掃碼下載APP
及時(shí)接收最新考試資訊及
備考信息
安卓版本:8.7.50 蘋果版本:8.7.50
開發(fā)者:北京正保會(huì)計(jì)科技有限公司
應(yīng)用涉及權(quán)限:查看權(quán)限>
APP隱私政策:查看政策>
HD版本上線:點(diǎn)擊下載>
現(xiàn)階段我國(guó)審計(jì)機(jī)關(guān)正在實(shí)施的“金審工程”是國(guó)家審計(jì)進(jìn)一步推進(jìn)信息化建設(shè)的核心工作,也是實(shí)現(xiàn)計(jì)算機(jī)審計(jì)工作的一個(gè)重要平臺(tái)。在此平臺(tái)上,審計(jì)人員可以采用計(jì)算機(jī)手段更加高效地完成日常工作。但如何保障“金審工程”順利、有效地開展,保證審計(jì)信息安全,我們有必要學(xué)習(xí)一些發(fā)達(dá)國(guó)家在電子政務(wù)安全建設(shè)方面的寶貴經(jīng)驗(yàn)。筆者認(rèn)為,英國(guó)政府采取的一系列措施值得我國(guó)“金審工程”建設(shè)借鑒。
1999年11月,英國(guó)政府正式?jīng)Q定采用國(guó)際標(biāo)準(zhǔn)化組織ISO提出的《信息技術(shù)——信息安全管理業(yè)務(wù)規(guī)范》,即ISO/IEC17799標(biāo)準(zhǔn),同時(shí)要求政府各個(gè)部門都要在執(zhí)行他們關(guān)鍵的信息操作過程中嚴(yán)格遵循該標(biāo)準(zhǔn)。英國(guó)國(guó)家審計(jì)署在開展績(jī)效審計(jì)過程中,對(duì)于信息系統(tǒng)安全方面提出了很多的管理措施。這些措施主要體現(xiàn)在審計(jì)過程中,審計(jì)人員不但要嚴(yán)格遵循ISO/IEC17799標(biāo)準(zhǔn)的規(guī)定,對(duì)于自身所使用的審計(jì)系統(tǒng)以及計(jì)算機(jī)審計(jì)工具都要進(jìn)行檢查以符合ISO/IEC17799標(biāo)準(zhǔn)。更要對(duì)審計(jì)對(duì)象在使用信息系統(tǒng)過程中是否遵循ISO/IEC17799標(biāo)準(zhǔn)的情況進(jìn)行嚴(yán)格的審計(jì),特別是英國(guó)政府提出的電子政務(wù)標(biāo)準(zhǔn)及必須采取的安全措施,更要對(duì)此加以審計(jì)。
ISO/IEC17799標(biāo)準(zhǔn)最初于1993年由英國(guó)貿(mào)易工業(yè)部立項(xiàng),由標(biāo)準(zhǔn)化協(xié)會(huì)籌備起草并作為英國(guó)的標(biāo)準(zhǔn)。1995年,首次發(fā)布BS 7799-1:1995《信息安全管理業(yè)務(wù)規(guī)范》,它提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則,其目的是作為確定各類信息系統(tǒng)通用控制范圍的唯一參考基準(zhǔn),并且適用于大、中、小組織以及政府部門;1998年,標(biāo)準(zhǔn)化協(xié)會(huì)發(fā)表標(biāo)準(zhǔn)的第二部分BS 7799-2《信息安全管理體系規(guī)范》,它規(guī)定信息安全管理體系與信息安全控制要求,是一個(gè)組織的全面或部分信息安全管理體系評(píng)估的基礎(chǔ),它還可以作為一個(gè)正式認(rèn)證方案的根據(jù);BS 7799-1與BS 7799-2經(jīng)過修訂于1999年重新予以發(fā)布,此次考慮了信息處理技術(shù),尤其是考慮了在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的最新發(fā)展情況;2000年12月,BS 7799-1:1999《信息安全管理業(yè)務(wù)規(guī)范》通過了國(guó)際標(biāo)準(zhǔn)化組織ISO的認(rèn)可,正式成為國(guó)際標(biāo)準(zhǔn),即ISO/IEC17799-1:2000《信息技術(shù)——信息安全管理業(yè)務(wù)規(guī)范》標(biāo)準(zhǔn)。
在具體的實(shí)施過程中,ISO/IEC17799主要是為了實(shí)現(xiàn)對(duì)以書面的或計(jì)算機(jī)存儲(chǔ)的信息的安全性、保密性和完整性進(jìn)行保護(hù),即構(gòu)成信息安全中最重要的安全三角。在保密性方面,確保信息只能夠由得到授權(quán)的人訪問;在完整性方面,保護(hù)信息的正確性和完整性以及信息處理方法;在有效性方面,保證經(jīng)授權(quán)的用戶可以訪問到信息。如果需要的話,還能夠訪問相關(guān)資產(chǎn)設(shè)備。信息安全最終通過實(shí)施這一整套的控制才能達(dá)到,這些控制措施可能是策略、做法、程序、組織結(jié)構(gòu)或者軟件功能,以確保實(shí)現(xiàn)該機(jī)構(gòu)特殊的安全目標(biāo)。
信息安全問題畢竟是十分復(fù)雜的新問題,即使英國(guó)這樣的信息化大國(guó),在信息安全防護(hù)方面占盡優(yōu)勢(shì)也不能說完全能解決信息安全問題。近年不斷出現(xiàn)的黑客攻擊和病毒肆虐就讓英國(guó)損失不少。特別是已經(jīng)有六個(gè)方面共性的問題引起了政府的高度重視。即政府高層管理的信息安全意識(shí)有待提高,目前的安全措施有待加強(qiáng),安全教育和培訓(xùn)力度有待加大,針對(duì)信息安全的投資有待增多,針對(duì)安全服務(wù)商的要求有待明確,有關(guān)安全漏洞、弱點(diǎn)的信息有待共享等。究其原因,其中很重要的一點(diǎn)是對(duì)于安全管理,政府往往陷入了過分追求技術(shù)優(yōu)勢(shì)的誤區(qū),常常是花費(fèi)巨額資金在硬件及系統(tǒng)方面完成信息安全的防護(hù)而忽視了對(duì)其整體的管理。因此,學(xué)習(xí)發(fā)達(dá)國(guó)家在信息安全方面的政策和舉措,對(duì)于我國(guó)的信息化進(jìn)程是很有意義的,特別是政府的信息安全工作應(yīng)如何開展,電子政務(wù)的安全應(yīng)如何保障,網(wǎng)上不良信息應(yīng)如何有效控制,信息產(chǎn)業(yè)應(yīng)如何推動(dòng)和發(fā)展等多方面都值得我們認(rèn)真思考。
我國(guó)審計(jì)機(jī)關(guān)可以參照信息安全管理模型,按照先進(jìn)的信息安全管理標(biāo)——ISO/IEC17799建立完整的信息安全管理體系并實(shí)施與保持,達(dá)到動(dòng)態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預(yù)防為主的信息安全管理方式,用最低的成本達(dá)到可接受的信息安全水平,從根本上保證業(yè)務(wù)的持續(xù)性。
安卓版本:8.7.50 蘋果版本:8.7.50
開發(fā)者:北京正保會(huì)計(jì)科技有限公司
應(yīng)用涉及權(quán)限:查看權(quán)限>
APP隱私政策:查看政策>
HD版本上線:點(diǎn)擊下載>
官方公眾號(hào)
微信掃一掃
官方視頻號(hào)
微信掃一掃
官方抖音號(hào)
抖音掃一掃
Copyright © 2000 - m.galtzs.cn All Rights Reserved. 北京正保會(huì)計(jì)科技有限公司 版權(quán)所有
京B2-20200959 京ICP備20012371號(hào)-7 出版物經(jīng)營(yíng)許可證 京公網(wǎng)安備 11010802044457號(hào)