筑牢保密意識 確保審計信息安全

【摘要】隨著信息技術的迅猛發展，在為金融機構帶來收益和效率的同時，也使信息安全保密問題日益凸顯，在全球范圍內，信息安全事件頻發，給銀行和客戶造成經濟損失的同時，也帶來了巨大的聲譽損失。面對日益復雜的國內外經濟金融形勢和日趨激烈的同行業競爭，審計信息安全保密面臨嚴峻的挑戰，銀行業敏感信息和商業秘密是不法分子竊取的重點目標，做好審計信息安全保密工作刻不容緩。本文從審計信息安全保密的重要性入手，分析存在的主要問題和風險，提出審計信息安全保密防范措施。

【關鍵詞】保密意識 審計信息安全

審計信息是審計人員在工作中運用一定的技術、方法、手段，收集加工提煉整理的業務信息，是反映和體現審計工作成果的重要載體，主要包括審計工作信息和審計項目信息，涉及銀行敏感信息及經營決策管理的商業秘密。審計人員泄密風險如影隨形，無時不在，審計信息保密事關銀行信息安全和審計聲譽。因此，審計人員肩負審計數據及信息安全的重任，牢固樹立保密意識、嚴格履行保密職責、執行保密紀律是每個審計人員義不容辭的責任。

一、審計信息渠道

審計信息主要來源于審計管理系統及平臺信息和審計業務信息收集兩個方面：

第一，審計管理系統及平臺信息是審計人員在實施審計項目、進行審計管理的過程中，通過審計應用系統及平臺獲取審計業務操作與管理的業務和數據信息，包括非現場審計系統（OAS系統）信息、審計管理信息系統（AMIS系統）信息、審計知識庫系統信息、任期經濟責任審計信息資料庫信息、總審計室信息平臺等信息。

第二，審計業務信息是審計項目和日常審計工作中由各級機構提供的業務信息以及審計項目信息。業務信息包括審計機構審計計劃、審計研究成果、被審計機構經營計劃及業務指標、客戶及其賬戶信息、業務管理信息等，以及通過Notes郵箱、辦公自動化系統（OA系統）、檔案管理信息系統等收集整理的各類業務信息。審計項目信息包括審計方案、審計報告、審計模型、審計證據、審計工作底稿，以及審計過程中通過會計檔案管理系統、UAAP統一報表發布平臺、對公信貸業務流程系統（CLPM系統）、個人信貸管理系統（A+P系統）、信貸管理系統（CMISII系統）、ODSB二期及ERPF報表查詢等收集加工整理的各類信息。

二、主要問題和風險

（一）審計信息未集中管理，存在泄密的潛在風險隱患

便攜式計算機是審計人員的必備工具，其中存儲大量重要信息，實施審計項目按照審計方案要求分組開展，審計現場點多面廣，審計資料不便于集中，審計人員注重信息資料使用忽視保密管理，對敏感及涉密信息未經加密處理采取保密措施，形成審計信息安全隱患。一是項目實施過程中審計信息處于分散失控狀態，缺乏安全管理；二是審計項目結束后，由于未明確和指定專人負責歸集審計項目信息，致使審計人員未及時清理、歸集移除審計項目電子信息資料，長久滯留審計人員計算機中將可能導致審計信息流失和泄密。

（二）計算機上網導致審計信息失密，造成損失形成銀行聲譽風險

計算機上網成為信息泄露的主要途徑，涉密計算機使用無線鍵盤或鼠標上網、移動存儲介質與聯網計算機交叉使用將會導致失泄密。一是審計人員因工作需要，有時通過互聯網傳送或下載工作信息，或上網查詢信貸客戶企業注冊登記等信息，如果客戶敏感信息被不法分子截獲并利用，給客戶帶來不利影響的同時，將會導致銀行聲譽風險的嚴重后果。二是審計人員使用的計算機、U盤等磁介質若不采取保密措施，未經加密在互聯網上傳輸行內重要數據或信息，被竊密者運用技術軟件竊取，無意中將泄露銀行敏感信息或商業秘密，給銀行造成無可估量的損失。

（三）審計管理系統用戶認證安全機制低、對客戶敏感信息訪問無控制

由于非現場審計系統對相關敏感數據字段未能加密，在審計項目實施過程中，審計人員登錄系統可任意查詢導出相關的信息及數據，存在敏感信息和商業秘密泄漏的風險。

三、審計信息安全管理措施

第一，健全制度，落實責任。為加強審計信息安全保密，對于計算機設備使用管理、審計管理系統運行管理及數據信息安全保密管理，制定信息安全管理制度，明確責任，落實保密職責。

第二，加強安全保密培訓和教育，筑牢審計人員的安全和風險意識。一是要警鐘長鳴，加強警示教育，做到防患于未然。二是建立信息安全的長效機制，將審計信息安全保密作為審計人員培訓教育的重要內容，使之深刻認識安全無小事，牢記“失之毫厘、謬以千里”道理，始終繃緊安全保密意識的弦，嚴守保密紀律，自覺履行保密職責。

第三，加強審計系統用戶管理，嚴格用戶操作權限，禁止將用戶口令及UKEY轉借他人使用。在未開展審計項目階段限制非現場審計系統操作用戶，使用系統必須經過申請批準，以防止敏感信息泄露。搭建開放的非現場審計系統學習培訓環境，提供審計人員用于學習操作非現場系統。

第四，利用管理信息平臺FTP服務器對審計重要信息進行管理，實現遠程資源共享，審計人員可查詢相關工作信息，本機不再保存敏感信息和數據，切實防范便攜機或移動硬盤存儲審計信息失泄密的風險隱患。

第五，落實安全管理責任，簽訂《審計崗位人員保密協議》，強化保密意識，約束審計信息保密行為。

第六，加強涉密計算機管理，嚴防信息失泄密。設置屏幕保護的時間和密碼，確保在長時間不使用計算機時對屏幕上和系統內的敏感信息進行安全保護。涉密計算機做到專機專用，與互聯網物理隔離，禁止通過電子郵箱或互聯網傳輸涉密及重要工作信息，避免移動存儲介質交叉使用。

第七，應用技術手段加強信息安全管理，審計條線全員推廣使用Windows7（企業版）操作系統，應用全盤加密（BitLocker）功能，能夠有效降低因設備物理丟失導致的審計信息泄露風險，有助于加強審計信息安全管理。

第八，以檢查促落實，嚴堵泄密漏洞。設立安全管理員負責信息安全日常檢查監督，采取實時監控和定期檢查相結合的方式，在全面自查的基礎上，對審計人員的計算機進行檢查和抽查，落實整改。

第九，建立激勵與約束機制。為使審計信息管理的規范化，不斷提高審計信息安全管理水平，建立激勵和約束機制是促進審計信息安全管理可靠保證，將信息管理情況作為部門和個人年度考核的重要內容。