首頁(yè) > 精品范文 > 安全審計(jì)培訓(xùn)
安全審計(jì)培訓(xùn)精品(七篇)
時(shí)間:2023-07-02 09:21:35
序論:寫作是一種深度的自我表達(dá)。它要求我們深入探索自己的思想和情感,挖掘那些隱藏在內(nèi)心深處的真相,好投稿為您帶來(lái)了七篇安全審計(jì)培訓(xùn)范文,愿它們成為您寫作過(guò)程中的靈感催化劑,助力您的創(chuàng)作。
篇(1)
關(guān)鍵詞:山區(qū)道路;安全審計(jì);內(nèi)容;步驟
道路安全審計(jì)(RoadSafelyAudits,簡(jiǎn)稱RSA)是從預(yù)防交通事故、降低事故產(chǎn)生的可能性和嚴(yán)重性人手,對(duì)道路項(xiàng)目建設(shè)的全過(guò)程,即規(guī)劃、設(shè)計(jì)、施工和服務(wù)期進(jìn)行全方位的安全審核,從而揭示道路發(fā)生事故的潛在危險(xiǎn)因素及安全性能,是國(guó)際上近期興起的以預(yù)防交通事故和提高道路交通安全為目的的一項(xiàng)新技術(shù)手段。其目標(biāo)是:確定項(xiàng)目潛在的安全隱患;確保考慮了合適的安全對(duì)策;使安全隱患得以消除或以較低的代價(jià)降低其負(fù)面影響,避免道路成為事故多發(fā)路段;保障道路項(xiàng)目在規(guī)劃、設(shè)計(jì)、施工和運(yùn)營(yíng)各階段都考慮了使用者的安全需求,從而保證現(xiàn)已運(yùn)營(yíng)或?qū)⒔ㄔO(shè)的道路項(xiàng)目能為使用者提供最高實(shí)用標(biāo)準(zhǔn)的交通安全服務(wù)。
1道路安全審計(jì)的起源與發(fā)展
1991年,英國(guó)版的《公路安全審計(jì)指南》問(wèn)世,這標(biāo)志著安全審計(jì)有了系統(tǒng)的體系。從1991年4月起,安全審計(jì)成為英國(guó)全境主干道、高速公路建設(shè)與養(yǎng)護(hù)工程項(xiàng)目必須進(jìn)行的程序,使英國(guó)成為安全審計(jì)的重要發(fā)起與發(fā)展國(guó)。而我國(guó)則是在20世紀(jì)90年代中期開(kāi)始發(fā)展安全審計(jì),主要有兩個(gè)渠道:①以高等院校為主的學(xué)者通過(guò)國(guó)際學(xué)術(shù)交流與檢索國(guó)外文獻(xiàn),從理論體系的角度引入道路安全審計(jì)的理論;②通過(guò)世界銀行貸款項(xiàng)目的配套科研課題。在工程領(lǐng)域開(kāi)展道路安全審計(jì)的實(shí)踐。
目前,在澳大利亞、丹麥、英國(guó)、冰島、新西蘭和挪威等國(guó)已定期地執(zhí)行道路安全審計(jì),德國(guó)、芬蘭、法國(guó)、意大利、加拿大、荷蘭、葡萄牙、泰國(guó)以及美國(guó)正處于實(shí)驗(yàn)或試行階段,其他許多國(guó)家也在就道路安全審計(jì)的引入進(jìn)行檢驗(yàn),比如希臘等國(guó)家。國(guó)外研究表明,道路安全審計(jì)可有效地預(yù)防交通事故,降低交通事故數(shù)量及其嚴(yán)重度,減少道路開(kāi)通后改建完善和運(yùn)營(yíng)管理費(fèi)用,提升交通安全文化,其投資回報(bào)是15~40倍。
道路安全審計(jì)在我們道路建設(shè)中的重要性,不僅僅是在提高安全性方面,對(duì)經(jīng)濟(jì)性也有幫助。而山區(qū)道路的安全比起一般道路來(lái)講,就更應(yīng)該引起我們的注意,畢竟山區(qū)道路的崎嶇以及地勢(shì)的高低相對(duì)與一般道路對(duì)駕駛者來(lái)說(shuō)是一個(gè)很大的挑戰(zhàn),而且其發(fā)生事故的死亡率也比其他道路高很多,因此,審計(jì)對(duì)于山區(qū)道路來(lái)說(shuō)是至關(guān)重要的。
2山區(qū)道路安全審計(jì)內(nèi)容
加拿大等國(guó)家認(rèn)為,在項(xiàng)目建設(shè)的初步設(shè)計(jì)階段進(jìn)行道路安全審計(jì)最重要、最有效,因而早期的道路安全審計(jì)主要重點(diǎn)是在項(xiàng)目建設(shè)的初步設(shè)計(jì)階段。現(xiàn)世界各國(guó)都普遍認(rèn)為可在已運(yùn)營(yíng)的道路和擬建道路項(xiàng)目建設(shè)期的全過(guò)程實(shí)行安全審計(jì),即在規(guī)劃或可行性研究、初步設(shè)計(jì)、施工圖設(shè)計(jì)、道路通車前期(預(yù)開(kāi)通)和開(kāi)通服務(wù)期(后評(píng)估階段)都有所側(cè)重地實(shí)行審計(jì)。山區(qū)道路安全審計(jì)同樣與其他道路的安全審計(jì)工作內(nèi)容一樣。
3審計(jì)要素
典型的道路安全審計(jì)過(guò)程為:組建審計(jì)組+設(shè)計(jì)隊(duì)介紹項(xiàng)目情況及提供資料+項(xiàng)目實(shí)施考察-安全性分析研究-編寫安全審計(jì)報(bào)告+審計(jì)組介紹項(xiàng)目審計(jì)結(jié)果+設(shè)計(jì)隊(duì)研究、編寫響應(yīng)報(bào)告-審計(jì)報(bào)告及響應(yīng)報(bào)告共同構(gòu)成項(xiàng)目安全文件。
整個(gè)安全審計(jì)的時(shí)間一般為兩周左右。為保證安全審計(jì)的質(zhì)量,審計(jì)組人員的構(gòu)成至關(guān)重要。審計(jì)組的人數(shù)依項(xiàng)目的規(guī)模大小一般由26人組成,審計(jì)組應(yīng)由不同背景、不同經(jīng)歷、受過(guò)培訓(xùn)、經(jīng)驗(yàn)豐富、獨(dú)立的人員(與設(shè)計(jì)隊(duì)無(wú)直接關(guān)聯(lián))組成。審計(jì)人員一般應(yīng)具備交通安全、交通工程、交通運(yùn)行分析、交通心理、道路設(shè)計(jì)、道路維護(hù)、交通運(yùn)營(yíng)及管理、交通法律法規(guī)等方面的知識(shí),應(yīng)保證審計(jì)組人員相互間能平等、自由地交流、討論和商議安全問(wèn)題。審計(jì)人員應(yīng)本著對(duì)社會(huì)(用戶)負(fù)責(zé)的態(tài)度、安全第一的觀點(diǎn),依據(jù)道路標(biāo)準(zhǔn)規(guī)范,對(duì)項(xiàng)目各種設(shè)計(jì)參數(shù)、弱勢(shì)用戶、氣候環(huán)境等的綜合組合,展開(kāi)道路安全審計(jì)。道路安全審計(jì)人員(審計(jì)組)與設(shè)計(jì)人員(設(shè)計(jì)隊(duì))的區(qū)別在于:設(shè)計(jì)人員需要綜合考慮項(xiàng)目投資、土地、政治、地理、地形、環(huán)境、交通、安全等方方面面的因數(shù),限于經(jīng)驗(yàn)、時(shí)間的約束,對(duì)安全問(wèn)題難免有所偏頗。而安全審計(jì)人員不考慮項(xiàng)目投資、建設(shè)背景等因數(shù),僅僅考慮安全問(wèn)題,只提安全建議,最后由設(shè)計(jì)人員決定:采納、改進(jìn)或不采納。因而可以說(shuō)道路安全審計(jì)的關(guān)鍵點(diǎn)為:它是一個(gè)正式的、獨(dú)立進(jìn)行的審計(jì)過(guò)程,須由有經(jīng)驗(yàn)的、有資格的人員從事這一工作,要考慮到道路的各種用戶,最重要的一點(diǎn)是只考慮安全問(wèn)題。
安全審計(jì)報(bào)告一般應(yīng)包括:設(shè)計(jì)人及審計(jì)組簡(jiǎn)述、審計(jì)過(guò)程及日期、項(xiàng)目背景及簡(jiǎn)況、圖紙等,對(duì)確認(rèn)的每一個(gè)潛在危險(xiǎn)因素都應(yīng)闡述其地點(diǎn)、詳細(xì)特征、可能引發(fā)的事故(類型)、事故的頻率及嚴(yán)重度評(píng)估、改進(jìn)建議及該建議的可操作性(實(shí)用性)等。審計(jì)報(bào)告應(yīng)易于被設(shè)計(jì)人員接受并實(shí)施。響應(yīng)報(bào)告應(yīng)由項(xiàng)目設(shè)計(jì)人員編寫,其內(nèi)容—般應(yīng)包括:對(duì)審計(jì)報(bào)告指出的安全缺陷是否接受,如不接受應(yīng)闡述理由,對(duì)每一改進(jìn)建議應(yīng)一一響應(yīng),采納、部分采納或不采納,并闡明原因。
4現(xiàn)有山區(qū)道路的安全審計(jì)
對(duì)現(xiàn)狀山區(qū)道路進(jìn)行安全審計(jì),主要評(píng)估現(xiàn)狀道路潛在事故危險(xiǎn)性,同時(shí)提出改進(jìn)措施以降低未來(lái)發(fā)生事故的可能性。現(xiàn)狀道路的安全審計(jì)與新建道路相類似,也需進(jìn)行上面所提到的工作,但現(xiàn)場(chǎng)調(diào)查以及評(píng)估資料及文件這兩步與新建道路有所不同。此時(shí)事故資料被作為欲審計(jì)資料的重要組成部分,同時(shí)該資料也包括可能導(dǎo)致事故發(fā)生潛在性的一些不利因素的詳細(xì)資料。
理想的關(guān)于現(xiàn)狀道路網(wǎng)的安全審計(jì)應(yīng)該建立在有規(guī)律的基礎(chǔ)之上。它可以以連續(xù)幾年審計(jì)的結(jié)果為基礎(chǔ),采用滾動(dòng)式的審計(jì)方式對(duì)路網(wǎng)中的每條道路都進(jìn)行評(píng)估。對(duì)于里程較長(zhǎng)的道路(一般>100km),其安全審計(jì)工作可按兩階段進(jìn)行,即初步審計(jì)階段和詳細(xì)審計(jì)階段。前者主要對(duì)道路總體上進(jìn)行粗略審計(jì),給出存在的主要問(wèn)題及所處位置,后者則對(duì)找到的問(wèn)題進(jìn)行進(jìn)一步的詳細(xì)分析并提出相應(yīng)的改進(jìn)建議。對(duì)里程較短的道路(<30km)可直接進(jìn)行第二階段的工作。而對(duì)里程在30km~100km的道路,兩階段審計(jì)工作可根據(jù)具體情況靈活進(jìn)行。
由于欲審計(jì)道路已修建完成并已經(jīng)運(yùn)營(yíng),此時(shí)現(xiàn)場(chǎng)調(diào)查就顯得非常重要。不管是擬建道路或已建道路、線內(nèi)工程還是線外工程,安全審計(jì)工作必須全方位細(xì)致地進(jìn)行。要考慮不同道路使用者對(duì)道路安全性能的不同需求。例如:①由于坡度太大或海拔高而使得駕駛員的心理產(chǎn)生恐懼;②半徑太小可能使得駕駛員無(wú)法在規(guī)定視距范圍內(nèi)看到對(duì)方;③山體的穩(wěn)定性也可能會(huì)影響到駕駛員。
另外,現(xiàn)狀山區(qū)道路的安全審計(jì)工作還要調(diào)查不同的道路類型,例如白天、黑夜、干燥、潮濕等情況對(duì)道路的影響。此外,對(duì)現(xiàn)有道路網(wǎng)絡(luò)的安全審計(jì)可結(jié)合養(yǎng)護(hù)工作同時(shí)進(jìn)行,這樣可減少相應(yīng)的成本費(fèi)用。
5我國(guó)山區(qū)道路的審計(jì)現(xiàn)狀及問(wèn)題和解決方法
5.1審計(jì)現(xiàn)狀及問(wèn)題
由于目前審計(jì)這個(gè)名詞在國(guó)內(nèi)還算比較新鮮,國(guó)外從起步發(fā)展到現(xiàn)在也不過(guò)十來(lái)年的時(shí)間,各方面都只是處于實(shí)驗(yàn)或者是試行階段,并沒(méi)有固定的一套理論依據(jù)。而我國(guó)相對(duì)外國(guó)來(lái)說(shuō)又是落后了好幾年,因此我國(guó)現(xiàn)在總體的審計(jì)現(xiàn)狀也就處于探索階段,各個(gè)方面也是處于起步階段,不可能對(duì)各個(gè)方面的審計(jì)工作做到非常的完善。而道路的審計(jì)不過(guò)是眾多審計(jì)工作中的一小部分,由于其本身的“新鮮性”,又對(duì)審計(jì)人員的要求較高,西部一些貧困地區(qū)教育跟不上,審計(jì)的人才缺乏也不是沒(méi)有可能,設(shè)備等亦未全部到位。山區(qū)道路安全審計(jì)工作的開(kāi)展較一般道路可能要更加的困難,因?yàn)樯絽^(qū)道路多是停山臨崖,彎道又多,坡度又大等各方面因素是其工作的開(kāi)展要難與一般道路;更有甚者像那些偏僻地區(qū)的山區(qū)道路,可能路面的質(zhì)量都無(wú)法保證,更不要提進(jìn)行什么安全審計(jì)。
5.2解決方法
要改善我國(guó)目前的這種安全審計(jì)情況,需要全國(guó)各個(gè)方面的努力與配合,不過(guò)政府要有所規(guī)定,我們民間也要有這方面的意識(shí)。筆者簡(jiǎn)單列出幾項(xiàng):①國(guó)家應(yīng)該頒布相關(guān)的法律制度,嚴(yán)格要求進(jìn)行安全審計(jì);②地方政府部門要加強(qiáng)管理;③加強(qiáng)對(duì)審計(jì)人員的培訓(xùn);④提高我國(guó)的教育水平和人們的交通安全意識(shí);⑤交通安全部門要深入到偏僻的山區(qū);⑥提高我國(guó)的經(jīng)濟(jì)實(shí)力。
6結(jié)束語(yǔ)
山區(qū)道路的安全審計(jì)工作與其他道路的安全審計(jì)總體上應(yīng)該說(shuō)差不多,當(dāng)然山區(qū)的那種獨(dú)特的環(huán)境使得審計(jì)工作的重點(diǎn)可能不僅僅局限與一般的道路,不要認(rèn)為山區(qū)道路的流量沒(méi)有城市道路那么多而忽視它,我國(guó)是個(gè)多山的國(guó)家,山區(qū)道路對(duì)于我國(guó)各個(gè)地區(qū)的經(jīng)濟(jì)往來(lái)的作用不言而譽(yù)。通過(guò)安全審計(jì),加強(qiáng)了全國(guó)各地交流。對(duì)于我國(guó)的經(jīng)濟(jì)發(fā)展有百利而無(wú)一害。國(guó)內(nèi)山區(qū)道路建設(shè)的實(shí)際情況對(duì)道路安全審計(jì)進(jìn)行了較為系統(tǒng)的分析研究并得出以下結(jié)論:
(1)道路安全審計(jì)獨(dú)立于設(shè)計(jì)和標(biāo)準(zhǔn)。是以安全為核心的審計(jì),其對(duì)象為一切與交通安全相關(guān)的工程和設(shè)施,它可分階段、按步驟的實(shí)施,審計(jì)的結(jié)果為安全審計(jì)報(bào)告。
篇(2)
盡管針對(duì)信息系統(tǒng)的監(jiān)理工作已經(jīng)開(kāi)展了多個(gè)年頭,但是其主要的工作目標(biāo)仍然集中在以系統(tǒng)集成為代表的信息基礎(chǔ)設(shè)施建設(shè)以及以軟件研發(fā)為代表的應(yīng)用系統(tǒng)建設(shè),對(duì)于認(rèn)知度和重要性日益提高的信息安全,監(jiān)理體系的發(fā)展尚有很長(zhǎng)的路要走。
作為信息監(jiān)理體系中的一個(gè)分支和必要組成部分,信息安全監(jiān)理既保有信息監(jiān)理的基本特征,同時(shí)又有很多個(gè)性特質(zhì),這主要是信息安全本身的特性使然。
在實(shí)踐中,信息安全不但與通常的監(jiān)理對(duì)象一樣具有規(guī)劃、實(shí)施、運(yùn)營(yíng)等等清晰的工作周期,而且由于信息安全工作在變更、響應(yīng)、教育方面的高要求,使得信息安全監(jiān)理在開(kāi)展過(guò)程中需要關(guān)注更多的問(wèn)題。處理好這些問(wèn)題,信息安全才能真正保障。
認(rèn)識(shí)篇:安全監(jiān)理 并不遙遠(yuǎn)
基于多年對(duì)信息技術(shù)產(chǎn)業(yè)的關(guān)心和促進(jìn),我國(guó)已經(jīng)形成一系列的法規(guī)、條例和標(biāo)準(zhǔn)用于信息領(lǐng)域相關(guān)工作的規(guī)范和管理。針對(duì)信息安全領(lǐng)域,于1994年2月18日的《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》,是我國(guó)信息系統(tǒng)安全體系的核心法律依據(jù);而作為GB17859-1999國(guó)家標(biāo)準(zhǔn)的《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則》則為我國(guó)的信息安全工作提供了標(biāo)準(zhǔn)上的支持。特別是2006年上旬公安部的《信息安全等級(jí)保護(hù)管理辦法(試行)》,也稱7號(hào)文件,其中針對(duì)不同等級(jí)的信息系統(tǒng)明確的在監(jiān)管和監(jiān)管資質(zhì)方面進(jìn)行了規(guī)定。這些法規(guī)標(biāo)準(zhǔn)的出臺(tái)和實(shí)施為信息安全的監(jiān)理工作提供了有效的生長(zhǎng)環(huán)境,同時(shí)也預(yù)示著信息安全監(jiān)理的大幕正在拉開(kāi),通過(guò)第三方的監(jiān)理手段提高信息安全工作有效性正成為產(chǎn)業(yè)中一股新的力量。
重視實(shí)施
在信息安全工作體系當(dāng)中,監(jiān)理可以發(fā)揮極為重要的作用,有效的監(jiān)理工作可以節(jié)約資源并保障信息安全工作的順利開(kāi)展。
在實(shí)施信息安全的過(guò)程中,監(jiān)理機(jī)制可以保障安全特性與系統(tǒng)核心的工作目標(biāo)適配,避免安全目標(biāo)與系統(tǒng)目標(biāo)之間發(fā)生沖突。即使對(duì)于信息安全本身,其保密性、完整性和可用性三大基本要求之間也存在著潛在的沖突,例如,在很多時(shí)候?yàn)榱颂岣弑C苄缘囊蠖赡軙?huì)損害到信息的可用性,這些問(wèn)題的權(quán)衡和建議體現(xiàn)了監(jiān)理工作在整個(gè)系統(tǒng)體系設(shè)計(jì)層次的作用。
基于資源有限這一基本原理,在實(shí)施信息安全工作的過(guò)程中一個(gè)非常重要的問(wèn)題在于使用合適的資源對(duì)不同類型的信息資產(chǎn)進(jìn)行保護(hù)。很多信息安全工程或是沒(méi)有分清保護(hù)的重點(diǎn),或是對(duì)某些信息資產(chǎn)投放了過(guò)度的資源,這對(duì)于系統(tǒng)的安全乃至系統(tǒng)本身的運(yùn)轉(zhuǎn)都會(huì)造成不良影響。監(jiān)理機(jī)制能夠在資源調(diào)配上起到監(jiān)管作用,從設(shè)計(jì)階段就發(fā)現(xiàn)信息安全系統(tǒng)中潛藏的缺陷。
作為監(jiān)理機(jī)制最重要的作用之一,監(jiān)督信息安全的實(shí)施過(guò)程是信息安全監(jiān)管的重中之重。即使擁有完善的信息安全系統(tǒng)設(shè)計(jì)也并不能保證信息安全工作的成功,保證實(shí)施方按照設(shè)計(jì)方案正確的進(jìn)行實(shí)施與對(duì)設(shè)計(jì)方案的分析一樣重要。在很多信息安全工程中存在著執(zhí)行不利的問(wèn)題,監(jiān)理工作非常適合在執(zhí)行過(guò)程中的發(fā)揮保障作用,在這類相對(duì)確定且可變性較低的層面可以充分發(fā)揮監(jiān)理的標(biāo)準(zhǔn)化能力及管理能力。
從規(guī)范到管理
眾所周知,在信息安全體系中管理制度和人員的因素與其它信息工程相比要占據(jù)更重要的地位。從信息安全制度規(guī)范的實(shí)施到安全意識(shí)技能培訓(xùn),往往受制于企業(yè)內(nèi)部的阻力。通過(guò)監(jiān)理的形式促進(jìn)這些工作的開(kāi)展,除了可以有效的提高信息安全工作的質(zhì)量,同時(shí)還可以推進(jìn)整套工作的進(jìn)展。
一個(gè)容易被忽視的信息安全問(wèn)題是信息安全體系建設(shè)完成之后的管理,在一個(gè)信息安全系統(tǒng)建設(shè)完成之后并不代表著工作的結(jié)束,運(yùn)營(yíng)過(guò)程中的監(jiān)管是不容忽視的。一個(gè)應(yīng)用系統(tǒng)層面的變更帶來(lái)的往往是生產(chǎn)力的促進(jìn)和提高,而這種變更所帶來(lái)的安全層面的變更往往會(huì)對(duì)信息安全體系造成巨大的破壞。所以在信息安全體系建設(shè)之后的生命周期當(dāng)中,監(jiān)理機(jī)制仍能夠起到重要作用,保證信息安全工作的延續(xù)性。
對(duì)比篇:撥開(kāi)安全監(jiān)理與審計(jì)的迷霧
審計(jì)通常是指審計(jì)方在接受委托后,通過(guò)收集各種信息和證據(jù)從而對(duì)審計(jì)目標(biāo)是否達(dá)到了預(yù)先設(shè)定的目標(biāo)進(jìn)行判斷和指導(dǎo),延伸到信息安全領(lǐng)域就是通過(guò)對(duì)計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)進(jìn)行記錄和檢驗(yàn)從而了解系統(tǒng)是否達(dá)到了要求的安全指標(biāo)。而依照《信息系統(tǒng)工程監(jiān)理暫行辦法》,信息系統(tǒng)監(jiān)理是指依法設(shè)立且具備相應(yīng)資質(zhì)的監(jiān)理單位受托依據(jù)國(guó)家有關(guān)法規(guī)和標(biāo)準(zhǔn)對(duì)信息系統(tǒng)工程項(xiàng)目實(shí)施監(jiān)督及管理。從概念上分析,這兩種服務(wù)的目的都在于降低信息系統(tǒng)工程實(shí)施過(guò)程中的風(fēng)險(xiǎn),從基本出發(fā)點(diǎn)上是完全相同的。
走出概念的誤區(qū)
在實(shí)際的工作范疇以及作用等方面,監(jiān)理和審計(jì)并不完全相同。
就一個(gè)信息安全體系來(lái)說(shuō),本身就需要記錄充分的信息予以存檔留待需要時(shí)分析,這也是審計(jì)機(jī)制中最核心的鑒證功能。但是一個(gè)成熟的信息審計(jì)過(guò)程并不僅僅如此,更重要的是通過(guò)第三方的力量對(duì)目標(biāo)信息的真實(shí)性、完整性、可靠性進(jìn)行驗(yàn)證,從而為決策行為提供充分有效的證明。從不同的視角對(duì)一個(gè)安全系統(tǒng)進(jìn)行分析,可以更加真實(shí)的還原信息系統(tǒng)的安全現(xiàn)狀,同時(shí)可以利用審計(jì)機(jī)構(gòu)所具備的知識(shí)和經(jīng)驗(yàn),完善系統(tǒng)設(shè)計(jì),以提高實(shí)施成功率。
從這一點(diǎn)來(lái)看,信息安全審計(jì)服務(wù)與信息安全監(jiān)理服務(wù)的作用有一定的交叉性。而在此基礎(chǔ)之上,信息安全監(jiān)理還具有一些信息安全審計(jì)不具備的職能。首先信息安全監(jiān)理需要履行監(jiān)管的職責(zé),也即不僅僅象信息安全審計(jì)過(guò)程一樣要進(jìn)行咨詢、分析、建議,還要對(duì)整個(gè)安全體系的實(shí)施乃至運(yùn)行采取強(qiáng)于審計(jì)工作的控制,以第三方的力量穩(wěn)定項(xiàng)目發(fā)展的軌道。另外,信息安全監(jiān)理還需要在項(xiàng)目開(kāi)展過(guò)程中協(xié)調(diào)客戶與實(shí)施方等多方之間的關(guān)系,保證參與方確實(shí)的履行合同條款,去除隱藏的欺詐行為。也就是說(shuō)信息安全監(jiān)理更側(cè)重于項(xiàng)目成功的保障,而信息安全審計(jì)更側(cè)重于信息的可信性。
值得一提的是,在針對(duì)項(xiàng)目范疇的信息審計(jì)在關(guān)注信息可信的基礎(chǔ)上也包含了對(duì)信息系統(tǒng)有效性的審計(jì),集中體現(xiàn)于對(duì)項(xiàng)目完成后系統(tǒng)運(yùn)營(yíng)狀態(tài)的審計(jì),在對(duì)于這一生命周期的關(guān)注上信息安全審計(jì)要強(qiáng)于信息安全監(jiān)理。
正確實(shí)踐
在實(shí)際的信息安全項(xiàng)目當(dāng)中,信息安全監(jiān)理與信息安全審計(jì)也有很多區(qū)別,集中體現(xiàn)于工作主體上的差異。
對(duì)于監(jiān)理來(lái)說(shuō),必須由第三方完成相關(guān)工作,否則就失去了公正性和監(jiān)管力。而對(duì)于審計(jì)來(lái)說(shuō),除了聘用外部機(jī)構(gòu)對(duì)系統(tǒng)的安全性開(kāi)展審計(jì)工作之外,很多情況下審計(jì)工作也可以由組織內(nèi)部的信息安全團(tuán)隊(duì)完成。在通常情況下,基本的信息安全審計(jì)都是由內(nèi)部人員定期執(zhí)行并向管理層進(jìn)行反饋,利用外部力量進(jìn)行審計(jì)的情況相對(duì)較少,這也與國(guó)內(nèi)用戶對(duì)第三方審計(jì)的認(rèn)知不夠有關(guān)。
另外,審計(jì)和監(jiān)理服務(wù)所面向的服務(wù)對(duì)象也有一定的差異。信息審計(jì)所具有的公證性目標(biāo),在執(zhí)行信息安全審計(jì)時(shí)往往服務(wù)于類似管理層這樣發(fā)起審計(jì)要求的局部對(duì)象。而信息安全監(jiān)理則往往服務(wù)于用戶和實(shí)施方兩方,即使在特定情況下監(jiān)理機(jī)制作用于組織內(nèi)部的不同部門和層級(jí),也具有作用多個(gè)對(duì)象的特征。
總體來(lái)看,在作用方面信息安全監(jiān)理與信息安全審計(jì)處于相互融合、互相支撐的關(guān)系。在一個(gè)成功的信息安全項(xiàng)目當(dāng)中,兩者的作用都不容忽視,應(yīng)該根據(jù)具體需要進(jìn)行具體選擇,并開(kāi)展符合實(shí)際應(yīng)用環(huán)境的具體應(yīng)用。
實(shí)踐篇:安全規(guī)劃 重在督導(dǎo)
缺乏規(guī)劃性是很多信息安全項(xiàng)目失敗的主因,所以監(jiān)理機(jī)構(gòu)有責(zé)任向用戶提出實(shí)施規(guī)劃方面的建議。建議的方面有很多,而主要的原則面則基于成熟的信息安全項(xiàng)目操作經(jīng)驗(yàn)。
安全原則不容忽視
首先我們要在規(guī)劃制訂過(guò)程中樹(shù)立以人為本的意識(shí),對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行安全管理要充分結(jié)合對(duì)人的管理。授權(quán)最小化是安全管理的核心原則之一,保障權(quán)限授予的合理并減少冗余是任何安全體系成功的基礎(chǔ)。
另外,在安全規(guī)劃中不能忽視卻常常被忽視的一個(gè)問(wèn)題就是物理安全,協(xié)助用戶分析如何管理各種存儲(chǔ)介質(zhì),完善用戶所在建筑物的安全管理,都是在監(jiān)理工作過(guò)程中需要注意的問(wèn)題。
對(duì)于安全事件的響應(yīng)也是監(jiān)理應(yīng)該重點(diǎn)關(guān)心的方向,很多用戶的信息安全體系具有完善的保護(hù)計(jì)劃,但是在執(zhí)行保護(hù)工作的過(guò)程中卻常常因?yàn)槿狈∪捻憫?yīng)計(jì)劃而導(dǎo)致信息資產(chǎn)的損失。特別是對(duì)于那些服務(wù)范圍只涉及建設(shè)過(guò)程的監(jiān)理,如果在規(guī)劃階段忽視了運(yùn)營(yíng)過(guò)程中的響應(yīng)機(jī)制,就會(huì)給客戶遺留一個(gè)缺乏后續(xù)保障的安全體系。
除此以外,還有很多問(wèn)題值得關(guān)注,但相對(duì)來(lái)說(shuō)有更多的范例可以借鑒,同時(shí)也更加容易通過(guò)規(guī)范來(lái)保障。信息安全監(jiān)理應(yīng)該在全局掌握的基礎(chǔ)上,重點(diǎn)關(guān)注那些相對(duì)容易忽視、可變性較高、人員協(xié)調(diào)需要較強(qiáng)的范疇。
有效溝通是保障
規(guī)劃的建立只是開(kāi)始,在整個(gè)信息安全監(jiān)理工作過(guò)程中,應(yīng)該通過(guò)與用戶的充分溝通,形成一套切實(shí)可行的安全管理制度。一般常見(jiàn)的安全管理制度包括了權(quán)限管理、操作規(guī)章、定期檢測(cè)制度、信息分級(jí)、信息銷毀、介質(zhì)管理、響應(yīng)計(jì)劃、變更管理、員工培訓(xùn)等等。在形成制度的同時(shí),一個(gè)更加不容忽視的問(wèn)題在于制度的學(xué)習(xí)和實(shí)踐,這也是監(jiān)理機(jī)構(gòu)發(fā)揮督管作用的重要陣地。
在實(shí)際工作過(guò)程中,制度的推行往往在客戶方遇到一定的阻礙,而面對(duì)這種阻礙,往往會(huì)導(dǎo)致實(shí)施方降低項(xiàng)目的推進(jìn)力。在這種情況下,監(jiān)理方應(yīng)該及時(shí)、確實(shí)的把握雙方的思維動(dòng)向,緩沖雙方之間的矛盾,以便于達(dá)到項(xiàng)目協(xié)調(diào)的作用。
另外,監(jiān)理方還應(yīng)該對(duì)照雙方確認(rèn)完成的制度條款,通過(guò)檢驗(yàn)手段保證安全管理工作能夠順利實(shí)施。這樣既能夠保證用戶得到有效的安全保護(hù)系統(tǒng),同時(shí)也是對(duì)實(shí)施方的工作成果負(fù)責(zé),在此基礎(chǔ)上監(jiān)理方才能對(duì)雙方的利益開(kāi)展協(xié)調(diào)。在監(jiān)理工作當(dāng)中還有一個(gè)需要高度重視的問(wèn)題,那就是監(jiān)理方本身對(duì)于制度的遵守和執(zhí)行。
作為用戶與實(shí)施方的媒介,監(jiān)理方必須嚴(yán)格依照實(shí)現(xiàn)制訂的標(biāo)準(zhǔn)完成監(jiān)理工作,這是獲得信任的基礎(chǔ)。同時(shí)監(jiān)理方也應(yīng)該盡力遵守用戶和實(shí)施方之間的協(xié)議以及制訂出的制度(例如進(jìn)場(chǎng)制度),只有得到兩方的尊重,才能順利保證監(jiān)理工作的開(kāi)展。
教育在信息安全體系中的重要性已無(wú)需多言。信息安全所包含的知識(shí)跨越了很多領(lǐng)域,既有計(jì)算機(jī)技術(shù),又覆蓋了安防意識(shí)的范疇,而且還包含了諸如物理安全、社交工程學(xué)等很多與計(jì)算機(jī)科學(xué)沒(méi)有直接聯(lián)系的內(nèi)容。
篇(3)
三亞鳳凰國(guó)際機(jī)場(chǎng)航班流量隨著三亞知名度的擴(kuò)大而不斷增加。xx年更是達(dá)到了創(chuàng)紀(jì)錄的年旅客吞吐量1000萬(wàn)人次,本場(chǎng)航班量不斷突破歷史新高。面對(duì)航班量大,全國(guó)天氣條件復(fù)雜,航行通告量大增,該同志每天接班后,及時(shí)了解本場(chǎng)的飛行計(jì)劃和飛行動(dòng)態(tài),針對(duì)外航臨時(shí)包機(jī),公務(wù)機(jī)飛行,提前準(zhǔn)備,按照站調(diào)崗位提供的 fpl電報(bào),制作提供pib。
安全審計(jì)工作是今年各項(xiàng)工作的重中之重,它直接關(guān)系到空管站全年安全責(zé)任目標(biāo)的落實(shí)。在安全審計(jì)準(zhǔn)備階段,該同志一心撲在工作上,犧牲了很多休息時(shí)間,做了大量的資料分類歸檔工作,協(xié)助飛服室領(lǐng)導(dǎo)健全了航行情報(bào)崗位各項(xiàng)規(guī)章制度,使得飛服室航行情報(bào)崗位以優(yōu)異成績(jī)順利通過(guò)安全審計(jì)。
今年以來(lái),由于航班量大增,需要上機(jī)延伸服務(wù)的航班量也大增,所需要的pib同時(shí)大量增加。該同志認(rèn)真做好cnms系統(tǒng)的報(bào)文檢查,及時(shí)修改報(bào)文,作到所提供的航行資料及時(shí)、準(zhǔn)確、完整。
在專機(jī)和重要飛行保障工作中,該同志能夠認(rèn)真完成專機(jī)和重要飛行的保障工作。收到每一項(xiàng)重要飛行計(jì)劃,該同志都能及時(shí)了解飛行動(dòng)態(tài),根據(jù)飛行計(jì)劃提前制作pib航線數(shù)據(jù),為專機(jī)和重要飛行任務(wù)提供了航行情報(bào)保障。
除了完成航行通告處理工作外,還及時(shí)給塔臺(tái)、站調(diào)提供三XX情報(bào)區(qū)內(nèi)的數(shù)據(jù)資料(包括一級(jí)航行通告,三亞航線光盤數(shù)據(jù),明語(yǔ)摘要,三亞飛行程序換頁(yè)資料等)。當(dāng)遇到特殊航行通告時(shí)(如機(jī)場(chǎng)關(guān)閉、跑道關(guān)閉、禁航等通告),該同志在信息通報(bào)工作方面,及時(shí)、準(zhǔn)確地向塔臺(tái)、站調(diào)等部門提供 重要信息的航行通告。
在做好本職工作的前提下,積極配合飛行報(bào)告席位的工作。做到互相提醒,互相彌補(bǔ)。航行情報(bào)工作對(duì)航行資料的準(zhǔn)確性、及時(shí)性和完整性要求極高,該同志在每次收到總局下發(fā)的換頁(yè)資料時(shí),都能在第一時(shí)間及時(shí)修訂航行資料,保證了航行資料的準(zhǔn)確、完整。
這兩年新進(jìn)同志較多,該同志在和新同志一起工作時(shí),能夠做好傳幫帶,把自己多年的工作經(jīng)驗(yàn)與新同志進(jìn)行分享,幫助新同志較快地勝任了航行情報(bào)崗位工作。節(jié)假日,航班量增多,工作量也隨之增大。為了保障節(jié)假日的飛行安全,該同志把渴望與家人團(tuán)聚的念頭深深地埋在心底,從未在這時(shí)候提出休假,都能以工作為重。
篇(4)
研究院的安全服務(wù)主要包含四大獨(dú)立服務(wù):安全服務(wù)、監(jiān)測(cè)服務(wù)、睿眼通和信息安全應(yīng)急響應(yīng)指揮平臺(tái)。服務(wù)內(nèi)容主要包括以下幾個(gè)方面:
首先是安全咨詢。以“業(yè)務(wù)需求管理”為核心出發(fā)點(diǎn),依托ISO27001、ISO17799等國(guó)際信息安全標(biāo)準(zhǔn)和法規(guī)及行業(yè)規(guī)范,融合自上而下的指導(dǎo)方針、管理策略、業(yè)務(wù)流程運(yùn)行規(guī)則、系統(tǒng)操作指南,建立信息安全管理體系。
其次是安全培訓(xùn)。安全培訓(xùn)旨在提高客戶的信息安全意識(shí)和技能,為最大程度上提高客戶的整體安全防衛(wèi)意識(shí)和安全防衛(wèi)技能,真正把信息安全管理體系落到實(shí)處,提供強(qiáng)力有效的技術(shù)支撐保障。
再次是安全評(píng)估。對(duì)信息資產(chǎn)所面臨的威脅、存在的弱點(diǎn)、造成的影響,以及三者綜合作用所帶來(lái)風(fēng)險(xiǎn)的可能性評(píng)估,為客戶信息安全管理體系策劃提供基礎(chǔ)。
最后是安全加固。結(jié)合等級(jí)保護(hù)國(guó)家政策及行業(yè)規(guī)范,通過(guò)現(xiàn)場(chǎng)調(diào)研,合理使用安全加固工具等為客戶提供安全加固服務(wù),主要提供主機(jī)加固、系統(tǒng)加固、數(shù)據(jù)庫(kù)加固、應(yīng)用服務(wù)器加固、應(yīng)用加固等服務(wù),安全補(bǔ)丁、安全策略調(diào)優(yōu)、配置優(yōu)化等服務(wù)。
七大監(jiān)測(cè)服務(wù)主要包括下幾個(gè)方面:
第一,“睿眼”外網(wǎng)安全監(jiān)測(cè)預(yù)警服務(wù)平臺(tái)是一套軟硬件一體化監(jiān)測(cè)平臺(tái),以大數(shù)據(jù)技術(shù)為依托,集成了Web漏洞掃描檢測(cè)技術(shù)、采用遠(yuǎn)程監(jiān)測(cè)對(duì)外網(wǎng)網(wǎng)站提供7×24小時(shí)實(shí)時(shí)安全監(jiān)測(cè)服務(wù)。通過(guò)對(duì)網(wǎng)站的不間斷監(jiān)測(cè)服務(wù)及時(shí)發(fā)現(xiàn)威脅,從而提升網(wǎng)站的安全防護(hù)能力和網(wǎng)站服務(wù)質(zhì)量,并通過(guò)安全監(jiān)測(cè)平臺(tái)的事件跟蹤功能建立起一種長(zhǎng)效的安全保障機(jī)制。
第二,“睿眼”移動(dòng)安全監(jiān)測(cè)預(yù)警服務(wù)平臺(tái),為政府和企事業(yè)單位搭建一個(gè)應(yīng)用App統(tǒng)一存放、統(tǒng)一管理、統(tǒng)一安全監(jiān)測(cè)的AppStroe平臺(tái),通過(guò)此平臺(tái)進(jìn)一步提升用戶辦事體驗(yàn),同時(shí)方便國(guó)家、省部級(jí)對(duì)下級(jí)單位進(jìn)行移動(dòng)App管理和統(tǒng)計(jì)。
第三,“睿眼”內(nèi)網(wǎng)安全監(jiān)測(cè)預(yù)警服務(wù)平臺(tái),基于對(duì)內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行的考慮,平臺(tái)提供對(duì)內(nèi)網(wǎng)的實(shí)時(shí)安全監(jiān)測(cè)、分析和預(yù)警功能。
睿眼通
睿眼通是七大監(jiān)測(cè)預(yù)警服務(wù)平臺(tái)提供給客戶的一款智能移動(dòng)終端,基于客戶對(duì)信息安全情況的即時(shí)需求,以七大監(jiān)測(cè)預(yù)警服務(wù)平臺(tái)監(jiān)測(cè)結(jié)果為主線,可以成為客戶處理信息安全問(wèn)題、了解安全狀態(tài)趨勢(shì)、掌握最新安全資訊的貼心助手,隨時(shí)隨地了解網(wǎng)站及信息系統(tǒng)等的整體運(yùn)行情況。
信息安全應(yīng)急響應(yīng)指揮平臺(tái)
應(yīng)急響應(yīng)指揮平臺(tái)通過(guò)各大監(jiān)測(cè)預(yù)警服務(wù)平臺(tái)實(shí)時(shí)監(jiān)測(cè)結(jié)果,對(duì)告警的安全故障或安全威脅,以最短的時(shí)間進(jìn)行故障排查定位和應(yīng)急處理。
安全產(chǎn)品
公司安全產(chǎn)品包括堡壘主機(jī)系統(tǒng)、系統(tǒng)安全加固、審計(jì)系統(tǒng)和信息共享管理系統(tǒng)。
(1)堡壘主機(jī)系統(tǒng)。堡壘主機(jī)是一種被加固的可以防御進(jìn)攻的計(jì)算機(jī),具備堅(jiān)強(qiáng)的安全防護(hù)能力。堡壘主機(jī)系統(tǒng)軟件扮演著看門者的職責(zé),所有對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器的請(qǐng)求都要從這扇大門經(jīng)過(guò)。
(2)系統(tǒng)安全加固。系統(tǒng)安全加固V1.0產(chǎn)品是軟硬件相結(jié)合的產(chǎn)品,通過(guò)硬件USB-KEY,提高了服務(wù)器系統(tǒng)的安全性,克服單純使用軟件防護(hù)的局限性;軟件部分包括服務(wù)器操作系統(tǒng)安全增強(qiáng)軟件、服務(wù)器安全,以及統(tǒng)一安全管理平臺(tái)軟件。
(3)審計(jì)系統(tǒng)
①日志審計(jì)系統(tǒng)。日志審計(jì)系統(tǒng)一方面可以集中收集、長(zhǎng)時(shí)間存放所有的記錄日志,避免日志遭到惡意篡改或刪除而在安全事件發(fā)生時(shí)無(wú)據(jù)可查的狀況發(fā)生,另一方面日志審計(jì)系統(tǒng)強(qiáng)大的日志審計(jì)功能可以為組織審計(jì)人員提供日志實(shí)時(shí)監(jiān)控、高效檢索、審計(jì)報(bào)表等日志審計(jì)手段,從而使原本不可能完成的海量日志審計(jì)工作可以在短時(shí)間內(nèi)輕松完成,大大減少信息部門的工作量。
②網(wǎng)絡(luò)安全審計(jì)系統(tǒng)。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)主要通過(guò)旁路監(jiān)視并記錄對(duì)數(shù)據(jù)庫(kù)服務(wù)器的各類操作行為,通過(guò)對(duì)各類網(wǎng)絡(luò)行為的分析,實(shí)時(shí)地、智能地監(jiān)控審計(jì),并將審計(jì)數(shù)據(jù)存儲(chǔ),以便日后進(jìn)行查詢、分析,實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)環(huán)境內(nèi)的操作訪問(wèn)行為的監(jiān)控和審計(jì)。
篇(5)
在武漢洪山監(jiān)獄服刑的蘭世立自從今年2月以來(lái),就沒(méi)見(jiàn)過(guò)他的親人和律師。
四年前,被稱為“中國(guó)民營(yíng)航空第一人”的蘭世立,曾和王石、馮侖一起到武漢洪山監(jiān)獄看望同時(shí)背負(fù)“首富”和“首騙”名號(hào)的牟其中。他當(dāng)時(shí)肯定想不到,三年后他也會(huì)監(jiān)居于此。
2009年3月14日,民航中南局用明傳電報(bào)的方式,要求東星航空公司停飛;在多次申請(qǐng)行政復(fù)議無(wú)果之后,東星航空的實(shí)際控制人東星集團(tuán)在今年2月8日向廣州市白云區(qū)人民法院提起行政訴訟,請(qǐng)求判令民航中南局的行政處罰決定無(wú)效。2月24日,廣州市白云區(qū)法院正式受理此案,5月9日開(kāi)庭審理。
這是中國(guó)民航史上首個(gè)民告官案例,本刊曾在3月25日以《蘭世立:首富的絕筆》為題報(bào)道。
為何延期舉證?
在東星集團(tuán)總裁助理、蘭世立的侄女蘭劍敏眼里,事情早該有個(gè)了斷。
5月9日是第一天庭審。這場(chǎng)主角缺席的庭審進(jìn)行了將近四個(gè)小時(shí),雙方各有一名代表和一名律師出席庭審。
法庭審判員表示,此案爭(zhēng)議的主要問(wèn)題有六個(gè):一是東星集團(tuán)作為東星航空股東是否具備行政訴訟主體資格,二是時(shí)間是否在法定訴訟時(shí)效內(nèi),三是民航中南局作出的停飛決定屬于行政強(qiáng)制措施還是行政處罰,四是停飛的事實(shí)依據(jù)是否充分,五是這一行政行為的法律依據(jù)何在,六是執(zhí)行停飛決定的程序是否合理合法。
民航中南局代表認(rèn)為,東星航空公司已經(jīng)破產(chǎn)清算,東星集團(tuán)沒(méi)有行政主體資格。對(duì)此,蘭劍敏向《中國(guó)經(jīng)濟(jì)和信息化》記者表示,東星集團(tuán)是東星航空的全盤出資人,作為東星航空公司的股東和直接利害關(guān)系人,它在法律上均可以作為東星航空的行政主體對(duì)被告進(jìn)行行政訴訟。
2009年8月26日,湖北省武漢市中級(jí)人民法院裁定東星航空有限公司破產(chǎn)清算,東星航空由此成為中國(guó)航空業(yè)界首個(gè)破產(chǎn)企業(yè)。但是,直到當(dāng)年年底破產(chǎn)清算才正式結(jié)束。這也是東星集團(tuán)兩年后才提訟的原因。按照法律規(guī)定,直到這時(shí),東星航空的股東才能落實(shí)主體資格,取代破產(chǎn)管理人來(lái)代表東星航空。
然而,這個(gè)案子的開(kāi)庭審理還是比預(yù)期晚了兩個(gè)月。這是因?yàn)槊窈街心暇帧吧暾?qǐng)延期兩個(gè)月舉證”。這是庭審的另外一個(gè)焦點(diǎn)。法庭上,東星集團(tuán)看到民航中南局要求逾期舉證的申請(qǐng)。民航中南局逾期舉證的理由是:分級(jí)管理路程較遠(yuǎn)導(dǎo)致收集證據(jù)困難。
“行政訴訟法第一條第一款,被告不提供或者無(wú)正當(dāng)理由逾期提供證據(jù)的,視為被訴具體行政行為沒(méi)有相應(yīng)的證據(jù)。”非法律專業(yè)出身的蘭劍敏,因?yàn)榇蜻@場(chǎng)官司,對(duì)法律條文出口成章。她理解不了,這次是在民航中南局注冊(cè)地,何以還會(huì)有“路程較遠(yuǎn)”的問(wèn)題。
她還提到,行政處罰法要求處罰之前就應(yīng)有相應(yīng)證據(jù),民航中南局作為行政單位作出行政處罰決定應(yīng)當(dāng)是依照法律程序查明事實(shí),搜集了足夠的證據(jù)之后才對(duì)被處罰機(jī)構(gòu)進(jìn)行行政處罰,不應(yīng)該出現(xiàn)需要延期舉證的情況。
針對(duì)民航中南局所下的停飛決定是否有充分的法律依據(jù)和事實(shí)依據(jù),民航中南局方面表示,要求東星航空停飛的決定屬于行政強(qiáng)制措施,其法律依據(jù)是安全生產(chǎn)法的相關(guān)規(guī)定。此外,民航中南局在勒令東星航空停飛前的一段時(shí)間內(nèi),就已經(jīng)確認(rèn)東星航空存在不少安全隱患問(wèn)題,如超時(shí)飛行、身體有缺陷的飛行員駕機(jī)飛行等。再加上公司因經(jīng)營(yíng)不善而瀕臨破產(chǎn)邊緣,所以民航中南局才會(huì)下這個(gè)停飛決定。
民航中南局人認(rèn)為,在作出暫停飛行的決定之前,東星航空已嚴(yán)重資不抵債,瀕臨破產(chǎn)。公司董事全部缺位,員工思想極不穩(wěn)定,安全投入無(wú)法保證。東星航空2009年初發(fā)生了包括員工摔傷在內(nèi)的多起事故,東星航空在適航飛行、飛行員穩(wěn)定、對(duì)人員培訓(xùn)投入、公司管理流程方面存在諸多問(wèn)題。根據(jù)《安全生產(chǎn)法》第56條規(guī)定,民航主管部門在緊急情況下可以采取行政強(qiáng)制措施。當(dāng)時(shí)東星航空的亂象已經(jīng)危及到飛行安全,必須馬上停飛。
對(duì)于民航中南局提到的東星航空員工思想不穩(wěn)定的情況,蘭劍敏解釋了其中的原因:2009年3月7日,武漢市交委下了一個(gè)文件,要求飛行員簽訂降薪協(xié)議,薪水降到國(guó)航的普通薪金標(biāo)準(zhǔn)。員工便產(chǎn)生思想波動(dòng)。當(dāng)時(shí)武漢市交委曾經(jīng)讓蘭世立來(lái)做飛行員的工作。蘭劍敏還指出,民航中南局發(fā)出停飛行政行為的時(shí)候,并未對(duì)東星航空的任何工作作業(yè)進(jìn)行檢查。
對(duì)于民航中南局所下停飛決定的程序問(wèn)題,東興集團(tuán)律師嚴(yán)義明認(rèn)為,其操作程序值得商榷,畢竟停飛事關(guān)重大,民航中南局應(yīng)派人直接找到東星航空相關(guān)責(zé)任人進(jìn)行交辦,而不應(yīng)該使用明傳電報(bào)。
武漢的沉默
2009年3月14日,星期六,武漢結(jié)束了持續(xù)多日的陰雨,天氣轉(zhuǎn)晴,溫度適宜。政府部門一般在周末都不上班。但就在這一天,東星航空與民航中南局的矛盾集中爆發(fā)。
當(dāng)天,武漢市政府辦公廳給民航中南局發(fā)出一封《關(guān)于停飛東星航空公司航班的函》;民航中南局稱,應(yīng)武漢市人民政府請(qǐng)求,暫停東星航空公司航線航班經(jīng)營(yíng)許可;武漢市地稅局稽查局出具稅務(wù)稽查報(bào)告,認(rèn)定東星航空涉嫌隱匿資金、逃避追繳欠稅款共計(jì)5000余萬(wàn)元;武漢市公安局經(jīng)偵處于當(dāng)天立案?jìng)刹椋趶V東珠海將準(zhǔn)備出關(guān)的蘭世立抓獲。
第二天,周日。武漢市交委和中航集團(tuán)接管了東星航空有限公司。東星走入破產(chǎn)重組程序。
自從蘭世立入獄以來(lái),蘭劍敏一直在想方設(shè)法讓他擺脫囹圄。她每次探監(jiān)聊起公司的事情就會(huì)很生氣,這個(gè)時(shí)候,以個(gè)性剛烈知名的蘭世立卻反過(guò)來(lái)勸她:“做大事的人是沒(méi)時(shí)間生氣的,你有更多的事情要做。”
蘭劍敏告訴本刊記者,自東星集團(tuán)對(duì)民航中南局提訟后,湖北省洪山監(jiān)獄就不再允許蘭世立的親人和律師去探望蘭世立。今年1月24日,她最后一次見(jiàn)到蘭世立時(shí),他的狀況很不好,人變得又黑又瘦。
自從東星航空被停飛,輿論就十分關(guān)注此事。很多人認(rèn)為,從某種角度講,東星航空“死得有些冤”。
“和國(guó)有航空公司這個(gè)嫡長(zhǎng)子相比,東星航空等民營(yíng)航空企業(yè)真是姥姥不疼、舅舅不愛(ài)。”一位業(yè)內(nèi)專家在接受本刊記者采訪時(shí)如是說(shuō)。民營(yíng)航空在我們國(guó)家發(fā)展過(guò)程中,政策和政府支持的力度很小,比如在資源分配上就極不平衡。
“僅是申請(qǐng)航線,東星航空遭遇的困難就不是你能想象到的。”蘭劍敏說(shuō),包括航時(shí),這些東西都不是輕易能夠拿得到的。實(shí)際上除了飛行員以外,民營(yíng)航空公司根本就不能公平地去跟國(guó)營(yíng)航空公司競(jìng)爭(zhēng)。為了拿到航線,東星航空的高管曾經(jīng)天天住在審批部門附近,求爺爺告奶奶,去爭(zhēng)取國(guó)營(yíng)民航企業(yè)輕而易舉就能到手的東西。
至于東星航空被停飛,還有一個(gè)特殊背景,2008年下半年,金融危機(jī)蔓延全球,東星航空陷入了困境。蘭劍敏告訴本刊記者,2009年2月11日,由武漢市政府牽頭,財(cái)政局、稅務(wù)局、國(guó)土局等多個(gè)部門組成一個(gè)工作組,商量如何促進(jìn)中航集團(tuán)對(duì)東星航空的收購(gòu)。各部門什么時(shí)間干完什么工作幾乎都以軍令狀的形式下達(dá)。
但在2009年3月13日,東星航空發(fā)表聲明,拒絕被中航集團(tuán)收購(gòu)。有分析人士指出,此舉顯然觸怒了中航集團(tuán)和武漢市政府。
針對(duì)這個(gè)問(wèn)題,當(dāng)記者致電相關(guān)部門時(shí),武漢市市長(zhǎng)秘書(shū)袁善臘手機(jī)關(guān)機(jī),交委新聞發(fā)言人覃詩(shī)章的手機(jī)直接進(jìn)入手機(jī)秘書(shū)服務(wù)臺(tái),交委主任彭俊的手機(jī)通了但一直無(wú)人接聽(tīng),市交委副主任鄧萬(wàn)想兩部手機(jī)皆暢通但無(wú)人接聽(tīng)。武漢市交委辦公室一位不愿透露姓名的工作人員告訴《中國(guó)經(jīng)濟(jì)和信息化》記者:“你別找彭主任了,現(xiàn)在這個(gè)事情統(tǒng)一由市宣傳部管,彭主任不會(huì)接受采訪的。”截至發(fā)稿時(shí),記者給交委主任等人發(fā)去的短信仍無(wú)回復(fù)。
據(jù)蘭劍敏透露,民航中南局曾申請(qǐng)不公開(kāi)審理,法院沒(méi)有批準(zhǔn)。蘭劍敏對(duì)庭審結(jié)果很樂(lè)觀。她告訴記者,目前一審暫停,如果雙方?jīng)]有最新的證據(jù)或者突破性的證據(jù)提供,一般不會(huì)有二審。雖然法院尚未宣判,具體結(jié)果仍未可知,但若根據(jù)庭審表現(xiàn)判定,東星集團(tuán)勝訴的把握比較大,正常情況下會(huì)在五月底前有結(jié)果。嚴(yán)義明也表示,東星集團(tuán)有信心獲勝。
但是,中國(guó)政法大學(xué)刑事訴訟法教授洪道德告訴《中國(guó)經(jīng)濟(jì)和信息化》記者,這類行政訴訟的勝率很小。這倒不是說(shuō)明民告官一定告不贏,而是民航中南局應(yīng)該能夠承擔(dān)得了證明責(zé)任。也有業(yè)內(nèi)人士表示,民航管理局以安全問(wèn)題停飛一家航空公司完全說(shuō)得過(guò)去,當(dāng)時(shí)東星航空資金短缺必然會(huì)影響到飛行航材、飛行人員等方面,這些都和安全息息相關(guān)。因此,這次東星航空勝訴的可能性不大。
究竟是否安全?
5月9日的庭審過(guò)程中,民航中南局為證明當(dāng)時(shí)其作出停飛決定的依據(jù)是東星航空存在安全隱患問(wèn)題,將所有東星航空成立以來(lái)的違規(guī)案例向法庭出示。對(duì)此,蘭劍敏向本刊記者說(shuō),東星航空自2008年12月12日獲得民航局的安全審計(jì)報(bào)告,拿到了94.6%的得分。“是民航局自己做的安全審計(jì)報(bào)告,讓我們每個(gè)航空公司去參加,同意我們飛了我們才飛的。現(xiàn)在又說(shuō)這不代表安全,可笑不可笑?”
東星集團(tuán)認(rèn)為,安全審計(jì)之前的安全隱患不至于停飛。而且,從民航中南局提交的每日安全審計(jì)報(bào)告可以看出,安全審計(jì)后到民航中南局下停飛決定之日,沒(méi)有一起安全審計(jì)是足以構(gòu)成停飛決定的。因此,民航中南局的停飛決定是毫無(wú)依據(jù)的行政行為。
“被告方提出了一個(gè)非常語(yǔ)出驚人的觀點(diǎn):安全審計(jì)報(bào)告的94.6%不能說(shuō)明飛行安全問(wèn)題,并舉例說(shuō),川航當(dāng)年的得分超過(guò)97%,而在審計(jì)報(bào)告出來(lái)的第三天就出了一起安全事故。那么到底什么條件可以說(shuō)明航空公司無(wú)安全問(wèn)題?”東星集團(tuán)提出的這個(gè)問(wèn)題,也在拷問(wèn)民航監(jiān)管部門:安全的標(biāo)準(zhǔn)是什么?航空局安全審核的參考價(jià)值有多大?這些問(wèn)題都伴隨中國(guó)航空史上首例民告官事件一起出現(xiàn)。
法庭上,主審法官多次問(wèn)民航中南局律師:“除了安全生產(chǎn)法以外,相關(guān)法律法規(guī)有沒(méi)有規(guī)定,民航主管部門可以在哪些情況下做出停飛決定?”、“民航方面的法律法規(guī)有沒(méi)有規(guī)定哪些情況下做出停飛決定?”民航中南局代表三次表示“沒(méi)有非常明確的法律條文”。他還表示:“至于到底怎么認(rèn)定該不該停飛?這是個(gè)世界性難題,我們發(fā)展中國(guó)家的法律不可能規(guī)定到這么細(xì)。”
上海泛洋律師事務(wù)所高級(jí)合伙人劉春泉律師在接受《中國(guó)經(jīng)濟(jì)和信息化》記者采訪時(shí)表示,民航中南局拿出的理由是安全,這是無(wú)法反駁的理由。但這里面有個(gè)問(wèn)題,就是安全的標(biāo)準(zhǔn)認(rèn)定問(wèn)題,東航、南航、國(guó)航就不存在這些問(wèn)題嗎?如果他們也存在這些問(wèn)題,民航局也會(huì)讓他們停飛嗎?
此外,監(jiān)管部門的工作程序也值得商榷。
北京市藍(lán)鵬律師事務(wù)所主任律師張起淮曾表示,民航中南局的做法沒(méi)有按照政府職能部門依法行政的規(guī)定實(shí)施,其中可能還摻雜了一些個(gè)人的恩怨,在程序上存在著諸多的漏洞和問(wèn)題。不管民航中南局的停飛決定是否有充分依據(jù),都應(yīng)該依法行政,否則民營(yíng)航空企業(yè)的頭上將永遠(yuǎn)懸著一把劍。
劉春泉律師稱,民航史上的首例民告官不是壞事,會(huì)使民航系統(tǒng)優(yōu)化,民航系統(tǒng)應(yīng)積極配合,而不是抵觸。即便敗訴,也是申張法制的表現(xiàn)。
篇(6)
【關(guān)鍵詞】 社保基金; 聯(lián)網(wǎng)審計(jì); 應(yīng)用困境; 實(shí)踐對(duì)策
一、研究現(xiàn)狀述評(píng)
實(shí)施社保基金聯(lián)網(wǎng)審計(jì),是社保基金審計(jì)方式的創(chuàng)新,更是信息化時(shí)代對(duì)社保基金實(shí)現(xiàn)動(dòng)態(tài)監(jiān)督管理的客觀要求。基于信息化環(huán)境下,對(duì)社保基金聯(lián)網(wǎng)審計(jì)的研究述評(píng)大致可歸納為以下三個(gè)方面:
(一)關(guān)于社保基金計(jì)算機(jī)聯(lián)網(wǎng)審計(jì)的研究
我國(guó)開(kāi)展計(jì)算機(jī)聯(lián)網(wǎng)審計(jì)比較晚,尤其是對(duì)社會(huì)保障基金聯(lián)網(wǎng)審計(jì)的研究,目前仍然處于試點(diǎn)探索階段。2001年3月審計(jì)署在信息化建設(shè)總體目標(biāo)和構(gòu)想中提出了審計(jì)系統(tǒng)信息化建設(shè)的總體目標(biāo)是用五年左右時(shí)間,建成對(duì)財(cái)政、稅務(wù)、海關(guān)等部門和國(guó)有企事業(yè)單位的財(cái)務(wù)信息系統(tǒng)、電子數(shù)據(jù)系統(tǒng)實(shí)施有效監(jiān)督的聯(lián)網(wǎng)審計(jì)信息化系統(tǒng),改變目前審計(jì)手工作業(yè)的現(xiàn)狀。2004年國(guó)家審計(jì)署以“金審工程”建設(shè)為背景,在計(jì)算機(jī)審計(jì)實(shí)踐和相關(guān)軟件技術(shù)研究的基礎(chǔ)上設(shè)立的“聯(lián)網(wǎng)審計(jì)技術(shù)研究與應(yīng)用”項(xiàng)目通過(guò)了中科院組織的可行性技術(shù)專家論證,標(biāo)志著我國(guó)聯(lián)網(wǎng)審計(jì)研究工作的正式啟動(dòng),進(jìn)入了科研攻關(guān)階段。張平(2006)依據(jù)現(xiàn)代軟件新技術(shù)理論,深入研究了聯(lián)網(wǎng)模式下的計(jì)算機(jī)輔助審計(jì),從社保聯(lián)網(wǎng)審計(jì)(SNA)系統(tǒng)需求分析出發(fā),完成了聯(lián)網(wǎng)審計(jì)系統(tǒng)的總體設(shè)計(jì),并研究認(rèn)為SNA系統(tǒng)的目標(biāo)是將手工審計(jì)與計(jì)算機(jī)審計(jì)相結(jié)合,在聯(lián)網(wǎng)模式下進(jìn)行審計(jì)。由勝勇(2007)對(duì)數(shù)據(jù)約簡(jiǎn)及其在社保聯(lián)網(wǎng)審計(jì)中的應(yīng)用進(jìn)行了研究,使用Java等工具開(kāi)發(fā)了一個(gè)基于數(shù)據(jù)庫(kù)系統(tǒng)的數(shù)據(jù)約簡(jiǎn)工具D.B.Reduced,并將該工具應(yīng)用于社保聯(lián)網(wǎng)審計(jì)中,對(duì)社保業(yè)務(wù)數(shù)據(jù)進(jìn)行約簡(jiǎn),預(yù)期效果較好。寶曉娜(2009)重點(diǎn)研究了基于CGSP的社保審計(jì)網(wǎng)格及門戶技術(shù),對(duì)社保審計(jì)網(wǎng)格的虛擬數(shù)據(jù)庫(kù)和網(wǎng)格文件系統(tǒng)展開(kāi)了深入研究,并指出社保審計(jì)網(wǎng)格門戶繼承了Grid sphere框架提供的核心Port let基本功能。
(二)關(guān)于社保基金計(jì)算機(jī)聯(lián)網(wǎng)審計(jì)技術(shù)的研究
計(jì)算機(jī)審計(jì)技術(shù)是開(kāi)展聯(lián)網(wǎng)審計(jì)的重要保證。2005年初,山東青島市審計(jì)局對(duì)社保計(jì)算機(jī)審計(jì)的技術(shù)方法進(jìn)行了探討,編寫了《社會(huì)保障計(jì)算機(jī)審計(jì)實(shí)務(wù)》一書(shū),系統(tǒng)闡述了信息化環(huán)境下養(yǎng)老保險(xiǎn)等各項(xiàng)社保基金審計(jì)技術(shù)。浙江省審計(jì)廳聯(lián)合浙江大學(xué)計(jì)算機(jī)系進(jìn)行過(guò)計(jì)算機(jī)技術(shù)在社保審計(jì)中的應(yīng)用研究,初步實(shí)現(xiàn)了對(duì)養(yǎng)老保險(xiǎn)業(yè)務(wù)的聯(lián)網(wǎng)監(jiān)督。為解決計(jì)算機(jī)審計(jì)技術(shù)要求高的難題,青島市審計(jì)局運(yùn)用PB9.0+SQL SERVER2000技術(shù),自主開(kāi)發(fā)了對(duì)養(yǎng)老、醫(yī)療等五項(xiàng)社保基金征繳環(huán)節(jié)的計(jì)算機(jī)審計(jì)技術(shù)。李媛媛(2007)在現(xiàn)有安全審計(jì)系統(tǒng)的基礎(chǔ)上,結(jié)合廣州市財(cái)政系統(tǒng)功能和業(yè)務(wù)特點(diǎn),提出了一種新型的計(jì)算機(jī)安全審計(jì)系統(tǒng)—財(cái)政安全審計(jì)系統(tǒng)(Finance Security Audit System,簡(jiǎn)稱FSAS),并根據(jù)財(cái)政業(yè)務(wù)系統(tǒng)面臨的問(wèn)題,提出了FSAS系統(tǒng)的應(yīng)用、體系結(jié)構(gòu)設(shè)計(jì)和關(guān)鍵審計(jì)模塊的審計(jì)技術(shù)。陳偉(2008)認(rèn)為,計(jì)算機(jī)審計(jì)技術(shù)是為了滿足信息化環(huán)境下審計(jì)的需要,以計(jì)算機(jī)為基礎(chǔ)對(duì)信息系統(tǒng)數(shù)據(jù)進(jìn)行審計(jì)的技術(shù),聯(lián)網(wǎng)審計(jì)技術(shù)主要由數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)分析這四部分組成。謝岳山(2009)對(duì)聯(lián)網(wǎng)環(huán)境下的電子簽章、網(wǎng)絡(luò)數(shù)據(jù)庫(kù)和電子商務(wù)軟件系統(tǒng)三大類關(guān)鍵要素的審計(jì)技術(shù)展開(kāi)了探討,認(rèn)為聯(lián)網(wǎng)環(huán)境下信息系統(tǒng)的審計(jì)需要多種計(jì)算機(jī)審計(jì)技術(shù)支持。李春洋(2011)研究發(fā)現(xiàn),計(jì)算機(jī)審計(jì)技術(shù)在信息化環(huán)境下存在審計(jì)業(yè)務(wù)能力與信息化發(fā)展水平不均衡、審計(jì)機(jī)關(guān)信息化程度與被審計(jì)對(duì)象不對(duì)稱、計(jì)算機(jī)審計(jì)系統(tǒng)操作性不強(qiáng)等問(wèn)題,并提出了加強(qiáng)理論研究、推進(jìn)審計(jì)軟件開(kāi)發(fā)、加快數(shù)據(jù)庫(kù)建設(shè),完善聯(lián)網(wǎng)審計(jì)體系等推進(jìn)審計(jì)技術(shù)發(fā)展的建議。
(三)關(guān)于社保基金計(jì)算機(jī)聯(lián)網(wǎng)審計(jì)軟件的研究
目前我國(guó)有部分審計(jì)機(jī)關(guān)對(duì)社保基金計(jì)算機(jī)聯(lián)網(wǎng)審計(jì)軟件開(kāi)展了相關(guān)研究,如江蘇南通市成功開(kāi)發(fā)部署AO系統(tǒng),將審計(jì)經(jīng)驗(yàn)和計(jì)算機(jī)語(yǔ)言有機(jī)結(jié)合,極大提高了審計(jì)效率;山東青島市審計(jì)局在社保基金審計(jì)中探索運(yùn)用計(jì)算機(jī)輔助審計(jì),開(kāi)發(fā)了養(yǎng)老、醫(yī)療等五項(xiàng)社保基金征繳計(jì)算機(jī)審計(jì)軟件系統(tǒng),成為山東省審計(jì)機(jī)關(guān)自主開(kāi)發(fā)成功的首個(gè)社保基金計(jì)算機(jī)審計(jì)軟件系統(tǒng);黑龍江省審計(jì)廳進(jìn)行了養(yǎng)老保險(xiǎn)聯(lián)網(wǎng)審計(jì)軟件研發(fā),系統(tǒng)順利上線并通過(guò)審計(jì)署驗(yàn)收;江蘇太倉(cāng)市審計(jì)局建立了幾十個(gè)養(yǎng)老保險(xiǎn)審計(jì)指標(biāo),通過(guò)構(gòu)建方法模型研發(fā)聯(lián)網(wǎng)審計(jì)應(yīng)用軟件,進(jìn)行養(yǎng)老保險(xiǎn)業(yè)務(wù)聯(lián)網(wǎng)審計(jì)。鈕銘鋼(2011)探索了運(yùn)用審計(jì)軟件AO實(shí)施養(yǎng)老保險(xiǎn)基金審計(jì),研究認(rèn)為被審計(jì)單位的財(cái)務(wù)數(shù)據(jù)由業(yè)務(wù)數(shù)據(jù)自動(dòng)生成,取得憑證表,通過(guò)AO軟件“采集轉(zhuǎn)換—業(yè)務(wù)數(shù)據(jù)”功能導(dǎo)入。岳桂云(2010)對(duì)計(jì)算機(jī)審計(jì)軟件流程標(biāo)準(zhǔn)化進(jìn)行了探討,研究指出審計(jì)軟件的流程標(biāo)準(zhǔn)化包括業(yè)務(wù)流程和數(shù)據(jù)流程兩大部分。陳偉(2009)闡析了目前國(guó)內(nèi)流行的審計(jì)軟件有:現(xiàn)場(chǎng)審計(jì)實(shí)施系統(tǒng)(AO軟件)、北京通審軟件技術(shù)公司開(kāi)發(fā)的通審2000、金劍審計(jì)系統(tǒng)2005和中審法規(guī)軟件等。汪孝竹(2006)認(rèn)為,由于軟件公司的開(kāi)發(fā)人員僅從自身專業(yè)角度出發(fā),并不了解審計(jì)實(shí)務(wù),既精通計(jì)算機(jī)編程又熟悉審計(jì)業(yè)務(wù)的復(fù)合型人才很少,導(dǎo)致審計(jì)軟件不實(shí)用,因而審計(jì)系統(tǒng)計(jì)算機(jī)人才缺乏問(wèn)題,是制約審計(jì)軟件開(kāi)發(fā)的因素之一。
二、現(xiàn)階段我國(guó)開(kāi)展社保基金聯(lián)網(wǎng)審計(jì)面臨的現(xiàn)實(shí)困境
社保基金聯(lián)網(wǎng)審計(jì)實(shí)現(xiàn)了“預(yù)算跟蹤+聯(lián)網(wǎng)核查”相結(jié)合,是一種新型的審計(jì)方式。與傳統(tǒng)的審計(jì)方法相比,該審計(jì)方式突出的優(yōu)勢(shì)體現(xiàn)在快速采集與準(zhǔn)確轉(zhuǎn)換相結(jié)合,采集數(shù)據(jù)和分析數(shù)據(jù)的效率極大提高;實(shí)時(shí)監(jiān)控與動(dòng)態(tài)預(yù)警相結(jié)合,能及時(shí)發(fā)現(xiàn)并查處違規(guī)操作問(wèn)題;遠(yuǎn)程審計(jì)與現(xiàn)場(chǎng)審計(jì)相結(jié)合,拓展了審計(jì)范圍等方面。根據(jù)前文的研究現(xiàn)狀述評(píng)可知,我國(guó)在聯(lián)網(wǎng)審計(jì)方面已取得了一定成果,部分審計(jì)機(jī)關(guān)也開(kāi)始了對(duì)聯(lián)網(wǎng)審計(jì)的試點(diǎn)探索工作,但在實(shí)際應(yīng)用中推廣聯(lián)網(wǎng)審計(jì)之路仍然漫長(zhǎng)曲折,諸多困境制約著該審計(jì)模式的運(yùn)行和發(fā)展:
(一)數(shù)據(jù)安全與網(wǎng)絡(luò)安全保障措施不足,聯(lián)網(wǎng)審計(jì)存在較大的審計(jì)風(fēng)險(xiǎn)
由于社保中心數(shù)據(jù)庫(kù)的數(shù)據(jù)涉及機(jī)密,不能輕易暴露在外網(wǎng),但當(dāng)前審計(jì)單位審計(jì)信息系統(tǒng)的網(wǎng)絡(luò)化卻威脅著社保基金聯(lián)網(wǎng)審計(jì)系統(tǒng)的數(shù)據(jù)安全與網(wǎng)絡(luò)安全,網(wǎng)絡(luò)資源共享更使聯(lián)網(wǎng)審計(jì)信息面臨著安全威脅。在聯(lián)網(wǎng)審計(jì)環(huán)境下,社保業(yè)務(wù)信息的電子化以磁介質(zhì)為主要存儲(chǔ)載體,這使攻擊者對(duì)原始數(shù)據(jù)進(jìn)行非法修改或刪除,且不留篡改痕跡成為現(xiàn)實(shí),這將無(wú)法保護(hù)數(shù)據(jù)的完整性,大大增加了審計(jì)風(fēng)險(xiǎn)。由于聯(lián)網(wǎng)審計(jì)系統(tǒng)數(shù)據(jù)安全控制不足,或因?qū)徲?jì)單位不嚴(yán)格遵守審計(jì)信息保密規(guī)定,使得信息被竊取,更常見(jiàn)的是由于審計(jì)人員操作失誤,導(dǎo)致業(yè)務(wù)數(shù)據(jù)丟失,或由于審計(jì)人員擅自更改微機(jī)設(shè)置,使聯(lián)網(wǎng)審計(jì)操作系統(tǒng)被破壞,造成數(shù)據(jù)損失。各種各樣的審計(jì)風(fēng)險(xiǎn)(如圖1所示),使社保基金業(yè)務(wù)數(shù)據(jù)的安全性難以得到保證。再加上計(jì)算機(jī)病毒的肆意侵襲,也威脅到聯(lián)網(wǎng)審計(jì)的數(shù)據(jù)安全和網(wǎng)絡(luò)安全,甚至破壞整個(gè)聯(lián)網(wǎng)審計(jì)系統(tǒng),審計(jì)風(fēng)險(xiǎn)即隨之增加。
(二)聯(lián)網(wǎng)審計(jì)缺乏專門的技術(shù)規(guī)范,尚未建立起統(tǒng)一的法律法規(guī)制度體系
我國(guó)在社保審計(jì)領(lǐng)域中運(yùn)用聯(lián)網(wǎng)審計(jì)技術(shù)還處于試點(diǎn)階段,目前國(guó)家尚未出臺(tái)專門的聯(lián)網(wǎng)審計(jì)技術(shù)規(guī)范,相關(guān)的法律制度很欠缺。聯(lián)網(wǎng)審計(jì)是審計(jì)方式的創(chuàng)新,以往的社保基金審計(jì)法律法規(guī)體系,已不能完全指導(dǎo)和規(guī)范聯(lián)網(wǎng)審計(jì)的實(shí)踐與操作,也不能完全解決聯(lián)網(wǎng)審計(jì)實(shí)務(wù)中出現(xiàn)的所有新問(wèn)題。雖然有些實(shí)現(xiàn)聯(lián)網(wǎng)審計(jì)的地方出臺(tái)了相關(guān)的地方性規(guī)章制度,但還缺乏統(tǒng)一的聯(lián)網(wǎng)審計(jì)法律法規(guī)體系,造成了審計(jì)機(jī)關(guān)能否具有與被審計(jì)單位聯(lián)網(wǎng)取得數(shù)據(jù)的權(quán)力、有沒(méi)有隨時(shí)獲取被審計(jì)單位數(shù)據(jù)并進(jìn)行審計(jì)的權(quán)力等一系列阻礙聯(lián)網(wǎng)審計(jì)應(yīng)用的問(wèn)題。此外,聯(lián)網(wǎng)審計(jì)尚缺乏一套標(biāo)準(zhǔn)的審計(jì)程序及與此相配套的審計(jì)文書(shū),在聯(lián)網(wǎng)審計(jì)的技術(shù)規(guī)范、操作流程及分析模型方面尚未建立起統(tǒng)一的標(biāo)準(zhǔn),致使審計(jì)人員無(wú)法根據(jù)相對(duì)統(tǒng)一的標(biāo)準(zhǔn)對(duì)社保基金展開(kāi)審計(jì)工作,不同地區(qū)不同審計(jì)人員使用的審計(jì)方法與技術(shù)各不相同,聯(lián)網(wǎng)審計(jì)效果得不到根本保證。
(三)審計(jì)人員的綜合素質(zhì)難以滿足聯(lián)網(wǎng)審計(jì)工作需要,缺乏復(fù)合型審計(jì)人才
聯(lián)網(wǎng)審計(jì)是一項(xiàng)對(duì)計(jì)算機(jī)技術(shù)和審計(jì)業(yè)務(wù)知識(shí)要求很高的工作,這就要求審計(jì)人員不但要具備豐富的財(cái)務(wù)及審計(jì)知識(shí),并熟悉審計(jì)政策、法規(guī)和其他審計(jì)依據(jù),而且又要掌握計(jì)算機(jī)基礎(chǔ)知識(shí)和網(wǎng)絡(luò)技術(shù),并對(duì)被審計(jì)單位計(jì)算機(jī)軟硬件系統(tǒng)有充分的了解。在審計(jì)實(shí)務(wù)中,很多審計(jì)人員停留在傳統(tǒng)的審計(jì)模式上,無(wú)法適應(yīng)信息化環(huán)境下新形勢(shì)的發(fā)展要求,特別是在基層審計(jì)部門,有些審計(jì)人員盡管財(cái)會(huì)審計(jì)經(jīng)驗(yàn)豐富,但對(duì)計(jì)算機(jī)技術(shù)與網(wǎng)絡(luò)知識(shí)了解不多;而有些審計(jì)人員的計(jì)算機(jī)技術(shù)水平較高,但與審計(jì)相關(guān)的財(cái)務(wù)知識(shí)不夠扎實(shí)。由此可見(jiàn),目前我國(guó)很缺乏復(fù)合型審計(jì)人才,能夠完全勝任聯(lián)網(wǎng)審計(jì)的專業(yè)技術(shù)人才也非常稀缺。
三、社保基金聯(lián)網(wǎng)審計(jì)應(yīng)用困境的實(shí)踐對(duì)策探討
結(jié)合信息化環(huán)境下社保基金聯(lián)網(wǎng)審計(jì)的應(yīng)用困境,運(yùn)用計(jì)算機(jī)、審計(jì)、社會(huì)保障等相關(guān)學(xué)科的專業(yè)知識(shí),借助現(xiàn)代審計(jì)體系和技術(shù)方法探討解決社保基金聯(lián)網(wǎng)審計(jì)困境的實(shí)踐對(duì)策,以推進(jìn)社保基金聯(lián)網(wǎng)審計(jì)向更深層次發(fā)展,提升社保基金審計(jì)監(jiān)管的技術(shù)水平。
(一)強(qiáng)化安全防范措施,保障聯(lián)網(wǎng)審計(jì)的數(shù)據(jù)安全與網(wǎng)絡(luò)安全
⒈建立數(shù)據(jù)安全控制規(guī)程。為保證聯(lián)網(wǎng)系統(tǒng)中數(shù)據(jù)的安全性,建立數(shù)據(jù)安全規(guī)程,強(qiáng)化數(shù)據(jù)安全控制,對(duì)系統(tǒng)中的數(shù)據(jù)應(yīng)規(guī)定審計(jì)人員的使用權(quán)限,規(guī)定哪些人員可以查閱哪些審計(jì)數(shù)據(jù),審計(jì)人員只有經(jīng)過(guò)授權(quán)才能訪問(wèn)系統(tǒng)數(shù)據(jù)。
⒉采取數(shù)據(jù)專網(wǎng)傳輸措施。考慮到社保中心數(shù)據(jù)在網(wǎng)絡(luò)傳輸中的安全性,應(yīng)采用專網(wǎng)傳輸方式進(jìn)行社保中心財(cái)務(wù)、業(yè)務(wù)數(shù)據(jù)采集,為數(shù)據(jù)安全保駕護(hù)航。
⒊依靠技術(shù)設(shè)備保障網(wǎng)絡(luò)安全。社保聯(lián)網(wǎng)審計(jì)專網(wǎng)與社保中心內(nèi)部使用的業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)不能夠聯(lián)通,應(yīng)嚴(yán)格實(shí)施審計(jì)專網(wǎng)與互聯(lián)網(wǎng)物理隔離措施。同時(shí)強(qiáng)化外網(wǎng)安全保護(hù)措施,采取先進(jìn)的防火墻技術(shù),安裝網(wǎng)絡(luò)版殺毒軟件,防止病毒入侵,保護(hù)聯(lián)網(wǎng)審計(jì)網(wǎng)絡(luò)安全。
(二)強(qiáng)化技術(shù)規(guī)范與制度建設(shè),為聯(lián)網(wǎng)審計(jì)提供制度保障
⒈完善社保基金聯(lián)網(wǎng)審計(jì)立法體系。審計(jì)機(jī)關(guān)應(yīng)在總結(jié)聯(lián)網(wǎng)審計(jì)探索經(jīng)驗(yàn)的基礎(chǔ)上,結(jié)合聯(lián)網(wǎng)審計(jì)實(shí)踐情況,出臺(tái)有關(guān)社保基金聯(lián)網(wǎng)審計(jì)的規(guī)章制度,制定《社保基金聯(lián)網(wǎng)審計(jì)實(shí)施辦法》、出臺(tái)《社保基金聯(lián)網(wǎng)審計(jì)網(wǎng)絡(luò)化管理實(shí)施辦法》,增強(qiáng)聯(lián)網(wǎng)審計(jì)單位的法律制度意識(shí)。同時(shí),審計(jì)機(jī)關(guān)應(yīng)從優(yōu)化外部環(huán)境和建立內(nèi)部控制制度兩方面著手為社保基金聯(lián)網(wǎng)審計(jì)提供制度保障。
⒉加快社保基金聯(lián)網(wǎng)審計(jì)規(guī)范化建設(shè)。規(guī)范化建設(shè)就是從社保基金聯(lián)網(wǎng)審計(jì)系統(tǒng)的整體出發(fā),對(duì)各地區(qū)開(kāi)展聯(lián)網(wǎng)審計(jì)的操作流程、審計(jì)程序、軟件要求等各個(gè)環(huán)節(jié)制訂規(guī)程,規(guī)范管理。審計(jì)署可以在系統(tǒng)技術(shù)層面上出臺(tái)建設(shè)標(biāo)準(zhǔn)及社保基金聯(lián)網(wǎng)審計(jì)操作指南,明確崗位權(quán)限、聯(lián)網(wǎng)審計(jì)程序等操作要求,不斷促進(jìn)社保基金聯(lián)網(wǎng)審計(jì)規(guī)范化發(fā)展。
⒊構(gòu)建社保基金聯(lián)網(wǎng)審計(jì)標(biāo)準(zhǔn)化管理體系。標(biāo)準(zhǔn)化管理體系的建設(shè)分三個(gè)階段進(jìn)行:首先,提出聯(lián)網(wǎng)審計(jì)標(biāo)準(zhǔn)化管理需求;其次,為聯(lián)網(wǎng)審計(jì)系統(tǒng)的運(yùn)行制定具體標(biāo)準(zhǔn);最后,組織監(jiān)督聯(lián)網(wǎng)審計(jì)單位落實(shí)標(biāo)準(zhǔn)。社保基金聯(lián)網(wǎng)審計(jì)系統(tǒng)的標(biāo)準(zhǔn)化體現(xiàn)在硬件與軟件兩方面。在硬件方面,統(tǒng)一聯(lián)網(wǎng)審計(jì)單位的數(shù)據(jù)中心機(jī)房建設(shè)標(biāo)準(zhǔn),配備全國(guó)統(tǒng)一的硬件設(shè)備;在軟件方面,使用統(tǒng)一技術(shù)支持的聯(lián)網(wǎng)審計(jì)軟件標(biāo)準(zhǔn),完善聯(lián)網(wǎng)審計(jì)軟件研發(fā)與技術(shù)支持商管理制度等。
(三)強(qiáng)化技能培訓(xùn)并革新教育模式,不斷提高聯(lián)網(wǎng)審計(jì)自主創(chuàng)新能力
⒈加強(qiáng)知識(shí)技能培訓(xùn)。一方面,社保基金審計(jì)機(jī)構(gòu)應(yīng)強(qiáng)化對(duì)審計(jì)人員的繼續(xù)教育,加強(qiáng)財(cái)會(huì)知識(shí)及社保知識(shí)培訓(xùn);另一方面,對(duì)審計(jì)人員進(jìn)行計(jì)算計(jì)技能培訓(xùn)與社保基金信息化技術(shù)培訓(xùn),通過(guò)開(kāi)展“聯(lián)網(wǎng)審計(jì)專業(yè)技術(shù)培訓(xùn)月”等形式,提高審計(jì)人員的聯(lián)網(wǎng)審計(jì)工作能力。
⒉引進(jìn)復(fù)合型審計(jì)人才。首先加強(qiáng)對(duì)現(xiàn)有審計(jì)人員的培訓(xùn),制定審計(jì)人員在職學(xué)習(xí)規(guī)劃;其次采用招聘政府雇員等人才引進(jìn)方式,引進(jìn)聯(lián)網(wǎng)審計(jì)所需的復(fù)合型人才,滿足聯(lián)網(wǎng)審計(jì)長(zhǎng)期發(fā)展需要。
⒊強(qiáng)化培訓(xùn)與激勵(lì)。具體的做法有:建立專門的聯(lián)網(wǎng)審計(jì)工作領(lǐng)導(dǎo)小組;對(duì)熟練掌握聯(lián)網(wǎng)審計(jì)技術(shù)者、在聯(lián)網(wǎng)審計(jì)專業(yè)技術(shù)知識(shí)年度考核中表現(xiàn)優(yōu)秀者及在聯(lián)網(wǎng)審計(jì)工作中取得突出業(yè)績(jī)者等頒發(fā)獎(jiǎng)勵(lì);對(duì)“社保基金聯(lián)網(wǎng)審計(jì)運(yùn)用能手”實(shí)行“三個(gè)優(yōu)先”(評(píng)先評(píng)優(yōu)、職務(wù)晉升、學(xué)習(xí)培訓(xùn))的激勵(lì)機(jī)制。
【參考文獻(xiàn)】
[1] 錢潤(rùn)紅,崔云.社會(huì)保險(xiǎn)基金審計(jì)方式探討[J].貴州大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版),2010(4):21-24.
[2] 喻婷.社會(huì)保險(xiǎn)基金績(jī)效審計(jì)評(píng)價(jià)體系研究[D].西南財(cái)經(jīng)大學(xué)碩士學(xué)位論文,2010:15-22.
[3] 李蕊愛(ài).企業(yè)職工基本養(yǎng)老保險(xiǎn)資金的審計(jì)探索[J].中國(guó)審計(jì),2010(22):35-37.
篇(7)
[論文摘要]通過(guò)對(duì)電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)存在的網(wǎng)絡(luò)安全問(wèn)廈的分析,提出相應(yīng)的安全對(duì)策,并介紹應(yīng)用于電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全技術(shù)。
[論文關(guān)鍵詞】電力信息安全策略
在全球信息化的推動(dòng)下,計(jì)算機(jī)信息網(wǎng)絡(luò)作用不斷擴(kuò)大的同時(shí),信息網(wǎng)絡(luò)的安全也變得日益重要,一旦遭受破壞,其影響或損失也十分巨大,電力系統(tǒng)信息安全是電力系統(tǒng)安全運(yùn)行和對(duì)社會(huì)可靠供電的保障,是一項(xiàng)涉及電網(wǎng)調(diào)度自動(dòng)化、繼電保護(hù)及安全裝置、廠站自動(dòng)化、配電網(wǎng)自動(dòng)化、電力負(fù)荷控制、電力營(yíng)銷、信息網(wǎng)絡(luò)系統(tǒng)等有關(guān)生產(chǎn)、經(jīng)營(yíng)和管理方面的多領(lǐng)域、復(fù)雜的大型系統(tǒng)工程。應(yīng)結(jié)合電力工業(yè)特點(diǎn),深入分析電力系統(tǒng)信息安全存在的問(wèn)題,探討建立電力系統(tǒng)信息安全體系,保證電網(wǎng)安全穩(wěn)定運(yùn)行,提高電力企業(yè)社會(huì)效益和經(jīng)濟(jì)效益,更好地為國(guó)民經(jīng)濟(jì)高速發(fā)展和滿足人民生活需要服務(wù)。
研究電力系統(tǒng)信息安全問(wèn)題、制定電力系統(tǒng)信息遭受內(nèi)部外部攻擊時(shí)的防范與系統(tǒng)恢復(fù)措施等信息安全戰(zhàn)略是當(dāng)前信息化工作的重要內(nèi)容。
一、電力系統(tǒng)的信息安全體系
信息安全指的是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù),保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。包括保密性、完雅性、可用性、真實(shí)性、可靠性、責(zé)任性等幾個(gè)方面。
信息安全涉及的因素有,物理安全、信息安全、網(wǎng)絡(luò)安全、文化安全。
作為全方位的、整體的信息安全體系是分層次的,不同層次反映了不同的安全問(wèn)題。
信息安全應(yīng)該實(shí)行分層保護(hù)措施,有以下五個(gè)方面,
①物理層面安全,環(huán)境安全、設(shè)備安全、介質(zhì)安全,②網(wǎng)絡(luò)層面安全,網(wǎng)絡(luò)運(yùn)行安全,網(wǎng)絡(luò)傳輸安全,網(wǎng)絡(luò)邊界安全,③系統(tǒng)層面安全,操作系統(tǒng)安全,數(shù)據(jù)庫(kù)管理系統(tǒng)安全,④應(yīng)用層面安全,辦公系統(tǒng)安全,業(yè)務(wù)系統(tǒng)安全,服務(wù)系統(tǒng)安全,⑤管理層面安全,安全管理制度,部門與人員的組織規(guī)則。
二、電力系統(tǒng)的信息安全策略
電力系統(tǒng)的信息安全具有訪問(wèn)方式多樣,用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性較高等特點(diǎn)。信息安全問(wèn)題需從網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)階段就仔細(xì)考慮,并在實(shí)際運(yùn)行中嚴(yán)格管理。為了保障信息安全,采取的策略如下:
(一)設(shè)備安全策略
這是在企業(yè)網(wǎng)規(guī)劃設(shè)計(jì)階段就應(yīng)充分考慮安全問(wèn)題。將一些重要的設(shè)備,如各種服務(wù)器、主干交換機(jī)、路由器等盡量實(shí)行集中管理。各種通信線路盡量實(shí)行深埋、穿線或架空,并有明顯標(biāo)記,防止意外損壞。對(duì)于終端設(shè)備,如工作站、小型交挾機(jī)、集線器和其它轉(zhuǎn)接設(shè)備要落實(shí)到人,進(jìn)行嚴(yán)格管理。
(一)安全技術(shù)策略
為了達(dá)到保障信息安全的目的,要采取各種安全技術(shù),其不可缺少的技術(shù)層措施如下:
1.防火墻技術(shù)。防火墻是用于將信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)隔離的一種技術(shù),它通過(guò)單一集中的安全檢查點(diǎn),強(qiáng)制實(shí)糟相應(yīng)的安全策略進(jìn)行檢查,防止對(duì)重要信息資源進(jìn)行非法存取和訪問(wèn)。電力系統(tǒng)的生產(chǎn)、計(jì)量、營(yíng)銷、調(diào)度管理等系統(tǒng)之間,信息的共享、整合與調(diào)用,都需要在不同網(wǎng)段之間對(duì)這些訪問(wèn)行為進(jìn)行過(guò)濾和控制,阻斷攻擊破壞行為,分權(quán)限合理享用信息資源。
2.病毒防護(hù)技術(shù)。為免受病毒造成的損失,要采用的多層防病毒體系。即在每臺(tái)Pc機(jī)上安裝防病毒軟件客戶端,在服務(wù)器上安裝基于服務(wù)器的防病毒軟件,在網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的防病毒軟件。必須在信息系統(tǒng)的各個(gè)環(huán)節(jié)采用全網(wǎng)全面的防病毒策略,在計(jì)算機(jī)病毒預(yù)防、檢測(cè)和病毒庫(kù)的升級(jí)分發(fā)等環(huán)節(jié)統(tǒng)一管理,建立較完善的管理制度,才能有效的防止和控制病毒的侵害。
3.虛擬局域網(wǎng)技術(shù)(VLAN技術(shù))。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域,每一個(gè)VLAN都包含1組有著相同需求的計(jì)算機(jī)工作站,與物理上形成的LAN有相同的屬性。但由于它是邏輯而不是物理劃分,所以同一個(gè)LAN內(nèi)的各工作站無(wú)須放置在同一物理空間里,既這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中,有助于控制流量、控制廣播風(fēng)暴、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。
4.?dāng)?shù)據(jù)與系統(tǒng)備份技術(shù)。電力企業(yè)的數(shù)據(jù)庫(kù)必須定期進(jìn)行備份,按其重要程度確定數(shù)據(jù)備份等級(jí)。配置數(shù)據(jù)備份策略,建立企業(yè)數(shù)據(jù)備份中心,采用先進(jìn)災(zāi)難恢復(fù)技術(shù),對(duì)關(guān)鍵業(yè)務(wù)的數(shù)據(jù)與應(yīng)用系統(tǒng)進(jìn)行備份,制定詳盡的應(yīng)用數(shù)據(jù)備份和數(shù)據(jù)庫(kù)故障恢復(fù)預(yù)案,并進(jìn)行定期預(yù)演。確保在數(shù)據(jù)損壞或系統(tǒng)崩潰的情況下能快速恢復(fù)數(shù)據(jù)與系統(tǒng),從而保證信息系統(tǒng)的可用性和可靠性。
5.安全審計(jì)技術(shù)。隨著系統(tǒng)規(guī)模的擴(kuò)展與安全設(shè)施的完善,應(yīng)該引入集中智能的安全審計(jì)系統(tǒng),通過(guò)技術(shù)手段,實(shí)現(xiàn)自動(dòng)對(duì)網(wǎng)絡(luò)設(shè)備日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫(kù)訪問(wèn)日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全設(shè)施運(yùn)行日志等進(jìn)行統(tǒng)一安全審計(jì),及時(shí)自動(dòng)分析系統(tǒng)安全事件,實(shí)現(xiàn)系統(tǒng)安全運(yùn)行管理。
6.建立信息安全身份認(rèn)證體系。CA是CertificateAuthority的縮寫,即證書(shū)授權(quán)。在電子商務(wù)系統(tǒng)中,所有實(shí)體的證書(shū)都是由證書(shū)授權(quán)中心(CA中心)分發(fā)并簽名的。一個(gè)完整、安全的電子商務(wù)系統(tǒng)必須建立起一個(gè)完整、合理的CA體系。CA體系由證書(shū)審批部門和證書(shū)操作部門組成。電力市場(chǎng)交易系統(tǒng)就其實(shí)質(zhì)來(lái)說(shuō),是一個(gè)典型的電子商務(wù)系統(tǒng),它必須保證交易數(shù)據(jù)安全。在電力市場(chǎng)技術(shù)支持系統(tǒng)中,作為市場(chǎng)成員交易各方的身份確認(rèn)、物流控制、財(cái)務(wù)結(jié)算、實(shí)時(shí)數(shù)據(jù)交換系統(tǒng)中,均需要權(quán)威、安全的身份認(rèn)證系統(tǒng)。在電力系統(tǒng)中,電子商務(wù)逐步擴(kuò)展到電力營(yíng)銷系統(tǒng)、電力物質(zhì)采購(gòu)系統(tǒng)、電力燃料供應(yīng)系統(tǒng)等許多方面。因此,建立全國(guó)和網(wǎng)、省公司的cA機(jī)構(gòu),對(duì)企業(yè)員工上網(wǎng)用戶統(tǒng)一身份認(rèn)證和數(shù)字簽名等安全認(rèn)證,對(duì)系統(tǒng)中關(guān)鍵業(yè)務(wù)進(jìn)行安全審計(jì),并開(kāi)展與銀行之間、上下級(jí)CA機(jī)構(gòu)之間、其他需要CA機(jī)構(gòu)之間的交叉認(rèn)證的技術(shù)研究及試點(diǎn)工作。
(三)組織管理策略
信息安全是技術(shù)措施和組織管理措施的統(tǒng)一,“三分技術(shù)、七分管理”。據(jù)統(tǒng)計(jì),在所有的計(jì)算機(jī)安全事件中,屬于管理方面的原因比重高達(dá)70%以上。沒(méi)有管理,就沒(méi)有安全。再好的第三方安全技術(shù)和產(chǎn)品,如果沒(méi)有科學(xué)的組織管理配合,都會(huì)形同虛設(shè)。
1.安全意識(shí)與安全技能。通過(guò)普及安全知識(shí)的培訓(xùn),可以提高電力企業(yè)職員安全知識(shí)和安全意識(shí),使他們具備一些基本的安全防護(hù)意識(shí)和發(fā)現(xiàn)解決某些常見(jiàn)安全問(wèn)題的能力。通過(guò)專業(yè)安全培訓(xùn)提高操作維護(hù)者的安全操作技能,然后再配合第三方安全技術(shù)和產(chǎn)品,將使信息安全保障工作得到提升。
2.安全策略與制度。電力企業(yè)應(yīng)該從企業(yè)發(fā)展角度對(duì)整體的信息安全工作提供方針性指導(dǎo),制定一套指導(dǎo)性的、統(tǒng)一的安全策略和制度。沒(méi)有標(biāo)準(zhǔn),無(wú)法衡量信息的安全,沒(méi)有法規(guī),無(wú)從遵循信息安全的制度,沒(méi)有策略,無(wú)法形成安全防護(hù)體系。安全策略和制度管理是法律管理的形式化、具體化,是法規(guī)與管理的接口和信息安全得以實(shí)現(xiàn)的重要保證。
3.安全組織與崗位。電力企業(yè)的組織體系應(yīng)實(shí)行“統(tǒng)一組織、分散管理”的方式,建立一個(gè)有效、獨(dú)立的信息安全部門作為企業(yè)的信息安全管理機(jī)構(gòu),全面負(fù)責(zé)企業(yè)范圍內(nèi)的信息安全管理和維護(hù)工作。安全崗位是信息系統(tǒng)安全管理機(jī)構(gòu),根據(jù)系統(tǒng)安全需要設(shè)定的負(fù)責(zé)某一個(gè)或某幾個(gè)安全事務(wù)的職位,崗位在系統(tǒng)內(nèi)部可以是具有垂直領(lǐng)導(dǎo)關(guān)系的若干層次的一個(gè)序列。這樣在全企業(yè)范圍內(nèi)形成信息安全管理的專一工作,使各級(jí)信息技術(shù)部門也因此會(huì)很好配合信息安全推行工作。
