数据安全审计过程问题控制研究

2021-03-06胡东华

网络安全技术与应用 2021年3期

◆胡东华

数据安全审计过程问题控制研究

◆胡东华

（公安部第三研究所华南技术研究中心上海 200031）

目前，数据技术在我国的信息化领域应用越来越广泛，社会企业纷纷采用基于数据分析的模型进行业务分析，而数据使用的过程中却存在众多安全和合规风险，因而需要引进数据安全审计，提高企业安全合规水平，健全我国数据合规水平，为我国数据安全发展提供基础的保障。本文主要分析数据安全审计，以及针对数据审计过程中存在的问题的控制研究，具体探讨如何采取有效的措施控制问题。

数据安全；审计；问题控制

伴随着互联网信息技术的发展，国内各行业大数据应用也百花齐放，主要包括电子政务数据应用、电商数据应用、金融数据应用、征信数据应用、医疗数据应用、电信数据应用和工业数据应用等多个领域，数据应用对人们生活、工作、思维方式等许多方面带来了影响，从而提高人们对数据信息的开发和利用，通过数据分析从而进行事项决策。然而数据的采集、使用、处理等过程中，很多企业因业务发展等原因忽略了安全因素，从而导致众多的安全事件发生。对于传统的信息系统安全防护，企业会引进安全审计来帮助企业有效规避安全风险。然而审计过程中依旧存在审计规范不严谨、审计人员操守等问题。本文主要对如何有效控制数据安全审计过程所产生的问题进行深入的研究。

1 数据安全审计的发展现状

数据安全是通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。在当今信息化发展迅速的时代，数据安全是各大企业的“命根子”，一旦出现数据安全事件，往往直接影响各企业的业务发展，甚至是企业的生死，例如近期发现的“微盟数据”破坏事件。所以为了避免数据安全问题，很多企业都采用了安全巡检、等级保护、安全审计等方法来规避数据安全问题。目前，银行、证券、政府机关、公安机关、具有一定规模的民营企业均定期开展数据安全审计工作，数据安全审计已逐步成为各大企业的信息化安全防范手段。

2 数据安全审计实施的流程

2.1 数据安全信息系统审计流程的准备阶段

在数据安全信息系统审计实施的准备阶段过程中，主要涉及三个方面的内容，其一是审计目的，其二是审计的相关工作人员，其三则是审计的基础设施。从审计的目的方面来看，准备的阶段是审计在实施过程中的目的和范围，通过确定审计实施的目的，为后续开展审计工作奠定坚实的基础。从审计的工作人员来看，审计工作人员要进行小组划分，合理的组建一个审计小组，审计小组内的人才要具备多种才能，既包括信息技术过硬的专业人才，又包括复合型的审计人才，这些审计人才要具备自己的职业道德素养，具备专业化的审计知识。从审计的基础设施中来看，审计的工作人员要全面了解与数据相关的信息，包括软件与硬件，只有摸清了相关的基础设施信息，才能为后续开展审计工作做好准备。

2.2 数据安全审计流程的实施阶段

数据安全审计主要采用访谈、测试、查阅文档等等方法开展，实施维度主要包括三个方面，一般控制，应用控制与项目控制。一般控制是指数据安全服务商与用户进行一般的控制，以此来提高审计效果的安全信息工作，确保审计单位提供的资料真实可靠；而应用控制的审计主要是对于数据安全系统的业务流程进行控制点审计，根据审计单位的特点以及实际的需求来对审计的关键节点进行全面控制；项目控制的审计主要是通过进行项目化的管理，来充分考虑审计项目组织和战略目标的安全。

2.3 数据安全审计流程的终结阶段

在完成现场审计后，审计单位要根据实际控制情况，结合取证情况出具客观真实的审计报告，在这个过程中要对审计的结果进行全方面的核对，提高审计的真实准确性。

3 数据安全审计过程存在的问题

3.1 未能贴合客户情况开展审计

部分审计单位由于存在任务重、压力大、人力资源紧张等情况，审计单位想尽快完成当前审计项目。所以他们在开展审计项目时，仅对客户的现状进行简单的分析，未与客户进行充分地沟通，未能充分理解客户的审计目标，更未深入理解客户的业务情况，导致审计结果偏离业务目标。

3.2 审计规范性存在不严谨

一是部分人员在开展审计项目时，对审计工作理解不够透彻，认识不够到位，认为只需要找到审计问题就相当于完成了审计项目，确忽略了一些必要而严谨的细节，比如只为了找问题而忽略了引用的审计依据，使审计依据与问题不搭边，不适用于客户实际情况；二是审计过程，材料取证并非按照既定规范流程开展，部分的取证内容为口头确认，但未进行书面化确认，取证的不严谨可能导致审计发现的问题所引用“证据链”存在不真实的可能性；三是审计人员将自身的意志引入审计过程，并非客观开展审计工作，这容易导致审计过程不正当，不公正，不客观，容易产生不准确的审计结论。四是内部审计制度流程存在缺陷、不规范等问题，未能按照《中华人民共和国审计法》、《中华人民共和国审计准则》的要求开展对应的审计工作程序，落实全过程的质量控制。

3.3 审计人员自身存在不足

目前参与数据安全审计的人员无论在资质上或是经验等方面参差不齐。具体体现在：部分审计人员并非计算机或信息安全相关专业毕业，对审计工作本身就存在众多不理解的地方；部分审计人员虽然参与过安全测评、安全巡检等相关信息安全的工作，但审计工作与测评、巡检等工作存在一定的差异性，需要具备一定的审计理论基础，外加培训学习的力度不足，审计人员都是由参与过安全测评或安全巡检的人直接参与审计工作，这导致了审计工作落实不全面或不规范的情况。其次，审计人员自身廉政意识不足，容易受到外界不良诱惑的影响，接受利益相关方的贿赂，这导致审计意见不正确，偏离审计原有的公正性。

4 数据风险规范的实施对策分析

4.1 审计单位要加强人员对审计工作的认知

审计单位内部要加强宣传力度，可通过网络、座谈会等宣传形式，让审计基础工作和基础知识深入各审计人员的各方面，引起审计单位领导和审计人员对审计工作的关注，加强相关认知。

4.2 审计单位要加强人员培训工作

通过集中培训和自学相结合的方式，提高审计人员的自身素质，使其对审计工作有一个系统、全面的理解，在工作中强化基础知识，做到精益求精，促进降低审计工作的错误出现概率。

4.3 审计单位要逐步完善审计规范

审计单位要加强对《中华人民共和国审计法》、《中华人民共和国审计准则》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律法规的认知，按照相关法律规定逐步健全自身审计制度，制定完善的审计程序，规范审计底稿等产出物。具体体现在：一、审计制度要更严谨细致，制定的审计制度要广泛征求客户不同层次的意见，深入进行调查，紧紧围绕业务，把握客户最关注的难点、焦点，认真分析研究审计工作情况，提出审计目标，明确工作重点，找准审计工作最能有效地发挥作用的关键点，来确定审计项目计划。二是制定审计方案要严谨细致，制定审计方案要深入用户以及关联单位进行审前调查，摸清审计项目的总体情况，掌握审计对象的数据安全特征，了解相关法律、法规、规章制度、政策及相关行业特点。按照计划确定审计目标、审计重点和实施步骤、安排审计力量、审计时间。三是审计实施要严谨细致。在实施审计过程中，要将认真贯彻到审计的全过程，要引入先进的审计理念，不断学习和创新，运用科学的审计技术和方法，提高审计力度和深度；要增强职业敏感性，慎用自由裁量权，决不能擅自放弃审计中发现的每个问题疑点和案源线索；要充分收集审计证据，做到实事求是，确保每一份审计证据和审计工作底稿都合法、可靠、有效。四是撰写审计报告、审计处理、审计建议要严谨细致。撰写审计报告要防止报告失实以及错误评价。要充分听取、认真研究用户的意见，既要敢于坚持原则如实揭露问题，又要勇于改正错误，确保审计报告评价等内容的完整准确和客观公正；要坚持以事实为根据、以法律为准绳，对审计中发现的问题，要充分考虑用户存在的问题和产生的主客观背景，实事求是地进行处理。要从体制、机制层面深刻剖析问题、原因和症结，积极提出完善制度、深化改革的审计建议。要严格履行会审、复核、审理等工作，按照审计报告的规范格式，认真细致地撰写审计报告。