|
新手游下載量破百萬了����,身為開發(fā)者的小A卻一點興奮不起來...... 游戲上線后���,小A眼瞅著業(yè)務平臺數(shù)據(jù)一路飆升�。如此海量用戶轉化個80%的充值玩家不和玩似得�����?結果半年過去了���,小A不光沒靠著優(yōu)勢掙到錢����,還反虧一大筆。 
難道數(shù)據(jù)有問題���?小A資訊了業(yè)務平臺客服��,結果真是如此�,他得知自己使用的業(yè)務平臺存在數(shù)據(jù)篡改的情況���,下載量都是刷單平臺堆上去的假數(shù)據(jù)。 看來���,業(yè)務平臺不靠譜真是后患無窮���。上述僅是本宅YY的故事,但與之類似的事件在其他行業(yè)頻發(fā)�。那么,怎樣才能制止這種坑爹的情況再度發(fā)生呢�����? 
在2019年4月26日�����,以“共享數(shù)據(jù)價值·共擔安全責任”為主題的第三屆中國數(shù)據(jù)安全治理高峰論壇在北京落幕。在26日下午的數(shù)據(jù)安全治理金融分論壇上���,大信會計師事務所合伙人郭穎濤就金融業(yè)案例向我們分享了IT審計數(shù)據(jù)安全的重要性及其保障方案�����。 金融業(yè)數(shù)據(jù)安全問題頻現(xiàn) IT審計是審計準則里面規(guī)定的一個專業(yè)術語�。信息系統(tǒng)是企業(yè)生產(chǎn)活動����、經(jīng)營活動不可或缺的部分。IT審計是作為信息科技風險的第三道防線���,是對以計算機為核心的信息系統(tǒng)進行的審計���,具體而言就是指IT審計人員從獨立的第三方的角度,對信息系統(tǒng)從規(guī)劃��、開發(fā)�、測試、實施到運行維護的過程進行審查與評價的活動�����。 與上述案例類似,金融行業(yè)審計�,數(shù)據(jù)的特點表現(xiàn)為數(shù)據(jù)量巨大,數(shù)據(jù)分支之間形成復雜的內部體系���。一般情況下��,事務所為了確保財務數(shù)據(jù)的準確性需要通過業(yè)務數(shù)據(jù)系統(tǒng)和財務數(shù)據(jù)系統(tǒng)進行比對��。 該過程中����,難免會出現(xiàn)數(shù)據(jù)安全問題�����。典型案例整理如下: 
“想要審計數(shù)據(jù)精準無誤�����,對其過程進行安全把控顯得尤為重要——審計過程中的權限問題�、數(shù)據(jù)篡改問題�、限制設置合理性問題等等,均會影響最終財務月報的準確性�����。” 把關安全:IT審計 要想獲取準確的財務數(shù)據(jù)�,就要檢查整個信息系統(tǒng)是否可靠,就要進行IT審計�����。 “隨著IT技術的快速發(fā)展以及在金融行業(yè)的深入運用����,越來越多的業(yè)務經(jīng)營和管理經(jīng)營活動都依賴于信息系統(tǒng)進行高速智能化的處理。為了降低審計風險�,我們要越發(fā)關注高風險領域,同時也要在審計效果和效率之間找一個平衡�,基于金融行業(yè)這個特點,我們要對財務報表的數(shù)據(jù)來源-信息系統(tǒng)進行審計����。” 郭穎濤覺得��,不光是金融行業(yè)��,幾乎所有財務核心數(shù)據(jù)來源于信息系統(tǒng)的行業(yè)����,審計工作重點都在于確認IT數(shù)據(jù)的準確性�����。 從她的角度來看����,建立完善��、高效�����、安全的信息系統(tǒng)應取得決策層的支持�����,制定數(shù)據(jù)安全管理規(guī)范����,構建數(shù)據(jù)保護技術支撐體系���,至少應包含建立權限�、重要數(shù)據(jù)備份、指定程序生成文檔��、對重要數(shù)據(jù)進行加密��、離線文檔進行管理����、外發(fā)文檔的管理這六大要素。 針對IT審計����,郭穎濤認為主要內容分為ITGC和ITAC兩塊,并逐一進行了介紹�。 ITGC ITGC是指信息系統(tǒng)一般控制審計,一般來說���,ITGC又分為IT治理和IT基礎層面的控制�。 首先是IT治理:
1�����、組織架構
公司的組織架構健全��,才有利于健全信息系統(tǒng)的順利落地��。信息系統(tǒng)管理是公司內部控制的一部分,判斷內部控制制度的有效性通常會從是否具備有效制度����、是否有效執(zhí)行兩方面入手,公司制度若想有效執(zhí)行���,必須具有健全的組織架構���。
同理,判斷信息系統(tǒng)是否有效�����,我們也需要考慮是否有健全的組織架構�,沒有健全的組織架構確保系統(tǒng)的有效安全運行,很難有效保障信息系統(tǒng)數(shù)據(jù)精準性���。
2、制度體系—運維制度
在制度體系里����,運維制度的完整性也會影響健全信息系統(tǒng)的執(zhí)行。運維制度中比較關注的包括機房管理�、網(wǎng)絡信息系統(tǒng)管理����、數(shù)據(jù)和介質管理��、安全管理����,這五點綜合起來作為衡量整個運維體系完整性的標尺。公司應根據(jù)發(fā)展戰(zhàn)略����,制定信息化發(fā)展規(guī)劃,同時滿足業(yè)務發(fā)展和信息安全的需要�。
3、崗位職責
在制度體系完備的情況下�,還要制定具體的崗位分工和崗位職責。崗位職責中的關注點在于崗位分離����,如果信息系統(tǒng)缺失了分離制度或者相關權限分配,也就失去了制約性���。如果參與系統(tǒng)使用的員工可獲取任意的調用權限�����,也就意味著整個體系面臨著被隨時篡改的可能性����。
4、資源
公司要有足夠的資源�����,保證信息系統(tǒng)有效運行��。前期主要是指一般性的資源整理����,而在一個健全的責任分工下,公司資源要足夠該制度正常運轉��,這是任何健全信息系統(tǒng)要滿足的前提條件�����。
其次是IT基礎控制:
1�、操作系統(tǒng)安全管理:口令定期更新、訪問控制�、安全策略�、默認用戶����、默認口令���、冗余賬戶���、共享賬戶等;
2�、數(shù)據(jù)庫系統(tǒng)安全管理:口令定期更新、訪問控制�、安全策略、默認用戶����、默認口令、冗余賬戶�����、共享賬戶等�;
3、應用系統(tǒng)安全管理:登錄控制����、身份識別�;
4����、安全管理制度:安全管理制度、執(zhí)行�、評估報告等;
5����、還包括網(wǎng)絡安全管理、機房管理��、數(shù)據(jù)備份管理��、數(shù)據(jù)恢復管理等�����。
ITAC
ITAC(應用層面控制審計)����,屬于具體業(yè)務流程測試,需根據(jù)客戶業(yè)務特點制定具體的IT審計策略���,針對性較強��。
一般的測試內容為財務系統(tǒng)本身的授權���、控制(崗位分離)、備份等是否得到有效把控�����;業(yè)務系統(tǒng)至財務系統(tǒng)的數(shù)據(jù)在傳輸過程中是否存在遺漏或被篡改的情況����;自動化記賬過程是否被人為干預。
值得一提的是��,并非所有的公司審計都需要對其信息系統(tǒng)進行審計���,對于一般的公司(Statutory Audit) 而言�,是否對其信息系統(tǒng)進行審計��,這取決于信息系統(tǒng)對該公司年度財務報表的影響程度��,審計師會根據(jù)影響程度��,制定相應的審計策略(Audit Strategy) 。
審計困境:數(shù)據(jù)安全強隨機性
郭穎濤稱���,在查詢2018年銀監(jiān)會對相關銀行處罰的記錄后���,我發(fā)現(xiàn),2018年尚有部分金融機構因客戶信息安全管理不到位���,部分重要信息系統(tǒng)災難恢復等級未達到第5級(含)以上等數(shù)據(jù)安全問題被處罰����;我覺得目前部分金融機構的數(shù)據(jù)安全監(jiān)管機構體系級別還不夠�����,其對于信息系統(tǒng)數(shù)據(jù)安全把控尚未滿足監(jiān)管要求���。
原來�,對于外部審計機構來說���,業(yè)務流程最終反映到財務報表中需要一個有效結合過程�����。為了將業(yè)務流程和財務數(shù)據(jù)進行相關結合��,通常對業(yè)務系統(tǒng)和財務系統(tǒng)形成相互比對�,進而達成數(shù)據(jù)之間的互通互聯(lián)。
總結一句話�����,就是通過業(yè)務數(shù)據(jù)的可靠性來支持財務數(shù)據(jù)準確無誤����。
“將業(yè)務數(shù)據(jù)與財務數(shù)據(jù)相結合�,就意味著以上幾點必須有明確的分工。為了在審計過程中讓相關人員有據(jù)可循���,IT審計系統(tǒng)需要建立相互查詢控制的機制��。如果在這個過程中我們人員角色或者其他定位沒有定義好�,就有可能造成財務數(shù)據(jù)被篡改��,最終影響審計結果�����。”
實際上��,這種被篡改數(shù)據(jù)的情況總會出現(xiàn)����。郭穎濤坦白道,每年做IT審計�,由于人員分配問題,或者其他的特殊情況導致的一些公司業(yè)務數(shù)據(jù)與財務數(shù)據(jù)對不上的事情時常發(fā)生�。起因大都因為一些公司對于上述的幾點信息系統(tǒng)安全保障做的不夠好,這有可能造成財務系統(tǒng)和業(yè)務系統(tǒng)在對接過程中是存在漏洞的����。
另外一點,即便是小型銀行也會使用自動化記賬本��,記賬過程無需人為干預�����。雖然自動化記賬本要求業(yè)務數(shù)據(jù)和財務數(shù)據(jù)實現(xiàn)完全的自動生成���,但實際上執(zhí)行過程中業(yè)務數(shù)據(jù)和財務數(shù)據(jù)總會出現(xiàn)匹配度不一樣的情況�。
當然��,也有可能有些數(shù)據(jù)原本就是人工參與生成的,其匹配難度也就更大����,這會影響對IT信息系統(tǒng)的判斷。
那么�����,怎么驗證財務數(shù)據(jù)準確性呢��?
郭穎濤稱�����,對于財務系統(tǒng)本身來講�����,業(yè)務數(shù)據(jù)保障是整個IT審計業(yè)務模塊里面的一部分���。在整個財務系統(tǒng)中,我們也必須建立有效的控制機制�,其中包括本身授權、崗位職責分離����、財務備份等較為健全的制度�。與此同時���,數(shù)據(jù)真實性欠缺的情況應該引發(fā)IT審計從業(yè)者對整個財務報表數(shù)據(jù)的公允性考慮��。
此外���,會上安華金和CEO劉曉韜也分享到,數(shù)據(jù)安全治理不僅僅是一套用工具組合的產(chǎn)品級解決方案����,而是從決策層到技術層,從管理制度到工具支撐�����,自上而下貫穿整個組織架構的完整鏈條���。
組織內的各個層級之間需要相互協(xié)作�,對數(shù)據(jù)安全治理的目標和宗旨達成共識�����,并從能力、執(zhí)行��、場景三個維度建設數(shù)據(jù)安全治理體系��,以最有效的方式保護信息資源���。
數(shù)據(jù)安全治理體系框架
能力維度:完善的組織機構�����、有針對性和可行的管理制度和規(guī)范�����、全面和先進的數(shù)據(jù)安全技術,是構建數(shù)據(jù)安全治理體系的基礎�。
執(zhí)行維度:針對數(shù)據(jù)使用的各個場景,需要通過梳理來了解數(shù)據(jù)資產(chǎn)狀況和風險�;配合制度規(guī)范要求,采用不同的安全技術手段進行數(shù)據(jù)使用過程中的管控�,同時要監(jiān)控使用過程,對訪問行為進行稽核�����,并不斷完善。
場景維度:數(shù)據(jù)安全治理涵蓋數(shù)據(jù)在日常使用過程中面臨的各種場景���,具體包含開發(fā)測試����、運維��、共享�����、分析�、應用訪問、內部特權訪問等場景����。
基于以上觀點,郭穎濤認為盡可能打造互聯(lián)����、互通的業(yè)務與財務數(shù)據(jù)通道將成為解決IT審計安全問題的根本性解決方案?���!癐T審計跨行業(yè)�����、跨部門的性質較強���,其在發(fā)展安全保障體系的同時��,合規(guī)性應該首先考慮將業(yè)務和財務數(shù)據(jù)整體關聯(lián)���,以此換取財務數(shù)據(jù)的相對公允���。”
金融行業(yè)數(shù)據(jù)安全相關法規(guī)
隨著數(shù)據(jù)被金融行業(yè)高度采用�����,數(shù)據(jù)安全問題亦頻繁出現(xiàn)�����,引發(fā)的信息科技乃至業(yè)務風險逐年增高��。而為了杜絕“數(shù)據(jù)安全強隨機性”的出現(xiàn)���,國家相關規(guī)定陸續(xù)出臺����。
2015年8月29日人大獲通過的《刑法修正案(九)》明確了導致個人隱私泄漏的情形�����、責任�、及導致泄漏的責任主體及法律責任:
第二百八十六條:網(wǎng)絡服務提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡安全管理義務����,經(jīng)監(jiān)管部門責令采取改正措施而拒不改正,有下列情形之一的����,處三年以下有期徒刑����、拘役或者管制�,并處或者單處罰金:
(一)致使違法信息大量傳播的�����;
(二)致使用戶信息泄露�����,造成嚴重后果的�����;
(三)致使刑事案件證據(jù)滅失���,情節(jié)嚴重的���;
(四)有其他嚴重情節(jié)的。
單位犯前款罪的���,對單位判處罰金��,并對其直接負責的主管人員和其他直接責任人員��,依照前款的規(guī)定處罰�。有前兩款行為���,同時構成其他犯罪的�����,依照處罰較重的規(guī)定定罪處罰。
2017年6月1日��,《中華人民共和國網(wǎng)絡安全法》正式實施��,根據(jù)規(guī)定金融行業(yè)重要的信息系統(tǒng)是國家信息安全重點保護對象�����,因此金融行業(yè)是落實和實施信息安全等級保護的重點行業(yè)之一。
第二十一條:國家實行網(wǎng)絡安全等級保護制度����。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求,履行下列安全保護義務����,保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權的訪問�,防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規(guī)程�,確定網(wǎng)絡安全負責人,落實網(wǎng)絡安全保護責任���;
(二)采取防范計算機病毒和網(wǎng)絡攻擊�����、網(wǎng)絡侵入等危害網(wǎng)絡安全行為的技術措施�;
(三)采取監(jiān)測���、記錄網(wǎng)絡運行狀態(tài)�����、網(wǎng)絡安全事件的技術措施��,并按照規(guī)定留存相關的網(wǎng)絡日志不少于六個月����;
(四)采取數(shù)據(jù)分類�、重要數(shù)據(jù)備份和加密等措施;
(五)法律�、行政法規(guī)規(guī)定的其他義務。
第三十一條:國家對公共通信和信息服務��、能源��、交通���、水利�����、金融��、公共服務�、電子政務等重要行業(yè)和領域,以及其他一旦遭到破壞��、喪失功能或者數(shù)據(jù)泄露�,可能嚴重危害國家安全、國計民生�、公共利益的關鍵信息基礎設施,在網(wǎng)絡安全等級保護制度的基礎上���,實行重點保護�。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定���。
第三十四條除本法第二十一條的規(guī)定外�,關鍵信息基礎設施的運營者還應當履行下列安全保護義務:
(一)設置專門安全管理機構和安全管理負責人����,并對該負責人和關鍵崗位的人員進行安全背景審查;
(二)定期對從業(yè)人員進行網(wǎng)絡安全教育��、技術培訓和技能考核���;
(三)對重要系統(tǒng)和數(shù)據(jù)庫進行容災備份����;
(四)制定網(wǎng)絡安全事件應急預案,并定期進行演練�����;
(五)法律����、行政法規(guī)規(guī)定的其他義務�。
演講的最后,郭穎濤總結道����,通過對IT審計安全保障體系的回顧,我們發(fā)現(xiàn)�,隨著社會信息系統(tǒng)安全意識的不斷加強,信息系統(tǒng)數(shù)據(jù)安全建設投入不斷增加���,社會越來越需要對信息安全保障系統(tǒng)提供強有力支持的公司��。雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)
|
