，三個“公共”的主旨是：國家財(cái)政資金的使用更注重民生;使用重點(diǎn)更注重服務(wù);使用效益更注重民意。

　　信息安全審計(jì)是任何機(jī)構(gòu)內(nèi)控、信息系統(tǒng)治理、安全風(fēng)險控制等不可或缺的關(guān)鍵手段。收集并評估證據(jù)以決定一個計(jì)算機(jī)系統(tǒng)是否有效地做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成目標(biāo)，同時能更經(jīng)濟(jì)的使用資源。信息安全審計(jì)與信息安全管理密切相關(guān)，信息安全審計(jì)的主要依據(jù)是出于不同的角度提出的控制體系的信息安全管理相關(guān)的標(biāo)準(zhǔn)。這些控制體系下的信息化審計(jì)可以有效地控制信息安全，從而達(dá)到安全審計(jì)的目的，提高信息系統(tǒng)的安全性。由此，國際組織也制定了相關(guān)文件規(guī)范填補(bǔ)信息系統(tǒng)審計(jì)方面的某些空白。例如《信息安全管理業(yè)務(wù)規(guī)范》通過了國際標(biāo)準(zhǔn)化組織ISO的認(rèn)可，正式成為國際標(biāo)準(zhǔn)。我國法律也針對信息安全審計(jì)制定出了《中華人民共和國審計(jì)法》、《國務(wù)院辦公廳關(guān)利用計(jì)算機(jī)信息系統(tǒng)開展審計(jì)工作有關(guān)的通知》等文件，基本規(guī)范了內(nèi)部審計(jì)機(jī)制，健全了內(nèi)部審計(jì)機(jī)構(gòu);強(qiáng)調(diào)機(jī)構(gòu)應(yīng)加強(qiáng)內(nèi)審工作，機(jī)構(gòu)內(nèi)部要形成有權(quán)就有責(zé)、用權(quán)受監(jiān)督的最佳氛圍;審計(jì)委員會直接對領(lǐng)導(dǎo)班子負(fù)責(zé)，其成員需具有相應(yīng)的獨(dú)立性，委員會成員具良好的職業(yè)操守和能力，內(nèi)審人員應(yīng)當(dāng)具備內(nèi)審人員從業(yè)資格，其工作范圍不應(yīng)受到人為限制。內(nèi)部審計(jì)機(jī)構(gòu)對審計(jì)過程中發(fā)現(xiàn)的重大問題，視具體情況，可以直接向?qū)徲?jì)委員會或者領(lǐng)導(dǎo)層報告。

　　三、主機(jī)系統(tǒng)安全審計(jì)

　　信息技術(shù)審計(jì)，或信息系統(tǒng)審計(jì)，是一個信息技術(shù)基礎(chǔ)設(shè)施控制范圍內(nèi)的檢查。信息系統(tǒng)審計(jì)是一個通過收集和評價審計(jì)證據(jù)，對信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計(jì)單位的目標(biāo)得以有效地實(shí)現(xiàn)、使組織的資源得到高效地使用等方面做出判斷的過程。

　　以技術(shù)劃分，信息化安全審計(jì)主要分為主機(jī)審計(jì)、網(wǎng)絡(luò)審計(jì)、應(yīng)用審計(jì)、數(shù)據(jù)庫審計(jì)，綜合審計(jì)。簡單的說獲取、記錄被審計(jì)主機(jī)的狀態(tài)信息和敏感操作就是主機(jī)審計(jì)，主機(jī)審計(jì)可以從已有的系統(tǒng)審計(jì)記錄中提取相關(guān)信息，并以審計(jì)規(guī)則為標(biāo)準(zhǔn)來分析判斷被審計(jì)主機(jī)是否存在違規(guī)行為。總之，為了在最大限度保障安全的基礎(chǔ)上找到最佳途徑使得業(yè)務(wù)正常工作的一切行為及手段，而對計(jì)算機(jī)信息系統(tǒng)的薄弱環(huán)節(jié)進(jìn)行檢測、評估及分析，都可稱作安全審計(jì)。

　　主機(jī)安全審計(jì)系統(tǒng)中事件產(chǎn)生器、分析器和響應(yīng)單元已經(jīng)分別以智能審計(jì)代理主機(jī)、系統(tǒng)中心、管理與報警處置控制臺來替代。實(shí)現(xiàn)主機(jī)安全系統(tǒng)的審計(jì)包括系統(tǒng)安全審計(jì)、主機(jī)應(yīng)用安全審計(jì)及用戶行為審計(jì)。智能審計(jì)替代主機(jī)安裝在網(wǎng)絡(luò)計(jì)算機(jī)用戶上，并按照設(shè)計(jì)思路監(jiān)視用戶操作行為，同時智能分析事件安全。從面向防護(hù)的對象可將主機(jī)安全審計(jì)系統(tǒng)分為系統(tǒng)安全審計(jì)、主機(jī)應(yīng)用安全審計(jì)、用戶行為審計(jì)、移動數(shù)據(jù)防護(hù)審計(jì)等方面。

　　四、待解決的若干問題

　　計(jì)算機(jī)與信息系統(tǒng)廣泛使用，如何加強(qiáng)對終端用戶計(jì)算機(jī)的安全管理成為一個急需解決的問題。這就需要建立一個信息安全體系，也就是建立安全策略體系、安全管理體系和安全技術(shù)體系。

　　保護(hù)網(wǎng)絡(luò)設(shè)備、設(shè)施、介質(zhì)，對操作系統(tǒng)、數(shù)據(jù)庫及服務(wù)系統(tǒng)進(jìn)行漏洞修補(bǔ)和安全加固，對服務(wù)器建立嚴(yán)格審核。在安全管理上完善人員管理、資產(chǎn)管理、站點(diǎn)維護(hù)管理、災(zāi)難管理、應(yīng)急響應(yīng)、安全服務(wù)、人才管理，形成一套比較完備的信息系統(tǒng)安全管理保障體系。

　　防火墻是保證網(wǎng)絡(luò)安全的重要屏障，也是降低網(wǎng)絡(luò)安全風(fēng)險的重要因素。VPN可以通過一個公用網(wǎng)絡(luò)建立一個臨時的、安壘的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。借助專業(yè)的防DDos系統(tǒng)，可以有效的阻止惡意攻擊。信息系統(tǒng)的安全需求是全方位的、系統(tǒng)的、整體的，需要從技術(shù)、管理等方面進(jìn)行全面的安全設(shè)計(jì)和建設(shè)，有效提高信息系統(tǒng)的防護(hù)、檢側(cè)、響應(yīng)、恢復(fù)能力，以抵御不斷出現(xiàn)的安全威脅與風(fēng)險，保證系統(tǒng)長期穩(wěn)定可靠的運(yùn)行。嚴(yán)格的安全管理制度，明確的安全職責(zé)劃分，合理的人員角色定義，都可以在很大程度上減少網(wǎng)絡(luò)的安全隱患。

　　從戰(zhàn)略高度充分認(rèn)識信息安全的重要性和緊迫性。健全安全管理組織體系，明確安全管理的相關(guān)組織、機(jī)構(gòu)和職責(zé)，建立集中統(tǒng)一、分工協(xié)作、各司其職的安全管理責(zé)任機(jī)制。為了確保突發(fā)重大安全事件時，能得到及時的響應(yīng)和支援，信息系統(tǒng)必須建立和逐步完善應(yīng)急響應(yīng)支援體系，確保整個信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

　　參考文獻(xiàn)：

　　[1]宋新月，內(nèi)部審計(jì)在經(jīng)濟(jì)管理中的重要作用淺析[J]，知識經(jīng)濟(jì)，2009

　　周德銘我國“十一五”審計(jì)信息化發(fā)展動向，電子政務(wù)，2008，

　　馬永，淺談企業(yè)信息安全保障體系建設(shè)，計(jì)算機(jī)安全，2007，