基层央行信息安全审计难点及对策论文.doc

基层央行信息安全审计难点及对策论文 随着信息化的迅速发展基层央行已全面实现了办公自动化、业务信息化、数据处理集中化加强信息安全管理开展信息安全专项审计成为央行内部审计的一项重要内容但基于目前基层央行内部审计现状信息安全审计还存在诸多难点在一定程度上影响了基层央行内审工作成效 一、开展基层央行信息安全审计的难点 1.信息系统运行环境复杂一是随着央行电子化业务快速发展基层央行科技工作量越来越大目前绝大多数行人均已超过了一台电脑所使用的各种业务信息系统达三、四十个以上且软件系统频繁升级各种“补丁”不断二是目前基层央行使用的各业务系统有总行统一开发也有自主开发的由于各业务系统开发环境不一致涉及操作系统、数据库多增加了运行维护难度并且部分设备老化严重存在一定风险隐患基层行科技人员除要办理自身业务工作外还负责各部门系统安装和升级、日常管理及维护、网络安全、病毒防范、安全培训等使得信息安全检查、系统风险评估工作较难有效开展客观上就给基层央行信息安全内部审计带来了一定的难点 2.部门业务系统难以适应信息安全审计需要基层央行所使用的业务系统几乎都没有预置审计接口和审计用户连简单的数据查询都需要通过被审计对象提取同时由于信息量大再加上内审部门缺乏相应的技术审计手段与审计力量用有限的人工方法查找海量的电子化信息不仅效率低而且要想筛选出有价值的线索如同“大海捞针” 3.信息安全审计技术落后央行内部审计在信息安全审计方面除合规性审计外还对信息系统、网络安全、机房环境开展风险导向性的事前审计但由于基层央行现有审计技术的局限性大多数内审人员对信息安全管理知识了解较少开展审计时边学边审导致审计证据较难获取难以充分发挥信息系统审计的真正作用大大影响了审计效果另外由于内审部门和人员不能及时介入系统的研发、推广、培训导致对系统了解较少再加上大部分系统都由总行开发基层央行难以独立开展高质量的信息系统审计项目从而制约了信息安全审计开展的深度和广度 4.信息安全审计力量薄弱目前基层央行审计人员数量和知识结构远远不能满足信息安全审计的要求能熟练掌握计算机专业知识及业务知识的人员偏少仅停留在简单的机械式的运用层面更深层次的数据筛选、数据分析、函数计算、数据统计和图形分析应用不多大多内审人员对信息安全审计的特点、方法和存在的风险缺乏深入了解和掌握无法有效地开展相关审计工作 二、加强基层央行信息安全审计的对策 1.建立央行信息系统审计标准与规范结合央行实际确立央行信息系统审计标准与规范进一步明确信息安全审计的技术角色强化信息系统审计的技术特色同时推广先进的审计技术建立科学的信息安全审计模式 2.提高计算机辅助审计软件的实用性、针对性一是各业务部门在业务系统建设开发中要针对不同的审计需求预留审计访问接口注意把握好数据转出分析模块的设计思路使审计中获取的电子数据可以作为审计证据使用以降低审计风险二是内审部门要介入业务处理系统开发、应用及相关制约机制设立的全过程对系统业务处理的合法合规性、安全可靠性、可维护性、可审计性及制约机制的完善性进行分析、评价尽可能地提高系统效率降低风险 3.强化科技管理一是以针对性和时效性、便于操作为出发点建立健全各项科技管理制度做到有章可循二是重视科技实体建设科学合理投入资金保证硬件设施安全三是加强科技力量充实科技人员将科技管理与维护岗位分离实现岗位互相约束、监督强化信息安全检查、系统风险评估等工作四是加大信息安全培训力度通过组织开展岗位业务技能训练和业务达标活动提升全员的整体科技素质、计算机安全意识和业务技术操作水平逐步消除对科技人员的过分依赖 4.改变传统审计方法由上级行集中研发、业务及审计部门力量统一制定资源管理、软件程序、数据完整性及系统维护等审计模型开发信息安全审计系统对网络安全、运行环境审计等各类风险因素进行评估量化确定各类风险的大小提高审计效率 5.培养信息安全审计专业人才一是整合人力资源将审计业务、央行业务和计算机专业知识娴熟的复合型人才充实到内审队伍调整知识和专业结构二是加大对现有审计人员信息技术的培训力度利用互联网的便利性实施网上培训辅之以岗位练兵、以查代训、自学等方式让内审人员及时掌握央