Pistachio陆
现代社会发展对信息的依赖越来越大,没有各种信息的支持,社会就不能前进和发展。由于审计职业的特殊性,审计人员往往经常出差到异地工作,笔记本电脑已经成为审计人员随身携带的必备工具;笔记本数据的安全又成为审计人员实现计算机数据安全的关键。笔者从 " 硬件 " 、 " 软件 " 以及 " 制度 " 三方面谈谈该如何实现计算机数据的安全。笔记本电脑,应从整体上制订集体的安全方案,至于个人应根据自身的情况加以区别,但都应包括防盗、防止系统崩溃、防止黑客攻击和病毒感染以及数据备份,认证加密等。一、 “软”环境应放在安全意识的首位从软件以及相关配置方面,是电脑操作者最关注的事,也是与其最密切相关的。审计人员的笔记本电脑应设置 BIOS 开机密码、硬盘密码,并且使用加密软件对重要数据进行加密保护外,还要安装防病毒和防火墙软件,或者将机密数据保存在移动硬盘、优盘或者刻录到光盘等存储介质上加以备份,以防不测。具体应注意以下几个方面:(一)从开机开始,检查笔记本电脑的安全防护性能是否完备。这其中又应设置开机密码,且开机密码应经常更换和无规律可循。(二)如有可能要设置硬盘锁定密码,确保笔记本电脑被盗后其中所存储的重要数据不会落入他人之手。大多数笔记本电脑采用密码机制对数据提供基本的保护措施,所以,最简单的措施是设置开机密码。但只设置开机密码还不能保证数据的安全性,因为窃密人可以将硬盘拆卸下来拿到另外一台计算机上读取原始数据,所以,还要设置硬盘锁定密码,这样,该笔记本电脑在每次启动时都必须使用密码对硬盘解密,这样一来即使窃密人将硬盘拔插到另外一台计算机上也很难读取原始数据。(三)笔记本电脑所使用的操作系统应具有较好的稳定性,同时应使用具有安全防护性能的操作系统,最好在笔记本上安装Windows2000 作为操作系统平台,并将分区设置为 NTFS 格式,然后设置登录密码,并确保在不使用时处于登录前状态,以防止他人乘机窃取笔记本电脑上的机密信息。(四)对笔记本电脑中所存储的重要文件采用加密存放的方式进行保护。由于盗窃者攻击破坏手段的不断发展,仅仅依靠密码并不足以阻止经验丰富的窃密人擦除系统配置信息 ( 包括密码在内 ) ,而后侵入系统,进而获取其中存放的机密信息。所以,要切实保护笔记本电脑中存储的机密数据的安全,最好使用磁盘加密程序,如 ISS Limited 公司出品的 iProtect ,至少对于最重要的数据要采取以上保护措施(当然也不要对所有对象都加密,这样会降低计算机性能)。(五)时常进行数据备份,以防在万一丢失笔记本电脑的情况下减小损失。为预防意外,应对笔记本电脑上的数据存有备份,这样即使笔记本电脑丢失,仍能保证信息不至于丢失,将损失降至最低。(六)使用数据恢复软件,减少误删除所带来的影响,建议使用 Final Data 以上版本。同时对于重要数据要作到彻底的删除,市场上相关软件也较多,另外新版的杀毒软件有许多也拥有上述功能,可以加以发掘使用。二、硬件方面是实现数据安全的捷径如果可能,可以考虑通过购买相关的硬件提高审计人员笔记本电脑整体的安全性,防盗和防泄密。其中电脑防盗锁简单实用,成为首选。电脑防盗锁是专门为保护电脑而设计的。通常笔记本电脑身上都会有一个被称为 "Security Slot (安全接口) " 的椭圆形防盗锁孔,旁边有一个锁形标志,这是 Kensington 公司的专利标志,现在已经成为电脑业界的标准,目前市场上主流的笔记本产品、 PDA 、投影仪等都有这种防盗锁孔。我们常用的笔记本电脑用的防盗锁有线缆锁和扣式锁两种。线缆锁相对比较便宜且耐用,扣式锁功能较多但价格较高。如果审计人员经常在人多的场所使用笔记本电脑,存在意外泄密的可能性,会对计算机数据的安全带来一定的威胁,可以选配防泄密滤镜。它是一块暗色的塑料屏幕,将它用胶带粘在液晶屏后就只有笔记本正前方的人才能看见屏幕上的内容,而旁边的人只能看见黑屏,从而防止了信息泄露。对于高级用户,除了上述措施外,建议选购带有安全解决方案、 IC 智能卡、指纹识别系统等产品。当然,移动办公的安全防护是一个系统工程,也是一个体系,不但包含信息在存储过程中的安全保护,还包括信息在传输流转过程中的安全防护问题,单是针对移动办公中的笔记本电脑的信息安全问题,也有很多方面还需要进一步引起重视。三、安全意识必须通过制度和相应的规则上加以规范信息安全在于保证信息的保密性、完整性、可用性三种属性不被破坏。目前,我国的信息安全管理主要依靠传统的管理方式与技术手段来实现,传统的管理模式缺乏现代的系统管理思想,用于管理现代信息往往不适用,而技术手段又有其局限性。保护信息安全,国际公认最有效的方式是采用系统的方法(管理+技术),即确定信息安全管理方针和范围,在风险分析的基础上选择适宜的控制目标与方式来进行控制。我们在制订部门信息安全制度或规则时,具体可以考虑具体研究 BS7799 。 BS7799 是英国标准协会( British Standards Institution ,简称 BSI )制订的信息安全管理体系标准,它包括两部分,其第一部分《信息安全管理实施规则》于 2000 年底已经被国际标准化组织( ISO )纳入世界标准,编号为 ISO/IEC17799 。BS7799 广泛地涵盖了所有的信息安全议题,如安全方针的制定、责任的归属、风险的评估、定义与强化安全参数及访问控制,甚至包含防病毒的相关策略等,其中对于信息安全,特别是计算机数据安全有明确的规定。 BS7799 已经成为国际公认的信息安全实施标准,适用于各种产业与组织。审计人员要重视安全的教育,提高安全防范意识。计算机保密防范必须以法律法规为依据。
无敌小雷神
内部审计组织机构有五种设置模式,利弊比较如图:
一、什么是内部审计组织机构
内部审计组织机构是指在部门、单位内部从事组织和办理审计业务的专门组织。它是中国审计主体的重要组成部分。早在审计署正式成立以后,中国就提出了实行内部审计制度问题,并根据国务院的要求,许多部门和单位相继建立了内部审计机构。
二、内部审计组织机构的五种设置模式
1、财务总监领导的组织结构。这种结构的内部审计部门在公司治理框架内层次较低,只能开展部分日常性的审计工作,不能直接为经营决策者服务,更多地是履行检查功能,并未涉及内部审计的确认与咨询活动,独立性较差。一般多见于企业规模较小、股权结构简单的企业。
2、总经理领导的组织结构。这种结构的内部审计部门地位比财务总监领导的内部审计部门来得更高,更接近于经营管理层,能直接为日常经营决策服务,审计的范围主要是经营审计和总经理对董事会财务责任的审计。这种结构有利于发挥内部审计在提高经营管理水平方面的作用,保持了审计的独立性和较高的组织地位,但难以对总经理的受托管理责任进行独立的监督和评价。
3、监事会领导的组织结构。在现代公司治理结构中,股东大会及各利益相关方作为委托人,分别将各自的资源交董事会代理,并委托与董事会平行的监事会对其进行监督。这一结构的内部审计部门地位较高,有利于履行内部审计的检查、评价、鉴证功能,监事会也能够更好地利用内部审计工作履行其自身职能。但这种结构下,由于监事会属于公司高层制衡机制组成部分,不参与公司的日常经营管理,相应地内部审计部门不能直接服务于经营决策,难以通过内部审计改善经营管理、提高经济效益的目的,从而难以实现其对企业的增值功能。
4、董事会或董事会下设的审计委员会领导的组织结构。董事会是公司的经营决策机构,其职责是执行股东大会的决议,决定企业的生产经营策略等重大事项,在公司治理结构中地位较高。审计委员会作为隶属于董事会下的一个专业委员会,代表董事会对管理层进行监督,同时制衡董事会的内部董事。董事会或董事会下设的审计委员会领导的内部审计部门能够保持较高的独立性、权威性和组织地位,更强调完成董事会的责任,有利于内部审计的检查、评价、监证和咨询功能的发挥,如图4所示。但这种组织结构下无法监督董事会的受托责任,在一定程度上限制了内部审计的检查、评价功能。
5、双重领导的组织结构。因以上的几种组织结构都不能同时平衡内部审计职能与独立性之间的关系,因此产生了一种新的组织结构——双重领导的内部审计组织结构,即在业务上向审计委员会报告业绩,在职能上向总经理负责并报告工作。这种双向负责、双轨报告、保持双重关系的组织结构,符合公司治理对其履行报告受托责任的要求,能够最大限度地发挥内部审计的检查、评价、鉴证和咨询的功能,而且保证了内部审计的独立性。
三、内部审计组织机构的设置原则
1、独立性原则。
这是设立内部审计组织机构最重要的原则。在这个原则指导下,内审组织机构在组织人员、工作和经费等方面应独立于被审计单位,独立行使审计职权,不受股东、总经理。其它职能部门和个人的干预,以体现审计的客观性、公正性和有效性,如果将内审机构隶属或合并于本单位的其它部门,就会使内部审计失去其应有的独立性。
国际内部审计师协会在它的《内部审计实务准则》中强调,内部审计师“必须独立于它们所审核的活动”独立性“可使内部审计师提出公正的不偏不倚的鉴证和评价,这对于正确的审计工作实施是必不可少的”而这一点是“要通过组织的客观性来获得的”。
2.权威性原则。这是内审工作充分发挥作用的另一个关键因素,主要体现在内审组织机构的地位和设置层次上。内审组织机构的组织地位和设置层次越高,权威性就越大,内审的作用就发挥得越充分。国内外的审计实践也表明,内审的组织地位和作用的发挥是相辅相成的。
一方面作用的扩大为内部审计赢得较高的组织地位创造了机会,另一方面组织地位的提高,独立性增强又为内部审计人员卓有成效地履行其职责,发挥内部审计的职能作用提供了条件。
优质审计师问答知识库
