外审员信息安全精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的外审员信息安全主题范文，仅供参考，欢迎阅读并收藏。

第1篇：外审员信息安全范文

关键词：信息安全；网络安全危胁；安全防护系统

中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)26-6245-03

计算机网络技术迅猛发展，各发电企业信息化网络日渐普及，成为了企业科技化管理的重要手段。通过对数据的集中、共享、处理使得信息系统为发电企业生产经营、安全生产等各方面提供了巨大的科技支撑。但同时伴随出现的病毒蔓延、不良黑客入侵、流氓软件等多方面问题成为了不得不面对的问题，同时对发电企业的安全生产也形成了巨大的威胁，以此进一步加强发电企业信息化安全是在信息化建设初期首要考虑的问题。

1发电企业面临的网络安全威胁

因为信息网络的互通性，发电企业信息化威胁，既有可能来自本企业内部，也同时可能来源于外部。其内部威胁主要来自于员工、各信息系统管理员等，根据统计，网络安全破坏活动近80%来自于竞争对手、任何恶意的组织和个人。主要表现的安全威胁为：

1）截获用户标识：截获标识指以非法手段取得合法用户的身份信息，主要是用户的帐号和密码，这是绝大多数发电信息系统采用的认证防护措施。如果侵入者得知了某位合法用户的帐号和密码，即便该合法用户并未被赋予其他的特权，也有可能威胁整个系统的安全。如果帐号，特别是密码，被以明文的方式由信息网络传递，侵入者通过安装协议分析软件对网络通信进行监视，则可以轻松获取。如果密码通过明文格式保存在用户的计算机的内存或者硬盘中，侵入者更能够有方法发现并利用这些密码，同时如果密码很简单（如手机号码、用户生日、私家车号牌、用户姓名等），更加容易被侵入者通过软件得知，在网络上大肆传播的黑客工具都是通过几种常用习惯的词典来获取用户密码。

2）伪装：当未通过授权的用户假扮成具有合法授权的用户，登录发电信息系统时就形成了伪装。当未通过授权的用户经过伪装成信息系统管理员或者具有信息管理超级特权的有关用户时，截获用户标识的情况是威胁最大的。应为侵入者已经获取了某位合法用户的标识，或者因为侵入者已经使信息系统相信其拥有另外的而实际上并不存在的权限，所以伪装是很容易出现的。网络地址欺骗实际上就是伪装的一中形式，侵入者通过一个合法的IP地址，然后通过此地址截获已被授予该合法地址的系统或者是服务器访问权限。

3）非授权操作：非授权操作使用信息系统或者资源时，信息网络安全就受到了极大的威胁。例如，企业的发电数据和财务数据有可能被未经授权的侵入者，非法修改并利用。

4）病毒：病毒是伴随计算机技术产生，能够通过不断自我复制，大范围传播，对计算机、信息系统及其数据产生极大破坏的程序。因为病毒具有的隐藏性和可变异性，使得广大用户无法防范。据有关资料调查，99%的企业或者个人受到过计算机病毒的感染，63%的数据和系统损坏来源于病毒。给受害企业或个人带来巨大的时间和人力资源的浪费，同时重要数据文件的丢失和损坏是无法用金钱来衡量的。

5）服务拒绝：通过向发电企业信息化系统发送大量的请求或者垃圾数据，使得服务器的资源被大量占用，直至资源耗尽，使其达到无法继续提供正常服务或者服务器崩溃的目的。在发电企业信息化系统中，这样的攻击可能造成重大的安全威胁。

6）恶意程序代码：伴随着可自执行的计算机程序与WWW站点的集成，恶意程序代码通过Microsoft ActiveX控件或Sun Java程序的大量使用形成了极大的安全威胁。

7）特权滥用：信息系统的超级管理员故意或者错误地通过对某系统的特权来获取其不应获取的敏感数据。

8）误操作：信息系统超级管理员、业务系统管理员、一般用户等因对技术方面熟练度不高，操作时的失误，引起对信息系统安全性、完整性和可靠性的损坏。

9）权限变更：一般用户利用信息系统的漏洞提高其用户等级，以获取未经授权的系统权限。

10）后门：信息系统研发人员出于故意或者为了日后维护便利在信息系统中设置的专用通道，使用其可以不受企业信息系统安全措施的控制。经常被人为利用控制、破坏正常运行的系统。

11）系统研发中的错误和调试不全：其包含对有关数据不进行充分的检查、对系统的逻辑运行定义不准确，同时这些错误和不完善没有通过大量的、齐全的系统调试检查出来，有可能在运行中导致数据被错误生成且引入信息系统，破坏了实际数据的准确性。

12）特洛伊木马：它通过提供一些有价值的或者仅仅是有趣的功能，在用未经用户许可的情况下拷贝文件、窃取用户的帐号和密码、发送用户的重要资料或者破坏用户系统等。木马程序是一种常见的危害性较大的威胁，由于其不易被发现，在一般情况下，它是在二进制代码中被发现，且大多数后缀名都为无法直接打开的文件，其特点与病毒有许多相似的地方。

13）社会工程共计：主要是的是攻击者利用人的心理活动进行攻击，其无需采用高深的科技手段，同时无需入侵系统来完成。仅需要通过向特定用户了解帐号和密码，达到其获取数据或者信息系统访问权的目的。绝大多数情况下、攻击者的主要目标是企业的办公室接待员、行政或者技术支撑人员，通过对这些类别的用户通过电话、EMAIL或者聊天工具等方式即可完成攻击。

2发电企业信息化情况（以五大发电集团某下属发电公司为例）

2.1信息化网络状况

图1

2.2信息化系统状况

1）财务及资产管理（简称：FAM）系统，是集中部署的核心应用系统，涵盖电厂财务核算、费用报销、资金计划、物资采购、库存管理、物资计划、超市管理、合同管理、缺陷管理、检修管理、设备维护等功能模块。

2）OA办公自动化系统。实现下属企业以及与集团公司间收发文交互、内部收发文管理、邮件及通讯目录功能。系统还提供了值班管理、督察督办、会议管理、车辆管理、办公用品等行政办公管理功能。

3）PI实时信息系统：本系统采集、存储DCS系统、电能量、环保系统等实时运行参数，除满足电厂对实施信息的管理需求外，还将有关数据实时传送集成到集团公司实时系统、集团公司生产与营销实时监管系统。

4）电厂多业务管理平台。系统包括运行管理、计划管理、生产统计、班组管理、标准制度、政工管理、监审管理、合理化建议等功能，其中统计、政工、监审等模块实现了与集团公司层面相应管理模块的系统集成。

5）安全管理平台：功能包括安全信息、安全报表、安全检查、工作票、操作票等管理。

6）公司MIS系统：本系统不仅作为下属企业所有管理信息系统入口门户，还提供了项目申报、生产日报、人力资源、融合机制管理、培训考试、安全认证管理、灵活报表等应用功能。

7）档案管理系统：本系统由集团公司统一实施，各单位档案系统建设须按照集团公司统一规划，以便于OA系统统一接口、版本升级、技术培训等。

8）网站系统由各下属企业自主建设和运维管理，界面设计须符合集团公司VI视觉识别系统标准，内容、运维管理遵照公司和集团公司有关规定和要求，严格执行安全保密等有关规定。

3发电企业网络安全防护设计方案

发电企业信息安全体系机构由网络安全防护、数据备份和恢复、应用系统安全、信息安全管理等几部分组成。

3.1网络安全防护

3.1.1系统安全域防护

将企业信息系统通过网络安全域的形式，分为服务器、用户两个安全域，同时划分多个二级安全域，主要为生产信息系统、财务系统、系统管理员、一线生产班组、普通用户等。

3.1.2网络的高可靠性

1）企业核心网络设备采取双机互为热备形式，两台中心交换机设备通过双链路互联；接入层与核心层也通过双链路互联。

2）重要用户安全域通过双链路与企业核心交换连接，进一步保证其链路的可靠性。

3）企业核心业务系统服务器也必须通过双链路接入核心层。

3.1.3防病毒

1）企业管理信息大区按照要求统一部署防病毒系统，采用国内知名品牌网络版。安全区一、二与三区各自拥有自己的防病毒服务器。

2）对管理信息大区的服务器、终端用户，强制按照规定部署统一的可网管的防病毒产品。

3）在互联网接口部署防病毒网关，以防其从外部传播到企业管理信息大区。

4）注重防病毒管理，保证病毒特征码得到有效的更新，通过查看病毒软件的历史记录，了解病毒威胁情况并积极应对。

3.1.4防火墙

在位于内外网接口处部署防火墙一台，采用高性能硬件防火墙，国内知名品牌，具有双安全操作系统；可以提供对复杂环境的接入支持，包括路由、透明以及混合接入模式；具备防火墙、IPSEC VPN,SSL VPN、防病毒、IPS等安全功能。

3.1.5入侵检测系统

在核心层部署一个入侵检测的探头，保证入侵检测系统能够及时发现有关威胁。

3.1.6主机安全加固

发电企业的关键应用系统（如生产营销实施监管系统、财务系统）的服务器，采取定期安全加固的形式。形式包括：定期检查安全配置、安全补丁、加强服务器系统的访问控制能力等。

3.2备份与恢复

对于关键应用系统，必须采用每天定期备份，同时人工每月全备份一次。备份的数据必须采用异地存储的形式，且需做到专人定期检查，防止遗漏。

3.3应用系统安全

管理信息大区中的发电企业应用系统应着重确保其安全性能够得到保证。其主要安全建设内容包括：对系统的访问控制、用户帐号密码及权限管理、操作审计管理、数据加密管理、数据完整性检查等。

3.4信息安全管理

1）通过成立企业信息化领导小组，加强信息工作包括信息安全工作的整体管理；

2）通过制定信息网络管理制度及各级安全防护策略；并通过正式公文下发，严格执行。

3）通过设立专业的信息管理人员和成立涵盖各业务部门的兼职信息员，形成覆盖全面的信息化安全管理网络。

综上所述，发电企业网络信息安全是一个系统工程，不能仅靠杀毒软件、防火墙、漏洞扫描等硬件设备的防护，还要意识到计算机网络系统是一个人机系统，在建立以计算机网络安全硬件产品为基础的网络安全系统的同时，也应树立各个用户的网络信息安全意识才能防微杜渐，构建一个高效、安全的网络系统。

综上所述，发电企业信息安全是一个系统工程，不仅需要入侵检测系统、防火墙等硬件安全设备，同时还要注意信息系统是一个广泛使用的人机互动系统，必须通过系列的安全管理措施和规章制度，进一步强化各级用户的信息安全意识，做到信息安全人人有责、信息安全从自我做起，才能构建起一个高效、安全的企业信息化网络。

参考文献：

第2篇：外审员信息安全范文

关键词： 网络财务；安全问题；对策

中图分类号：F812.0 文献标识码：A 文章编号：1001-828X（2013）02-0-01

一、网络财务的安全问题

（一）原始数据的安全问题

传统会计中的原始凭证因笔迹各异具有可辨认性，因多联复写具有相互牵制性，难以非法修改。而在以电子商务为主要内容的网络会计中，原始凭证的数据转变成磁性介质，对电子数据的删除或修改可以不留任何痕迹，给原始数据的安全带来很多隐患。

（二）会计信息的真实性问题

一方面，网络财务是一个开放的会计系统，一些企业内部和外部计算机高手出于某种利益，故意破坏系统的安全，盗取会计资料、篡改会计信息；财务硬件设施偶然故障；财务人员操作不当都会造成会计信息的失真、缺乏完整。另一方面，网络技术下，会计信息透明度是非常高的。其在互联网上传播速度非常快，财务数据的收集及大量经济业务处理也缺乏有效的确实标识，这将直接影响会计信息数据库系统中派生的会计账簿和会计报表的真实性和准确性，从而使网上会计信息的真实性受到质疑。同时，信息使用者和提供者的理解差异都会给企业会计信息带来失真的风险。

（三）企业内部控制问题

在网络财务软件中，会计信息的处理和存储集中于网络系统，大量不同的会计业务交叉在一起，财务信息复杂，交叉速度加快，使传统会计系统中某些职权分工的控制失效。网络的应用减少了人工输入环节，数据访问和数据交换都通过应用服务器进行，网络数据处理的集中性使得传统的组织控制功能减弱。网络计算机集成化处理促使传统手工会计中制单、记账、复核等岗位相互制约关系弱化。原来靠账簿核对纠正差错的控制已不复存在，光、电、磁介质所载信息能不留痕迹地被修改和删除，从而加大了会计系统安全控制的难度。

（四）网络会计人员素质问题

网络财务需要大批既懂会计又懂管理；既熟悉电算化知识，又熟悉网络知识；既会业务操作，又能解决实际问题的会计人员。目前相当数量的会计人员的专业知识薄弱，尚不能适应网络会计的发展要求。因此，会计人员素质不高也是网络会计发展中面临的一个问题。

针对上述问题，我们应从信息安全、内部制度和人才应用等几方面采取相应的措施。

二、对网络财务发展的对策建议

（一）会计信息系统安全对策

会计信息系统是一种特殊的信息系统，它除了一般信息系统的安全特征外，还具有自身的一些安全特点。会计信息系统的安全风险是指由于人为的或非人为的因素使会计信息系统保护安全的能力的减弱，从而产生系统的信息失真、失窃，使单位的财产遭受损失，系统的硬件、软件无法正常运行等结果发生的可能性。保障会计信息系统安全对会计信息安全有着重要的意义。

保障会计信息安全的措施有二个方面：一是采用有效安全技术，网络财务软件采用两层加密技术。为防止非法用户窃取机密信息和非授权用户越权操作数据，在系统的客户终端和服务器之间传输的所有数据都进行两层加密，确保会计信息的传输安全。二是制定和实施安全管理措施。根据会计电算化要求，建立健全岗位责任制度、安全日志等相关制度规定。

（二）内部控制措施

为了保证会计信息的准确性和可靠性，企业应在内部采取必要的控制措施，来维护网络会计信息系统的安全。

（1）组织与管理控制。一是要设置网络管理中心，由网管中心全盘规划，采取措施确保各工作站、终端和人员之间适当的职责分离。二是要优化配置人力资源。制定措施，确保人力资源的合理利用。三是要发挥内部审计的作用。通过内部审计部门对网络会计系统信息质量进行独立和公正地监督与评价，有利于系统内部自我约束机制的建立。

（2）系统开发控制。系统开发控制是为保证网络会计系统开发过程中各项活动的合法性和有效性而设计的控制措施，它贯穿于系统规划、系统分析、系统设计、系统实施和系统运行测试与维护各个阶段。其主要内容包括：第一，明确开发目标，制定管理计划，监督开发质量，检查各功能模块设置的合理性及程序设计的可靠性，提高系统的可审性。第二，利用网络在线测试功能，检验整个系统的完整性，并应对系统抗干扰能力和发生突发事件的应变能力以及系统遭遇破坏后的恢复能力进行重点测试。第三，一旦发现网络系统各类软件可能存在的安全漏洞，应立即进行在线修补与升级，并将所有与软件修改有关的记录报告及时存储归档。

（3）网络系统安全控制。第一，硬件设置安全控制。应制定网络计算机机房和设置的管理制度、岗位职责和操作规程，严格禁止无关人员接触系统，关键的硬件设置可采用双系统备份。第二，系统软件安全控制。严格控制系统软件的安装与修改，对系统软件进行定期检查，系统被破坏时，要求系统软件具备紧急响应、强制备份、快速恢复的功能。第三，会计信息安全控制。会计信息安全的基础是密码。如通信线路上的数据流加密，数据库中的数据文件加密，及访问者的身份认证等。除此之外，模式识别的方法也在网络信息安全方面得到应用。

（4）应用控制。应用控制是指在网络会计系统的数据输入、通讯、处理和输出环节所采用的控制程度和措施。第一，输入控制。输入控制的重点在于建立适当的授权和审批机制，并对输入数据的准确性进行校验。第二，通讯控制。通讯控制的重点在于批量控制，业务时序控制、数据编码控制与发放和接收的标识控制等。第三，处理控制。处理控制的重点在于处理过程的现场控制、数据有效性检测和错误纠正控制等。第四，数据输出控制。输出控制的重点在于数据稽核控制，授权输出控制和打印程序控制等。

（三）建立安全防范机制

安全问题是网络财务发展中不可回避的重要问题。在网络财务中，处在网络中的任意一台计算机都可获得其他计算机的信息资源，本企业的网络财务系统随时都可能受到威胁，企业的财务数据等重大商业机密很容易遭到破坏或泄密，这将造成不可估量的损失，因而保证网上财务信息安全可靠成为了关注的焦点。建立安全防范机制，保障网络系统的安全性是我们必须要做的工作。

保障网络系统的安全性：首先，建立一个安全、可靠的通信网络是非常必要的，这样可以确保会计信息快速安全传递；其次，制定网络计算机机房和设备的管理制度、岗位职责和操作规程，严格禁止无关人员接触系统，加强网络财务的硬件系统安全；第三，加强系统软件安全控制。建立定时检查更新制度，定期对网络财务系进行维护 更新，确保数据库信息的真实完整，把一些陈旧的会计信息保存起来，及时上传新的会计信息，以便投资者及时用于投资决策。 第四，技术防范措施。一些黑客为了获取企业重要的、秘密的信息非法对网络财务系统的入侵，或者采用病毒对企业网络财务信息进行攻击，使企业会计信息流失。为了防范这种人为的侵袭，应采取设置防火墙、身份认证和授权管理、设立密钥等安全技术，限制外界故意的侵入，用以隔离开局应用系统与外界访问区域之间的联系，限制外界穿过访问区域对网络应用系统服务器尤其是对会计数据库系统的非法访问；加强原有的基本账户和口令的控制，提供授权访问控制和用户身份识别。

（四）企业人才策略

企业要顺应市场的竞争，首先要引进高层次会计人才，其次，要有计划、有步骤、有针对性地组织开展会计人员的培训工作。改善会计人员的知识结构，不断进行知识更新。提高会计人员的计算机应用水平，特别是计算机网络技术，培养熟悉科技与管理知识的复合型会计人才，以适应国际竞争需要。

第3篇：外审员信息安全范文

一、创建独立性、权威性强的内审组织

要圆满地完成内部审计职责，客观需要设有独立的审计机构，拥有良好的组织环境，内部审计应向隶属董事会和审计委员会的环境模式化方向发展。这种模式的主要特征是独立性，内部审计负责人直接对高级管理层的董事长负责，并向董事长、董事会、内部审计委员会报告工作，其它各部门和个人不得干涉内审工作，内部审计部门的审计计划是独立的计划，并由董事会批准实施，可以对企业各部门、有关人员进行审计；能够直接与董事会交流信息；对审计意见，被审计者要在限期内予以落实并向审计部门反馈实施情况；内审部门负责人的任免，由董事会办公会议确定。

二、内审职能价值化

内部审计主要是管理控制。未来的内审发展方向是风险导向型审计，以风险评估为主，主要是为组织贡献附加价值。内市职能定位转向价值化，也就是内审必须考虑组织的风险和内审的风险防范，降低成本，提高组织的经济效益，使内审接近单位经营活动的价值键，不断提供附加服务。

首先，职能价值化带来一系列的审计理念。内部审计是适应公司治理、风险管理。内部控制之需要，正如国际内部审计师协会现任主席杰奎琳·瓦格娜指出：环境的变化给内部审计师带来增加价值的机会最多的领域是风险管理和公司治理。至于风险导向审计就是要改变内部审计人员对于控制与风险的思考，使内部审计人员关心组织的目标和风险，使审计的重点前移到和未来的规划，把目前的经营管理控制同计划、策略和风险的评估结合起来，内部审计的工作重点也随着转向经济效益审计和风险管理审计。

其次，职能价值化使内部审计目标明确。内审的目标旨在提出规避风险的建议，使被审对象有效地履行他们的受托责任，以提高经济效益。内部审计的服务对象主要是董事会和最高层管理当局。内部审计在资源分配时着眼于组织的风险和审计的风险；内审项目考虑节省成本和投入产品的比例关系，比如德、法国家的投入产出之比为1：10.内部审计效益表现在以下十四个方面：维护资产安全和促进内部控制；有效的经营；管理工作有序协调；成本的节约；人力资源的开发；多种制度的建设和特殊问题的处理；审查合同，降低供应成衣公司成员道德水平的提高和正直风气的形成：降低外部审计费用；减少舞弊案的发生提供沟通管道；认定发评估企业风险；评估被审计单位管理业绩；符合反贪污行贿法的规定。由此可以看出，内部审计部门将成为一个直接创造价值的部门，内审的增加价值功能是内审强大生命力的根本所在。

三、内审多元化

既内审的内容以风险评估为主，涉及组织的所有领域的每个环节、每个系统。具体为：一是在全球一体化和市场竞争日趋激烈的情况下，如何进行风险管理已成为内部审计的主要内容。内审工作的重点就是风险存在的领域；要进行事前审计，及早发现风险；实施审计意见以最大限度地规避风险，内部审计成为组织风险管理的重要手段；二是内部审计评估组织经营管理的全过程；三是内部审计评估组织的发生因素，主要是人员、任务、管理三个基本组织部分，就产品企业来说，包括政策与目标、组织与权责、产品与生产、市场与销售、资金与财务、与开发、信息与商务、控制与管理等各个系统，有效规避体系风险；四是审计的类型，主要包括经营审计、绩效审计、遵循性审计、质量审计、财务控制审计、财务报表审计以及机审计和舞弊审计等。

四、加强信息化管理

内部审计信息化具有特别重要的意义，它迎合新潮需要，以知识和信息作为核心资源，融入世界经济主流；它代表最先进的生产力，降低成本、缩短时间、变窄空间，提高组织国际竞争力；有利于内部审计与最高管理当局的交流，突破时空限制，提供快捷而全面的服务。

内部审计信息化的思路应着重考虑如下几点：一是从战略的高度进行整体规划。信息化规划实现资源最优配置，在认识上和行为上达成一致，本着统一规划、互联互用、资源共享的原则，统一信息目标，明确信息化方针政策，落实信息化任务，充分考虑内部审计信息化的资源共享；二是构建内部审计信息化的平台，在平台上通过机网络信息交换以实现内部审计目标；三是设计开发内部审计软件，涉及组织运行的全方位、全过程，提供多接口、多通道、安全可靠、快捷高效的信息网络体系；四是对信息化的网络基础建设、信息安全建设、内部审计师的信息化人才建设等提出更高的要求。

五、依法规范运作

第4篇：外审员信息安全范文

一、信息技术为现代控制提供了技术平台

1.计算速度快，为实时监控提供了基础

计算机超强的计算能力，大大的减少了信息处理的时间，使得事件的发生和信息的取得几乎同时进行，这为无时滞的实时监控带来了可能。企业管理者希望在每个时段，都可以在事件发生的同时看到潜在的危机和出现的机遇，而当今的信息技术正好为这种应用提供了坚实的基础。

2.计算精度高，实现了对企业生产经营的精密控制

手工状态下，受人的运算、记忆等能力的制约，为了能按时结账、上报报表，只能简化核算方法和核算内容，其结果是降低了所提供信息的精度。而计算机数据处理精确度高，从根本上克服了手工方式的这一缺陷，这一方面表现为生产中精益求精的质量控制，另一方面表现为对管理中独一无二加密数据进行的控制。

3.记忆能力强，确保了对企业的持续控制

在知识经济时代，广泛而长久的储存信息是对信息技术的基本要求。一方面，进行现场处理需要在计算机内保存大量的程序和信息以便随时执行和调用；另一方面，为避免电脑病毒，黑客攻击，自然灾害等带来的损失，维护程序及数据的备份和恢复系统以确保企业的持续运营。

4.逻辑判断能力强，使内部控制趋于智能化

计算机具有逻辑判断能力，从而能自动完成工作。只要人们预先把处理要求，处理步骤，处理对象等必备元素储存在系统内，计算机启动后就可以在不需要人工干预的情况下按预定程序自动完成预定的处理任务。它除了能够避免人工计算可能产生的诸如疲劳、粗心等所导致的各种错误外，还能进一步拓展应用范围，进行诸如资料分类、情报检索、归纳推理等具有逻辑加工性质的工作。

5.传输网络化，使内部控制由分散趋于集中

网络技术最大的便利就在于消除了时空距离。网络用户可以通过网络服务共享信息、协同工作，而不受时间、地理范围的局限，也避免了由于时区不同造成的混乱，这为现代企业的集中控制提供了可能。基于网络技术的现代企业信息系统，比如ERP等，为集中控制的扁平化结构提供了技术基础。

二、信息系统为现代控制提供了应用平台

1.系统整体性，有助于信息整合，是事件驱动型流程控制的基础

整体性是指系统的有机统一性，即整体综合效应大于各个要素功能简单求和的基本特征。事件驱动型系统的优点主要体现在，系统专注于业务事件会促成企业中各职能部门的融合，并促使财务数据和非财务数据融为一体，而所储存的业务活动的多方面细节将能灵活的提供更完整，更有价值的信息。集成存储所有业务数据，而不是存储生成特定用户所必需的数据，减少了数据的重复存储，降低了数据的不一致性。将信息处理嵌入业务过程的集成处理可实现实时控制，促进业务重组，实现处理过程自动化，使人们的注意力从业务流程转移到面向灵活多变的面向决策的任务。

2.系统层次性，有助于分工合作，是划分一般控制、应用控制和专业控制的基础

系统中各个组成要素是按照一定的次序和方式进行的有机组合，而不是杂乱无章的堆积。系统中各组成要素在地位、作用结构与功能上表现出层次性，这为划分一般控制、应用控制和专业控制奠定了基础。

3.系统开放性，有助于适应环境

系统具有不断地与外界环境进行物质、能量、信息交换的性质与功能，系统向环境开放是系统得以存在的条件。系统之对于环境，既不能完全封闭，也不能完全开放。有条件、有选择、有过滤性地向环境开放，既能使系统保持一定的自主性，也能使系统具有应付外来环境变化的灵活性，以利于自身的发展。

三、信息技术环境下会计内部控制存在的新问题

1.交易授权批准缺乏有效控制机制

在信息技术环境下，权限分工的主要形式是口令授权，业务人员可以利用特殊的授权文件或口令，获得某种权利并运行特定程序进行业务处理，一旦泄漏可能引起失控并造成损失。

2.程序化操作使差错反复发生

程序控制处理结构化的基础作业，它的质量好坏直接决定整个内部控制的质量，若应用程序中存在着严重的BUG或恶意的后门，便会严重危害系统安全，并且不易被发现，导致差错的反复发生。

3.数据安全性差

计算机的储存方式是将信息转化为电子形式存储在磁介质之上，而储存在磁介质上的数据极易被篡改甚至伪造且不留痕迹，这给控制带来了一定的难度，同时也给一些不法行为提供了机会。

4.核算软件可审性弱

由于会计电算化制度的不完善，大部分会计核算软件可审性极弱，因而给审计工作带来极大困难。现有的会计核算软件缺乏设立明晰的审计线索的设计思想，不能保证计算机审计监督。

5.网络开放性危害及信息安全

随着信息社会人们对信息质量的要求提高，会计信息系统从封闭型向开放型发展。开放型会计软件以实现广域化和信息一体化为基本特征。而这种充分开放使得一切信息在理论上都可以被访问到。因此网络环境下的信息系统很难避免被非法访问和侵袭，极有可能遭到黑客对信息的非法窃取和病毒对信息的胡乱篡改。这种危险既可能来自内部也可能来自外部，如果对于比较大的企业或者非常重要的政府部门，那么这种信息被窃取或被篡改所带来的损失将会是无法估计的，所以开放式的网络环境威胁到信息的安全，威胁到企业的生存和发展

四、信息技术环境下完善会计内部控制的对策

1.加强会计信息系统内部控制制度体系建设

完善的会计信息系统内部控制制度是确保会计信息系统正常有效运行，实现会计目标的根本保证。企业应从组织控制、授权控制、操作控制等入手，建立健全内部控制制度。

2.提高信息系统开发质量

开发应用系统，除了强调一些技术特征外，更应确保业务活动被正确处理，最大可能地防范风险。在系统设计和开发过程中应加强控制机制的设计，以帮助用户发现或纠正错弊。

3.加强网络安全与防范

网络的开放性使数据信息的不安全性加大，为了加强企业的内部控制，我们必须加强网络的安全性。计算机网络安全从技术角度上来说，主要由防病毒、防火墙、入侵检测等多个安全组件组成，一个单独的组件无法确保网络信息的安全性。目前广泛应用且比较成熟的网络安全技术主要有：防火墙技术、数据加密技术、入侵检测技术、防病毒技术等。

4.网上公正形成三方牵制

由于信息技术环境下原始凭证以数据方式存储，所以不能像手工系统那样对每一张凭证做痕迹检验，可是利用网络技术所特有的实时传输和日益丰富的互联网服务项目，则可以实现原始交易凭证的第三方监控即网上公正。

5.增强核算软件的可审性

在手工系统中，凭证，账簿和报表严格按照一定标准和程序填写登记，所形成的纸质审计线索高度可视，较为有效。但利用信息技术记载和再现原始业务依然可行。核算软件应当增强可审性，方便利用电子审计线索追溯业务的来龙去脉。

由此可见，信息技术环境下的内部控制，挑战与机遇并存，有效地内部控制不在于运用过多的审核人员，而在于利用信息时代的控制哲学与控制技术实现对业务和信息过程的充分控制。信息系统中的内部控制是否设计得当决定了该系统的生死存亡。

参考文献

[1]王晓明.会计信息系统风险管理[J].合作经济与科技,2009,3.

第5篇：外审员信息安全范文

【关键词】 饭店信息系统；教学改革

【中图分类号】G642.09 【文献标识码】A 【文章编号】2095-3089（2013）33-0-01

随着信息技术的飞速发展，计算机和网络技术得到了迅速的普及和发展，酒店的管理越来越倚重管理信息系统，通过管理系统管理，极大地提高酒店管理水平和服务效率，减少失误，提高酒店经济效益和综合效益。

为了适应酒店业对信息化人才的需要，越来越多的职业学院酒店管理专业把《酒店信息系统》课程列为专业必修课程。由于课程开设时间短、软件投入大、针对性教材缺乏等现实原因，酒店管理信息课程实际教学过程中仍存在偏重计算机知识讲授，上课内容与酒店真实环境脱节、学生操作实践不足等问题。酒店信息系统课程教学改革基于能力本位，利用实训室安装的三大酒店信息系统为硬件基础，构建酒店真实运营情景，模拟酒店真实运转环境，从培养目标、授课内容、教学组织、教学手段、教学评价五个方面开展改革，使学生获得未来职业发展所需的职业能力，酒店信息系统课程不但教授学生如何使用三大酒店信息系统软件，更将学习重点落在“运用信息技术管理酒店”上，即了解系统应用情况，选择合适的信息技术来管理酒店，提高酒店经济收益和服务质量。

一、完备实训设施，构建一流课程实训条件

在学院和酒店管理信息系统供应公司的共同努力下，学院高规格建设了酒店信息系统实训室，与北京时机信息科技股份有限公司合作，购买当前国际国内酒店业使用最普及、最受欢迎的三大酒店信息系统管理软件：Opera酒店管理软件、Fidelio酒店管理软件和西湖酒店管理软件，按照5星酒店规格装修设计模拟前厅、商务中心，行李房、总机等及可以容纳60位同学同时进行上机操作练习的酒店信息系统课程专用机房，学生可以在学校全真环境下模拟真实酒店前厅运作的全过程，利用管理软件进行酒店经营管理训练。

二、以职业能力为导向，明确人才培养目标

酒店管理专业学生所需具备的职业能力包括职业道德和职业能力两个方面。职业道德包括优秀的个性品德、强烈的酒店意识、高尚的职业道德。职业能力包括服务技能、沟通能力、顾客协调技能、执行技能、外语技能、管理技能等。酒店管理信息系统是由酒店管理人员、计算机硬件与软件、网络、办公设备等组成的能进行酒店管理信息的收集、传递、储存、加工、维护和使用，以提高酒店效益和效率为目的，并能为酒店进行决策、控制、运作的人机系统。课程的教学目标是使学生认识信息技术对提高酒店管理效益的重要作用，使学生掌握酒店管理信息系统的实际操作，了解酒店先进信息技术应用情况，具备利用信息系统技术在酒店开展管理的初步能力。具体包括以下三个目标：

（一）模拟酒店情境，培养实际操作能力。熟练的服务技能有助于学生迅速适应酒店工作，所以在日常的教学和实习实训中要模拟酒店的工作环境以培养学生的实际操作能力。该门课程的首要目标是使学生熟练掌握一套酒店管理信息系统，能够运用这套系统完成客人的预定、登记入住、消费入账、客房管理、账务审核、经理查询、系统维护等操作。目前许多院校都引进了国内外知名的酒店管理信息系统，笔者所在学院引进了全国用户最多的Opera、Fidelio和西湖软件系统。该系统数据库中有大量仿真的酒店客房数据、经营数据以及顾客数据，充分模拟了酒店情境。

（二）细化顾客信息，培养信息管理能力。酒店管理专业学生在能够利用软件进行基本业务操作的基础上，还必须能力利用系统软件来换取酒店全面信息，能够对信息进行分析、处理，运用信息技术管理饭店。在信息系统课程教学过程中紧密结合酒店信息流，学生全面掌握酒店管理过程中需要掌握的信息，实际经营中的难点与矛盾。比如客史档案信息，不但掌握客史档案的创建，同时更理解客史档案与酒店优质化服务作用。学生不但需要掌握酒店前台管理系统外，同时还需要了解酒店后台管理系统，如人力、财务等模块的业务，这些知识的掌握对学生未来从事酒店管理中、高层的管理具有极大的帮助

（三）采用案例案例，培养学时实际分析问题能力。通过学生软件模拟操练、酒店真实案例分析等授课途径，不但培养学生的酒店业务工作能力，同时对学生的分析能力、综合处理问题的能力工作进一步培养，达到酒店职业要求和学生职业化的最大融合。通过案例，学生深刻理解客户信息管理制度与客户信息安全的关系；客户信息与个性化、定制服务的关系；客房收益管理与酒店营业收入的关系；普通客人与VIP接待区别处理；客人消费账户及客户信息安全；客房设施设备的维护、客房房态的管理等。

三、围绕酒店岗位需求与职业标准，开展全真仿真教学

（一）配置酒店主流软件，进行比较教学。目前酒店业使用的管理软件数量繁多，使用最为普及的有三种，Fielio、Opera和西湖软件，为让学生尽可能扩大知识面，学院根据酒店管理实际投入大量资金，购买三种管理软件，开展比较教学。

（二）边学边练，理论教学实践锻炼结合。目前酒店管理信息系统常用教材，均相对理论化，偏重管理信息系统功能介绍，与明确的管理软件数据接入不同意，理论与操作难同步开展，教学效果差。在该教学改革模式中，采用业务功能模块教学，分为六个业务模块，系统概论、预定、入住、收银、客房管理、系统维护与夜审等，课前自学系统功能操作与系统要求，布置小组作业，利用管理软件时间操作，熟悉操作要求，发现问题、分析问题、解决问题，实现单一的灌输式学习向自主学习转化。

（三）精确操作规范，严格规范要求。根据教学规范，将软件核心功能进行简化归纳，实现课堂教学内容浓缩，在教学中从系统的初始化、数据准备、开始运作、输出结果等使学生掌握一个完整的操作过程，对系统有完备的了解，帮助学生更快适应酒店工作。因此，在教学中注重各应用模块功能和工作流程的完整性，时间操作按照酒店规范要求，登录必须输入用户名和密码，规定严格的部门和员工操作权限。学生从系统初始化做起，开展客房状态设置、参数定义、房间预定、接待入住、换房、续住、退房、结账等常规业务处理，完成酒店前台、后台、夜审等功能。

四、以职业能力为导向，创新教学方法

（一）角色扮演，情景模拟练习。在六个业务模块的学习过程中，不同的同学扮演不同的角色，分别扮演客人，酒店员工，管理人员和督导，模拟酒店预定、入住、离店情境，由学生扮演具体岗位工作人员，自主独立进行相关的操作和问题处理。最后同学点评与老师点评相结合，指出问题与完成规范的地方。

（二）团队合作，小组联系，提升沟通协作能力。沟通能力是酒店管理人员与员工必须掌握核心技能之一，酒店业务繁多，部门综多，且随时可能发生各种突然事情，复杂的客情、各种突发事件的处理需要各部门通力协助，良好的沟通、协调能力是高效地解决问题、顺利开展工作基础。该课程在教学过程中，将所有的学生按照5人一小组分组，小组内部定管理人员、普通员工、客人、督导等角色，分工协作，明确职责。根据下达的任务，结合酒店真实工作环境，开展业务学习。通过团队作业培养学生的协作式学习能力与增强学生的团队意识。

五、重视过程性评价，改革课程评价体系

对学生的学习评价不仅重视期末考核，同时重视过程性评价，将阶段评价和期末评价相结合。并且要强调评价的多元化，学生参与对同学之间的学习过程评价。团队作业的评分由授课老师和其他小组的组长来共同决定评分等级。

（一）理论知识评价。通过期末闭卷考试进行评测。

第6篇：外审员信息安全范文

档案是一种重要的社会信息资源，对于档案信息资源不仅要保障其保密性，还要能够充分开发利用其中所含有的信息。本文就高校档案管理保密工作的问题进行分析，提出几点建议。

【关键词】

档案管理；保密；对策

档案资料对于用户本身意义重大，因此档案管理的管理工作一定要做好，档案的开放并不意味着放弃保护，而是在遵循保密规则的基础上进行正确有序的开发档案。如何做好档案管理的开放工作，需要工作人员对保密法以及相关制度规定非常熟悉，此外还需要工作人员能够严格执行法律法规，进而做好档案的保密工作。

1 档案管理工作现状

1.1 对档案管理的认识不足

高校的档案涉及到高校教师与学生的信息安全，档案中记录了学校活动的全过程，其中包含着教师的工作细节、学生的奖惩事宜等等，在学校人动或者调查学生的详细情况时，可以进行参考，进而能够保障高校工作的顺利进行。但是很多学校都没有正视档案的重要性，在就是学校本身对档案管理人员的教育不足，进而导致档案管理人员忽视了档案的保密工作的重要性。

1.2 档案丢失现象严重

由于上级领导对档案管理人员的保密教育不足以及档案管理人员没有认识到档案的重要性，导致档案丢失现象十分严重。其次造成档案丢失的原因还包括工作人员入职前为进行正规的培训，从而造成档案不能够严格的执行登记、审核、签字以及复查等一系列工作程序，情况严重的还会造成档案丢失和损坏。学校档案管理人员的工作态度能够直接影响到学校档案的管理质量，档案管理质量的好坏会直接或间接的影响到学校的正常工作。

1.3 学校保密措施力度不足

计算机网络的不断发展，使得保险箱、防盗门、监控器以及防盗器等高科技产品应用到了学校的各种重要设施中。虽然档案管理同样加强了现代化设备大的使用，但是由于一些学校对档案管理的重视程度较低，进而投入的经费较少，从而导致硬件设施的落后，除此之外，一些学校仅仅加强了计算机在档案管理中的应用，但是对于档案管理的信息化建设还不完善，计算机中的漏洞等对档案保密工作的影响十分巨大。

1.4 档案管理职责分工不明确

学校档案管理工作需要极高的技术性和专业性知识。高校除了要建立完善的档案管理制度之外，还要明确工作人员的职责分工。健全的档案管理制度能够极大的防止档案管理过程中不良行为的出现。但是目前许多学校由于分工不明确，档案管理制度不健全，进而造成档案保密工作不到位。

2 做好档案管理的保密工作的建议

2.1 加强对学校档案管理的认识

由于档案中的资料涉及到许多学校教师与学生的一些机密资料，学校的高层和档案管理人员要加强对档案保密工作的重视，特别是档案。并且要能够正确的分析和认识学校档案中的资料具有的现实意义和历史作用。除此之外，学校还应该能够确定档案的保密级别以及保密期限，防止档案信息的泄露对学校造成重大的损失。

2.2 完善档案库房管理

随着科学技术的不断更新，学校应该引进一部分新型硬件设施到档案管理体系中来。学校想加强档案管理保密工作的进行，首先应该将档案库房建设好，档案库房应该采用专用的防盗门、加固窗户，除此之外，库房内外需要安装监控设备，从而能够极大的提高档案管理的保密性。除了防护措施外，还应该在档案存放地点建立索引以及文件保密级别目录，使档案能够科学的、有效的使用。

2.3 加强档案监督工作

加强档案监督工作应该首先建立完善的档案阅览制度、外界制度以及复制制度，从而规范档案利用的审批手续。其次根据人员的不同划分不同的使用范围，防止保密性级别高的档案被随意的阅览。此外档案管理人员要勤快，对于有问题的档案应该及时的处理，并且在档案登记簿上进行备注说明。档案管理人员还应该做好档案的审查工作，其中审查工作包括初审、中审以及终审。除此之外。还有做好方案的解密工作，对已过保密期限的档案列入可以查阅和使用的范围，进而有效的提高档案的使用效率。

2.4强化档案管理人员的责任意识

档案管理人员是档案管理体系中最重要的部分，提高档案管理人员的安全意识、责任意识以及保密意识是做好学校档案保密工作的前提和基础。除此之外，档案管理人员要具备极高的责任心和保密意识，档案管理人员不仅要保障档案完整和安全，还有能够避免档案的丢失，确保档案的安全，完成高校档案的管理工作。档案管理人员在日常工作中，要时刻保持警惕和保密意识，确保档案资料不外泄。

3 结语

总之，档案的保密管理问题是现实工作中经常遇到的一个实际问题，我们一定要严肃对待。在档案管理工作中，档案保密和档案维护安全始终是放在首位的，在能够保障档案保密以及维护安全的基础下，进行科学管理、解密等措施，能够极大的提高档案的使用价值，进而能够有效的避免由于档案的泄露造成重大损失这一情况。

【参考文献】

[1] 王丽华 论我国档案保密工作的现状及对策[J]-黑龙江科技信息2011（31）

[2] 房磊 人防工程档案管理中应注意的几个问题[J]-兰台世界2011（z1）

[3] 邵永慧 浅谈行政事业单位财务会计管理中存在的问题与对策[J]-中国乡镇企业会计2012（3）

第7篇：外审员信息安全范文

计算机与网络技术使世界进入信息。Internet与电子商务的迅速发展正使企业的经营方式和管理模式发生重大变化。探索网络经营和网络财会条件下的审计，是审计机构和审计人员面临的新任务和新挑战。本文尝试探讨网络经营与网络财会对审计的影响，以及网络化条件下审计的特点与变化方向。

一、网络经营与网络财会对审计的影响

1.审计环境的改变随着Internet的普及与发展，电子商务势不可挡。电子商务大大地改变了企业的交易模式，为企业开辟了更广阔的市场。企业可以把产品资料、销售合同样本、付款方式与折扣条件等都放到企业的网页上，客户一年365天、一天24小时，随时都可以访问查阅，不受上下班时间和假日的限制。客户可以从网上了解商品，询问价格，签定合同，发送订单，甚至可以直接在网上设计自己喜欢的商品。例如，通用汽车公司别克牌汽车制造厂，在网上为客户提供自行设计所喜欢的汽车服务。客户可以从可选择的方案中分别就车身、车架、发动机、轮胎、颜色、车内结构等作具体的选择，并从屏幕上即时看到自己选择的部件组装成的汽车模样及其价格。客户还可以利用模拟驾驶软件进行驾驶试验，直到满意自己的设计结果并可立即在网上填写订单。企业可以通过网络确认交易，出口报关，发送商品（仅限于信息产品），传送发货单和发票，划账结汇等等。随着电子商务的推广，企业面对一个全新的网上空间，交易与信息以光速在网上传递。

网络技术与电子商务不仅改变了企业传统的交易模式，而且使企业内部的经营管理发生了质的变化，企业的运作由计算机信息系统（如ERP系统）按先进的管理模式控制与管理。例如，当企业收到客户订单，系统将自动检查该客户是否为经核准的赊销客户，如果是赊销客户，系统自动检查该客户的欠款有无超过赊销期、原有欠款加上本次订货金额有无超过其贷项限额，超过的订单将被挂起并通知客户，直到客户归还欠款或经有关主管特别批准才能发货，如果不是赊销客户，系统控制先收款后发货。一旦客户的订购被确认生效，通过企业内部网，订单会自动进入企业的生产计划，由计算机自动安排并组织生产。系统按事先定义的产品材料结构，根据生产计划制定材料采购计划。系统按生产订单和产品用料配方向仓库发出发料通知。确认发料时，系统自动编制转账分录，进行生产领料核算，同时监控材料库存量，一旦达到再订货点，将通知采购部门按计划购料。企业的经营管理走向网络化与自动化。

除了使企业的经营与管理方式改变外，电子商务和Internet的兴起，还带来了一种前所未有的企业——没有经营场地、没有物理实体、没有确定办公地点的虚拟企业。这些企业只要在Internet的一个结点上租用一定的空间，经过数字认证机构的认证，即可在网上接受订单、寻找货源，进行买卖。其办公地点可以是任何一台上网的计算机，包括可随身携带的手提电脑。

电子商务与网络经营使企业的经济环境、组织结构、经营方式与管理模式等审计环境都将发生巨大变化，审计师必须了解和适应审计环境的改变。

2.审计线索的改变在手工系统中，由经济业务产生纸性的原始凭证，会计人员根据原始凭证编制记账凭证，根据记账凭证登记明细账和总账，期未根据账簿编制会计报表。每一步都有文字记录，都有经手人签字，审计线索十分清楚。

在电子商务和网络经营条件下，传统的审计线索可能完全消失。在电子商务系统中，客户的订单、企业的发货单、发票、支票、电子货币或收付款凭证等都以电磁信息的形式在网上传递并存储于磁性介质中。网上交易正因为传统的纸性单据消失而被称为无纸贸易。除外部交易的原始凭证无纸化外，在网络经营条件下，企业内部业务的审计线索也发生了质的变化。不仅记录业务的内部原始单据，如领料单、入库单、验收单等原始凭证将变为电磁化的信息，而且计算机信息系统根据确认的经济业务自动编制记账凭证、登记账薄、编制报表，实现财会核算自动化。例如，当确认赊销发货时，系统立即登记有关客户的应收账款，并自动编制记账凭证：借：应收账款贷：产品销售收入（根据销量和已定义的单价计算）

贷：应交增值税——销项税（根据已定义的税率自动计算）

同时，系统按标准成本和减相应存货，并自动编制结转销售成本的记账凭证：借：产品销售成本贷：产成品（根据销量和已定义的标准成本计算）

会计的确认、计量、记录和报告都集中由计算机按程序指令执行，各项处理再没有直接责任人。代替传统纸性免让、账簿和报表的是电磁化的会计信息。这些磁性介质上的信息不再是肉眼所能识别的，可能被删改而不留下痕迹的，有些还可能是只是暂存的。如果系统设计时考虑不周，可能到审计时才发现只留下业务处理的结果而不能追索其来源。即使系统留有充分的审计线索，其产生与存储方式、其特点与风险都与传统的审计线索有重大变化。

3.安全控制改变电子商务与网络经营给企业带来了前所未有的新风险。在传统的经营条件下，企业资产和经营的安全可以通过建立健全的内部控制得以保证。在网络经营条件下，企业的经营和资产的安全离不开连在Internet上的计算机信息系统和网络，安全不再是企业内部所能完全控制的。计算机病毒和黑客攻击都可以从地球上的任何一个角落通过网络威胁到网络化企业的安全。虽然国际上广泛采用防火墙技术防止来自外部的攻击，但黑客和病毒的入侵仍屡屡得呈。全球著名的雅虎等5大网站曾连续受到了黑客的攻击，迫使网站停止服务许多个小时，使企业受到巨大损失。因为电磁信息可以删改且不留痕迹，企业在电子商务中要面对如何解决以前通过不可篡改的白纸黑字、签字盖章实现的交易确认、付款和网上信息传递的保密等。这些问题现在一般是通过由独立的第三者加数字时间截，综合运用有公钥和私钥的非对称加密和hash技术等解决。这些控制措施都是在Internet上实施的，且都与被审计单位的资产与经营的安全可靠有直接的关系。另外，网络化经营管理还存在计算机舞弊问题。计算机舞弊常具有智能性、隐蔽性和危害严重性、易逃避责任的特点。

由于电子商务与网络经营的特殊性，网络化条件下要建立许多全新的安全控制。这些控制除了包括企业内部的管理制度和企业信息系统的程序控制外，还包括外部网及网上交易的安全控制。如何识别、、审查和评价这些安全控制，是网络经营与网络财会给审计提出的一个新问题。在审计中，审计师要对企业的内部控制进行审查和评价，以作为制定审计方案和决定抽查范围的依据。

4.审计技术改变在手工会计条件下，对会计资料的审计一般采用审阅、核对、分析、比较和困证等。这些审查工作都是由人工执行的。在经营与财务网络化条件下，由于审计环境、审计线索、安全控制和审计内容的改变，决定了计算机辅助审计技术是必不可少、效率更高的审计技术。首先，审计人员要对计算机管理系统的处理和控制功能进行审查。此项审计常要利用计算机辅助审计。此外，在网络化条件下，由于缺乏纸性的审计线索，审计人员不得不使用计算机跟踪电磁性的审计线索。离开了计算机，审计人员根本无账可查。利用计算机可以更快速、更有效地对电磁化的经济信息进行抽样、检查、核对、分析、比较和计算，能有效地提高审计效率。扩大审查范围、提高审计质量。

信息技术不仅给审计人员带来挑战，也带来机遇。网络化使计算机成为审计必不可少的工具，计算机辅助审计技术将成为审计不可缺少的常用技术。

5.对审计人员要求提高在网络化条件下，由于审计环境、审计线索、安全控制、审计内容和审计技术的改变，决定了对审计人员的要求更高。没有计算机、网络技术和电子商务等知识的审计人员，会因为审计线索的改变而无法进行审计；会因为不懂得网络经营与网络财会的特点、风险及其应有的安全控制而不能识别、审查和评价企业的风险和控制；会因为不懂得信息系统及其开发而无法对信息系统的功能和开发进行审计；会因为不懂得计算机和Internet的使用而无法利用计算机审计。为了在网络化条件下能更好地执行审计监督、鉴证和评价任务，审计人员不仅要有会计、审计、经济、管理、法律等方面的知识，而且要掌握计算机、网络、信息系统、Internet和电子商务等多方面的知识和技能。审计人员要了解网络经营与网络财会的特点和风险，掌握应有的控制及其审计方法；要懂得如何审计计算机管理系统的功能与开发；要能够利用计算机和网络进行审计。为了能有效地利用计算机进行审计，审计人员还要开发或协助开发各种审计软件。经营与财会网络化要求审计人员有更高的技术素质和知识水平。不过，很难要求会计师成为计算机与网络专家。因此，在网络化条件下，计算机与网络专家、信息系统与电子商务专家将在审计组织中担任重要角色。

二、经营与网络财会条件下的审计初探

在网络经营与网络财会化条件下，由于上述种种因素的，审计业务将发生很大变化，这里笔者仅对网络化条件下审计的特点和方向作一些探讨。

正注重对机管理系统开发的审计在网络化条件下，为了企业能正常经营、有效管理，必须建立合法、有效、安全的计算机信息系统与企业内部网。为达到此目标，有必要对信息系统（如ERP系统）的开发进行事前、事中的审计。这项审计工作一般由内部审计人员或企业聘请的审计人员执行。在系统开发的各阶段，审计人员要注意审查：（1）系统的可行性；（2）系统经营业务和财会处理功能的合法性和正确性；（3）系统程序控制与管理功能的恰当性与有效性；（4）系统的可审性（留下充分的审计线索）；（5）系统测试的全面性和恰当性；（6）系统文档资料的完整性；（7）系统的可扩展性。通过事前与事中审计，尽早发现系统的，及时提出改进的建议，把好系统质量第一关；同时也为审计人员今后对系统的处理和控制功能审计打下基础。

此外，审计人员可在系统阶段根据网络化审计的特点对系统提出审计方面需求：（1）在系统中建立监控程序（又叫嵌入审计程序），以便计算机能对一些敏感和重要环节实行实时监控，把异常的情况自动记入审计文件，以便审计人员审查。（2）在系统中建立审计子系统，提供审计程序、审计工具和审计档案库，以便审计人员进行网上审计。随着网络化的，此项审计越来越重要。

2.对计算机信息系统的功能与控制的审计在网络化条件下，手工条件下的账账核对、账证核对、账表核对等重要的审计工作在网络化条件下将失去意义。因为在计算机信息系统中，原始凭证、记账凭证、各种账簿、报表等只是系统中的同一个数据库，甚至是同一个数据表（如记账凭证表）的数据按不同的方式输出罢了。这些会计信息的正确与否，首先确定于计算机信息系统功能的正确性，因此有必要对系统的功能进行审计。对系统功能的审计目标包括：（1）审查验证系统对各项业务处理的合法性、正确性和可追索性。（2）审查系统程序控制功能的恰当性和有效性。因为系统的程序有被篡改而不留痕迹的特点，所以即使系统开发进行过审计，仍有必要对投入使用后的系统功能进行审计。审计人员可以用测试数据法、整体检测法（ITF）、嵌入审计程序法等对系统功能进行审查。

在网络化情况下，系统提供的信息的可靠性除决定系统的功能外，还决定于系统的操作和内部控制。没有健全的内部控制，系统的程序和数据都可能随时被人篡改。在网络化条件下，企业的内部控制包括程序化的控制和要求员工执行的管理制度。程序化的控制编写在系统应用程序中，可在系统功能审计中审查。无论网络化程度有多高，系统还得由人操作。为确保系统的安全可靠和系统输出信息的真实正确，必须对企业管理制度的完善性和有效性进行审计。网络化情况下，系统内部控制的符合性测试要比手工条件下重要得多。

3.开展网上审计网络经营与网络财会为开展网上审计提供了前所未有的机遇。审计人员只要把自己的计算机接到网上，并取得被审单位给予的审查权限，就可以在任何地方通过网络完成除实地盘点和观察外的大部分审计工作。审计项目负责人可以在网上制定审计计划，给各审计人员（可以在不同地点）分配审计任务；在网上复核助理人员的工作底稿，并对助理人员给予指示与帮助；随时了解审计项目进展情况，协调各审计人员的工作；草拟和签发审计报告。审计人员可以通过网络审查远距离外的计算机信息系统功能；调用系统的审计功能或使用审计软件对系统的磁性与会计信息进行抽样。审查、核对和分析；使用邮件向被审单位的银行、客户和供应商等进行函证；在网上复制有关文件或数据等审计证据、编写工作底稿等等。若在系统开发时嵌入了审计程序，计算机还可以自动对经济业务进行实时的监控，自动完成部分审计任务。

因为网上审计的资料与收集的证据大多是以电磁形式存在的，工作底稿改变为电磁化的信息，而且这些证据只能通过计算机使用相应的私钥或公钥才能识别。因此在网络化条件下，这些电磁化的审计档案可存储在审计机构的档案库中，通过网络可供主管复核、同业检查或必要时作为证据。

4.外部网及有关机构的审计电子商务的真实、安全性不仅涉及企业的内部网而且关系到外部网，但外部网不是企业所能完全控制的。为了证实电子商务的真实和安全性，各单位可能都要求审查网上的认证机构、加数字时间戳的机构、网上银行或电子货币发行单位的真实、可靠性，要求评价各种Internet上加密技术、防火墙技术等网络安全控制措施的有效性。所有这些都由每个单位组织审查和评价是不实际的，也是不必要的。解决电子商务有关单位（如网上认证机构、网上银行等）的真实、可靠性审计，可以由这些机构聘请信誉和资质都较高的独立审计机构对这些单位的资格、能力、安全及可靠性进行审计，并出具报告，各有关单位则依赖这些审计报告进行评价。对有关安全保密技术有效性的审查，同样可由有信誉和技术水平较高的独立部门或机构对这些技术组织评审和鉴定，并提出评价报告，供用户。

第8篇：外审员信息安全范文

关键词：宣传；保密；微信公众号

“内树信心，外塑形象”，做好宣传鼓动，调动和激励广大干部职工积极性的发挥、不断增强单位的知名度和美誉度，历来是军工单位宣传工作的目标。而该项工作在军工单位跨越发展的大背景下，在日益严峻的保密形势下，显得尤为重要、紧迫，且富有挑战性。因此，如何处理好宣传和保密工作的关系，在严峻保密形势下做好宣传工作，便成为亟待研究解决的课题。

一、军工单位宣传保密工作的严峻性

军工行业新闻宣传保密工作呈现四大主要特点：一是涉及范围广、载体多；二是泄密渠道日趋增多，互联网、移动互联网成为主渠道；三是泄密速度快、损失严重，危害巨大；四是分寸和时效性难以掌握。

据不完全统计，军工行业现有上万种媒体，可以说每时每刻都通过报纸、刊物、互联网、移动互联网、图书、广播、电视等工具和手段，采取多种形式与社会发生联系。内容涉及本行业的重大成果、重要活动、军民结合，涉及武器装备科研、生产、试验，涉及军工科研发展规划，生产能力、结构、布局、产量等，存在巨大的失泄密隐患。

（一）军工单位新闻宣传的特殊性

一是政治性极强，高度敏感，对时机、分寸、频度等的要求高。没有哪个行业的新闻工作能与军工单位相比，稍有不慎就会对国家安全带来损害，留下隐患或者授人以柄，压缩我国在国际上的回旋余地，影响国际形象、影响国与国之间关系，影响我技术引进，造成巨大的政治和经济损失。

二是科技含量高，蕴含的新闻价值极高。军工单位所从事的往往是尖端技术，代表最新成果、最高水平、未来发展方向，是大国角力、竞争、争夺科技制高点的重要领域，一经公布就会成为获取信息、开展研究的重要来源，某些性能特点、技术指标就有可能被人分析掌握。

三是社会关注度高，冲击力强，国际影响大。由于军工行业和国家的综合实力、国际地位、国人的民族感情紧紧联系在一起，重要信息一经公布就会引起轰动，形成关注热点，并产生强烈的放大效应，在国际社会产生影响，引发种种解读和议论。

（二）军工单位新闻宣传中泄密的主要原因

一是保密意识不强，敌情观念淡薄。

二是保密知识不够，培训学习不足。

三是执行保密制度松懈，审查把关不严。

四是名利思想作怪，法制观念不强。

我们知道，媒体的特点是追求新鲜刺激的东西，而军工行业尤其是关于武器装备科研生产的消息，恰恰具有这种价值。媒体在报道时会主动取悦于大众，千方百计满足大众的心理需求，不爆料就觉得不过瘾。新闻价值很大程度上取决于时间，有价值的重要新闻，恰恰在时间上保密要求非常严格。因此，如果片面追求新闻价值或轰动效应，稍有疏忽或不慎，就会造成严重的泄密、失密。

军工单位部分宣传人员对保密缺乏认识，只看到新闻，看不到敌情；只注重新闻的价值和时效性，而忽视了保密和应走的流程；只重视宣传自己的成绩、经验、效益，而忘却了其中包含的国家秘密，从而造成了无可挽回的损失。

二、严峻保密形势下做好宣传工作的对策

（一）正确处理好保密与宣传的关系

新闻和保密是贯穿于军工单位新闻宣传工作中一对相依相存的矛盾。客观地讲，宣传工作（特别是对外宣传）与保密要求之间确实存在一定矛盾：宣传部门有责任将本单位改革发展的实绩和职工拼搏奋进、无私奉献的精神宣传出去，在外界树立良好形象；而保密规则则要求“能不说尽量不说”，甚至“只做不说”。

然而，二者的根本目的又是相同的，都是为了实现单位利益最大化。因此，正确处理好新闻宣传与信息保密的关系，必须坚持“保放适度”的原则，以最大限度实现本单位安全利益、竞争利益和发展利益为准绳，既要做到该保的坚决保住，不以新闻宣传为由排斥保密；又要做到该宣传的宣传好，不以保密为由阻碍宣传。

要做到万无一失，必须执行“六个一”纪律：

建立一套责任体系――严格执行“业务谁主管，保密谁负责”的原则，建立逐级审查的保密责任体系，明确各级人员的保密职责。

确定一个保密范围――按照国家相关要求，严禁公开报道涉及我国国防科技工业研制生产的武器装备性能技术指标，我国国防科研生产能力、结构、布局、产量、发展规划等内容。

完善一套保密制度――建立健全采访（含拍摄）、发稿、存档、销毁等一系列工作的保密制度文件，做到“有规可依”，控制泄密源头，管住各个环节。

规范一套审查流程――作者自查、部门领导审查、单位主管领导审批、保密管理部门备案，不能出现任何空缺、代替项，不能推诿，严把出口关，不走形式。

坚持一项批准原则――对所有公开的新闻、照片、视频等，均要坚持“凡事必批”“先审后批”的原则，国家利益高于一切，不能只考虑单位、局部利益，不顾国家利益。

养成一个保密习惯――宣传人员要靠良好的素质和训练养成良好习惯，要以“保密就是保生存、保安全、保发展”的态度开

展工作，确保万无一失。

（二）在保密前提下做好对内宣传的途径

军工单位做好对内宣传，首先要严格按照军工单位新闻宣传的报道范围执行、并严格使用各项目的非密代称；其次，宣传要多关注项目推进中出现的管理、手段、工具方面的创新做法和超常拼搏的典型事例，避免直接关注技术问题或节点。

具体来讲，应重点围绕以下三方面开展对刃传：一是企业文化；二是本单位改革发展动态及行业、上级机关相关信息；三是先进典型事迹。在此基础上，着力提升宣传报道的针对性和实效性，提升宣传报道的亲切感和接受度，通过“快”、“鲜”、“高”、“深”、“广”的策略，使新闻宣传真正真正入耳、入眼、入脑、入心。

三、在严峻保密形势下拓展对外宣传的方法途径

军工单位做好对外宣传，首先要在不的情况下提升对外投稿的质量和命中率。要认真研究包括中央媒体、地方媒体、行业媒体等在内的不同社会媒体的定位及需求，提前策划，研判效果，从更高的立意看问题，发掘好材料不同侧面的价值意义，采用不同的语言风格及篇幅撰写稿件，做到有的放矢投稿。

在此过程中需特别注意的是：凡是涉军型号相关事项的内容、包括可能产生联想的内容对外一律不报道。对于创先争优和大干百日等活动涉及军品的，要严格审定文字、图片、摄影摄像，特别要注重摄影摄像背景的审核，严防失泄密。

同时，还要密切关注社会媒体对本单位武器装备信息的报道，抓好对敏感信息披露造成影响的预警和前期干预，并及时将相关情况上报上级部门。禁止内部媒体跟随社会媒体炒作武器装备研制进展，对外部媒体报道的内容要做到不转载、不评论，避免出现印证性泄密。

军工单位做好对外宣传，还要以审慎的态度办好本单位互联网网站及微信公众号。二者是军工单位进行对外宣传的重要阵地，是其自身完全可控的平台。特别是微信公众号，不仅与当下“移动互联”的时代特征及大众碎片化阅读习惯相吻合，而且包容性极强。因此，军工单位要适应移动化传播趋势，创新文体风格、编排方式和传播渠道，善用图文、音视频、漫画等形式，推出更多生动形象、鲜活有趣的融媒体产品，切实增强吸引力和感染力，增强其对外宣传的“到达度”。

四、结束语

在严峻保密形势下，军工单位既不能麻痹大意、轻率不该的信息；也不能因噎废食，在宣传工作、特别是对外宣传中毫无作为、错失塑造形象的良机。而应该通过努力，真正做到“把该保的保住，把该说的说好”，积极将军工单位的最新成就、奉献精神、领军人物宣传出去，唱响“军工好声音”，努力让更多的人了解军工、理解军工，为军工单位发展创造良好的内外部环境。

参考文献：

[1]杰克・富勒[美].陈莉萍译.信息时代的新闻价值观[M].北京：新华出版社，1998.

[2]萨尔坦・科马里[美].姚坤，何卫红译.信息时代的经济学[M].南京：江苏人民出版社，2001.

第9篇：外审员信息安全范文

电子数据安全是建立在机安全基础上的一个子项安全系统，它既是计算机网络安全概念的一部分，但又和计算机网络安全紧密相连，从一定意义上讲，计算机网络安全其实质即是电子数据安全。国际标准化组织(ISO)对计算机网络安全的定义为：“计算机系统有保护计算机系统的硬件、软件、数据不被偶然或故意地泄露、更改和破坏。”欧洲几个国家共同提出的“信息技术安全评级准则”，从保密性、完整性和可用性来衡量计算机安全。对电子数据安全的衡量也可借鉴这三个方面的，保密性是指计算机系统能防止非法泄露电子数据；完整性是指计算机系统能防止非法修改和删除电子数据；可用性是指计算机系统能防止非法独占电子数据资源，当用户需要使用计算机资源时能有资源可用。

二、电子数据安全的性质

电子数据安全包括了广义安全和狭义安全。狭义安全仅仅是计算机系统对外部威胁的防范，而广义的安全是计算机系统在保证电子数据不受破坏并在给定的时间和资源内提供保证质量和确定的服务。在电子数据运行在电子商务等以计算机系统作为一个组织业务目标实现的核心部分时，狭义安全固然重要，但需更多地考虑广义的安全。在广义安全中，安全涉及到更多的方面，安全问题的性质更为复杂。

(一)电子数据安全的多元性

在计算机网络系统环境中，风险点和威胁点不是单一的，而存在多元性。这些威胁点包括物理安全、逻辑安全和安全管理三个主要方面。物理安全涉及到关键设施、设备的安全和硬件资产存放地点的安全等内容；逻辑安全涉及到访问控制和电子数据完整性等方面；安全管理包括人员安全管理政策、组织安全管理政策等内容。电子数据安全出现问题可能是其中一个方面出现了漏洞，也可能是其中两个或是全部出现互相联系的安全事故。

(二)电子数据安全的动态性

由于信息技术在不断地更新，电子数据安全问题就具有动态性。因为在今天无关紧要的地方，在明天就可能成为安全系统的隐患；相反，在今天出现问题的地方，在将来就可能已经解决。例如，线路劫持和窃听的可能性会随着加密层协议和密钥技术的广泛大大降低，而客户机端由于B0这样的黑客程序存在，同样出现了安全需要。安全问题的动态性导致不可能存在一劳永逸的解决方案。

(三)电子数据安全的复杂性

安全的多元性使仅仅采用安全产品来防范难以奏效。例如不可能用一个防火墙将所有的安全问题挡在门外，因为黑客常常利用防火墙的隔离性，持续几个月在防火墙外试探系统漏洞而未被发觉，并最终攻入系统。另外，攻击者通常会从不同的方面和角度，例如对物理设施或协议、服务等逻辑方式对系统进行试探，可能绕过系统设置的某些安全措施，寻找到系统漏洞而攻入系统。它涉及到计算机和网络的硬件、软件知识，从最底层的计算机物理技术到程序设计内核，可以说无其不包，无所不在，因为攻击行为可能并不是单个人的，而是掌握不同技术的不同人群在各个方向上展开的行动。同样道理，在防范这些问题时，也只有掌握了各种入侵技术和手段，才能有效的将各种侵犯拒之门外，这样就决定了电子数据安全的复杂性。

(四)电子数据安全的安全悖论

，在电子数据安全的实施中，通常主要采用的是安全产品。例如防火墙、加密狗、密钥等，一个很的问题会被提出：安全产品本身的安全性是如何保证的?这个问题可以递归地问下去，这便是安全的悖论。安全产品放置点往往是系统结构的关键点，如果安全产品自身的安全性差，将会后患无穷。当然在实际中不可能无限层次地进行产品的安全保证，但一般至少需要两层保证，即产品开发的安全保证和产品认证的安全保证。

(五)电子数据安全的适度性

由以上可以看出，电子数据不存在l00％的安全。首先由于安全的多元性和动态性，难以找到一个对安全问题实现百分之百的覆盖；其次由于安全的复杂性，不可能在所有方面应付来自各个方面的威胁；再次，即使找到这样的方法，一般从资源和成本考虑也不可能接受。目前，业界普遍遵循的概念是所谓的“适度安全准则”，即根据具体情况提出适度的安全目标并加以实现。

三、电子数据安全审计

电子数据安全审计是对每个用户在计算机系统上的操作做一个完整的记录，以备用户违反安全规则的事件发生后，有效地追查责任。电子数据安全审计过程的实现可分成三步：第一步，收集审计事件，产生审记记录；第二步，根据记录进行安全违反；第三步，采取处理措施。

电子数据安全审计工作是保障计算机信息安全的重要手段。凡是用户在计算机系统上的活动、上机下机时间，与计算机信息系统内敏感的数据、资源、文本等安全有关的事件，可随时记录在日志文件中，便于发现、调查、分析及事后追查责任，还可以为加强管理措施提供依据。

（一）审计技术

电子数据安全审计技术可分三种：了解系统，验证处理和处理结果的验证。

1．了解系统技术

审计人员通过查阅各种文件如程序表、控制流程等来审计。

2．验证处理技术

这是保证事务能正确执行，控制能在该系统中起作用。该技术一般分为实际测试和性能测试，实现方法主要有：

（1）事务选择

审计人员根据制订的审计标准，可以选择事务的样板来仔细分析。样板可以是随机的，选择软件可以扫描一批输入事务，也可以由操作系统的事务管理部件引用。

（2）测试数据

这种技术是程序测试的扩展，审计人员通过系统动作准备处理的事务。通过某些独立的，可以预见正确的结果，并与实际结果相比较。用此方法，审计人员必须通过程序检验被处理的测试数据。另外，还有综合测试、事务标志、跟踪和映射等方法。

（3）并行仿真。审计人员要通过一程序来仿真操作系统的主要功能。当给出实际的和仿真的系统相同数据后，来比较它们的结果。仿真代价较高，借助特定的高级语音可使仿真类似于实际的应用。

（4）验证处理结果技术

这种技术，审计人员把重点放在数据上，而不是对数据的处理上。这里主要考虑两个：

一是如何选择和选取数据。将审计数据收集技术插入应用程序审计模块（此模块根据指定的标准收集数据，监视意外事件）；扩展记录技术为事务（包括面向应用的工具）建立全部的审计跟踪；借用于日志恢复的备份库（如当审计跟踪时，用两个可比较的备份去检验账目是否相同）；通过审计库的记录抽取设施（它允许结合属性值随机选择文件记录并放在工作文件中，以备以后），利用数据库管理系统的查询设施抽取用户数据。

二是从数据中寻找什么？一旦抽取数据后，审计人员可以检查控制信息（含检验控制总数、故障总数和其他控制信息）；检查语义完整性约束；检查与无关源点的数据。

（二）审计范围

在系统中，审计通常作为一个相对独立的子系统来实现。审计范围包括操作系统和各种应用程序。

操作系统审计子系统的主要目标是检测和判定对系统的渗透及识别误操作。其基本功能为：审计对象（如用户、文件操作、操作命令等）的选择；审计文件的定义与自动转换；文件系统完整性的定时检测；审计信息的格式和输出媒体；逐出系统、报警阀值的设置与选择；审计日态记录及其数据的安全保护等。

应用程序审计子系统的重点是针对应用程序的某些操作作为审计对象进行监视和实时记录并据记录结果判断此应用程序是否被修改和安全控制，是否在发挥正确作用；判断程序和数据是否完整；依靠使用者身份、口令验证终端保护等办法控制应用程序的运行。

（三）审计跟踪

通常审计跟踪与日志恢复可结合起来使用，但在概念上它们之间是有区别的。主要区别是日志恢复通常不记录读操作；但根据需要，日记恢复处理可以很容易地为审计跟踪提供审计信息。如果将审计功能与告警功能结合起来，就可以在违反安全规则的事件发生时，或在威胁安全的重要操作进行时，及时向安检员发出告警信息，以便迅速采取相应对策，避免损失扩大。审计记录应包括以下信息：事件发生的时间和地点；引发事件的用户；事件的类型；事件成功与否。

审计跟踪的特点是：对被审计的系统是透明的；支持所有的应用；允许构造事件实际顺序；可以有选择地、动态地开始或停止记录；记录的事件一般应包括以下：被审讯的进程、时间、日期、数据库的操作、事务类型、用户名、终端号等；可以对单个事件的记录进行指定。

按照访问控制类型，审计跟踪描述一个特定的执行请求，然而，数据库不限制审计跟踪的请求。独立的审计跟踪更保密，因为审计人员可以限制时间，但代价比较昂贵。

（四）审计的流程

数据安全审计工作的流程是：收集来自内核和核外的事件，根据相应的审计条件，判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阀的报警值时，则向审计人员发送报警信息并记录其内容。当事件在一定时间内连续发生，满足逐出系统阀值，则将引起该事件的用户逐出系统并记录其内容。

常用的报警类型有：用于实时报告用户试探进入系统的登录失败报警以及用于实时报告系统中病毒活动情况的病毒报警等。