赵雅欣

(重庆市电力公司审计部，重庆400014)

随着企业信息化程度的不断加深，内部审计工作接触各种电子信息的机会越来越多，这些电子信息有很大部分涉及企业的机密。由于电子资料信息量大、复制容易等特点，比传统的纸质资料更难以控制和管理，因此，如何确保审计信息安全，避免企业机密外泄，成为了内部审计机构面临的一大课题。

1 审计信息安全定义

审计信息安全是指审计信息特别是秘密信息在产生、传输、处理和存储的过程中不被泄露或破坏，确保审计信息的安全性、保密性、可用性、完整性和不可否认性。审计信息安全控制就是审计机构以审计信息安全为核心，重点加强网络系统和应用系统的安全，采取有效的安全防范措施，保证审计信息的可用性、保密性、完整性和不可否认性，确保审计信息不被窃取和破坏，保障审计系统的安全、稳定运行。

2 审计信息安全风险分析

2.1 人员风险

在内部审计工作快速发展的今天，内部审计机构常常需要借助外部审计机构或内部其他业务部门人员来辅助完成内部审计工作，因此，审计组的人员组成较为复杂，给审计信息的安全也带来更大的风险。参与内部审计项目的人员可能会利用审计机会，将数据通过笔记本电脑或U盘等介质带出审计组，造成审计信息的泄密。

2.2 硬件安全风险

随着审计手段的发展，审计人员现场工作基本是在电脑上利用审计软件完成的。若审计人员使用的电脑没有单独配置、隔离保管和设置可靠的密码，则有可能被他人使用和攻击，造成资料被窃，威胁审计信息的安全。

2.3 外网连接安全风险

审计人员使用的电脑在审计工作过程中与外部网络连接，虽然方便了审计人员之间的相互交流和审计资料的传递，但也可能会受到外部黑客或病毒的攻击，造成资料外泄或信息破坏，给企业带来损失。

2.4 资料传输安全风险

在审计过程中，审计人员需要相互之间传递信息和资料，特别是在某些环境下，资料的传递不能通过内部网络来完成，只有借助外部网络传输，在传输过程中，可能发生信息被窃或地址发送错误的情况，导致信息安全失控。

3 审计信息安全控制措施

3.1 制度保障

制订有效的信息保密制度是审计信息安全防范的基本保障。内部审计机构应根据企业特点，制订相应的审计信息保密制度，从内部控制的角度上来规范和约束审计信息的使用规则。审计信息保密制度至少应规范信息使用者的权限、信息使用的范围、方式和程序，以及违反保密制度后应受到的处罚等相关内容，明确信息使用的规范流程和使用者的权力义务，有效指导信息使用者(包括审计人员)如何正确、规范的使用信息，确保审计信息的安全。

另外，在聘用外部审计机构人员时，可与外部审计机构签订保密协议，确保外部审计人员能够履行保密责任。

3.2 硬件隔离

硬件隔离主要通过两种方式来实现:一是内部审计机构配备专用电脑用于现场审计，这就避免了审计人员利用自己电脑或被审单位电脑工作，资料存储在外部电脑上，造成的信息外泄。同时，利用专用电脑开展审计项目，也有利于审计资料的归档和保管。二是内部审计专用电脑只能连接审计机构内部网络，不能直接与外部网络连接，这就有效规避了审计专用电脑受到来自外部网络的攻击和破坏，保障了审计信息的安全可靠。

3.3 权限设置

由于大量的内部审计工作借用了外部审计人员和其他部门人员，在审计过程中可能造成审计信息的外泄。通过审计组内部人员权限的设置，可以有效规避审计组成员使用信息不当或人为窃取信息造成的资料外泄。在审计组内部分工时，审计组长应根据审计组成员的不同来源、专业，分别安排相应的审计任务，对于一些核心的机密内容应由可靠的审计组成员实施，避免过多的人员接触机密资料。

在现场审计过程中，审计组长应将其使用的电脑作为服务器，所有审计资料都存储在服务器上，审计组成员的电脑作为客户端，只能从服务器上读取审计资料。同时，审计组长根据审计组成员的分工，在系统中设置相应的查询、处理权限，使得审计组成员只能按设定的权限读取数据，避免审计组成员超范围查询和使用审计信息，保证审计信息的安全使用。

3.4 素质教育

根据《内部审计人员职业道德规范》的要求，“内部审计人员应当遵循保密性原则，按规定使用其在履行职责时所获取的资料”，这对内部审计人员使用审计信息提出了刚性要求。同时，内部审计机构应加强对审计人员的职业道德素质教育，增强审计人员的责任心和道德感，使审计人员能够自觉遵守职业道德规范，做好审计信息的保密工作，确保审计资料的安全完整。

3.5 软件加密

软件加密是指通过使用计算机软件加密系统，建立审计信息安全边界，来有效保护企业核心信息安全，控制审计信息的泄密风险。现阶段，通过软件加密是防控审计信息外泄的最有效、最安全的措施之一。

3.5.1 软件加密的目的

(1)文件流转安全。确保电子文档在审计部门内部可以安全流转，抵御可能存在的数据安全威胁，杜绝任何通过网络、端口、磁盘等各种途径导致的泄密事件。

(2)数据使用安全。防止文档使用者通过剪切板拷贝、拖拽、打印、拷屏等应用行为泄密。

(3)数据外发安全。对外发的电子文档进行安全控制，防止非法用户访问和第三方二次扩散造成的文件泄密。

(4)离线办公安全。支持终端离线安全办公，消除终端丢失、维修、盗用时带来的泄密隐患。

3.5.2 软件加密的实现方式

(1)审计文档加密。审计文档加密是指在审计体系内部终端部署文档加密系统，利用加密算法，设置高强度加密密钥，实现对核心审计资料的安全保护。

(2)机密资料外发控制。机密资料外发控制是指在对外发送文档时，为保证第三方使用文档严格受控，采取文档外发控制系统来控制指定外发文档使用者对文档的使用权限、时间和次数，从而主动防止重要信息泄露和非法扩散。机密资料外发控制可采取密码检验、U-Key验证、机器标识码等多种不同的身份认证机制来实现。通过设置机密资料外发控制系统，确保外发文件在使用过程中始终处于受保护状态，机密资料只能被指定的第三方所使用，其他人员无法通过非法手段窃取文件内容，有效避免文件二次扩散，从根本上消除了因资料发布后无法控制而造成的泄密风险。

(3)U盘安全加密。U盘使用灵活方便，已经成为机密文件存储流转最主要的方式之一，但U盘的丢失可能会给企业信息资源带来巨大的安全隐患。U盘安全加密是指通过在U盘内嵌入身份认证和数据加密系统，保证移动存储介质在其整个生命周期中的安全可控，确保U盘存储信息的安全。

4 结语

审计信息安全工作是一项防范性工作，与其亡羊补牢，不如未雨绸缪，特别是在当今这个电子信息化时代，企业核心机密越来越多的体现在电子文档载体之上，信息保密就显得尤其重要。企业根据自身特点采取相应的审计信息安全控制措施，使安全风险和责任意识扩展到单位每一个成员，提高安全管理的整体效率，实现信息安全管理从“静态、被动、散乱”向“动态、主动、系统”的积极转变。内部审计信息安全控制，在确保企业信息安全，避免企业利益受损的同时，也能够规范现有内部审计工作的流程和运作模式，有效规避内部审计人员的职业风险。

［1］马英彬，徐东华.审计信息化建设中信息安全保密工作研究［J］.计算机安全，2010，(5).

［2］周朝晖，匡红庆.关于信息安全技术的讨论［J］.网络安全技术与应用，2005，(8).

［3］杨杰.信息安全审计的应用研究［J］.计算机安全，2010，(10).