新用戶掃碼下載
掃碼下載APP
及時接收最新考試資訊及
備考信息
英國推行ISO/IEC17799安全標準
現階段我國審計機關正在實施的“金審工程”是國家審計進一步推進信息化建設的核心工作,也是實現計算機審計工作的一個重要平臺。在此平臺上,審計人員可以采用計算機手段更加高效地完成日常工作。但如何保障“金審工程”順利、有效地開展,保證審計信息安全,我們有必要學習一些發達國家在電子政務安全建設方面的寶貴經驗。筆者認為,英國政府采取的一系列措施值得我國“金審工程”建設借鑒。
1999年11月,英國政府正式決定采用國際標準化組織ISO提出的《信息技術——信息安全管理業務規范》,即ISO/IEC17799標準,同時要求政府各個部門都要在執行他們關鍵的信息操作過程中嚴格遵循該標準。英國國家審計署在開展績效審計過程中,對于信息系統安全方面提出了很多的管理措施。這些措施主要體現在審計過程中,審計人員不但要嚴格遵循ISO/IEC17799標準的規定,對于自身所使用的審計系統以及計算機審計工具都要進行檢查以符合ISO/IEC17799標準。更要對審計對象在使用信息系統過程中是否遵循ISO/IEC17799標準的情況進行嚴格的審計,特別是英國政府提出的電子政務標準及必須采取的安全措施,更要對此加以審計。
ISO/IEC17799標準最初于1993年由英國貿易工業部立項,由標準化協會籌備起草并作為英國的標準。1995年,首次發布BS 7799-1:1995《信息安全管理業務規范》,它提供了一套綜合的、由信息安全最佳慣例組成的實施規則,其目的是作為確定各類信息系統通用控制范圍的唯一參考基準,并且適用于大、中、小組織以及政府部門;1998年,標準化協會發表標準的第二部分BS 7799-2《信息安全管理體系規范》,它規定信息安全管理體系與信息安全控制要求,是一個組織的全面或部分信息安全管理體系評估的基礎,它還可以作為一個正式認證方案的根據;BS 7799-1與BS 7799-2經過修訂于1999年重新予以發布,此次考慮了信息處理技術,尤其是考慮了在網絡和通信領域應用的最新發展情況;2000年12月,BS 7799-1:1999《信息安全管理業務規范》通過了國際標準化組織ISO的認可,正式成為國際標準,即ISO/IEC17799-1:2000《信息技術——信息安全管理業務規范》標準。
在具體的實施過程中,ISO/IEC17799主要是為了實現對以書面的或計算機存儲的信息的安全性、保密性和完整性進行保護,即構成信息安全中最重要的安全三角。在保密性方面,確保信息只能夠由得到授權的人訪問;在完整性方面,保護信息的正確性和完整性以及信息處理方法;在有效性方面,保證經授權的用戶可以訪問到信息。如果需要的話,還能夠訪問相關資產設備。信息安全最終通過實施這一整套的控制才能達到,這些控制措施可能是策略、做法、程序、組織結構或者軟件功能,以確保實現該機構特殊的安全目標。
信息安全問題畢竟是十分復雜的新問題,即使英國這樣的信息化大國,在信息安全防護方面占盡優勢也不能說完全能解決信息安全問題。近年不斷出現的黑客攻擊和病毒肆虐就讓英國損失不少。特別是已經有六個方面共性的問題引起了政府的高度重視。即政府高層管理的信息安全意識有待提高,目前的安全措施有待加強,安全教育和培訓力度有待加大,針對信息安全的投資有待增多,針對安全服務商的要求有待明確,有關安全漏洞、弱點的信息有待共享等。究其原因,其中很重要的一點是對于安全管理,政府往往陷入了過分追求技術優勢的誤區,常常是花費巨額資金在硬件及系統方面完成信息安全的防護而忽視了對其整體的管理。因此,學習發達國家在信息安全方面的政策和舉措,對于我國的信息化進程是很有意義的,特別是政府的信息安全工作應如何開展,電子政務的安全應如何保障,網上不良信息應如何有效控制,信息產業應如何推動和發展等多方面都值得我們認真思考。
我國審計機關可以參照信息安全管理模型,按照先進的信息安全管理標——ISO/IEC17799建立完整的信息安全管理體系并實施與保持,達到動態的、系統的、全員參與的、制度化的、以預防為主的信息安全管理方式,用最低的成本達到可接受的信息安全水平,從根本上保證業務的持續性。
上一篇:反洗錢的審計使命及其戰略
學員討論(0)
實務學習指南
距6月報稅結束還有天
新用戶掃碼下載
京公網安備 11010802044457號