基層央行信息安全審計(jì)難點(diǎn)及對(duì)策

邱成章

隨著信息化的迅速發(fā)展，基層央行已全面實(shí)現(xiàn)了辦公自動(dòng)化、業(yè)務(wù)信息化、數(shù)據(jù)處理集中化，加強(qiáng)信息安全管理，開展信息安全專項(xiàng)審計(jì)成為央行內(nèi)部審計(jì)的一項(xiàng)重要內(nèi)容，但基于目前基層央行內(nèi)部審計(jì)現(xiàn)狀，信息安全審計(jì)還存在諸多難點(diǎn)，在一定程度上影響了基層央行內(nèi)審工作成效。

一、開展基層央行信息安全審計(jì)的難點(diǎn)

1.信息系統(tǒng)運(yùn)行環(huán)境復(fù)雜。一是隨著央行電子化業(yè)務(wù)快速發(fā)展，基層央行科技工作量越來(lái)越大，目前絕大多數(shù)行人均已超過(guò)了一臺(tái)電腦，所使用的各種業(yè)務(wù)信息系統(tǒng)達(dá)三、四十個(gè)以上，且軟件系統(tǒng)頻繁升級(jí)，各種“補(bǔ)丁”不斷。二是目前基層央行使用的各業(yè)務(wù)系統(tǒng)有總行統(tǒng)一開發(fā)，也有自主開發(fā)的，由于各業(yè)務(wù)系統(tǒng)開發(fā)環(huán)境不一致，涉及操作系統(tǒng)、數(shù)據(jù)庫(kù)多，增加了運(yùn)行維護(hù)難度，并且部分設(shè)備老化嚴(yán)重，存在一定風(fēng)險(xiǎn)隱患?；鶎有锌萍既藛T除要辦理自身業(yè)務(wù)工作外，還負(fù)責(zé)各部門系統(tǒng)安裝和升級(jí)、日常管理及維護(hù)、網(wǎng)絡(luò)安全、病毒防范、安全培訓(xùn)等，使得信息安全檢查、系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作較難有效開展，客觀上就給基層央行信息安全內(nèi)部審計(jì)帶來(lái)了一定的難點(diǎn)。

2.部門業(yè)務(wù)系統(tǒng)難以適應(yīng)信息安全審計(jì)需要。基層央行所使用的業(yè)務(wù)系統(tǒng)幾乎都沒有預(yù)置審計(jì)接口和審計(jì)用戶，連簡(jiǎn)單的數(shù)據(jù)查詢都需要通過(guò)被審計(jì)對(duì)象提取，同時(shí)由于信息量大，再加上內(nèi)審部門缺乏相應(yīng)的技術(shù)審計(jì)手段與審計(jì)力量，用有限的人工方法查找海量的電子化信息，不僅效率低，而且要想篩選出有價(jià)值的線索如同“大海撈針”。

3.信息安全審計(jì)技術(shù)落后。央行內(nèi)部審計(jì)在信息安全審計(jì)方面除合規(guī)性審計(jì)外，還對(duì)信息系統(tǒng)、網(wǎng)絡(luò)安全、機(jī)房環(huán)境開展風(fēng)險(xiǎn)導(dǎo)向性的事前審計(jì)，但由于基層央行現(xiàn)有審計(jì)技術(shù)的局限性，大多數(shù)內(nèi)審人員對(duì)信息安全管理知識(shí)了解較少，開展審計(jì)時(shí)邊學(xué)邊審，導(dǎo)致審計(jì)證據(jù)較難獲取，難以充分發(fā)揮信息系統(tǒng)審計(jì)的真正作用，大大影響了審計(jì)效果。另外，由于內(nèi)審部門和人員不能及時(shí)介入系統(tǒng)的研發(fā)、推廣、培訓(xùn)，導(dǎo)致對(duì)系統(tǒng)了解較少，再加上大部分系統(tǒng)都由總行開發(fā)，基層央行難以獨(dú)立開展高質(zhì)量的信息系統(tǒng)審計(jì)項(xiàng)目，從而制約了信息安全審計(jì)開展的深度和廣度。

4.信息安全審計(jì)力量薄弱。目前基層央行審計(jì)人員數(shù)量和知識(shí)結(jié)構(gòu)遠(yuǎn)遠(yuǎn)不能滿足信息安全審計(jì)的要求，能熟練掌握計(jì)算機(jī)專業(yè)知識(shí)及業(yè)務(wù)知識(shí)的人員偏少，僅停留在簡(jiǎn)單的機(jī)械式的運(yùn)用層面，更深層次的數(shù)據(jù)篩選、數(shù)據(jù)分析、函數(shù)計(jì)算、數(shù)據(jù)統(tǒng)計(jì)和圖形分析應(yīng)用不多，大多內(nèi)審人員對(duì)信息安全審計(jì)的特點(diǎn)、方法和存在的風(fēng)險(xiǎn)缺乏深入了解和掌握，無(wú)法有效地開展相關(guān)審計(jì)工作。

二、加強(qiáng)基層央行信息安全審計(jì)的對(duì)策

1.建立央行信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)與規(guī)范。結(jié)合央行實(shí)際，確立央行信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)與規(guī)范，進(jìn)一步明確信息安全審計(jì)的技術(shù)角色，強(qiáng)化信息系統(tǒng)審計(jì)的技術(shù)特色。同時(shí)，推廣先進(jìn)的審計(jì)技術(shù)，建立科學(xué)的信息安全審計(jì)模式。

2.提高計(jì)算機(jī)輔助審計(jì)軟件的實(shí)用性、針對(duì)性。一是各業(yè)務(wù)部門在業(yè)務(wù)系統(tǒng)建設(shè)開發(fā)中要針對(duì)不同的審計(jì)需求，預(yù)留審計(jì)訪問(wèn)接口，注意把握好數(shù)據(jù)轉(zhuǎn)出分析模塊的設(shè)計(jì)思路，使審計(jì)中獲取的電子數(shù)據(jù)可以作為審計(jì)證據(jù)使用，以降低審計(jì)風(fēng)險(xiǎn)。二是內(nèi)審部門要介入業(yè)務(wù)處理系統(tǒng)開發(fā)、應(yīng)用及相關(guān)制約機(jī)制設(shè)立的全過(guò)程，對(duì)系統(tǒng)業(yè)務(wù)處理的合法合規(guī)性、安全可靠性、可維護(hù)性、可審計(jì)性及制約機(jī)制的完善性進(jìn)行分析、評(píng)價(jià)，盡可能地提高系統(tǒng)效率，降低風(fēng)險(xiǎn)。

3.強(qiáng)化科技管理。一是以針對(duì)性和時(shí)效性、便于操作為出發(fā)點(diǎn)，建立健全各項(xiàng)科技管理制度，做到有章可循。二是重視科技實(shí)體建設(shè)，科學(xué)合理投入資金，保證硬件設(shè)施安全。三是加強(qiáng)科技力量，充實(shí)科技人員，將科技管理與維護(hù)崗位分離，實(shí)現(xiàn)崗位互相約束、監(jiān)督，強(qiáng)化信息安全檢查、系統(tǒng)風(fēng)險(xiǎn)評(píng)估等工作。四是加大信息安全培訓(xùn)力度。通過(guò)組織開展崗位業(yè)務(wù)技能訓(xùn)練和業(yè)務(wù)達(dá)標(biāo)活動(dòng)，提升全員的整體科技素質(zhì)、計(jì)算機(jī)安全意識(shí)和業(yè)務(wù)技術(shù)操作水平，逐步消除對(duì)科技人員的過(guò)分依賴。

4.改變傳統(tǒng)審計(jì)方法。由上級(jí)行集中研發(fā)、業(yè)務(wù)及審計(jì)部門力量，統(tǒng)一制定資源管理、軟件程序、數(shù)據(jù)完整性及系統(tǒng)維護(hù)等審計(jì)模型，開發(fā)信息安全審計(jì)系統(tǒng)，對(duì)網(wǎng)絡(luò)安全、運(yùn)行環(huán)境審計(jì)等各類風(fēng)險(xiǎn)因素進(jìn)行評(píng)估，量化確定各類風(fēng)險(xiǎn)的大小，提高審計(jì)效率。

5.培養(yǎng)信息安全審計(jì)專業(yè)人才。一是整合人力資源，將審計(jì)業(yè)務(wù)、央行業(yè)務(wù)和計(jì)算機(jī)專業(yè)知識(shí)嫻熟的復(fù)合型人才充實(shí)到內(nèi)審隊(duì)伍，調(diào)整知識(shí)和專業(yè)結(jié)構(gòu)。二是加大對(duì)現(xiàn)有審計(jì)人員信息技術(shù)的培訓(xùn)力度，利用互聯(lián)網(wǎng)的便利性實(shí)施網(wǎng)上培訓(xùn)，輔之以崗位練兵、以查代訓(xùn)、自學(xué)等方式，讓內(nèi)審人員及時(shí)掌握央行各類信息系統(tǒng)發(fā)展的趨勢(shì)和信息風(fēng)險(xiǎn)的一般規(guī)律，使信息技術(shù)真正成為基層央行實(shí)施業(yè)務(wù)監(jiān)督和風(fēng)險(xiǎn)控制的有力工具。三是做好現(xiàn)有審計(jì)系統(tǒng)的普及工作，使內(nèi)審人員人人會(huì)操作，個(gè)個(gè)會(huì)應(yīng)用，提高內(nèi)審工作效率。

（作者單位：人民銀

行贛州市中心支行）