第一篇：淺析國(guó)稅信息系統(tǒng)的安全風(fēng)險(xiǎn)

隨著計(jì)算機(jī)信息技術(shù)和網(wǎng)絡(luò)通訊技術(shù)的普遍應(yīng)用，社會(huì)信息化程度不斷提高，信息系統(tǒng)已經(jīng)滲透到社會(huì)的各個(gè)領(lǐng)域。信息系統(tǒng)的廣泛應(yīng)用推動(dòng)了人類社會(huì)的發(fā)展，但也帶來(lái)了一定的風(fēng)險(xiǎn)。一旦信息系統(tǒng)、通訊系統(tǒng)發(fā)生故障、停止運(yùn)行或被惡意破壞，某領(lǐng)域的業(yè)務(wù)活動(dòng)就不得不部分或完全終止，由此引起的直接或間接損失將是無(wú)法估量的。國(guó)內(nèi)外大量信息化建設(shè)的實(shí)踐表明，信

息系統(tǒng)審計(jì)作為信息社會(huì)的安全對(duì)策，能有效地管理與信息系統(tǒng)有關(guān)的風(fēng)險(xiǎn)，從而確保信息系統(tǒng)的安全性、穩(wěn)定性和有效性。

一、信息系統(tǒng)審計(jì)簡(jiǎn)介

“審計(jì)”一詞起源于財(cái)務(wù)審計(jì)，人們比較熟悉的審計(jì)是對(duì)財(cái)務(wù)報(bào)表或會(huì)計(jì)賬冊(cè)的監(jiān)督，好像和信息系統(tǒng)沒(méi)有必然聯(lián)系。但隨著經(jīng)濟(jì)管理和科學(xué)技術(shù)的不斷結(jié)合以及日益滲透，現(xiàn)代審計(jì)已經(jīng)遠(yuǎn)遠(yuǎn)超出了僅對(duì)財(cái)務(wù)會(huì)計(jì)進(jìn)行審查的狹窄范圍，不斷向管理領(lǐng)域和技術(shù)領(lǐng)域滲透。

信息技術(shù)的廣泛應(yīng)用使信息系統(tǒng)實(shí)際上已經(jīng)成為企業(yè)及社會(huì)的中樞，在一定程度上左右著企業(yè)的命運(yùn)。美國(guó)、日本等發(fā)達(dá)國(guó)家在信息化過(guò)程中率先意識(shí)到信息系統(tǒng)審計(jì)的必要性并對(duì)此進(jìn)行了研究，目前已得到普及。在我國(guó)，雖然也早就提出了“計(jì)算機(jī)審計(jì)”的概念，但這種審計(jì)更多的是偏向于“利用計(jì)算機(jī)進(jìn)行審計(jì)”。實(shí)際上我國(guó)的信息系統(tǒng)審計(jì)工作還處在摸索階段。

信息系統(tǒng)審計(jì)是技術(shù)審計(jì)的一個(gè)典型，它實(shí)質(zhì)上是對(duì)計(jì)算機(jī)軟件、硬件及整個(gè)信息系統(tǒng)的審計(jì)，是指遵照普遍接受的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南對(duì)信息系統(tǒng)及其應(yīng)用的安全性、穩(wěn)定性和有效性進(jìn)行監(jiān)測(cè)、評(píng)估和控制的過(guò)程，以確保預(yù)定的業(yè)務(wù)目標(biāo)得以實(shí)現(xiàn)。

按國(guó)際上通行的規(guī)范，信息系統(tǒng)審計(jì)主要有6個(gè)方面的內(nèi)容：評(píng)估信息系統(tǒng)的管理、計(jì)劃與組織方面的策略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實(shí)務(wù)；評(píng)估技術(shù)基礎(chǔ)設(shè)施的管理和運(yùn)行實(shí)踐方面的有效性及效率，以確保其充分支持組織的業(yè)務(wù)目標(biāo)；評(píng)估信息資源在邏輯訪問(wèn)、運(yùn)行環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的安全性，以確保其滿足組織的業(yè)務(wù)需要，防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或丟失；評(píng)估系統(tǒng)災(zāi)難恢復(fù)與保證業(yè)務(wù)連續(xù)性的能力，以確保組織能持續(xù)進(jìn)行業(yè)務(wù)營(yíng)運(yùn)；評(píng)估應(yīng)用系統(tǒng)開(kāi)發(fā)、實(shí)施與維護(hù)的方式、方法及過(guò)程，以確保其滿足組織的業(yè)務(wù)需求；評(píng)估業(yè)務(wù)處理流程的風(fēng)險(xiǎn)管理水平，確保根據(jù)組織的業(yè)務(wù)目標(biāo)對(duì)相應(yīng)風(fēng)險(xiǎn)實(shí)施管理。

二、國(guó)稅信息系統(tǒng)面臨的風(fēng)險(xiǎn)

國(guó)稅部門作為行政執(zhí)法部門，信息系統(tǒng)的安全與否直接關(guān)系到為納稅人提供服務(wù)的質(zhì)量和效率，社會(huì)的和諧與穩(wěn)定，因此國(guó)稅信息系統(tǒng)的安全保護(hù)顯得越來(lái)越重要。近年來(lái)，以數(shù)據(jù)省級(jí)集中為標(biāo)志的新一輪國(guó)稅信息化建設(shè)已成效凸顯，為國(guó)稅系統(tǒng)優(yōu)化納稅服務(wù)，加強(qiáng)科學(xué)管理提供了廣闊的技術(shù)平臺(tái)，直接帶來(lái)了稅收理念的更新，征管機(jī)制的創(chuàng)新、管理手段的提高，但在數(shù)據(jù)由分散到集中的同時(shí)，原來(lái)分散的風(fēng)險(xiǎn)也隨之集中。在這種模式下，雖然安全性事故、災(zāi)難的發(fā)生頻率可能大大降低，但其潛在的風(fēng)險(xiǎn)不容忽視。

1、運(yùn)行環(huán)境方面的風(fēng)險(xiǎn)。數(shù)據(jù)集中后，通過(guò)采用更高端的設(shè)備、技術(shù)等措施提高了系統(tǒng)的安全系數(shù)，故障概率大大低于分散式數(shù)據(jù)管理模式。但是應(yīng)清醒地認(rèn)識(shí)到數(shù)據(jù)集中后，其安全影響的范圍也呈幾何級(jí)數(shù)增長(zhǎng)，一旦發(fā)生故障，可能影響全局。因此，必須建設(shè)、保障一流的運(yùn)行環(huán)境，不僅要考慮供電、溫濕度、潔凈度、抗電磁干擾、火災(zāi)等常規(guī)因素，還要考慮到地震、洪水等自然災(zāi)害的影響。

2、數(shù)據(jù)備份中心及應(yīng)急恢復(fù)機(jī)制方面的風(fēng)險(xiǎn)。電子化程度越高的行業(yè)，其對(duì)數(shù)據(jù)完整性和可用性的要求也越高。據(jù)美國(guó)的有關(guān)調(diào)查顯示，如果公司在災(zāi)難過(guò)后兩個(gè)星期內(nèi)無(wú)法完全恢復(fù)信息系統(tǒng)的使用，75％的公司業(yè)務(wù)將會(huì)完全停頓，43％的公司將再也無(wú)法開(kāi)業(yè)。對(duì)于依賴信息系統(tǒng)進(jìn)行日常運(yùn)作的國(guó)稅部門而言，納稅人對(duì)于系統(tǒng)停機(jī)的可忍受時(shí)間甚至不能超過(guò)1天，而稅收數(shù)據(jù)的丟失和破壞可能會(huì)導(dǎo)致稅收秩序的混亂，影響社會(huì)的穩(wěn)定與和諧。

3、軟件開(kāi)發(fā)及應(yīng)用方面的風(fēng)險(xiǎn)。由于我國(guó)稅收政策變動(dòng)比較頻繁，加之軟件開(kāi)發(fā)者水平參差不齊，軟件開(kāi)發(fā)的時(shí)間較緊，一些稅收征管系統(tǒng)往往沒(méi)有進(jìn)行縝密的測(cè)試，因此有可能存在一定的缺陷和漏洞，讓不法之徒有機(jī)可乘。

4、網(wǎng)絡(luò)安全方面的風(fēng)險(xiǎn)。internet的迅猛發(fā)展為電子商務(wù)、電子政務(wù)提供了運(yùn)作平臺(tái)，但也帶來(lái)了許多不安全隱患。各種跡象表明，網(wǎng)上申報(bào)、手機(jī)申報(bào)等信息系統(tǒng)已成為日益猖獗的網(wǎng)絡(luò)攻擊和計(jì)算機(jī)犯罪活動(dòng)的主要目標(biāo)。

三、國(guó)稅信息系統(tǒng)審計(jì)的重點(diǎn)

國(guó)稅信息化經(jīng)過(guò)多年的建設(shè)，已初具規(guī)模，各種系統(tǒng)十分復(fù)雜、龐大，如對(duì)全部信息系統(tǒng)進(jìn)行審計(jì)的話，工作量巨大，且目前信息系統(tǒng)審計(jì)的人員缺乏，因此，應(yīng)先從部分重點(diǎn)系統(tǒng)、重要環(huán)節(jié)著手進(jìn)行審計(jì)，審計(jì)的重點(diǎn)應(yīng)該考慮以下內(nèi)容：

（一）運(yùn)行管理審計(jì)

作為一種人機(jī)交互系統(tǒng)，信息系統(tǒng)的服務(wù)質(zhì)量和安全是建立在“三分技術(shù)，七分管理”的基礎(chǔ)之上的，系統(tǒng)運(yùn)行中的操作管理是否科學(xué)、規(guī)范直接影響到信息系統(tǒng)的服務(wù)質(zhì)量和安全性。運(yùn)行管理審計(jì)的重點(diǎn)包括：

1、機(jī)房管理審計(jì)。包括機(jī)房、設(shè)備間等重要運(yùn)行環(huán)境選址、布局是否合理；是否設(shè)置了門禁、監(jiān)控、氣體滅火、防水、防雷、報(bào)警等安全設(shè)施；機(jī)房?jī)?nèi)部的溫度、濕度、潔凈度、電磁干擾等技術(shù)指標(biāo)是否合格；機(jī)房的進(jìn)出是否有切實(shí)有

效的管理制度、是否有防止非正常行為的對(duì)策等。

2、操作管理審計(jì)。包括是否有詳盡的操作規(guī)范；是否對(duì)系統(tǒng)操作人員進(jìn)行上崗前培訓(xùn)；操作人員是否嚴(yán)格按規(guī)范進(jìn)行操作；系統(tǒng)的登錄代碼及密碼是否具備一定的安全防護(hù)對(duì)策、是否按規(guī)定更新；是否記錄操作日志并保存一定期限；操作人員的交接是否按規(guī)定進(jìn)行；是否及時(shí)發(fā)現(xiàn)、記錄、報(bào)告事故及故障；是否及時(shí)采取措施排除故障，防止再次發(fā)生等。

3、硬件管理審計(jì)。包括是否制定并遵守硬件管理規(guī)范；硬件的運(yùn)行環(huán)境是否達(dá)到相應(yīng)的技術(shù)要求；是否定期對(duì)硬件進(jìn)行檢修、維護(hù)；對(duì)硬件故障的維修對(duì)策是否合理；是否有硬件維護(hù)日志；檢查業(yè)務(wù)設(shè)備送出修理時(shí)是否對(duì)設(shè)備所存業(yè)務(wù)數(shù)據(jù)進(jìn)行刪除。

4、軟件管理審計(jì)。包括是否制定并遵守軟件管理規(guī)范；軟件的拷貝是否有嚴(yán)格的控制措施和技術(shù)防范對(duì)策；軟件的保管和廢止是否按機(jī)密資料予以保護(hù)；是否有完善的軟件版本管理規(guī)范；對(duì)軟件源程序的控制是否嚴(yán)格，生產(chǎn)環(huán)境與測(cè)試環(huán)境是否嚴(yán)格分開(kāi)。

（二）系統(tǒng)開(kāi)發(fā)審計(jì)

信息系統(tǒng)的開(kāi)發(fā)審計(jì)通常應(yīng)該包括系統(tǒng)規(guī)劃審計(jì)、系統(tǒng)分析審計(jì)、系統(tǒng)設(shè)計(jì)審計(jì)、系統(tǒng)編碼審計(jì)、系統(tǒng)測(cè)試審計(jì)和系統(tǒng)試運(yùn)行審計(jì)等部分。當(dāng)前國(guó)稅信息系統(tǒng)開(kāi)發(fā)審計(jì)的重點(diǎn)包括：

1、預(yù)期效益審計(jì)。主要包括是否提供了新的服務(wù)；是否實(shí)現(xiàn)了新的功能；是否提高了納稅服務(wù)的質(zhì)量；是否提高了本單位的工作效率等社會(huì)效益方面的評(píng)估；是否通過(guò)流程整合減少了人員、降低了稅收成本。

2、編碼及文檔管理審計(jì)。編碼審計(jì)主要包括編程語(yǔ)言、編程工具的選擇是否合理；是否制定了統(tǒng)一的編程規(guī)則；是否對(duì)數(shù)據(jù)的類型、結(jié)構(gòu)、長(zhǎng)度作統(tǒng)一的說(shuō)明；程序邏輯是否清晰、易懂；是否按照結(jié)構(gòu)化的方法進(jìn)行編程等。文檔管理審計(jì)主要包括是否制定、遵守文檔管理規(guī)范并按規(guī)范編制文檔；文檔的數(shù)量是否齊全；文檔的編制內(nèi)容是否完整、齊全；文檔的質(zhì)量是否符合要求；文檔的版本管理是否嚴(yán)格；是否有文檔的保密管理對(duì)策等。

3、控制措施審計(jì)。包括將業(yè)務(wù)流程進(jìn)行整合后，新系統(tǒng)是否重新設(shè)置了與之相適應(yīng)的內(nèi)部控制措施；是否遵循“職責(zé)分離”的原則，對(duì)人員的職責(zé)權(quán)限和變動(dòng)進(jìn)行合理的控制；信息系統(tǒng)是否具備一定的識(shí)別和防御攻擊的能力（如登錄控制、加密、拒絕訪問(wèn)等手段）；是否具備一定的自適應(yīng)能力（如根據(jù)攻擊方的意圖調(diào)整控制措施，隔離破壞范圍的能力）和恢復(fù)能力；是否專門設(shè)計(jì)了系統(tǒng)審計(jì)功能或預(yù)留了系統(tǒng)審計(jì)接口等。

4、系統(tǒng)測(cè)試審計(jì)。包括有無(wú)完整的系統(tǒng)測(cè)試計(jì)劃；測(cè)試案例的編寫是否合理、全面；參與測(cè)試人員的選擇是否符合公正、客觀的要求；測(cè)試方法是否合理；測(cè)試結(jié)果是否得到參與人員的認(rèn)可；測(cè)試文檔是否齊備等。

5、試運(yùn)行審計(jì)。包括有無(wú)切實(shí)可行的試運(yùn)行方案；針對(duì)新系統(tǒng)的人員培訓(xùn)是否落實(shí)；新系統(tǒng)的運(yùn)行環(huán)境（包括軟件、硬件、網(wǎng)絡(luò)等）是否符合實(shí)際運(yùn)行要求；新系統(tǒng)的實(shí)際運(yùn)行效率、功能是否達(dá)到預(yù)期設(shè)想等。

（三）網(wǎng)絡(luò)安全審計(jì)

網(wǎng)絡(luò)安全審計(jì)的根本目的就是防止通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳輸?shù)男畔⒈环欠ㄕ加?。網(wǎng)絡(luò)安全審計(jì)應(yīng)重點(diǎn)針對(duì)網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)安全策略等內(nèi)容。

1、網(wǎng)絡(luò)安全管理審計(jì)。包括是否建立有效的網(wǎng)絡(luò)安全防御體系；安全及密碼產(chǎn)品是否具有合法性、是否經(jīng)過(guò)國(guó)家有關(guān)管理部門的認(rèn)可或認(rèn)證；是否建立了有關(guān)網(wǎng)絡(luò)安全的規(guī)章制度、在實(shí)際工作中是否嚴(yán)格執(zhí)行；是否進(jìn)行了網(wǎng)絡(luò)安全教育、安全培訓(xùn)；對(duì)網(wǎng)絡(luò)安全工作是否進(jìn)行動(dòng)態(tài)管理等。

2、網(wǎng)絡(luò)安全技術(shù)審計(jì)。包括是否使用了嚴(yán)格的身份驗(yàn)證技術(shù)控制系統(tǒng)用戶；是否使用了訪問(wèn)控制技術(shù)并配置訪問(wèn)控制策略；是否利用密碼技術(shù)對(duì)數(shù)據(jù)進(jìn)行安全加密；與外部單位連接時(shí)是否安裝了防火墻進(jìn)行有效隔離以確保安全；是否使用了系統(tǒng)漏洞掃描技術(shù)來(lái)檢測(cè)系統(tǒng)的脆弱性；是否使用入侵檢測(cè)技術(shù)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)；是否制定了有效的防病毒策略，如不使用不明來(lái)歷的軟盤、光盤；是否安裝了有效的防、殺病毒軟件；是否及時(shí)更新最新的病毒碼以保證防病毒軟件的有效性；是否采用網(wǎng)絡(luò)安全審計(jì)措施等。

（四）災(zāi)難對(duì)策審計(jì)

為保證信息系統(tǒng)的正常運(yùn)行，開(kāi)發(fā)人員在系統(tǒng)設(shè)計(jì)上已經(jīng)采取了各種措施來(lái)防止信息系統(tǒng)被破壞，但這并不能完全杜絕系統(tǒng)的各種故障和一些不可抗力的災(zāi)難，而災(zāi)難一旦發(fā)生，往往導(dǎo)致信息系統(tǒng)完全癱瘓，造成巨大損失。所以，必須對(duì)信息系統(tǒng)的災(zāi)難對(duì)策進(jìn)行審計(jì)。國(guó)稅信息系統(tǒng)的災(zāi)難對(duì)策審計(jì)應(yīng)抓住以下重點(diǎn)：

1、災(zāi)難應(yīng)急對(duì)策審計(jì)。包括是否事先制定了災(zāi)難應(yīng)急對(duì)策；災(zāi)難應(yīng)急對(duì)策是否切實(shí)可行；災(zāi)難應(yīng)急對(duì)策是否定期進(jìn)行演練；災(zāi)難應(yīng)急對(duì)策是否根據(jù)實(shí)際情況及時(shí)調(diào)整。

2、數(shù)據(jù)備份審計(jì)。包括是否制定信息系統(tǒng)及數(shù)據(jù)的備份策略；數(shù)據(jù)備份策略是否切實(shí)可行；數(shù)據(jù)備份的強(qiáng)度是否足夠；數(shù)據(jù)備份的范圍是否全面；數(shù)據(jù)備份的恢復(fù)方法及恢復(fù)效果是否經(jīng)過(guò)驗(yàn)證；使用備份數(shù)據(jù)進(jìn)行恢復(fù)的時(shí)間是否可以控制在可以忍受的范圍之內(nèi)；數(shù)據(jù)備份的存儲(chǔ)介質(zhì)管理是否按要求執(zhí)行等。

3、設(shè)備冗余審計(jì)。包括是否為信息系統(tǒng)提供冗余運(yùn)行環(huán)境（災(zāi)難備份中心，包括電力、通訊線路等設(shè)施）；是否為信息系統(tǒng)的核心設(shè)備（生產(chǎn)機(jī)）提供冗余設(shè)備（備機(jī)）；生產(chǎn)機(jī)和備機(jī)上的信息系統(tǒng)和數(shù)據(jù)是否同步；生產(chǎn)機(jī)和備機(jī)之間的切換方案是否可靠并經(jīng)過(guò)驗(yàn)證等。

四、開(kāi)展信息系統(tǒng)審計(jì)需要解決的幾個(gè)問(wèn)題

（一）組織問(wèn)題

雖然，目前部分國(guó)內(nèi)企業(yè)已經(jīng)意識(shí)到利用信息系統(tǒng)審計(jì)可以有效地管理信息及與信息相關(guān)的技術(shù)，保障企業(yè)信息系統(tǒng)可靠運(yùn)行，并開(kāi)始關(guān)注信息系統(tǒng)審計(jì)，但整個(gè)社會(huì)對(duì)信息系統(tǒng)審計(jì)的認(rèn)識(shí)還不夠，信息系統(tǒng)審計(jì)遠(yuǎn)未達(dá)到普及的程度。國(guó)內(nèi)還沒(méi)有專門的信息系統(tǒng)（技術(shù)）審計(jì)機(jī)構(gòu)，在各單位內(nèi)部目前也沒(méi)有設(shè)置相關(guān)的信息系統(tǒng)（技術(shù)）審計(jì)部門。國(guó)稅系統(tǒng)目前主要采取各級(jí)信息中心進(jìn)行自查、互查的方式來(lái)解決信息系統(tǒng)的安全性問(wèn)題，往往是就某一專項(xiàng)內(nèi)容進(jìn)行檢查，帶有一定的局限性，且一般情況下檢查的深度不夠，因此迫切需要具有專門知識(shí)和技術(shù)的、與系統(tǒng)沒(méi)有直接關(guān)系的信息系統(tǒng)審計(jì)專業(yè)機(jī)構(gòu)和專職人員介入。

（二）標(biāo)準(zhǔn)化問(wèn)題

目前，國(guó)內(nèi)開(kāi)展信息系統(tǒng)審計(jì)主要是參考信息系統(tǒng)審計(jì)與控制協(xié)會(huì)isaca（information system audit and control association）這個(gè)國(guó)際上唯一的信息系統(tǒng)審計(jì)師專業(yè)組織制定和頒布的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)是一套以管理為核心、以法律法規(guī)為保障、以技術(shù)為支撐的框架體系，為實(shí)施信息系統(tǒng)審計(jì)提供了一套執(zhí)業(yè)規(guī)范和操作指南。但由于國(guó)內(nèi)系統(tǒng)集成業(yè)發(fā)展的不成熟以及客觀應(yīng)用環(huán)境的差異、法律法規(guī)上不完善等原因，處在起步階段的國(guó)內(nèi)信息系統(tǒng)審計(jì)工作不能完全照搬此標(biāo)準(zhǔn)，必須盡快形成適合國(guó)稅系統(tǒng)的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)體系。

（三）人才問(wèn)題

信息系統(tǒng)審計(jì)師不僅需要通曉信息系統(tǒng)的軟件、硬件、開(kāi)發(fā)、運(yùn)營(yíng)、維護(hù)、管理，對(duì)網(wǎng)絡(luò)和信息系統(tǒng)安全等具有高度的敏感性，對(duì)財(cái)務(wù)會(huì)計(jì)和單位內(nèi)部控制有深刻的理解，而且還必須能夠利用規(guī)范和先進(jìn)的審計(jì)技術(shù)，對(duì)信息系統(tǒng)的安全性、穩(wěn)定性和有效性進(jìn)行審計(jì)、檢查、評(píng)價(jià)和改造。要對(duì)國(guó)稅信息系統(tǒng)的安全性、穩(wěn)定性和有效性進(jìn)行監(jiān)控，就需要有經(jīng)過(guò)專業(yè)訓(xùn)練、經(jīng)驗(yàn)豐富、兼通技術(shù)和管理的信息系統(tǒng)審計(jì)師利用規(guī)范的審計(jì)手段，比較客觀和冷靜地分析、評(píng)價(jià)現(xiàn)有信息系統(tǒng)的運(yùn)行，并從專業(yè)的角度提出建議。如此高的素質(zhì)要求，一般的技術(shù)人員是無(wú)法達(dá)到的，所以可采取對(duì)國(guó)稅系統(tǒng)內(nèi)部的計(jì)算機(jī)專業(yè)科技人員進(jìn)行強(qiáng)化it審計(jì)培訓(xùn)，使之具備執(zhí)業(yè)能力的方式。因?yàn)榇祟愋腿瞬诺膬?yōu)勢(shì)在于熟悉稅收業(yè)務(wù)，技術(shù)背景較好，開(kāi)展工作時(shí)比較容易深入，但對(duì)此類型人才需重視培養(yǎng)其審計(jì)工作能力和良好職業(yè)道德，保證其開(kāi)展審計(jì)工作時(shí)的獨(dú)立性。

第二篇：醫(yī)院信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估初探總結(jié)

總結(jié)

1.醫(yī)院信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的概念

醫(yī)院信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估是指依據(jù)有關(guān)信息安全技術(shù)標(biāo)準(zhǔn)，對(duì)醫(yī)院信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)、公正的綜合評(píng)價(jià)的活動(dòng)過(guò)程，它要評(píng)價(jià)醫(yī)院信息系統(tǒng)的脆弱性、醫(yī)院信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響，并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的來(lái)識(shí)別醫(yī)院信息系統(tǒng)的安全風(fēng)險(xiǎn)。2．國(guó)內(nèi)外信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的概況

美國(guó)政府就發(fā)布了《自動(dòng)化數(shù)據(jù)處理風(fēng)險(xiǎn)評(píng)估指南》。其后頒布的關(guān)于信息安全的基本政策文件《聯(lián)邦信息資源安全》" 3．我國(guó)醫(yī)院信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作現(xiàn)狀及存在的問(wèn)題 4.醫(yī)院信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作流程(1)確定醫(yī)院信息資產(chǎn)列表及信息資產(chǎn)價(jià)值(2)識(shí)別脆弱性(3)識(shí)別脆弱性

它可能存在于網(wǎng)絡(luò)安全體系理論中網(wǎng)絡(luò)應(yīng)用所劃分的’個(gè)層次，即網(wǎng)絡(luò)層、系統(tǒng)層、用戶層、應(yīng)用層、數(shù)據(jù)層，(4)識(shí)別威脅

威脅來(lái)源應(yīng)主要考慮這幾個(gè)方面，即非授權(quán)故意行為、人為錯(cuò)誤、軟件設(shè)計(jì)錯(cuò)誤帶來(lái)的威脅、設(shè)備損壞、線路故障、自然災(zāi)害醫(yī)院信息系統(tǒng)的安全威脅可通過(guò)部署入侵檢測(cè)系統(tǒng)(,-.)，采集入侵者的,/地址及目的,/地址、目的端口、攻擊特征、當(dāng)前用戶和進(jìn)程等攻擊信息，通過(guò)統(tǒng)計(jì)分析，從概率上分析一段時(shí)間內(nèi)攻擊的類型、強(qiáng)度和頻度來(lái)獲取，分析現(xiàn)有的安全控管措施

（5）確定可能性

(6)確定風(fēng)險(xiǎn)

(7)建議安全防護(hù)措施。

(8)記錄結(jié)果

5.醫(yī)院信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估結(jié)果的處置措施

(1)避免：采取措施，完全消除醫(yī)院信息系統(tǒng)的安全風(fēng)險(xiǎn)

(2)降低：采取措施降代風(fēng)險(xiǎn)造成實(shí)際損害的可能性，降低其影響。（3）接受

（4）轉(zhuǎn)嫁：通過(guò)責(zé)任外包、保險(xiǎn)等方式%(’轉(zhuǎn)嫁：通過(guò)責(zé)任外包、保險(xiǎn)等方式（5）回避

（6）威懾：通過(guò)報(bào)復(fù)或者追究責(zé)任的方式

第三篇：信息系統(tǒng)安全

數(shù)字簽名過(guò)程 “發(fā)送報(bào)文時(shí)，發(fā)送方用一個(gè)哈希函數(shù)從報(bào)文文本中生成報(bào)文摘要,然后用自己的私人密鑰對(duì)這個(gè)摘要進(jìn)行加密，這個(gè)加密后的摘要將作為報(bào)文的數(shù)字簽名和報(bào)文一起發(fā)送給接收方，接收方首先用與發(fā)送方一樣的哈希函數(shù)從接收到的原始報(bào)文中計(jì)算出報(bào)文摘要，接著再用發(fā)送方的公用密鑰來(lái)對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密，如果這兩個(gè)摘要相同、那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。

數(shù)字簽名有兩種功效：一是能確定消息確實(shí)是由發(fā)送方簽名并發(fā)出來(lái)的，因?yàn)閯e人假冒不了發(fā)送方的簽名。二是數(shù)字簽名能確定消息的完整性。因?yàn)閿?shù)字簽名的特點(diǎn)是它代表了文件的特征，文件如果發(fā)生改變，數(shù)字簽名的值也將發(fā)生變化。不同的文件將得到不同的數(shù)字簽名。一次數(shù)字簽名涉及到一個(gè)哈希函數(shù)、發(fā)送者的公鑰、發(fā)送者的私鑰?！边@報(bào)文鑒別的描述！數(shù)字簽名沒(méi)有那么復(fù)雜。數(shù)字簽名： 發(fā)送方用自己的密鑰對(duì)報(bào)文X進(jìn)行E運(yùn)算，生成不可讀取的密文Esk，然后將Esx傳送給接收方，接收方為了核實(shí)簽名，用發(fā)送方的密鑰進(jìn)行D運(yùn)算，還原報(bào)文。

口令攻擊的主要方法

1、社會(huì)工程學(xué)(social Engineering)，通過(guò)人際交往這一非技術(shù)手段以欺騙、套取的方式來(lái)獲得口令。避免此類攻擊的對(duì)策是加強(qiáng)用戶意識(shí)。

2、猜測(cè)攻擊。首先使用口令猜測(cè)程序進(jìn)行攻擊?？诹畈聹y(cè)程序往往根據(jù)用戶定義口令的習(xí)慣猜測(cè)用戶口令，像名字縮寫、生日、寵物名、部門名等。在詳細(xì)了解用戶的社會(huì)背景之后，黑客可以列舉出幾百種可能的口令，并在很短的時(shí)間內(nèi)就可以完成猜測(cè)攻擊。

3、字典攻擊。如果猜測(cè)攻擊不成功，入侵者會(huì)繼續(xù)擴(kuò)大攻擊范圍，對(duì)所有英文單詞進(jìn)行嘗試，程序?qū)葱蛉〕鲆粋€(gè)又一個(gè)的單詞，進(jìn)行一次又一次嘗試，直到成功。據(jù)有的傳媒報(bào)導(dǎo)，對(duì)于一個(gè)有8萬(wàn)個(gè)英文單詞的集合來(lái)說(shuō)，入侵者不到一分半鐘就可試完。所以，如果用戶的口令不太長(zhǎng)或是單詞、短語(yǔ)，那么很快就會(huì)被破譯出來(lái)。

4、窮舉攻擊。如果字典攻擊仍然不能夠成功，入侵者會(huì)采取窮舉攻擊。一般從長(zhǎng)度為1的口令開(kāi)始，按長(zhǎng)度遞增進(jìn)行嘗試攻擊。由于人們往往偏愛(ài)簡(jiǎn)單易記的口令，窮舉攻擊的成功率很高。如果每千分之一秒檢查一個(gè)口令，那么86%的口令可以在一周內(nèi)破譯出來(lái)。

5、混合攻擊，結(jié)合了字典攻擊和窮舉攻擊，先字典攻擊，再暴力攻擊。

避免以上四類攻擊的對(duì)策是加強(qiáng)口令策略。

6、直接破解系統(tǒng)口令文件。所有的攻擊都不能夠奏效，入侵者會(huì)尋找目標(biāo)主機(jī)的安全漏洞和薄弱環(huán)節(jié)，飼機(jī)偷走存放系統(tǒng)口令的文件，然后破譯加密的口令，以便冒充合法用戶訪問(wèn)這臺(tái)主機(jī)。

7:網(wǎng)絡(luò)嗅探(sniffer)，通過(guò)嗅探器在局域網(wǎng)內(nèi)嗅探明文傳輸?shù)目诹钭址１苊獯祟惞舻膶?duì)策是網(wǎng)絡(luò)傳輸采用加密傳輸?shù)姆绞竭M(jìn)行。

8:鍵盤記錄，在目標(biāo)系統(tǒng)中安裝鍵盤記錄后門，記錄操作員輸入的口令字符串，如很多間諜軟件，木馬等都可能會(huì)盜取你的口述。

9:其他攻擊方式，中間人攻擊、重放攻擊、生日攻擊、時(shí)間攻擊。

避免以上幾類攻擊的對(duì)策是加強(qiáng)用戶安全意識(shí)，采用安全的密碼系統(tǒng)，注意系統(tǒng)安全，避免感染間諜軟件、木馬等惡意程序。

第四篇：國(guó)稅信息

安慶國(guó)稅所“三位思考”服務(wù)納稅人

安慶國(guó)稅所以行評(píng)工作為契機(jī)，從干部思想根源著手，開(kāi)展“三位思考”，積極為納稅人提供優(yōu)質(zhì)服務(wù)。

一是等位思考，要求干部把自己放在與納稅人平等的位置上，建立稅企平等互信的交流平臺(tái)，從而杜絕在干部工作帶有官本位的封建思想，從而影響服務(wù)質(zhì)量。

二是換位思考，要求干部主動(dòng)將自己與納稅人的角色進(jìn)行置換，以納稅人的角度來(lái)審視所提供的納稅服務(wù)水平，增強(qiáng)干部?jī)A聽(tīng)和解決納稅人存在的問(wèn)題的動(dòng)力。

三是職位思考，讓干部體會(huì)到手中的執(zhí)法權(quán)來(lái)源于納稅人，應(yīng)當(dāng)服務(wù)納稅人，積極履行管理與服務(wù)職能。想盡一切辦法加強(qiáng)干部的“三位思考”教育，努力營(yíng)造文明和諧國(guó)稅環(huán)境，真正做到用心服務(wù)納稅人，此項(xiàng)活動(dòng)開(kāi)展以來(lái)，深受到納稅人的贊譽(yù)。

安慶國(guó)稅所加強(qiáng)零散稅收管理

今年以來(lái)，安慶國(guó)稅所針對(duì)轄區(qū)零散稅收呈現(xiàn)點(diǎn)多面廣、流動(dòng)性大、季節(jié)性強(qiáng)、業(yè)戶成份復(fù)雜涉及的稅源零星分散、行業(yè)不定、難于控管的特點(diǎn)，本著“抓大不放小”的原則，在狠抓重點(diǎn)稅源企業(yè)稅收征管的同時(shí)，加強(qiáng)零散稅源的管理，有效地堵塞稅收漏洞，減少稅款流失，收到了“穩(wěn)稅基”的良好效果，為完成上半年稅收目標(biāo)任務(wù)打下堅(jiān)實(shí)基礎(chǔ)。

為切實(shí)解決零散稅收管理方面存在的突出問(wèn)題，一是廣泛進(jìn)行宣

傳。在深入調(diào)查研究的基礎(chǔ)上，采取走街串巷向社會(huì)各界和納稅人廣泛宣傳加強(qiáng)零散稅收征收管理的意義和作用，提高廣大業(yè)戶自覺(jué)依法誠(chéng)信納稅的自覺(jué)性。二是加強(qiáng)業(yè)務(wù)培訓(xùn)。不定期組織對(duì)協(xié)稅護(hù)稅人員、納稅人進(jìn)行講解國(guó)家稅收政策、法律、稅收知識(shí)的培訓(xùn)，使之熟練掌握稅收法規(guī)和政策，明確工作職責(zé)。三是把住稅源源頭。加強(qiáng)工商、國(guó)稅等部門聯(lián)系，及時(shí)進(jìn)行數(shù)據(jù)信息比對(duì)，按時(shí)辦理新增、變更、注銷等納稅人的稅務(wù)登記，通過(guò)部門間的配合，提高領(lǐng)取營(yíng)業(yè)執(zhí)照的納稅人稅務(wù)登記率。四是嚴(yán)格定額核定管理。組織人員對(duì)個(gè)體工商戶的稅負(fù)進(jìn)行全面調(diào)查、測(cè)算和調(diào)整，合理核定或調(diào)整個(gè)體工商戶的納稅定額。五是加強(qiáng)未達(dá)起征點(diǎn)納稅人嚴(yán)格管理。以營(yíng)業(yè)稅起征點(diǎn)調(diào)整這一政策變化為契機(jī)，加強(qiáng)對(duì)未達(dá)起征點(diǎn)納稅人嚴(yán)格實(shí)施等級(jí)管理，并結(jié)合稅收管理員制度，全面統(tǒng)計(jì)未達(dá)起征點(diǎn)戶，完善稅源征管檔案，實(shí)行動(dòng)態(tài)監(jiān)控，提高征管質(zhì)量。

安慶國(guó)稅所“四個(gè)加強(qiáng)”樹(shù)立良好稅收征納關(guān)系

一是加強(qiáng)隊(duì)伍建設(shè)，不斷提高服務(wù)人員素質(zhì)。牢固樹(shù)立終身學(xué)習(xí)的理念，按照科學(xué)化、精細(xì)化管理的要求，積極打造“學(xué)習(xí)型機(jī)關(guān)”，發(fā)揮業(yè)務(wù)骨干的模范帶動(dòng)作用。

二是加強(qiáng)作風(fēng)建設(shè)，努力營(yíng)造法治公平的稅收秩序。加強(qiáng)黨風(fēng)廉政建設(shè)，堅(jiān)決抵制拜金主義、個(gè)人主義的侵蝕，自覺(jué)提高廉潔自律思想意識(shí)，倡導(dǎo)廉潔從稅，增強(qiáng)大局意識(shí)和集體榮譽(yù)感。

三是加強(qiáng)服務(wù)方式的改進(jìn)，豐富服務(wù)內(nèi)容。堅(jiān)持從納稅人的角度

去思考問(wèn)題、去理解問(wèn)題、去解決問(wèn)題。深化政務(wù)信息公開(kāi)，開(kāi)通“綠色通道”，對(duì)納稅人提出的維權(quán)申請(qǐng)限時(shí)辦理并進(jìn)行反饋。

四是加強(qiáng)稅企溝通，深化納稅服務(wù)，促進(jìn)和諧地稅建設(shè)。廣泛征求納稅人對(duì)稅務(wù)工作的意見(jiàn)和建議，了解納稅人的個(gè)性需求，虛心傾聽(tīng)納稅人的呼聲。

第五篇：信息系統(tǒng)安全管理制度

信息系統(tǒng)安全管理制度

一、總則

1、為加強(qiáng)公司網(wǎng)絡(luò)管理，明確崗位職責(zé)，規(guī)范操作流程，維護(hù)網(wǎng)絡(luò)正常運(yùn)行，確保計(jì)算機(jī)信息系統(tǒng)的安全，現(xiàn)根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、等有關(guān)規(guī)定，結(jié)合本公司實(shí)際，特制訂本制度；

2、計(jì)算機(jī)信息系統(tǒng)是指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)；

3、公司由微機(jī)科專門負(fù)責(zé)本公司范圍內(nèi)的計(jì)算機(jī)信息系統(tǒng)安全管理工作。

二、網(wǎng)絡(luò)管理

1、遵守國(guó)家有關(guān)法律、法規(guī)，嚴(yán)格執(zhí)行安全保密制度及公司信息保密協(xié)議相關(guān)條款，不得利用網(wǎng)絡(luò)從事危害公司安全、泄露公司秘密等違法犯罪活動(dòng)，嚴(yán)格控制和防范計(jì)算機(jī)病毒的侵入；

2、禁止未授權(quán)用戶或外來(lái)計(jì)算機(jī)接入公司計(jì)算機(jī)網(wǎng)絡(luò)及訪問(wèn)、拷貝網(wǎng)絡(luò)中的資源；

3、任何員工不得故意輸入、傳播計(jì)算機(jī)病毒和其他有害數(shù)據(jù)，不得利用非法手段復(fù)制、截收、篡改計(jì)算機(jī)信息系統(tǒng)中的數(shù)據(jù)；

4、計(jì)算機(jī)各終端用戶應(yīng)保管好自己的用戶帳號(hào)和密碼。嚴(yán)禁隨意向他人泄露、借用自己的帳號(hào)和密碼；計(jì)算機(jī)使用者更應(yīng)以30天為周期更改密碼、密碼長(zhǎng)度不少于8位。

三、設(shè)備管理

1、IT設(shè)備安全管理實(shí)行“誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則（公用設(shè)備責(zé)任落實(shí)到部門）。嚴(yán)禁擅自移動(dòng)和裝拆各類設(shè)備及其他輔助設(shè)備；嚴(yán)禁擅自請(qǐng)人維修；嚴(yán)禁擅自調(diào)整部門內(nèi)部計(jì)算機(jī)信息系統(tǒng)的安排；

2、設(shè)備硬件或重裝操作系統(tǒng)等問(wèn)題由微機(jī)科統(tǒng)一管理。

四、數(shù)據(jù)管理

1、計(jì)算機(jī)終端用戶計(jì)算機(jī)內(nèi)的資料涉及公司秘密的，應(yīng)該為計(jì)算機(jī)設(shè)定開(kāi)機(jī)密碼或?qū)⑽募用埽环采婕肮緳C(jī)密的數(shù)據(jù)或文件，非工作需要不得以任何形式轉(zhuǎn)移，更不得透露給他人。離開(kāi)原工作崗位的員工由所在部門經(jīng)理負(fù)責(zé)將其所有工作資料收回并保存；

2、工作范圍內(nèi)的重要數(shù)據(jù)（重要程度由各部門負(fù)責(zé)人核定）由計(jì)算機(jī)終端用戶定期更新、備份，并提交給所在部門負(fù)責(zé)人，由部門負(fù)責(zé)人負(fù)責(zé)保存；

3、計(jì)算機(jī)終端用戶務(wù)必將有價(jià)值的數(shù)據(jù)存放在除系統(tǒng)盤(操作系統(tǒng)所在的硬盤分區(qū)，一般是C盤)外的盤上。計(jì)算機(jī)信息系統(tǒng)發(fā)生故障，應(yīng)及時(shí)與微機(jī)科聯(lián)系并采取保護(hù)數(shù)據(jù)安全的措施；

4、終端用戶未做好備份前不得刪除任何硬盤數(shù)據(jù)。對(duì)重要的數(shù)據(jù)應(yīng)準(zhǔn)備雙份，存放在不同的地點(diǎn)；光盤保存的數(shù)據(jù)，要定期進(jìn)行檢查，定期進(jìn)行復(fù)制，防止由于磁性介質(zhì)損壞，而使數(shù)據(jù)丟失；做好防磁、防火、防潮和防塵工作。

五、操作管理

1、凡涉及業(yè)務(wù)的專業(yè)軟件由使用人員自行負(fù)責(zé)。嚴(yán)禁利用計(jì)算機(jī)干與工作無(wú)關(guān)的事情；嚴(yán)禁除維修人員以外的外部人員操作各類設(shè)備；

2、微機(jī)科將有針對(duì)性地對(duì)員工的計(jì)算機(jī)應(yīng)用技能進(jìn)行定期或不定期的培訓(xùn)，培訓(xùn)成績(jī)將記入員工績(jī)效考核；由微機(jī)科收集計(jì)算機(jī)信息系統(tǒng)常見(jiàn)故障及排除方法并整理成冊(cè)，供公司員工學(xué)習(xí)參考。

3、計(jì)算機(jī)終端用戶在工作中遇到計(jì)算機(jī)信息系統(tǒng)問(wèn)題，首先要學(xué)會(huì)自行處理或參照手冊(cè)處理；若遇到手冊(cè)中沒(méi)有此問(wèn)題，或培訓(xùn)未曾講過(guò)的問(wèn)題，再與微機(jī)科或軟件開(kāi)發(fā)單位、硬件供應(yīng)商聯(lián)系，盡快解決問(wèn)題。

六、網(wǎng)站管理

1、公司網(wǎng)站由微機(jī)科提供技術(shù)支持和后臺(tái)管理，由公司相關(guān)部門提供經(jīng)審核后的書(shū)面和電子版網(wǎng)站建設(shè)資料。

七、處罰措施

1、計(jì)算機(jī)終端用戶擅自下載、安裝或存放與工作無(wú)關(guān)的文件經(jīng)查實(shí)后，根據(jù)文件大小第一次按10元/100M（四舍五入到百兆）進(jìn)行罰款，以后每次按倍數(shù)原則（第二次20元/100M，第三40元/100M，第四次80元/100M，以此類推）處罰。凡某一使用責(zé)任人此種情況出現(xiàn)三次以上（包括三次），將給予行政處罰。

2、有以下情況之一者，視情節(jié)嚴(yán)重程度處以50元以上500元以下罰款。構(gòu)成犯罪的，依法追究刑事責(zé)任。（1）制造或者故意輸入、傳播計(jì)算機(jī)病毒以及其他有害數(shù)據(jù)的；

（2）非法復(fù)制、截收、篡改計(jì)算機(jī)信息系統(tǒng)中的數(shù)據(jù)危害計(jì)算機(jī)信息系統(tǒng)安全的；

（3）對(duì)網(wǎng)絡(luò)和服務(wù)器進(jìn)行惡意攻擊，侵入他人網(wǎng)絡(luò)和服務(wù)器系統(tǒng)，利用計(jì)算機(jī)和網(wǎng)絡(luò)干擾他人正常工作；

（4）訪問(wèn)未經(jīng)授權(quán)的文件、系統(tǒng)或更改設(shè)備設(shè)置；

（5）申請(qǐng)人在設(shè)備領(lǐng)用或報(bào)廢一周之內(nèi)未將所涉及到的表單交微機(jī)科；（6）擅自與他人更換使用計(jì)算機(jī)或相關(guān)設(shè)備；

（7）擅自調(diào)整部門內(nèi)部計(jì)算機(jī)的安排且未向行政部備案；

（8）日常抽查、崗位調(diào)動(dòng)、離職時(shí)檢查到計(jì)算機(jī)配置與該計(jì)算機(jī)檔案不符、IT設(shè)備卡被撕毀、涂畫或遮蓋等；（9）工作時(shí)間外使用公司計(jì)算機(jī)做與工作無(wú)關(guān)的事務(wù)；（10）相同故障出現(xiàn)三次以上（包括三次）仍無(wú)法自行處理的；

（11）因工作需要長(zhǎng)時(shí)間(五個(gè)小時(shí)以上)離開(kāi)辦公位置或下班后無(wú)故未將計(jì)算機(jī)關(guān)閉；

3、計(jì)算機(jī)終端用戶因主觀操作不當(dāng)對(duì)設(shè)備造成破壞兩次以上或蓄意對(duì)設(shè)備造成破壞的，視情節(jié)嚴(yán)重，按所破壞設(shè)備市場(chǎng)價(jià)值的20%~80%賠償，并給予行政處罰。

行政部微機(jī)科