◆胡東華

數(shù)據(jù)安全審計過程問題控制研究

◆胡東華

（公安部第三研究所華南技術(shù)研究中心 上海 200031）

目前，數(shù)據(jù)技術(shù)在我國的信息化領(lǐng)域應(yīng)用越來越廣泛，社會企業(yè)紛紛采用基于數(shù)據(jù)分析的模型進行業(yè)務(wù)分析，而數(shù)據(jù)使用的過程中卻存在眾多安全和合規(guī)風險，因而需要引進數(shù)據(jù)安全審計，提高企業(yè)安全合規(guī)水平，健全我國數(shù)據(jù)合規(guī)水平，為我國數(shù)據(jù)安全發(fā)展提供基礎(chǔ)的保障。本文主要分析數(shù)據(jù)安全審計，以及針對數(shù)據(jù)審計過程中存在的問題的控制研究，具體探討如何采取有效的措施控制問題。

數(shù)據(jù)安全；審計；問題控制

伴隨著互聯(lián)網(wǎng)信息技術(shù)的發(fā)展，國內(nèi)各行業(yè)大數(shù)據(jù)應(yīng)用也百花齊放，主要包括電子政務(wù)數(shù)據(jù)應(yīng)用、電商數(shù)據(jù)應(yīng)用、金融數(shù)據(jù)應(yīng)用、征信數(shù)據(jù)應(yīng)用、醫(yī)療數(shù)據(jù)應(yīng)用、電信數(shù)據(jù)應(yīng)用和工業(yè)數(shù)據(jù)應(yīng)用等多個領(lǐng)域，數(shù)據(jù)應(yīng)用對人們生活、工作、思維方式等許多方面帶來了影響，從而提高人們對數(shù)據(jù)信息的開發(fā)和利用，通過數(shù)據(jù)分析從而進行事項決策。然而數(shù)據(jù)的采集、使用、處理等過程中，很多企業(yè)因業(yè)務(wù)發(fā)展等原因忽略了安全因素，從而導致眾多的安全事件發(fā)生。對于傳統(tǒng)的信息系統(tǒng)安全防護，企業(yè)會引進安全審計來幫助企業(yè)有效規(guī)避安全風險。然而審計過程中依舊存在審計規(guī)范不嚴謹、審計人員操守等問題。本文主要對如何有效控制數(shù)據(jù)安全審計過程所產(chǎn)生的問題進行深入的研究。

1 數(shù)據(jù)安全審計的發(fā)展現(xiàn)狀

數(shù)據(jù)安全是通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。在當今信息化發(fā)展迅速的時代，數(shù)據(jù)安全是各大企業(yè)的“命根子”，一旦出現(xiàn)數(shù)據(jù)安全事件，往往直接影響各企業(yè)的業(yè)務(wù)發(fā)展，甚至是企業(yè)的生死，例如近期發(fā)現(xiàn)的“微盟數(shù)據(jù)”破壞事件。所以為了避免數(shù)據(jù)安全問題，很多企業(yè)都采用了安全巡檢、等級保護、安全審計等方法來規(guī)避數(shù)據(jù)安全問題。目前，銀行、證券、政府機關(guān)、公安機關(guān)、具有一定規(guī)模的民營企業(yè)均定期開展數(shù)據(jù)安全審計工作，數(shù)據(jù)安全審計已逐步成為各大企業(yè)的信息化安全防范手段。

2 數(shù)據(jù)安全審計實施的流程

2.1 數(shù)據(jù)安全信息系統(tǒng)審計流程的準備階段

在數(shù)據(jù)安全信息系統(tǒng)審計實施的準備階段過程中，主要涉及三個方面的內(nèi)容，其一是審計目的，其二是審計的相關(guān)工作人員，其三則是審計的基礎(chǔ)設(shè)施。從審計的目的方面來看，準備的階段是審計在實施過程中的目的和范圍，通過確定審計實施的目的，為后續(xù)開展審計工作奠定堅實的基礎(chǔ)。從審計的工作人員來看，審計工作人員要進行小組劃分，合理的組建一個審計小組，審計小組內(nèi)的人才要具備多種才能，既包括信息技術(shù)過硬的專業(yè)人才，又包括復合型的審計人才，這些審計人才要具備自己的職業(yè)道德素養(yǎng)，具備專業(yè)化的審計知識。從審計的基礎(chǔ)設(shè)施中來看，審計的工作人員要全面了解與數(shù)據(jù)相關(guān)的信息，包括軟件與硬件，只有摸清了相關(guān)的基礎(chǔ)設(shè)施信息，才能為后續(xù)開展審計工作做好準備。

2.2 數(shù)據(jù)安全審計流程的實施階段

數(shù)據(jù)安全審計主要采用訪談、測試、查閱文檔等等方法開展，實施維度主要包括三個方面，一般控制，應(yīng)用控制與項目控制。一般控制是指數(shù)據(jù)安全服務(wù)商與用戶進行一般的控制，以此來提高審計效果的安全信息工作，確保審計單位提供的資料真實可靠；而應(yīng)用控制的審計主要是對于數(shù)據(jù)安全系統(tǒng)的業(yè)務(wù)流程進行控制點審計，根據(jù)審計單位的特點以及實際的需求來對審計的關(guān)鍵節(jié)點進行全面控制；項目控制的審計主要是通過進行項目化的管理，來充分考慮審計項目組織和戰(zhàn)略目標的安全。

2.3 數(shù)據(jù)安全審計流程的終結(jié)階段

在完成現(xiàn)場審計后，審計單位要根據(jù)實際控制情況，結(jié)合取證情況出具客觀真實的審計報告，在這個過程中要對審計的結(jié)果進行全方面的核對，提高審計的真實準確性。

3 數(shù)據(jù)安全審計過程存在的問題

3.1 未能貼合客戶情況開展審計

部分審計單位由于存在任務(wù)重、壓力大、人力資源緊張等情況，審計單位想盡快完成當前審計項目。所以他們在開展審計項目時，僅對客戶的現(xiàn)狀進行簡單的分析，未與客戶進行充分地溝通，未能充分理解客戶的審計目標，更未深入理解客戶的業(yè)務(wù)情況，導致審計結(jié)果偏離業(yè)務(wù)目標。

3.2 審計規(guī)范性存在不嚴謹

一是部分人員在開展審計項目時，對審計工作理解不夠透徹，認識不夠到位，認為只需要找到審計問題就相當于完成了審計項目，確忽略了一些必要而嚴謹?shù)募毠?jié)，比如只為了找問題而忽略了引用的審計依據(jù)，使審計依據(jù)與問題不搭邊，不適用于客戶實際情況；二是審計過程，材料取證并非按照既定規(guī)范流程開展，部分的取證內(nèi)容為口頭確認，但未進行書面化確認，取證的不嚴謹可能導致審計發(fā)現(xiàn)的問題所引用“證據(jù)鏈”存在不真實的可能性；三是審計人員將自身的意志引入審計過程，并非客觀開展審計工作，這容易導致審計過程不正當，不公正，不客觀，容易產(chǎn)生不準確的審計結(jié)論。四是內(nèi)部審計制度流程存在缺陷、不規(guī)范等問題，未能按照《中華人民共和國審計法》、《中華人民共和國審計準則》的要求開展對應(yīng)的審計工作程序，落實全過程的質(zhì)量控制。

3.3 審計人員自身存在不足

目前參與數(shù)據(jù)安全審計的人員無論在資質(zhì)上或是經(jīng)驗等方面參差不齊。具體體現(xiàn)在：部分審計人員并非計算機或信息安全相關(guān)專業(yè)畢業(yè)，對審計工作本身就存在眾多不理解的地方；部分審計人員雖然參與過安全測評、安全巡檢等相關(guān)信息安全的工作，但審計工作與測評、巡檢等工作存在一定的差異性，需要具備一定的審計理論基礎(chǔ)，外加培訓學習的力度不足，審計人員都是由參與過安全測評或安全巡檢的人直接參與審計工作，這導致了審計工作落實不全面或不規(guī)范的情況。其次，審計人員自身廉政意識不足，容易受到外界不良誘惑的影響，接受利益相關(guān)方的賄賂，這導致審計意見不正確，偏離審計原有的公正性。

4 數(shù)據(jù)風險規(guī)范的實施對策分析

4.1 審計單位要加強人員對審計工作的認知

審計單位內(nèi)部要加強宣傳力度，可通過網(wǎng)絡(luò)、座談會等宣傳形式，讓審計基礎(chǔ)工作和基礎(chǔ)知識深入各審計人員的各方面，引起審計單位領(lǐng)導和審計人員對審計工作的關(guān)注，加強相關(guān)認知。

4.2 審計單位要加強人員培訓工作

通過集中培訓和自學相結(jié)合的方式，提高審計人員的自身素質(zhì)，使其對審計工作有一個系統(tǒng)、全面的理解，在工作中強化基礎(chǔ)知識，做到精益求精，促進降低審計工作的錯誤出現(xiàn)概率。

4.3 審計單位要逐步完善審計規(guī)范

審計單位要加強對《中華人民共和國審計法》、《中華人民共和國審計準則》、《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》等法律法規(guī)的認知，按照相關(guān)法律規(guī)定逐步健全自身審計制度，制定完善的審計程序，規(guī)范審計底稿等產(chǎn)出物。具體體現(xiàn)在：一、審計制度要更嚴謹細致，制定的審計制度要廣泛征求客戶不同層次的意見，深入進行調(diào)查，緊緊圍繞業(yè)務(wù)，把握客戶最關(guān)注的難點、焦點，認真分析研究審計工作情況，提出審計目標，明確工作重點，找準審計工作最能有效地發(fā)揮作用的關(guān)鍵點，來確定審計項目計劃。二是制定審計方案要嚴謹細致，制定審計方案要深入用戶以及關(guān)聯(lián)單位進行審前調(diào)查，摸清審計項目的總體情況，掌握審計對象的數(shù)據(jù)安全特征，了解相關(guān)法律、法規(guī)、規(guī)章制度、政策及相關(guān)行業(yè)特點。按照計劃確定審計目標、審計重點和實施步驟、安排審計力量、審計時間。三是審計實施要嚴謹細致。在實施審計過程中，要將認真貫徹到審計的全過程，要引入先進的審計理念，不斷學習和創(chuàng)新，運用科學的審計技術(shù)和方法，提高審計力度和深度；要增強職業(yè)敏感性，慎用自由裁量權(quán)，決不能擅自放棄審計中發(fā)現(xiàn)的每個問題疑點和案源線索；要充分收集審計證據(jù)，做到實事求是，確保每一份審計證據(jù)和審計工作底稿都合法、可靠、有效。四是撰寫審計報告、審計處理、審計建議要嚴謹細致。撰寫審計報告要防止報告失實以及錯誤評價。要充分聽取、認真研究用戶的意見，既要敢于堅持原則如實揭露問題，又要勇于改正錯誤，確保審計報告評價等內(nèi)容的完整準確和客觀公正；要堅持以事實為根據(jù)、以法律為準繩，對審計中發(fā)現(xiàn)的問題，要充分考慮用戶存在的問題和產(chǎn)生的主客觀背景，實事求是地進行處理。要從體制、機制層面深刻剖析問題、原因和癥結(jié)，積極提出完善制度、深化改革的審計建議。要嚴格履行會審、復核、審理等工作，按照審計報告的規(guī)范格式，認真細致地撰寫審計報告。

4.4 完善審計過程質(zhì)量監(jiān)督

要建立健全業(yè)務(wù)工作考核制度。不僅考核審計成果，還要考核審計組是否按質(zhì)按量完成任務(wù)，確保審計工作決策科學、管理規(guī)范和有序推進。

4.5 用戶要選擇高質(zhì)量審計機構(gòu)

市場上數(shù)據(jù)安全審計服務(wù)供應(yīng)商的服務(wù)質(zhì)量參差不齊，用戶要合理地選擇供應(yīng)商，最大程度地確保數(shù)據(jù)安全審計服務(wù)的質(zhì)量，為數(shù)據(jù)的安全防護提供相關(guān)的措施。

5 結(jié)語

綜上所述，數(shù)據(jù)安全信息系統(tǒng)審計模式是我國目前審計發(fā)展的必然趨勢之一，通過應(yīng)用這種方式，可以節(jié)省審計單位的工作時間，提高審計的質(zhì)量和效率。在數(shù)據(jù)安全審計的建設(shè)過程中，相關(guān)審計單位必須要嚴格的規(guī)范自己的行為，嚴格遵守制度，通過高水平的數(shù)據(jù)安全審計服務(wù)，確保審計服務(wù)的安全性與可靠性，減少審計風險的發(fā)生。

[1]莊緒路.大數(shù)據(jù)技術(shù)在計算機信息安全中的應(yīng)用分析[J].計算機產(chǎn)品與流通，2020（06）.

[2]孫燕琴.云計算與大數(shù)據(jù)背景下個人信息的安全協(xié)同問題研究[J].現(xiàn)代信息科技，2019（21）.

[3]張春麗.大數(shù)據(jù)環(huán)境下的云計算信息安全問題[J].信息與電腦（理論版），2019（13）.