數據安全審計過程問題控制研究

◆胡東華

數據安全審計過程問題控制研究

◆胡東華

（公安部第三研究所華南技術研究中心 上海 200031）

目前，數據技術在我國的信息化領域應用越來越廣泛，社會企業紛紛采用基于數據分析的模型進行業務分析，而數據使用的過程中卻存在眾多安全和合規風險，因而需要引進數據安全審計，提高企業安全合規水平，健全我國數據合規水平，為我國數據安全發展提供基礎的保障。本文主要分析數據安全審計，以及針對數據審計過程中存在的問題的控制研究，具體探討如何采取有效的措施控制問題。

數據安全；審計；問題控制

伴隨著互聯網信息技術的發展，國內各行業大數據應用也百花齊放，主要包括電子政務數據應用、電商數據應用、金融數據應用、征信數據應用、醫療數據應用、電信數據應用和工業數據應用等多個領域，數據應用對人們生活、工作、思維方式等許多方面帶來了影響，從而提高人們對數據信息的開發和利用，通過數據分析從而進行事項決策。然而數據的采集、使用、處理等過程中，很多企業因業務發展等原因忽略了安全因素，從而導致眾多的安全事件發生。對于傳統的信息系統安全防護，企業會引進安全審計來幫助企業有效規避安全風險。然而審計過程中依舊存在審計規范不嚴謹、審計人員操守等問題。本文主要對如何有效控制數據安全審計過程所產生的問題進行深入的研究。

1 數據安全審計的發展現狀

數據安全是通過采用各種技術和管理措施，使網絡系統正常運行，從而確保網絡數據的可用性、完整性和保密性。在當今信息化發展迅速的時代，數據安全是各大企業的“命根子”，一旦出現數據安全事件，往往直接影響各企業的業務發展，甚至是企業的生死，例如近期發現的“微盟數據”破壞事件。所以為了避免數據安全問題，很多企業都采用了安全巡檢、等級保護、安全審計等方法來規避數據安全問題。目前，銀行、證券、政府機關、公安機關、具有一定規模的民營企業均定期開展數據安全審計工作，數據安全審計已逐步成為各大企業的信息化安全防范手段。

2 數據安全審計實施的流程

2.1 數據安全信息系統審計流程的準備階段

在數據安全信息系統審計實施的準備階段過程中，主要涉及三個方面的內容，其一是審計目的，其二是審計的相關工作人員，其三則是審計的基礎設施。從審計的目的方面來看，準備的階段是審計在實施過程中的目的和范圍，通過確定審計實施的目的，為后續開展審計工作奠定堅實的基礎。從審計的工作人員來看，審計工作人員要進行小組劃分，合理的組建一個審計小組，審計小組內的人才要具備多種才能，既包括信息技術過硬的專業人才，又包括復合型的審計人才，這些審計人才要具備自己的職業道德素養，具備專業化的審計知識。從審計的基礎設施中來看，審計的工作人員要全面了解與數據相關的信息，包括軟件與硬件，只有摸清了相關的基礎設施信息，才能為后續開展審計工作做好準備。

2.2 數據安全審計流程的實施階段

數據安全審計主要采用訪談、測試、查閱文檔等等方法開展，實施維度主要包括三個方面，一般控制，應用控制與項目控制。一般控制是指數據安全服務商與用戶進行一般的控制，以此來提高審計效果的安全信息工作，確保審計單位提供的資料真實可靠；而應用控制的審計主要是對于數據安全系統的業務流程進行控制點審計，根據審計單位的特點以及實際的需求來對審計的關鍵節點進行全面控制；項目控制的審計主要是通過進行項目化的管理，來充分考慮審計項目組織和戰略目標的安全。

2.3 數據安全審計流程的終結階段

在完成現場審計后，審計單位要根據實際控制情況，結合取證情況出具客觀真實的審計報告，在這個過程中要對審計的結果進行全方面的核對，提高審計的真實準確性。

3 數據安全審計過程存在的問題

3.1 未能貼合客戶情況開展審計

部分審計單位由于存在任務重、壓力大、人力資源緊張等情況，審計單位想盡快完成當前審計項目。所以他們在開展審計項目時，僅對客戶的現狀進行簡單的分析，未與客戶進行充分地溝通，未能充分理解客戶的審計目標，更未深入理解客戶的業務情況，導致審計結果偏離業務目標。

3.2 審計規范性存在不嚴謹

一是部分人員在開展審計項目時，對審計工作理解不夠透徹，認識不夠到位，認為只需要找到審計問題就相當于完成了審計項目，確忽略了一些必要而嚴謹的細節，比如只為了找問題而忽略了引用的審計依據，使審計依據與問題不搭邊，不適用于客戶實際情況；二是審計過程，材料取證并非按照既定規范流程開展，部分的取證內容為口頭確認，但未進行書面化確認，取證的不嚴謹可能導致審計發現的問題所引用“證據鏈”存在不真實的可能性；三是審計人員將自身的意志引入審計過程，并非客觀開展審計工作，這容易導致審計過程不正當，不公正，不客觀，容易產生不準確的審計結論。四是內部審計制度流程存在缺陷、不規范等問題，未能按照《中華人民共和國審計法》、《中華人民共和國審計準則》的要求開展對應的審計工作程序，落實全過程的質量控制。

3.3 審計人員自身存在不足

目前參與數據安全審計的人員無論在資質上或是經驗等方面參差不齊。具體體現在：部分審計人員并非計算機或信息安全相關專業畢業，對審計工作本身就存在眾多不理解的地方；部分審計人員雖然參與過安全測評、安全巡檢等相關信息安全的工作，但審計工作與測評、巡檢等工作存在一定的差異性，需要具備一定的審計理論基礎，外加培訓學習的力度不足，審計人員都是由參與過安全測評或安全巡檢的人直接參與審計工作，這導致了審計工作落實不全面或不規范的情況。其次，審計人員自身廉政意識不足，容易受到外界不良誘惑的影響，接受利益相關方的賄賂，這導致審計意見不正確，偏離審計原有的公正性。

4 數據風險規范的實施對策分析

4.1 審計單位要加強人員對審計工作的認知

審計單位內部要加強宣傳力度，可通過網絡、座談會等宣傳形式，讓審計基礎工作和基礎知識深入各審計人員的各方面，引起審計單位領導和審計人員對審計工作的關注，加強相關認知。

4.2 審計單位要加強人員培訓工作

通過集中培訓和自學相結合的方式，提高審計人員的自身素質，使其對審計工作有一個系統、全面的理解，在工作中強化基礎知識，做到精益求精，促進降低審計工作的錯誤出現概率。

4.3 審計單位要逐步完善審計規范

審計單位要加強對《中華人民共和國審計法》、《中華人民共和國審計準則》、《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》等法律法規的認知，按照相關法律規定逐步健全自身審計制度，制定完善的審計程序，規范審計底稿等產出物。具體體現在：一、審計制度要更嚴謹細致，制定的審計制度要廣泛征求客戶不同層次的意見，深入進行調查，緊緊圍繞業務，把握客戶最關注的難點、焦點，認真分析研究審計工作情況，提出審計目標，明確工作重點，找準審計工作最能有效地發揮作用的關鍵點，來確定審計項目計劃。二是制定審計方案要嚴謹細致，制定審計方案要深入用戶以及關聯單位進行審前調查，摸清審計項目的總體情況，掌握審計對象的數據安全特征，了解相關法律、法規、規章制度、政策及相關行業特點。按照計劃確定審計目標、審計重點和實施步驟、安排審計力量、審計時間。三是審計實施要嚴謹細致。在實施審計過程中，要將認真貫徹到審計的全過程，要引入先進的審計理念，不斷學習和創新，運用科學的審計技術和方法，提高審計力度和深度；要增強職業敏感性，慎用自由裁量權，決不能擅自放棄審計中發現的每個問題疑點和案源線索；要充分收集審計證據，做到實事求是，確保每一份審計證據和審計工作底稿都合法、可靠、有效。四是撰寫審計報告、審計處理、審計建議要嚴謹細致。撰寫審計報告要防止報告失實以及錯誤評價。要充分聽取、認真研究用戶的意見，既要敢于堅持原則如實揭露問題，又要勇于改正錯誤，確保審計報告評價等內容的完整準確和客觀公正；要堅持以事實為根據、以法律為準繩，對審計中發現的問題，要充分考慮用戶存在的問題和產生的主客觀背景，實事求是地進行處理。要從體制、機制層面深刻剖析問題、原因和癥結，積極提出完善制度、深化改革的審計建議。要嚴格履行會審、復核、審理等工作，按照審計報告的規范格式，認真細致地撰寫審計報告。

4.4 完善審計過程質量監督

要建立健全業務工作考核制度。不僅考核審計成果，還要考核審計組是否按質按量完成任務，確保審計工作決策科學、管理規范和有序推進。

4.5 用戶要選擇高質量審計機構

市場上數據安全審計服務供應商的服務質量參差不齊，用戶要合理地選擇供應商，最大程度地確保數據安全審計服務的質量，為數據的安全防護提供相關的措施。

5 結語

綜上所述，數據安全信息系統審計模式是我國目前審計發展的必然趨勢之一，通過應用這種方式，可以節省審計單位的工作時間，提高審計的質量和效率。在數據安全審計的建設過程中，相關審計單位必須要嚴格的規范自己的行為，嚴格遵守制度，通過高水平的數據安全審計服務，確保審計服務的安全性與可靠性，減少審計風險的發生。

[1]莊緒路.大數據技術在計算機信息安全中的應用分析[J].計算機產品與流通，2020（06）.

[2]孫燕琴.云計算與大數據背景下個人信息的安全協同問題研究[J].現代信息科技，2019（21）.

[3]張春麗.大數據環境下的云計算信息安全問題[J].信息與電腦（理論版），2019（13）.