公務(wù)員期刊網(wǎng) 精選范文 安全審計(jì)制度范文

安全審計(jì)制度精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的安全審計(jì)制度主題范文,僅供參考,歡迎閱讀并收藏。

安全審計(jì)制度

第1篇:安全審計(jì)制度范文

通過(guò)對(duì)各縣區(qū)建立社會(huì)保障基金監(jiān)督體系,開(kāi)展社會(huì)保障基金監(jiān)督工作,使用社會(huì)保險(xiǎn)基金管理,開(kāi)展內(nèi)部審計(jì)工作和建設(shè)監(jiān)督機(jī)構(gòu)隊(duì)伍,以維護(hù)社?;鸬陌踩驼_\(yùn)營(yíng)。

關(guān)鍵詞:

社?;?;內(nèi)部審計(jì);監(jiān)督體系

中圖分類(lèi)號(hào):C91

文獻(xiàn)標(biāo)識(shí)碼:A

文章編號(hào):16723198(2012)24005501

近兩年來(lái),隨著一些地方暴露出來(lái)的在基金管理工作中出現(xiàn)的管理不規(guī)范、監(jiān)督不到位及挪用社會(huì)保險(xiǎn)基金的問(wèn)題,社會(huì)保險(xiǎn)基金的監(jiān)督管理成為社會(huì)各界關(guān)注的焦點(diǎn)。因此,完善社會(huì)保險(xiǎn)基金監(jiān)督體系,從不同層次、不同方面對(duì)社會(huì)保險(xiǎn)基金的運(yùn)營(yíng)實(shí)施有效監(jiān)督,已經(jīng)成為當(dāng)前社會(huì)保險(xiǎn)基金監(jiān)督工作面臨的艱巨任務(wù)。

1確立政府在基金監(jiān)督中的地位和職責(zé),對(duì)社?;疬M(jìn)行全過(guò)程的監(jiān)督管理

社會(huì)保險(xiǎn)基金的監(jiān)管工作是政府履行社會(huì)保障義務(wù)和責(zé)任的重要方面,是涉及到民生民計(jì)、經(jīng)濟(jì)發(fā)展與社會(huì)穩(wěn)定的大事,必須運(yùn)用政府行政和法律的手段,維護(hù)社會(huì)保障體系的正常運(yùn)轉(zhuǎn)。此外,當(dāng)前社保基金流程,已從單一部門(mén)的管理逐步發(fā)展為勞動(dòng)保障、稅務(wù)、財(cái)政、銀行等部門(mén)和社會(huì)服務(wù)機(jī)構(gòu)多家參與的格局,基金監(jiān)管已經(jīng)不是靠某個(gè)部門(mén)的內(nèi)部監(jiān)督所能夠完成,必須由政府組織相關(guān)部門(mén)進(jìn)行統(tǒng)一監(jiān)管。

2堅(jiān)持行政監(jiān)督、社會(huì)監(jiān)督和內(nèi)部監(jiān)督相結(jié)合,確保社會(huì)保險(xiǎn)基金安全

通過(guò)社會(huì)保險(xiǎn)基金監(jiān)督三種手段的綜合運(yùn)用,盡可能發(fā)揮行政監(jiān)督的權(quán)威性,社會(huì)監(jiān)督的廣泛性,內(nèi)部監(jiān)督的及時(shí)性優(yōu)勢(shì)。

(1)行政監(jiān)督。社會(huì)保障部門(mén)作為社保工作的主管部門(mén),應(yīng)當(dāng)主動(dòng)承擔(dān)起基金監(jiān)管責(zé)任,保證基金安全。在基金監(jiān)督工作中,努力當(dāng)好主角,積極爭(zhēng)取有關(guān)部門(mén)的配合和支持的同時(shí),配合社會(huì)保險(xiǎn)經(jīng)辦機(jī)構(gòu)做好工作。特別是社會(huì)保險(xiǎn)基金監(jiān)督管理中,各級(jí)社會(huì)保障部門(mén)在方案的制定、組織清收、部門(mén)配合、溝通協(xié)調(diào)等方面發(fā)揮了主導(dǎo)作用,在財(cái)政、審計(jì)等部門(mén)的支持和配合下,工作開(kāi)展順利。行政監(jiān)督應(yīng)從以下幾方面得到加強(qiáng)。一是社會(huì)保險(xiǎn)經(jīng)辦機(jī)構(gòu)的監(jiān)督和指導(dǎo)。通過(guò)對(duì)社會(huì)保險(xiǎn)經(jīng)辦機(jī)構(gòu)的監(jiān)督檢查,要分析存在問(wèn)題的原因及發(fā)出整改意見(jiàn)書(shū),督促和指導(dǎo)社會(huì)保險(xiǎn)經(jīng)辦機(jī)構(gòu)完善內(nèi)部控制制度,規(guī)范基金內(nèi)部管理。二是信息網(wǎng)絡(luò)監(jiān)督。在“金保工程”信息網(wǎng)建成后,及時(shí)圍繞加強(qiáng)和改進(jìn)基金監(jiān)管方式,建立新的基金風(fēng)險(xiǎn)控制和防范機(jī)制為目標(biāo),在市社會(huì)保障行政部門(mén)設(shè)立社?;鸨O(jiān)管工作平臺(tái),初步實(shí)現(xiàn)了對(duì)社?;鸬呢?cái)務(wù)監(jiān)管。三是基金的預(yù)決算管理工作。社會(huì)保障基金預(yù)、決算工作是社會(huì)保險(xiǎn)基金監(jiān)督的一項(xiàng)重要內(nèi)容,是真實(shí)反映社會(huì)保障事業(yè)發(fā)展計(jì)劃落實(shí)情況和社?;鹗褂们闆r的重要標(biāo)尺。它實(shí)現(xiàn)了數(shù)據(jù)一致,提高了數(shù)據(jù)質(zhì)量,為查找問(wèn)題、分析問(wèn)題提供了有效手段,為科學(xué)決策提供了有力依據(jù)。四是建立聯(lián)系制度。定期、不定期組織召開(kāi)社會(huì)保險(xiǎn)經(jīng)辦機(jī)構(gòu)的基金監(jiān)管工作調(diào)度會(huì),掌握經(jīng)辦機(jī)構(gòu)在管理上的難點(diǎn)和需要盡快解決的問(wèn)題,提出解決辦法和規(guī)范管理的可行措施,使基金管理更加規(guī)范。五是行政基金監(jiān)督方式要從內(nèi)部監(jiān)管向政策制度監(jiān)管轉(zhuǎn)變。從實(shí)踐來(lái)看,沒(méi)有明確的政策和規(guī)范的制度,具體的職能部門(mén)是無(wú)法履行監(jiān)督職能,難以開(kāi)展監(jiān)管工作的。只有以制度來(lái)規(guī)范監(jiān)督行為,才是最根本、最可靠的辦法。因此,行政監(jiān)督部門(mén)就擔(dān)負(fù)著國(guó)家、省、市出臺(tái)的各項(xiàng)社會(huì)保險(xiǎn)基金監(jiān)督方面的法津法規(guī)和規(guī)章制度的貫徹和落實(shí)工作。

(2)社會(huì)監(jiān)督。結(jié)合政務(wù)公開(kāi)工作,建立舉報(bào)制度。一是開(kāi)通電話、信箱、網(wǎng)絡(luò)投訴渠道等措施,為群眾參與監(jiān)督提供方便。二是對(duì)社會(huì)保險(xiǎn)繳費(fèi)基數(shù)、職工退休審批、職工特殊醫(yī)療門(mén)診審批、職工工傷鑒定等實(shí)行公示制度,讓廣大參保職工參與社會(huì)保險(xiǎn)基金監(jiān)督工作,對(duì)企業(yè)、職工及社保工作人員起到有效制約作用,規(guī)范了社會(huì)保險(xiǎn)行為,拓寬了監(jiān)督的信息渠道。

(3)內(nèi)部監(jiān)督。內(nèi)部監(jiān)督是基礎(chǔ),人力資源和社會(huì)保障行政部門(mén)加強(qiáng)內(nèi)部審計(jì)和監(jiān)督檢查,社會(huì)保險(xiǎn)經(jīng)辦的內(nèi)部控制制度是基金監(jiān)管的關(guān)鍵環(huán)節(jié)。需建立一整套運(yùn)作規(guī)范化、管理科學(xué)化、稽核檢查制度化、考評(píng)標(biāo)準(zhǔn)化的內(nèi)部監(jiān)督機(jī)制,通過(guò)建立和實(shí)施內(nèi)部監(jiān)督機(jī)制來(lái)完善社會(huì)保險(xiǎn)基金監(jiān)督體系。

3加強(qiáng)行政權(quán)力公開(kāi)透明、制度建設(shè)和過(guò)程控制,建立基金監(jiān)督長(zhǎng)效機(jī)制

要按照 “三用”工作思路,在基金監(jiān)管的內(nèi)容和結(jié)構(gòu)等方面構(gòu)建完善的制度體系,從制度上解決如何監(jiān)督基金的管理使用。一是用制度來(lái)推動(dòng)基金監(jiān)督工作。用制度來(lái)規(guī)范和推動(dòng)基金監(jiān)督工作,使工作有序運(yùn)行,一直是我們工作的重點(diǎn),建立目標(biāo)考核責(zé)任、社?;稹傲氵`紀(jì)”、“五保合一”的基金監(jiān)督、內(nèi)部控制等項(xiàng)制度來(lái)推動(dòng)基金監(jiān)督工作。二是用制度來(lái)規(guī)范基金管理使用。從基金入口、中間流動(dòng)到基金出口的各環(huán)節(jié),制定了更具操作性的基金管理使用辦法。保證了基金征收最大化、待遇審核規(guī)范化、管理使用制度化、定期報(bào)告長(zhǎng)效化。三是用制度來(lái)保障實(shí)施監(jiān)督權(quán)和再監(jiān)督權(quán)。社會(huì)保障部門(mén)主管社會(huì)保險(xiǎn)基金監(jiān)督工作,監(jiān)督委員會(huì)對(duì)基金監(jiān)督者實(shí)施再監(jiān)督,這為社保基金又上了一層“安全鎖”,確保監(jiān)督權(quán)和再監(jiān)督權(quán)的正確行使,避免出現(xiàn)“不作為”、“亂作為”的現(xiàn)象。

加強(qiáng)過(guò)程控制,突出程序監(jiān)督,規(guī)范權(quán)力運(yùn)行“軌跡”,讓權(quán)力在事先設(shè)定的、規(guī)范的軌道內(nèi)合法合規(guī)的運(yùn)行。并在實(shí)踐中不斷完善和提高,建立長(zhǎng)效機(jī)制。采取專項(xiàng)抽查、定期檢查和不定期暗訪的形式強(qiáng)化督導(dǎo),對(duì)重點(diǎn)部門(mén)、崗位、人員加強(qiáng)監(jiān)督,提前介入、直接參與、全程跟蹤。

第2篇:安全審計(jì)制度范文

【關(guān)鍵詞】不同孕期;妊娠;梅毒;預(yù)后;安全性

Prognosiseffect and safety evaluation of treatments in different pregnancy stage on syphilis in pregnancy childbirthBI Yunli1, ZHANG Chunhua2. 1. Department of Obstetric, Linqu County People’s Hospital, Weifang 262600, China; 2. Department of Obstetric, Shandong Provincial Hospital, Jinan 250021, China

【Abstract】Objectives: To explore and analyze the prognosis effect and safety of treatments in different pregnancy stage on syphilis in pregnancy childbirth. Methods: 90 pregnancy patients with syphilis treated in our hospital from October 2012 to October 2014 were selected and, according to the prenatal discovery and treatment time, divided into group A, group B and group C, with 30 cases in each group. Group A was early pregnancy group (< 12 weeks); group B was middle stage pregnancy group (12 to 27 weeks) and group C was late pregnancy group (> 27 weeks). All patients were given enough specifications syphilis treatment. Pregnancy outcomes, the comparison of the TRUST, low-grade, and incidence of congenital syphilis of the three groups were observed and compared. Results: Full-term births rate of group A, group B and group C after treatment were 86.67%, 53.33% and 86.67% respectively and the preterm birth rates were 1000%, 3000% and 53.33%. The differences between groups were significant (P< 005). After a treatment course, there were 12 cases (6000%) with maternal TRUST titer < 1∶8 and 8 cases (4000%) with maternal TRUST titer ≥1∶8. After 2 courses of treatment, there were 57 cases (85.07%) with maternal TRUST titer < 1∶8 and 6 cases with maternal TRUST titer ≥1∶8, with significant differences between groups (P< 005). After a treatment course, there were 15 cases (75.00%) with neonatal TRUST titer < 1∶8 and 5 cases (25.00%) with neonatal TRUST titer ≥1∶8. After 2 courses of treatment, there were 61 cases (91.04%) with neonatal TRUST titer < 1∶8 and 0 case neonatal TRUST titer ≥1∶8. The differences between groups were significant (P< 005). After treatment, the incidences of congenital child of group A, group B and group C were 0, 6.67% and 46.67% respectively. The differences between groups were significant (P< 005). Conclusion: Positive and effective treatment in early pregnancy stage for syphilis can obviously improve the pregnancy outcome and perinatal prognosis, reducing the incidence of children with congenital syphilis, which has important clinical significance and is worth promoting.

【Key words】Different pregnancy stage; Pregnancy; Syphilis; Prognosis; Safety

【中圖分類(lèi)號(hào)】R7591【文獻(xiàn)標(biāo)志碼】A

梅毒作為臨床上一類(lèi)發(fā)病率較高的性傳播疾病,由蒼白梅毒螺旋體感染引起,傳染性較強(qiáng),以育齡期婦女作為主要發(fā)病人群。當(dāng)孕婦感染蒼白梅毒螺旋體后可誘發(fā)多種嚴(yán)重并發(fā)癥,不僅易造成胎傳梅毒,甚至可誘發(fā)流產(chǎn)、死胎死產(chǎn)等,對(duì)母嬰身心健康造成影響[1]。現(xiàn)為了探究妊娠梅毒的最佳治療時(shí)間,我院針對(duì)收治的90例妊娠梅毒患者展開(kāi)研究,將結(jié)果總結(jié)報(bào)告如下。

1資料與方法

11一般資料

采取隨機(jī)數(shù)字表法選取我院自2012年10月至2014年10月收治的90例妊娠梅毒患者作為研究對(duì)象,全部患者均在我院行梅毒血清學(xué)檢查后確診,且為孕前未經(jīng)治療的患者,同時(shí)簽署了關(guān)于本次試驗(yàn)的知情權(quán)同意書(shū)。按照孕期發(fā)現(xiàn)及治療時(shí)間分為A組、B組及C組,每組各30例。A組為早孕期27周,平均孕期為(339±14)周,年齡23~37歲,平均年齡為(295±29)歲;初產(chǎn)婦18例,經(jīng)產(chǎn)婦12例;產(chǎn)次1~4次,平均產(chǎn)次為(29±08)次;潛伏梅毒14例,一期梅毒13例,二期梅毒3例。

12方法

檢測(cè)方法:對(duì)三組孕婦及新生兒均給予梅毒抗體檢查,其中包括梅毒螺旋體血凝試驗(yàn)等。

新生兒先天性梅毒判斷:根據(jù)性傳播疾病臨床治療指南對(duì)新生兒先天性梅毒進(jìn)行診斷,對(duì)于流產(chǎn)與死胎給予血清學(xué)檢查及胎盤(pán)病理檢查判斷是否為先天性梅毒兒。

治療方法:于患者兩側(cè)臀部行芐星青霉素G(河北華日藥業(yè)有限公司,生產(chǎn)批號(hào):20140805)治療,每周1次,每次使用劑量為240U,以3次為1個(gè)療程,連續(xù)治療2個(gè)療程。在治療期間患者的丈夫同樣接受檢查治療,且在治療期間禁止性生活。

13統(tǒng)計(jì)學(xué)處理

采用SPSS180統(tǒng)計(jì)軟件對(duì)本次研究所取得的數(shù)據(jù)進(jìn)行分析,計(jì)數(shù)資料采用χ2檢驗(yàn),以 P

2結(jié)果

21三組患者不同孕期治療妊娠結(jié)局對(duì)比

A組、B組及C組治療后足月分娩率分別為8667%、5333%、4667%,早產(chǎn)率分別為1000%、3000%、5333%,組間比較差異顯著(P均

22妊娠梅毒患者不同療程治療后TRUST滴度對(duì)比

該組患者共90例中,治療前TRUST滴度≥1∶8者87例,TRUST滴度

表2妊娠梅毒患者不同療程治療后TRUST滴度對(duì)比療程例數(shù)母體TRUST滴度

23三組患者不同孕期治療先天梅毒兒發(fā)生率對(duì)比

A組、B組、C組治療后先天兒發(fā)生率分別為0、667%、4667%,組間相比具有顯著差異(P

表3三組患者不同孕期治療先天梅毒兒發(fā)生率對(duì)比組別例數(shù)正常新生兒先天梅毒兒A組3030(3000)0B組3028(9333)2(667)C組3016(5333)14(4667)注:與B組相比,*P

3討論

大量臨床試驗(yàn)研究證實(shí),梅毒螺旋體可通過(guò)胎盤(pán)誘發(fā)流產(chǎn)、早產(chǎn)、死胎及死產(chǎn),同時(shí)誘發(fā)胎傳梅毒的發(fā)生。有研究報(bào)道指出,梅毒可作為誘發(fā)不良妊娠結(jié)局的首要原因,而目前妊娠孕婦多以潛伏梅毒為主[2]。本次研究中患者共90例,潛伏梅毒共60例,占6667%,與以往研究結(jié)果基本一致。由于潛伏期梅毒無(wú)明顯臨床癥狀,僅通過(guò)常規(guī)體檢無(wú)法對(duì)病情給予準(zhǔn)確判斷,采取血清學(xué)檢查方可發(fā)現(xiàn),因此,潛伏期梅毒的漏診率較高,常延誤了疾病最佳治療時(shí)期,從而對(duì)孕產(chǎn)婦及胎兒的健康造成不良影響[3]。

傳統(tǒng)臨床工作中認(rèn)為妊娠早期滋養(yǎng)層中的朗漢斯細(xì)胞可對(duì)胎兒起到一定的保護(hù)作用,可免受梅毒螺旋體感染,在妊娠前18周內(nèi)并不會(huì)發(fā)生梅毒的胎傳播,但此種結(jié)論經(jīng)過(guò)目前大量臨床試驗(yàn)研究證實(shí)為不正確的[4,5]。近年來(lái)的研究認(rèn)為梅毒的胎傳播可發(fā)生在不同妊娠時(shí)期內(nèi),為了預(yù)防先天性梅毒兒的出生,多以阻斷梅毒的胎傳播為主,這就依賴于通過(guò)對(duì)妊娠早期梅毒患者以及育齡婦女梅毒給予積極的干預(yù)治療[6,7]。有臨床研究資料顯示,在孕婦早孕時(shí)期確診后給予積極干預(yù)治療可有效降低先天梅毒兒的發(fā)生率,但若在中孕期或晚孕期開(kāi)始治療的患者,則可見(jiàn)先天梅毒兒的發(fā)病率明顯增高[8,9]。結(jié)合研究結(jié)果可見(jiàn),于孕早期接受梅毒治療的妊娠結(jié)局明顯優(yōu)于中孕期及晚孕期者,與以往研究報(bào)道基本一致[10]。為此,我們認(rèn)為對(duì)于妊娠梅毒的治療干預(yù),掌握正確的時(shí)間至關(guān)重要,且不同的初始治療初始時(shí)間所產(chǎn)生的妊娠結(jié)局各不相同[11,12]。我們認(rèn)為發(fā)生此類(lèi)情況可能與部分孕婦在孕末期才接受治療,無(wú)法確保宮內(nèi)胎兒接受充分治療有關(guān),也有可能是不同時(shí)期的妊娠梅毒患者無(wú)法完成2個(gè)療程的系統(tǒng)治療相關(guān),但這仍需要臨床工作者進(jìn)一步行大量實(shí)驗(yàn)證實(shí)[13]。

目前臨床上較為常用的特異性梅毒螺旋抗體血清學(xué)檢測(cè)在早期診斷先天性梅毒兒方面具有重要臨床意義,但值得注意的是,此類(lèi)檢測(cè)技術(shù)在部分醫(yī)院內(nèi)尚未開(kāi)展,未能得到廣泛應(yīng)用,僅給予常規(guī)梅毒血清學(xué)檢測(cè),并不能準(zhǔn)確判斷血清中的抗體來(lái)源于母體或新生兒本身[14]。為此,現(xiàn)多要求妊娠孕婦在每個(gè)月內(nèi)均進(jìn)行1次梅毒血清反應(yīng)的檢測(cè),并以8次為1個(gè)檢測(cè)周期[15]。綜上所述,盡管目前關(guān)于妊娠梅毒的相關(guān)治療已制定出合理方案,但發(fā)生先天性梅毒兒的情況仍然存在,并以中孕期與晚孕期為主。而通過(guò)上述試驗(yàn)我們可知,在妊娠梅毒早期給予積極有效的治療可明顯改善妊娠結(jié)局及圍產(chǎn)兒的預(yù)后情況,在降低先天性梅毒患兒發(fā)生率方面具有重要臨床意義,值得推廣。

參考文獻(xiàn)

[1]王千秋,張國(guó)成.性傳播疾病臨床診療指南.上海:上海科學(xué)技術(shù)出版社,2007:5-6.

[2]任旭琦,楊立剛,陳永鋒,等.2005至2010年廣東省育齡婦女人群二期梅毒及隱性梅毒流行趨勢(shì).中國(guó)感染控制雜志,2012,11(3):174-177.

[3]Peeling RW,Ye H. Diagnostic tools for preventing and managingmatemal and congential syphilics:an overview.Bull Word Health Organ,2004,82(6):439-446.

[4]楊立剛,楊斌.先天梅毒的診斷及治療.皮膚性病診療學(xué)雜志,2010,17(2):157-159.

[5]楊日東,劉金花,田廣南,等.治療干預(yù)對(duì)不同妊期潛伏梅毒孕婦新生兒影響的研究.嶺南皮膚性病學(xué)雜志,2010,17(2):157-158.

[6]Larkin JA,Lit L,Tongey J,et al.Recognizing and treating syphilis in pregnancy.Medscape Womens Health,2008,3(1):5-6.

[7]譚小平,劉紅桂,熊海燕,等.妊娠期梅毒母嬰阻斷的干預(yù)時(shí)機(jī).中國(guó)生育健康雜志,2008,19(4):199-202.

[8]李佳玟,李元成,王俐.妊娠梅毒85例臨床分析.中國(guó)皮膚性病學(xué)雜志,2006,20(4):226-227.

[9]周動(dòng)機(jī),謝慧,張遇嫻,等.不同孕期治療對(duì)妊娠梅毒分娩的預(yù)后影響.皮膚性病診療學(xué)雜志,2013,20(2):909-910.

[10]黃志明,周佳慧,羅榮華,等.妊娠梅毒在孕28周前后治療對(duì)先天性梅毒及新生兒預(yù)后的影響.中國(guó)麻風(fēng)皮膚病雜志,2009,25(5):355-356.

[11]葉光榮,張偉,黃顯翔.不同治療時(shí)機(jī)對(duì)妊娠梅毒的預(yù)后影響研究.西南軍醫(yī),2010,12(6):1059-1061.

[12]程娟,段紅巖,李安信.梅毒流行病學(xué)和診療現(xiàn)狀分析.傳染病信息,2012,25(1):58-60.

[13]黃志明, 周華, 洪福昌, 等. 深圳市寶安區(qū) 1999~ 2002年孕婦人群梅毒流行病學(xué)分析. 嶺南皮膚性病科雜志, 2004, 11 ( 1): 71- 73

[14]鄭義輝.妊娠期梅毒臨床結(jié)局的相關(guān)因素分析及臨床診治.中國(guó)醫(yī)學(xué)工程,2014,22(6):890-891.

第3篇:安全審計(jì)制度范文

1 利用網(wǎng)絡(luò)及安全管理的漏洞窺探用戶口令或帳號(hào),冒充合法用戶作案,篡改磁性介質(zhì)記錄竊取資產(chǎn)。

2 利用網(wǎng)絡(luò)遠(yuǎn)距離竊取的商業(yè)秘密以換取錢(qián)財(cái),或利用網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒以破壞企業(yè)的信息系統(tǒng)。

3 建立在計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)上的電子商貿(mào)使貿(mào)易趨向“無(wú)紙化”,越來(lái)越多的業(yè)務(wù)的原始記錄以電子憑證的方式

存在和傳遞。不法之徒通過(guò)改變電子貨幣帳單、銀行結(jié)算單及其它帳單,就有可能將公私財(cái)產(chǎn)的所有權(quán)進(jìn)行轉(zhuǎn)移。

計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)會(huì)計(jì)系統(tǒng)的開(kāi)放與數(shù)據(jù)共享,而開(kāi)放與共享的基礎(chǔ)則是安全。企業(yè)一方面通過(guò)網(wǎng)絡(luò)開(kāi)放自己,向全世界推銷(xiāo)自己的形象和產(chǎn)品,實(shí)現(xiàn)電子貿(mào)易、電子信息交換,但也需要守住自己的商業(yè)秘密、管理秘密和財(cái)務(wù)秘密,而其中已實(shí)現(xiàn)了電子化且具有貨幣價(jià)值的會(huì)計(jì)秘密、理財(cái)秘密是最重要的。我們有必要為它創(chuàng)造一個(gè)安全的環(huán)境,抵抗來(lái)自系統(tǒng)內(nèi)外的各種干擾和威協(xié),做到該開(kāi)放的放開(kāi)共享,該封閉的要讓黑客無(wú)奈。

一、網(wǎng)絡(luò)安全審計(jì)及基本要素

安全審計(jì)是一個(gè)新概念,它指由專業(yè)審計(jì)人員根據(jù)有關(guān)的法規(guī)、財(cái)產(chǎn)所有者的委托和管理當(dāng)局的授權(quán),對(duì)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下的有關(guān)活動(dòng)或行為進(jìn)行系統(tǒng)的、獨(dú)立的檢查驗(yàn)證,并作出相應(yīng)評(píng)價(jià)。

沒(méi)有網(wǎng)絡(luò)安全,就沒(méi)有網(wǎng)絡(luò)世界。任何一個(gè)建立網(wǎng)絡(luò)環(huán)境計(jì)算機(jī)會(huì)計(jì)系統(tǒng)的機(jī)構(gòu),都會(huì)對(duì)系統(tǒng)的安全提出要求,在運(yùn)行和維護(hù)中也都會(huì)從自己的角度對(duì)安全作出安排。那么系統(tǒng)是否安全了呢?這是一般人心中無(wú)數(shù)也最不放心的。應(yīng)該肯定,一個(gè)系統(tǒng)運(yùn)行的安全與否,不能單從雙方當(dāng)事人的判斷作出結(jié)論,而必須由第三方的專業(yè)審計(jì)人員通過(guò)審計(jì)作出評(píng)價(jià)。因?yàn)榘踩珜徲?jì)人員不但具有專門(mén)的安全知識(shí),而且具有豐富的安全審計(jì)經(jīng)驗(yàn),只有他們才能作出客觀、公正、公平和中立的評(píng)價(jià)。

安全審計(jì)涉及四個(gè)基本要素:控制目標(biāo)、安全漏洞、控制措施和控制測(cè)試。其中,控制目標(biāo)是指企業(yè)根據(jù)具體的計(jì)算機(jī)應(yīng)用,結(jié)合單位實(shí)際制定出的安全控制要求。安全漏洞是指系統(tǒng)的安全薄弱環(huán)節(jié),容易擾或破壞的地方。控制措施是指企業(yè)為實(shí)現(xiàn)其安全控制目標(biāo)所制定的安全控制技術(shù)、配置及各種規(guī)范制度。控制測(cè)試是將企業(yè)的各種安全控制措施與預(yù)定的安全標(biāo)準(zhǔn)進(jìn)行一致性比較,確定各項(xiàng)控制措施是否存在、是否得到執(zhí)行、對(duì)漏洞的防范是否有效,評(píng)價(jià)企業(yè)安全措施的可依賴程度。顯然,安全審計(jì)作為一個(gè)專門(mén)的審計(jì)項(xiàng)目,要求審計(jì)人員必須具有較強(qiáng)的專業(yè)技術(shù)知識(shí)與技能。

安全審計(jì)是審計(jì)的一個(gè)組成部分。由于計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全將不僅涉及國(guó)家安危,更涉及到企業(yè)的經(jīng)濟(jì)利益。因此,我們認(rèn)為必須迅速建立起國(guó)家、、企業(yè)三位一體的安全審計(jì)體系。其中,國(guó)家安全審計(jì)機(jī)關(guān)應(yīng)依據(jù)國(guó)家法律,特別是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身的各種安全技術(shù)要求,對(duì)廣域網(wǎng)上企業(yè)的信息安全實(shí)施年審制。另外,應(yīng)該社會(huì)中介機(jī)構(gòu),對(duì)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全提供審計(jì)服務(wù),它與會(huì)計(jì)師事務(wù)所、律師事務(wù)所一樣,是社會(huì)對(duì)企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全作出評(píng)價(jià)的機(jī)構(gòu)。當(dāng)企業(yè)管理當(dāng)局權(quán)衡網(wǎng)絡(luò)系統(tǒng)所帶來(lái)的潛在損失時(shí),他們需要通過(guò)中介機(jī)構(gòu)對(duì)安全性作出檢查和評(píng)價(jià)。此外財(cái)政、財(cái)務(wù)審計(jì)也離不開(kāi)網(wǎng)絡(luò)安全專家,他們對(duì)網(wǎng)絡(luò)的安全控制作出評(píng)價(jià),幫助注冊(cè)會(huì)計(jì)師對(duì)相應(yīng)的信息處理系統(tǒng)所披露信息的真實(shí)性、可靠性作出正確判斷。

二、網(wǎng)絡(luò)安全審計(jì)的程序

安全審計(jì)程序是安全監(jiān)督活動(dòng)的具體規(guī)程,它規(guī)定安全審計(jì)工作的具體、時(shí)間安排、具體的審計(jì)方法和手段。與其它審計(jì)一樣,安全審計(jì)主要包括三個(gè)階段:審計(jì)準(zhǔn)備階段、實(shí)施階段以及終結(jié)階段。

安全審計(jì)準(zhǔn)備階段需要了解審計(jì)對(duì)象的具體情況、安全目標(biāo)、企業(yè)的制度、結(jié)構(gòu)、一般控制和應(yīng)用控制情況,并對(duì)安全審計(jì)工作制訂出具體的工作計(jì)劃。在這一階段,審計(jì)人員應(yīng)重點(diǎn)確定審計(jì)對(duì)象的安全要求、審計(jì)重點(diǎn)、可能的漏洞及減少漏洞的各種控制措施。

1 了解企業(yè)網(wǎng)絡(luò)的基本情況。例如,應(yīng)該了解企業(yè)內(nèi)部網(wǎng)的類(lèi)型、局域網(wǎng)之間是否設(shè)置了單向存取限制、企業(yè)網(wǎng)與Internet的聯(lián)接方式、是否建立了虛擬專用網(wǎng)(VPN)?

2 了解企業(yè)的安全控制目標(biāo)。安全控制目標(biāo)一般包括三個(gè)方面:第一,保證系統(tǒng)的運(yùn)轉(zhuǎn)正常,數(shù)據(jù)的可靠完整;第二,保障數(shù)據(jù)的有效備份與系統(tǒng)的恢復(fù)能力;第三,對(duì)系統(tǒng)資源使用的授權(quán)與限制。當(dāng)然安全控制目標(biāo)因企業(yè)的經(jīng)營(yíng)性質(zhì)、規(guī)模的大小以及管理當(dāng)局的要求而有所差異。

3 了解企業(yè)現(xiàn)行的安全控制情況及潛在的漏洞。審計(jì)人員應(yīng)充分取得企業(yè)對(duì)網(wǎng)絡(luò)環(huán)境的安全保密計(jì)劃,了解所有有關(guān)的控制對(duì)上述的控制目標(biāo)的實(shí)現(xiàn)情況,系統(tǒng)還有哪些潛在的漏洞。

安全審計(jì)實(shí)施階段的主要任務(wù)是對(duì)企業(yè)現(xiàn)有的安全控制措施進(jìn)行測(cè)試,以明確企業(yè)是否為安全采取了適當(dāng)?shù)目刂拼胧?,這些措施是否發(fā)揮著作用。審計(jì)人員在實(shí)施環(huán)節(jié)應(yīng)充分利用各種技術(shù)工具產(chǎn)品,如網(wǎng)絡(luò)安全測(cè)試產(chǎn)品、網(wǎng)絡(luò)監(jiān)視產(chǎn)品、安全審計(jì)器。

安全審計(jì)終結(jié)階段應(yīng)對(duì)企業(yè)現(xiàn)存的安全控制系統(tǒng)作出評(píng)價(jià),并提出改進(jìn)和完善的方法和其他意見(jiàn)。安全審計(jì)終結(jié)的評(píng)價(jià),按系統(tǒng)的完善程度、漏洞的大小和存在問(wèn)題的性質(zhì)可以分為三個(gè)等級(jí):危險(xiǎn)、不安全和基本安全。危險(xiǎn)是指系統(tǒng)存在毀滅性數(shù)據(jù)丟失隱患(如缺乏合理的數(shù)據(jù)備份機(jī)制與有效的病毒防范措施)和系統(tǒng)的盲目開(kāi)放性(如有意和無(wú)意用戶經(jīng)常能闖入系統(tǒng),對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行查閱或刪改)。不安全是指系統(tǒng)尚存在一些較常見(jiàn)的問(wèn)題和漏洞,如系統(tǒng)缺乏監(jiān)控機(jī)制和數(shù)據(jù)檢測(cè)手段等?;景踩侵父鱾€(gè)企業(yè)網(wǎng)絡(luò)應(yīng)達(dá)到的目標(biāo),其大漏洞僅限于不可預(yù)見(jiàn)或罕預(yù)見(jiàn)性、技術(shù)極限性以及窮舉性等,其他小問(wèn)題發(fā)生時(shí)不影響系統(tǒng)運(yùn)行,也不會(huì)造成大的損失,且具有隨時(shí)發(fā)現(xiàn)問(wèn)題并糾正的能力。

三、安全審計(jì)的主要測(cè)試

測(cè)試是安全審計(jì)實(shí)施階段的主要任務(wù),一般應(yīng)包括對(duì)數(shù)據(jù)通訊、硬件系統(tǒng)、軟件系統(tǒng)、數(shù)據(jù)資源以及安全產(chǎn)品的測(cè)試。

下面是對(duì)網(wǎng)絡(luò)環(huán)境信息系統(tǒng)的主要測(cè)試。

1 數(shù)據(jù)通訊的控制測(cè)試

數(shù)據(jù)通訊控制的總目標(biāo)是數(shù)據(jù)通道的安全與完整。具體說(shuō),能發(fā)現(xiàn)和糾正設(shè)備的失靈,避免數(shù)據(jù)丟失或失真,能防止和發(fā)現(xiàn)來(lái)自Internet及內(nèi)部的非法存取操作。為了達(dá)到上述控制目標(biāo),審計(jì)人員應(yīng)執(zhí)行以下控制測(cè)試:(1)抽取一組會(huì)計(jì)數(shù)據(jù)進(jìn)行傳輸,檢查由于線路噪聲所導(dǎo)致數(shù)據(jù)失真的可能性。(2)檢查有關(guān)的數(shù)據(jù)通訊記錄,證實(shí)所有的數(shù)據(jù)接收是有序及正確的。(3)通過(guò)假設(shè)系統(tǒng)外一個(gè)非授權(quán)的進(jìn)入請(qǐng)求,測(cè)試通訊回叫技術(shù)的運(yùn)行情況。(4)檢查密鑰管理和口令控制程序,確認(rèn)口令文件是否加密、密鑰存放地點(diǎn)是否安全。(5)發(fā)送一測(cè)試信息測(cè)試加密過(guò)程,檢查信息通道上在各不同點(diǎn)上信息的。(6)檢查防火墻是否控制有效。防火墻的作用是在Internet與內(nèi)部網(wǎng)之間建立一道屏障,其有效性主要包括靈活性以及過(guò)濾、分離、報(bào)警等方面的能力。例如,防火墻應(yīng)具有拒絕任何不準(zhǔn)確的申請(qǐng)者的過(guò)濾能力,只有授權(quán)用戶才能通過(guò)防火墻訪問(wèn)會(huì)計(jì)數(shù)據(jù)。

2 硬件系統(tǒng)的控制測(cè)試

硬件控制測(cè)試的總目標(biāo)是評(píng)價(jià)硬件的各項(xiàng)控制的適當(dāng)性與有效性。測(cè)試的重點(diǎn)包括:實(shí)體安全、火災(zāi)報(bào)警防護(hù)系統(tǒng)、使用記錄、后備電源、操作規(guī)程、災(zāi)害恢復(fù)計(jì)劃等。審計(jì)人員應(yīng)確定實(shí)物安全控制措施是否適當(dāng)、在處理日常運(yùn)作及部件失靈中操作員是否作出了適當(dāng)?shù)挠涗浥c定期、硬件的災(zāi)難恢復(fù)計(jì)劃是否適當(dāng)、是否制定了相關(guān)的操作規(guī)程、各硬件的資料歸檔是否完整。

3 軟件系統(tǒng)的控制測(cè)試

軟件系統(tǒng)包括系統(tǒng)軟件和軟件,其中最主要的是操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和會(huì)計(jì)軟件系統(tǒng)??傮w控制目標(biāo)應(yīng)達(dá)到防止來(lái)自硬件失靈、機(jī)黑客、病毒感染、具有特權(quán)職員的各種破壞行為,保障系統(tǒng)正常運(yùn)行。對(duì)軟件系統(tǒng)的測(cè)試主要包括:(1)檢查軟件產(chǎn)品是否從正當(dāng)途徑購(gòu)買(mǎi),審計(jì)人員應(yīng)對(duì)購(gòu)買(mǎi)訂單進(jìn)行抽樣審查。(2)檢查防治病毒措施,是否安裝有防治病毒軟件、使用外來(lái)軟盤(pán)之前是否檢查病毒。(3)證實(shí)只有授權(quán)的軟件才安裝到系統(tǒng)里。

4 數(shù)據(jù)資源的控制測(cè)試

數(shù)據(jù)控制目標(biāo)包括兩方面:一是數(shù)據(jù)備份,為恢復(fù)被丟失、損壞或擾的數(shù)據(jù),系統(tǒng)應(yīng)有足夠備份;二是個(gè)人應(yīng)當(dāng)經(jīng)授權(quán)限制性地存取所需的數(shù)據(jù),未經(jīng)授權(quán)的個(gè)人不能存取數(shù)據(jù)庫(kù)。審計(jì)測(cè)試應(yīng)檢查是否提供了雙硬盤(pán)備份、動(dòng)態(tài)備份、業(yè)務(wù)日志備份等功能,以及在日常工作中是否真正實(shí)施了這些功能。根據(jù)系統(tǒng)的授權(quán)表,檢查存取控制的有效性。

5 系統(tǒng)安全產(chǎn)品的測(cè)試

隨著網(wǎng)絡(luò)系統(tǒng)安全的日益重要,各種用于保障網(wǎng)絡(luò)安全的軟、硬件產(chǎn)品應(yīng)運(yùn)而生,如VPN、防火墻、身份認(rèn)證產(chǎn)品、CA產(chǎn)品等等。企業(yè)將在不斷的安全產(chǎn)品市場(chǎng)上購(gòu)買(mǎi)各種產(chǎn)品以保障系統(tǒng)的安全,安全審計(jì)機(jī)構(gòu)應(yīng)對(duì)這些產(chǎn)品是否有效地使用并發(fā)揮其應(yīng)有的作用進(jìn)行測(cè)試與作出評(píng)價(jià)。例如,檢查安全產(chǎn)品是否經(jīng)過(guò)認(rèn)證機(jī)構(gòu)或公安部部門(mén)的認(rèn)征,產(chǎn)品的銷(xiāo)售商是否具有銷(xiāo)售許可證產(chǎn)品的安全保護(hù)功能是否發(fā)揮作用。

四、應(yīng)該建立內(nèi)部安全審計(jì)制度

第4篇:安全審計(jì)制度范文

關(guān)鍵詞:山區(qū)道路;安全審計(jì);內(nèi)容;步驟

道路安全審計(jì)(RoadSafelyAudits,簡(jiǎn)稱RSA)是從預(yù)防交通事故、降低事故產(chǎn)生的可能性和嚴(yán)重性人手,對(duì)道路項(xiàng)目建設(shè)的全過(guò)程,即規(guī)劃、設(shè)計(jì)、施工和服務(wù)期進(jìn)行全方位的安全審核,從而揭示道路發(fā)生事故的潛在危險(xiǎn)因素及安全性能,是國(guó)際上近期興起的以預(yù)防交通事故和提高道路交通安全為目的的一項(xiàng)新技術(shù)手段。其目標(biāo)是:確定項(xiàng)目潛在的安全隱患;確??紤]了合適的安全對(duì)策;使安全隱患得以消除或以較低的代價(jià)降低其負(fù)面影響,避免道路成為事故多發(fā)路段;保障道路項(xiàng)目在規(guī)劃、設(shè)計(jì)、施工和運(yùn)營(yíng)各階段都考慮了使用者的安全需求,從而保證現(xiàn)已運(yùn)營(yíng)或?qū)⒔ㄔO(shè)的道路項(xiàng)目能為使用者提供最高實(shí)用標(biāo)準(zhǔn)的交通安全服務(wù)。

一、道路安全審計(jì)的起源與發(fā)展

1991年,英國(guó)版的《公路安全審計(jì)指南》問(wèn)世,這標(biāo)志著安全審計(jì)有了系統(tǒng)的體系。從1991年4月起,安全審計(jì)成為英國(guó)全境主干道、高速公路建設(shè)與養(yǎng)護(hù)工程項(xiàng)目必須進(jìn)行的程序,使英國(guó)成為安全審計(jì)的重要發(fā)起與發(fā)展國(guó)。而我國(guó)則是在20世紀(jì)90年代中期開(kāi)始發(fā)展安全審計(jì),主要有兩個(gè)渠道:①以高等院校為主的學(xué)者通過(guò)國(guó)際學(xué)術(shù)交流與檢索國(guó)外文獻(xiàn),從理論體系的角度引入道路安全審計(jì)的理論;②通過(guò)世界銀行貸款項(xiàng)目的配套科研課題。在工程領(lǐng)域開(kāi)展道路安全審計(jì)的實(shí)踐。

目前,在澳大利亞、丹麥、英國(guó)、冰島、新西蘭和挪威等國(guó)已定期地執(zhí)行道路安全審計(jì),德國(guó)、芬蘭、法國(guó)、意大利、加拿大、荷蘭、葡萄牙、泰國(guó)以及美國(guó)正處于實(shí)驗(yàn)或試行階段,其他許多國(guó)家也在就道路安全審計(jì)的引入進(jìn)行檢驗(yàn),比如希臘等國(guó)家。國(guó)外研究表明,道路安全審計(jì)可有效地預(yù)防交通事故,降低交通事故數(shù)量及其嚴(yán)重度,減少道路開(kāi)通后改建完善和運(yùn)營(yíng)管理費(fèi)用,提升交通安全文化,其投資回報(bào)是15~40倍。

道路安全審計(jì)在我們道路建設(shè)中的重要性,不僅僅是在提高安全性方面,對(duì)經(jīng)濟(jì)性也有幫助。而山區(qū)道路的安全比起一般道路來(lái)講,就更應(yīng)該引起我們的注意,畢竟山區(qū)道路的崎嶇以及地勢(shì)的高低相對(duì)與一般道路對(duì)駕駛者來(lái)說(shuō)是一個(gè)很大的挑戰(zhàn),而且其發(fā)生事故的死亡率也比其他道路高很多,因此,審計(jì)對(duì)于山區(qū)道路來(lái)說(shuō)是至關(guān)重要的。

二、山區(qū)道路安全審計(jì)內(nèi)容

加拿大等國(guó)家認(rèn)為,在項(xiàng)目建設(shè)的初步設(shè)計(jì)階段進(jìn)行道路安全審計(jì)最重要、最有效,因而早期的道路安全審計(jì)主要重點(diǎn)是在項(xiàng)目建設(shè)的初步設(shè)計(jì)階段?,F(xiàn)世界各國(guó)都普遍認(rèn)為可在已運(yùn)營(yíng)的道路和擬建道路項(xiàng)目建設(shè)期的全過(guò)程實(shí)行安全審計(jì),即在規(guī)劃或可行性研究、初步設(shè)計(jì)、施工圖設(shè)計(jì)、道路通車(chē)前期(預(yù)開(kāi)通)和開(kāi)通服務(wù)期(后評(píng)估階段)都有所側(cè)重地實(shí)行審計(jì)。山區(qū)道路安全審計(jì)同樣與其他道路的安全審計(jì)工作內(nèi)容一樣。

三、審計(jì)要素

典型的道路安全審計(jì)過(guò)程為:組建審計(jì)組+設(shè)計(jì)隊(duì)介紹項(xiàng)目情況及提供資料+項(xiàng)目實(shí)施考察-安全性分析研究-編寫(xiě)安全審計(jì)報(bào)告+審計(jì)組介紹項(xiàng)目審計(jì)結(jié)果+設(shè)計(jì)隊(duì)研究、編寫(xiě)響應(yīng)報(bào)告-審計(jì)報(bào)告及響應(yīng)報(bào)告共同構(gòu)成項(xiàng)目安全文件。

整個(gè)安全審計(jì)的時(shí)間一般為兩周左右。為保證安全審計(jì)的質(zhì)量,審計(jì)組人員的構(gòu)成至關(guān)重要。審計(jì)組的人數(shù)依項(xiàng)目的規(guī)模大小一般由26人組成,審計(jì)組應(yīng)由不同背景、不同經(jīng)歷、受過(guò)培訓(xùn)、經(jīng)驗(yàn)豐富、獨(dú)立的人員(與設(shè)計(jì)隊(duì)無(wú)直接關(guān)聯(lián))組成。審計(jì)人員一般應(yīng)具備交通安全、交通工程、交通運(yùn)行分析、交通心理、道路設(shè)計(jì)、道路維護(hù)、交通運(yùn)營(yíng)及管理、交通法律法規(guī)等方面的知識(shí),應(yīng)保證審計(jì)組人員相互間能平等、自由地交流、討論和商議安全問(wèn)題。審計(jì)人員應(yīng)本著對(duì)社會(huì)(用戶)負(fù)責(zé)的態(tài)度、安全第一的觀點(diǎn),依據(jù)道路標(biāo)準(zhǔn)規(guī)范,對(duì)項(xiàng)目各種設(shè)計(jì)參數(shù)、弱勢(shì)用戶、氣候環(huán)境等的綜合組合,展開(kāi)道路安全審計(jì)。道路安全審計(jì)人員(審計(jì)組)與設(shè)計(jì)人員(設(shè)計(jì)隊(duì))的區(qū)別在于:設(shè)計(jì)人員需要綜合考慮項(xiàng)目投資、土地、政治、地理、地形、環(huán)境、交通、安全等方方面面的因數(shù),限于經(jīng)驗(yàn)、時(shí)間的約束,對(duì)安全問(wèn)題難免有所偏頗。而安全審計(jì)人員不考慮項(xiàng)目投資、建設(shè)背景等因數(shù),僅僅考慮安全問(wèn)題,只提安全建議,最后由設(shè)計(jì)人員決定:采納、改進(jìn)或不采納。因而可以說(shuō)道路安全審計(jì)的關(guān)鍵點(diǎn)為:它是一個(gè)正式的、獨(dú)立進(jìn)行的審計(jì)過(guò)程,須由有經(jīng)驗(yàn)的、有資格的人員從事這一工作,要考慮到道路的各種用戶,最重要的一點(diǎn)是只考慮安全問(wèn)題。

安全審計(jì)報(bào)告一般應(yīng)包括:設(shè)計(jì)人及審計(jì)組簡(jiǎn)述、審計(jì)過(guò)程及日期、項(xiàng)目背景及簡(jiǎn)況、圖紙等,對(duì)確認(rèn)的每一個(gè)潛在危險(xiǎn)因素都應(yīng)闡述其地點(diǎn)、詳細(xì)特征、可能引發(fā)的事故(類(lèi)型)、事故的頻率及嚴(yán)重度評(píng)估、改進(jìn)建議及該建議的可操作性(實(shí)用性)等。審計(jì)報(bào)告應(yīng)易于被設(shè)計(jì)人員接受并實(shí)施。響應(yīng)報(bào)告應(yīng)由項(xiàng)目設(shè)計(jì)人員編寫(xiě),其內(nèi)容—般應(yīng)包括:對(duì)審計(jì)報(bào)告指出的安全缺陷是否接受,如不接受應(yīng)闡述理由,對(duì)每一改進(jìn)建議應(yīng)一一響應(yīng),采納、部分采納或不采納,并闡明原因。

四、現(xiàn)有山區(qū)道路的安全審計(jì)

對(duì)現(xiàn)狀山區(qū)道路進(jìn)行安全審計(jì),主要評(píng)估現(xiàn)狀道路潛在事故危險(xiǎn)性,同時(shí)提出改進(jìn)措施以降低未來(lái)發(fā)生事故的可能性?,F(xiàn)狀道路的安全審計(jì)與新建道路相類(lèi)似,也需進(jìn)行上面所提到的工作,但現(xiàn)場(chǎng)調(diào)查以及評(píng)估資料及文件這兩步與新建道路有所不同。此時(shí)事故資料被作為欲審計(jì)資料的重要組成部分,同時(shí)該資料也包括可能導(dǎo)致事故發(fā)生潛在性的一些不利因素的詳細(xì)資料。

理想的關(guān)于現(xiàn)狀道路網(wǎng)的安全審計(jì)應(yīng)該建立在有規(guī)律的基礎(chǔ)之上。它可以以連續(xù)幾年審計(jì)的結(jié)果為基礎(chǔ),采用滾動(dòng)式的審計(jì)方式對(duì)路網(wǎng)中的每條道路都進(jìn)行評(píng)估。對(duì)于里程較長(zhǎng)的道路(一般>100km),其安全審計(jì)工作可按兩階段進(jìn)行,即初步審計(jì)階段和詳細(xì)審計(jì)階段。前者主要對(duì)道路總體上進(jìn)行粗略審計(jì),給出存在的主要問(wèn)題及所處位置,后者則對(duì)找到的問(wèn)題進(jìn)行進(jìn)一步的詳細(xì)分析并提出相應(yīng)的改進(jìn)建議。對(duì)里程較短的道路(<30km)可直接進(jìn)行第二階段的工作。而對(duì)里程在30km~100km的道路,兩階段審計(jì)工作可根據(jù)具體情況靈活進(jìn)行。

由于欲審計(jì)道路已修建完成并已經(jīng)運(yùn)營(yíng),此時(shí)現(xiàn)場(chǎng)調(diào)查就顯得非常重要。不管是擬建道路或已建道路、線內(nèi)工程還是線外工程,安全審計(jì)工作必須全方位細(xì)致地進(jìn)行。要考慮不同道路使用者對(duì)道路安全性能的不同需求。例如:①由于坡度太大或海拔高而使得駕駛員的心理產(chǎn)生恐懼;②半徑太小可能使得駕駛員無(wú)法在規(guī)定視距范圍內(nèi)看到對(duì)方;③山體的穩(wěn)定性也可能會(huì)影響到駕駛員。

另外,現(xiàn)狀山區(qū)道路的安全審計(jì)工作還要調(diào)查不同的道路類(lèi)型,例如白天、黑夜、干燥、潮濕等情況對(duì)道路的影響。此外,對(duì)現(xiàn)有道路網(wǎng)絡(luò)的安全審計(jì)可結(jié)合養(yǎng)護(hù)工作同時(shí)進(jìn)行,這樣可減少相應(yīng)的成本費(fèi)用。

五、我國(guó)山區(qū)道路的審計(jì)現(xiàn)狀及問(wèn)題和解決方法

5.1審計(jì)現(xiàn)狀及問(wèn)題

由于目前審計(jì)這個(gè)名詞在國(guó)內(nèi)還算比較新鮮,國(guó)外從起步發(fā)展到現(xiàn)在也不過(guò)十來(lái)年的時(shí)間,各方面都只是處于實(shí)驗(yàn)或者是試行階段,并沒(méi)有固定的一套理論依據(jù)。而我國(guó)相對(duì)外國(guó)來(lái)說(shuō)又是落后了好幾年,因此我國(guó)現(xiàn)在總體的審計(jì)現(xiàn)狀也就處于探索階段,各個(gè)方面也是處于起步階段,不可能對(duì)各個(gè)方面的審計(jì)工作做到非常的完善。而道路的審計(jì)不過(guò)是眾多審計(jì)工作中的一小部分,由于其本身的“新鮮性”,又對(duì)審計(jì)人員的要求較高,西部一些貧困地區(qū)教育跟不上,審計(jì)的人才缺乏也不是沒(méi)有可能,設(shè)備等亦未全部到位。山區(qū)道路安全審計(jì)工作的開(kāi)展較一般道路可能要更加的困難,因?yàn)樯絽^(qū)道路多是停山臨崖,彎道又多,坡度又大等各方面因素是其工作的開(kāi)展要難與一般道路;更有甚者像那些偏僻地區(qū)的山區(qū)道路,可能路面的質(zhì)量都無(wú)法保證,更不要提進(jìn)行什么安全審計(jì)。:

5.2解決方法

要改善我國(guó)目前的這種安全審計(jì)情況,需要全國(guó)各個(gè)方面的努力與配合,不過(guò)政府要有所規(guī)定,我們民間也要有這方面的意識(shí)。筆者簡(jiǎn)單列出幾項(xiàng):①國(guó)家應(yīng)該頒布相關(guān)的法律制度,嚴(yán)格要求進(jìn)行安全審計(jì);②地方政府部門(mén)要加強(qiáng)管理;③加強(qiáng)對(duì)審計(jì)人員的培訓(xùn);④提高我國(guó)的教育水平和人們的交通安全意識(shí);⑤交通安全部門(mén)要深入到偏僻的山區(qū);⑥提高我國(guó)的經(jīng)濟(jì)實(shí)力。

六、結(jié)束語(yǔ)

山區(qū)道路的安全審計(jì)工作與其他道路的安全審計(jì)總體上應(yīng)該說(shuō)差不多,當(dāng)然山區(qū)的那種獨(dú)特的環(huán)境使得審計(jì)工作的重點(diǎn)可能不僅僅局限與一般的道路,不要認(rèn)為山區(qū)道路的流量沒(méi)有城市道路那么多而忽視它,我國(guó)是個(gè)多山的國(guó)家,山區(qū)道路對(duì)于我國(guó)各個(gè)地區(qū)的經(jīng)濟(jì)往來(lái)的作用不言而譽(yù)。通過(guò)安全審計(jì),加強(qiáng)了全國(guó)各地交流。對(duì)于我國(guó)的經(jīng)濟(jì)發(fā)展有百利而無(wú)一害。國(guó)內(nèi)山區(qū)道路建設(shè)的實(shí)際情況對(duì)道路安全審計(jì)進(jìn)行了較為系統(tǒng)的分析研究并得出以下結(jié)論:

(1)道路安全審計(jì)獨(dú)立于設(shè)計(jì)和標(biāo)準(zhǔn)。是以安全為核心的審計(jì),其對(duì)象為一切與交通安全相關(guān)的工程和設(shè)施,它可分階段、按步驟的實(shí)施,審計(jì)的結(jié)果為安全審計(jì)報(bào)告。

第5篇:安全審計(jì)制度范文

關(guān)鍵詞:審計(jì);糧食安全;路徑選擇

中圖分類(lèi)號(hào):F239 文獻(xiàn)標(biāo)識(shí)碼:A

原標(biāo)題:政府審計(jì)維護(hù)糧食安全的依據(jù)及路徑選擇

收錄日期:2012年2月22日

一、政府審計(jì)維護(hù)糧食安全的基本依據(jù)

糧食安全是經(jīng)濟(jì)安全的重要組成部分,審計(jì)要維護(hù)國(guó)家經(jīng)濟(jì)安全,理所當(dāng)然包括糧食安全。我們認(rèn)為,審計(jì)維護(hù)糧食安全有以下幾個(gè)方面的基本依據(jù):從理論上分析,政府審計(jì)維護(hù)糧食安全是公共受托經(jīng)濟(jì)責(zé)任拓展的現(xiàn)實(shí)需要;從法律上的要求,維護(hù)國(guó)家糧食安全是政府審計(jì)的法定職責(zé);從現(xiàn)實(shí)層面而言,政府審計(jì)維護(hù)國(guó)家經(jīng)濟(jì)安全是充分發(fā)揮審計(jì)“免疫系統(tǒng)”功能的必然要求。

(一)政府審計(jì)維護(hù)國(guó)家糧食安全是公共受托經(jīng)濟(jì)責(zé)任拓展的現(xiàn)實(shí)需要。按照“受托經(jīng)濟(jì)責(zé)任觀”這一審計(jì)學(xué)說(shuō),審計(jì)是隨受托經(jīng)濟(jì)責(zé)任的產(chǎn)生而產(chǎn)生,并隨受托經(jīng)濟(jì)責(zé)任的發(fā)展而發(fā)展的。政府審計(jì)產(chǎn)生于公共受托經(jīng)濟(jì)責(zé)任關(guān)系的確立,其首要或根本目標(biāo)就是促進(jìn)政府公共受托經(jīng)濟(jì)責(zé)任的切實(shí)有效履行。公共受托經(jīng)濟(jì)責(zé)任內(nèi)涵的拓展要求政府承擔(dān)保障和維護(hù)國(guó)民吃飯的責(zé)任。政府審計(jì)作為促進(jìn)政府全面有效履行公共受托經(jīng)濟(jì)責(zé)任的一種監(jiān)控機(jī)制,其功能也隨著公共受托經(jīng)濟(jì)責(zé)任內(nèi)涵的拓展而不斷拓展。因此,政府審計(jì)維護(hù)國(guó)家糧食安全是公共受托經(jīng)濟(jì)責(zé)任拓展的現(xiàn)實(shí)需要。

(二)政府審計(jì)維護(hù)國(guó)家糧食安全是政府審計(jì)法定職責(zé)的基本要求?!吨腥A人民共和國(guó)憲法》第九十一條規(guī)定:“國(guó)務(wù)院設(shè)立審計(jì)機(jī)關(guān),對(duì)國(guó)務(wù)院各部門(mén)、地方各級(jí)政府的財(cái)政收支,對(duì)國(guó)家的財(cái)政金融機(jī)構(gòu)和企業(yè)事業(yè)組織的財(cái)務(wù)收支進(jìn)行審計(jì)監(jiān)督”。2006年新修訂頒布的《中華人民共和國(guó)審計(jì)法》在第一章第一條中將立法的目的規(guī)定為:“為了加強(qiáng)國(guó)家的審計(jì)監(jiān)督,維護(hù)國(guó)家財(cái)政經(jīng)濟(jì)秩序,提高財(cái)政資金使用效益,促進(jìn)廉政建設(shè),保障國(guó)民經(jīng)濟(jì)和社會(huì)健康發(fā)展”。糧食安全是“維護(hù)國(guó)家財(cái)政經(jīng)濟(jì)秩序”與“保障國(guó)民經(jīng)濟(jì)和社會(huì)健康發(fā)展”兩項(xiàng)目標(biāo)的重要基礎(chǔ);“財(cái)政資金使用效益”關(guān)系到國(guó)家成本與國(guó)家效能,對(duì)國(guó)家經(jīng)濟(jì)安全有著重要的影響;“國(guó)民經(jīng)濟(jì)和社會(huì)健康發(fā)展”的基礎(chǔ)條件就是國(guó)家經(jīng)濟(jì)安全。因此,維護(hù)國(guó)家糧食安全是政府審計(jì)法定職責(zé)的基本要求。

(三)政府審計(jì)維護(hù)國(guó)家糧食安全是充分發(fā)揮審計(jì)“免疫系統(tǒng)”功能的必然要求。2008年劉家義提出了“國(guó)家審計(jì)免疫系統(tǒng)論”這一重要觀點(diǎn),指出“應(yīng)充分發(fā)揮審計(jì)保障國(guó)家經(jīng)濟(jì)社會(huì)健康運(yùn)行的‘免疫系統(tǒng)’功能”。在“國(guó)家審計(jì)免疫系統(tǒng)論”這一觀點(diǎn)下,政府審計(jì)的功能就是通過(guò)發(fā)揮經(jīng)濟(jì)監(jiān)控作用,使國(guó)家機(jī)器能夠健康有效運(yùn)行,而糧食安全是“國(guó)家機(jī)器能夠健康有效運(yùn)行”的重要基礎(chǔ),理所當(dāng)然是政府審計(jì)的重要保護(hù)對(duì)象。因此,政府審計(jì)維護(hù)糧食安全是充分發(fā)揮審計(jì)“免疫系統(tǒng)”功能的必然要求。

二、政府審計(jì)如何維護(hù)糧食安全

政府審計(jì)要有效發(fā)揮在維護(hù)國(guó)家糧食安全中的監(jiān)測(cè)、預(yù)防、預(yù)警、糾偏及修復(fù)作用,必須依賴于一定的途徑;此種途徑是聯(lián)系國(guó)家糧食安全與政府審計(jì)工作之間的橋梁和紐帶。結(jié)合當(dāng)前國(guó)家糧食安全形勢(shì),政府審計(jì)可以通過(guò)以下路徑充分發(fā)揮維護(hù)國(guó)家糧食安全的作用:

(一)明確糧食安全審計(jì)的目標(biāo)、對(duì)象和內(nèi)容

1、完善政府審計(jì)目標(biāo)。政府審計(jì)目標(biāo)是政府審計(jì)行為活動(dòng)意欲達(dá)到的理想境地或狀態(tài)。政府審計(jì)目標(biāo)隨著審計(jì)環(huán)境的變化而變化,隨著審計(jì)職能的發(fā)展而發(fā)展。當(dāng)國(guó)內(nèi)外政治、經(jīng)濟(jì)形勢(shì)的變化以及公共受托經(jīng)濟(jì)責(zé)任內(nèi)涵的拓展,要求維護(hù)國(guó)家糧食安全成為政府審計(jì)的基本職能時(shí),維護(hù)國(guó)家糧食安全就理應(yīng)成為政府審計(jì)的基礎(chǔ)目標(biāo)。

2、深化政府審計(jì)對(duì)象。政府審計(jì)部門(mén)通過(guò)開(kāi)展各項(xiàng)審計(jì)工作,可以在不同的領(lǐng)域維護(hù)國(guó)家糧食安全。當(dāng)前,我國(guó)政府審計(jì)在維護(hù)資源環(huán)境安全、制度與政策安全等方面的作用尚未得到有效發(fā)揮。因此,通過(guò)深化政府審計(jì)對(duì)象,大力推行資源環(huán)境審計(jì)、制度合理性審計(jì)、政策執(zhí)行效果審計(jì),橫向拓寬審計(jì)維護(hù)國(guó)家糧食安全的領(lǐng)域,能夠有效發(fā)揮政府審計(jì)在上述領(lǐng)域維護(hù)國(guó)家糧食安全的作用。

(二)政府審計(jì)維護(hù)國(guó)家糧食安全的實(shí)現(xiàn)機(jī)制

1、建設(shè)糧食安全審計(jì)預(yù)警機(jī)制

(1)構(gòu)建糧食安全審計(jì)預(yù)警系統(tǒng)。糧食安全審計(jì)預(yù)警系統(tǒng)的構(gòu)建可以綜合利用政府審計(jì)各項(xiàng)工作所收集到的信息,縱向深化政府審計(jì)工作成果的利用,充分發(fā)揮政府審計(jì)維護(hù)國(guó)家糧食安全的系統(tǒng)與事前維護(hù)國(guó)家糧食安全的功能。

信息收集系統(tǒng)通過(guò)審計(jì)活動(dòng),負(fù)責(zé)歸集各種經(jīng)濟(jì)安全信息;信息評(píng)估系統(tǒng)利用收集到的糧食安全信息,對(duì)國(guó)家糧食安全運(yùn)行中的風(fēng)險(xiǎn)進(jìn)行評(píng)估;信息分析系統(tǒng),通過(guò)評(píng)估出來(lái)的風(fēng)險(xiǎn)級(jí)別,對(duì)國(guó)家糧食安全進(jìn)行綜合評(píng)價(jià),并根據(jù)結(jié)果發(fā)出糧食安全警報(bào);信息處理系統(tǒng)利用特別審計(jì)權(quán),負(fù)責(zé)對(duì)發(fā)現(xiàn)的國(guó)家糧食安全風(fēng)險(xiǎn)因素進(jìn)行處理。

(2)設(shè)計(jì)糧食安全審計(jì)預(yù)警指標(biāo)體系,構(gòu)建糧食安全審計(jì)綜合指數(shù)。我們認(rèn)為,可以設(shè)計(jì)一套糧食安全審計(jì)預(yù)警指標(biāo)體系,包括生產(chǎn)、儲(chǔ)存、流通和消費(fèi)四大領(lǐng)域。上述四大領(lǐng)域之下,分別設(shè)計(jì)一些主要指標(biāo)。各領(lǐng)域主要指標(biāo)的選取以政府審計(jì)科學(xué)研究與實(shí)踐經(jīng)驗(yàn),設(shè)置各指標(biāo)相應(yīng)的安全值范圍,并賦予相應(yīng)的權(quán)重。通過(guò)比較審計(jì)工作中所收集到的各項(xiàng)指標(biāo)實(shí)際值與安全值范圍,就可以識(shí)別威脅國(guó)家糧食安全的風(fēng)險(xiǎn)因素。

通過(guò)計(jì)算糧食安全審計(jì)綜合指數(shù),并與預(yù)先設(shè)定的安全值范圍進(jìn)行比較,就可以對(duì)國(guó)家糧食安全進(jìn)行評(píng)價(jià),并根據(jù)情況進(jìn)行預(yù)警。

2、完善調(diào)控、協(xié)調(diào)機(jī)制。國(guó)家糧食安全是在糧食生產(chǎn)、流通與消費(fèi)之間進(jìn)行有效平衡,是一個(gè)復(fù)雜的系統(tǒng)工程,影響因素眾多。政府審計(jì)維護(hù)國(guó)家糧食安全要建立與國(guó)家其他政府部門(mén)的協(xié)調(diào)機(jī)制,充分利用財(cái)政、農(nóng)業(yè)、央行和稅務(wù)等部門(mén)的監(jiān)督檢查信息,這實(shí)際上是一種調(diào)控與協(xié)調(diào)機(jī)制的體現(xiàn)。

主要參考文獻(xiàn):

[1]劉家義.以科學(xué)發(fā)展觀為指導(dǎo)推動(dòng)審計(jì)工作全面發(fā)展[J].審計(jì)研究,2008.3.

[2]劉英來(lái).審計(jì)是經(jīng)濟(jì)社會(huì)運(yùn)行的免疫系統(tǒng)研討會(huì)綜述[J].審計(jì)研究,2008.5.

第6篇:安全審計(jì)制度范文

關(guān)鍵詞:電力企業(yè);信息系統(tǒng);安全技術(shù)

中圖分類(lèi)號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 16-0000-01

Power Enterprise Information System Security Technology Study

Shang Wen

(Datong Electric Power Supply Company Technology Information Center,Datong037008,China)

Abstract:In recent years,information technology development,a variety of attack techniques,network intrusion technical level has also been rapid development,which requires electric power industry,computer information systems there is a corresponding change in the structure,the establishment of defense in depth security system that can effective against various types of attack,to improve the power industry the security of information systems.

Keywords:Power Enterprise;Information system;Security technology

一、防火墻技術(shù)

防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根掘倉(cāng)業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻按使用的技術(shù)原理可分為包過(guò)濾防火墻和應(yīng)用層網(wǎng)關(guān)級(jí)防火墻。

防火墻系統(tǒng)可以是路由器,也可以是個(gè)人主機(jī)、主系統(tǒng)和一批主系統(tǒng),用于把網(wǎng)絡(luò)或子網(wǎng)同那些可能被子網(wǎng)外的主系統(tǒng)濫用的協(xié)議和服務(wù)隔絕。防火墻系統(tǒng)通常位于等級(jí)較高的網(wǎng)關(guān)(或網(wǎng)點(diǎn))與Internet的連接處,但是防火墻系統(tǒng)也可以位于等級(jí)較低的網(wǎng)關(guān),以便為某些數(shù)量較少的主系統(tǒng)或子網(wǎng)提供保護(hù)。

防火墻的局限性:(1)不能防范惡意的知情者;(2)不能防范不通過(guò)它的連接;(3)不能防范全部的威脅;(4)不能防范病毒。由此可見(jiàn),要想建立一個(gè)真正行之有效的安全的信息系統(tǒng),僅使用防火墻還是不夠,在實(shí)際的應(yīng)用中,防火墻常與其它安全措施,比如,訪問(wèn)控制技術(shù)、防病毒技術(shù)等綜合應(yīng)用。

二、VLAN技術(shù)

VLAN中的每個(gè)端點(diǎn)用戶可直接與同一VLAN中的其它用戶通信。VLAN之間的網(wǎng)絡(luò)交通必須通過(guò)某種策略管理設(shè)備來(lái)管理,如路由器。這就允許網(wǎng)管人員為安全原因設(shè)置防火墻保護(hù),在工作組問(wèn)建立安全策略。在同一個(gè)物理網(wǎng)絡(luò)中,可分割出多種不同的VLAN組。這就使得VLAN的成員可根據(jù)系統(tǒng)應(yīng)用實(shí)際的需要而決定,而不是根據(jù)它們?cè)诰W(wǎng)上的物理位置決定。不同物理位置的用戶可以進(jìn)入同一個(gè)工作組工作,就像在同一個(gè)辦公室內(nèi)共同工作一樣,工作組成員關(guān)系可隨組織變化而動(dòng)態(tài)地變化。單個(gè)VLAN的操作就如同一個(gè)子網(wǎng)一樣,子網(wǎng)上的用戶可彼此直接通信,當(dāng)跨越子網(wǎng)邊界時(shí)要通過(guò)路由器。虛擬LAN與子網(wǎng)的唯一區(qū)別就是單個(gè)子網(wǎng)是彼此重疊在單一的公共物理設(shè)施上的。

VLAN能夠大大加強(qiáng)網(wǎng)絡(luò)安全性,體現(xiàn)為可以控制進(jìn)入網(wǎng)絡(luò)的用戶連接。由于具有了對(duì)移動(dòng)、加入以及變更用戶的網(wǎng)絡(luò)連接的控制能力,即網(wǎng)絡(luò)的連接控制得到加強(qiáng),網(wǎng)絡(luò)系統(tǒng)了解虛擬網(wǎng)中所有的終端用戶,并可對(duì)連接哪些用戶、在何處需要存取何種服務(wù)來(lái)實(shí)行各種策略及控制;虛擬網(wǎng)絡(luò)還可控制用戶通信對(duì)象及控制特定應(yīng)用的啟用權(quán)。這些能力大部分在網(wǎng)絡(luò)中都是以路由過(guò)濾及策略表形式提供的。由于虛擬網(wǎng)絡(luò)去掉于網(wǎng)成員的物理限制,一個(gè)工作組中的所有成員都在同一個(gè)VLAN中,而且路由器用來(lái)控制出入工作組的存取。由于路由器的交通負(fù)載減少了,其帶寬可以用在更迫切的安全性要求上。

三、數(shù)據(jù)加密技術(shù)

加密是提供保密性、真實(shí)性、完整性和數(shù)據(jù)存取權(quán)限的強(qiáng)有力工具。對(duì)數(shù)據(jù)進(jìn)行加密,都有其實(shí)現(xiàn)的方法,這種加密的方法稱為加密算法,它通常是完全公開(kāi)的,這些加密的算法將用戶要保護(hù)的原始信息(明文),使用一種稱為密鑰的數(shù)值操作進(jìn)行編碼,生成的結(jié)果稱為密文。雖然,加密算法是公開(kāi)的,但對(duì)密文解密需要的密鑰是非公開(kāi)的。加密技術(shù)不僅提供保密通信,也是許多其它安全機(jī)制的基礎(chǔ),是保障網(wǎng)絡(luò)安全的基石。

四、安全審計(jì)技術(shù)

保證安全管理制度實(shí)現(xiàn)的重要手段是監(jiān)控和審計(jì)。從技術(shù)角度來(lái)看的審計(jì)指對(duì)用戶和程序使用資源事件進(jìn)行記錄和審查,它是提高安全性的重要工具。審計(jì)信息對(duì)于確定問(wèn)題和攻擊源很重要,能記錄和識(shí)別事件發(fā)生的日期和時(shí)間,涉及的用戶、事件的類(lèi)型和事件的成功或失敗,能判斷違反安全的事件是否發(fā)生,以保證系統(tǒng)安全、幫助查出原因,并且它是后面階段事故處理的重要依據(jù)。

因此安全審計(jì)跟蹤是一種很有價(jià)值的安全技術(shù),可通過(guò)事后的安全審計(jì)來(lái)檢測(cè)和調(diào)查安全策略執(zhí)行的情況以及安全遭到的破壞情況。安全審計(jì)是對(duì)系統(tǒng)記錄和活動(dòng)的獨(dú)立評(píng)估、考核,以測(cè)試系統(tǒng)控制是否充分,確保與既定策略和操作規(guī)程相一致,有助于對(duì)入侵進(jìn)行評(píng)估,并指出控制、策略和程序的變化。安全審計(jì)需要安全審計(jì)跟蹤中與安全有關(guān)的記錄信息,和從安全審計(jì)跟蹤中得到的分析和報(bào)告信息。日志或記錄被視為一種安全機(jī)制,而分析和報(bào)告生成則被視為一種安命管理功能。通過(guò)指明所記錄的與安全有關(guān)的事件的類(lèi)別,安全審計(jì)跟蹤信息的收復(fù)可適應(yīng)各種需要。安全審計(jì)跟蹤的存在對(duì)潛在的安全攻擊源可以起到威懾作用。安全審計(jì)跟蹤應(yīng)考慮選擇那些信息將被記錄,在什么條件下對(duì)信息進(jìn)行記錄以及用于交換安傘審計(jì)跟蹤信息的語(yǔ)法和語(yǔ)義定義。

五、RBAC模型

計(jì)算機(jī)信息系統(tǒng)訪問(wèn)控制技術(shù)最早產(chǎn)生于六十年代,隨后出現(xiàn)了兩種重要的訪問(wèn)控制技術(shù):自主型訪問(wèn)控制(Discretionary Access Control,DAC)和強(qiáng)制型訪問(wèn)控制(Mandal ory Access Control,MAC)。它們?cè)诙嘤脩粝到y(tǒng)中得到了廣泛的應(yīng)用,對(duì)計(jì)算機(jī)信息系統(tǒng)的安全做出了很大的貢獻(xiàn)。然而傳統(tǒng)的訪問(wèn)控制技術(shù)遠(yuǎn)遠(yuǎn)落后于當(dāng)代系統(tǒng)安全的需求,各國(guó)學(xué)者開(kāi)始探索新型的訪問(wèn)控制技術(shù),基于角色的訪問(wèn)控制技術(shù)引起了極大的關(guān)注,RBAC以其顯著的優(yōu)勢(shì)被認(rèn)為是自主型訪問(wèn)控制和強(qiáng)制型訪問(wèn)控制的替代者。所謂訪問(wèn)控制,就是通過(guò)某種途徑顯式地準(zhǔn)許或限制訪問(wèn)能力及范圍的一種方法。通過(guò)訪問(wèn)控制服務(wù),可以限制對(duì)關(guān)鍵資源的訪問(wèn),防止非法用戶的侵入或者因合法用戶的不慎操作所造成的破壞。簡(jiǎn)單的說(shuō),即:“哪些用戶可以使用哪些資源”。

總之,根據(jù)電力企業(yè)不同層面上的安全要求,本文研究和分析了多種先進(jìn)安全技術(shù),保障著整個(gè)系統(tǒng)的安全。

參考文獻(xiàn):

第7篇:安全審計(jì)制度范文

一、總體要求

以國(guó)家衛(wèi)生縣城復(fù)審?fù)ㄟ^(guò)和創(chuàng)建省級(jí)食品安全先進(jìn)縣以及2019年文明城市創(chuàng)建成功為目標(biāo),加強(qiáng)隊(duì)伍建設(shè)、紀(jì)律作風(fēng)建設(shè),提升業(yè)務(wù)水平,建立全覆蓋的督導(dǎo)考核體系,督促各單位履職盡責(zé),樹(shù)立良好的工作作風(fēng),高標(biāo)準(zhǔn)完成“三城聯(lián)創(chuàng)”工作。

二、考核原則

堅(jiān)持公開(kāi)、公平、公正的原則,堅(jiān)持單位管理內(nèi)容及人員全覆蓋的原則,堅(jiān)持局考評(píng)和二級(jí)單位考評(píng)相結(jié)合的原則,堅(jiān)持獎(jiǎng)罰并重的原則。

三、考核對(duì)象和范圍

(一)考核對(duì)象:局屬各單位、科室。

(二)考核范圍:“三城聯(lián)創(chuàng)”期間涉及到的相關(guān)局屬單位、科室業(yè)務(wù)和人員。

四、考核方式

各單位督導(dǎo)考核人員按照各自的工作職責(zé)及行業(yè)標(biāo)準(zhǔn),制定具體的考核細(xì)則及打分表并負(fù)責(zé)解釋,在局督導(dǎo)科的統(tǒng)一領(lǐng)導(dǎo)安排下,集中力量對(duì)“三城聯(lián)創(chuàng)”期間工作人員的紀(jì)律作風(fēng)和履職盡責(zé)情況進(jìn)行督導(dǎo),不再執(zhí)行日常督導(dǎo)模式(日常督導(dǎo)模式為分工負(fù)責(zé)制:執(zhí)法大隊(duì)督查科負(fù)責(zé)執(zhí)法大隊(duì)的日常督導(dǎo)工作,園林環(huán)衛(wèi)綜合服務(wù)中心督導(dǎo)考核科負(fù)責(zé)園林環(huán)衛(wèi)以及園林服務(wù)中心、美城保潔公司的日常督導(dǎo)工作,數(shù)字城管中心負(fù)責(zé)數(shù)字城管方面的督導(dǎo)工作,對(duì)發(fā)現(xiàn)的問(wèn)題,各單位形成日?qǐng)?bào)表,日?qǐng)?bào)表電子版及問(wèn)題圖片每天下午下班前發(fā)送至局督導(dǎo)科郵箱cgjddk612@163.com,局督導(dǎo)科采取抽查的方式對(duì)上報(bào)材料進(jìn)行審核,并進(jìn)行匯總、通報(bào),督導(dǎo)的問(wèn)題一天一通報(bào)、一周一匯總、一月一點(diǎn)評(píng)),對(duì)發(fā)現(xiàn)的問(wèn)題,列出問(wèn)題清單,并形成每日通報(bào),報(bào)局班子領(lǐng)導(dǎo),發(fā)各相關(guān)單位,形成每日通報(bào)、分級(jí)點(diǎn)評(píng)的工作機(jī)制。

五、考核內(nèi)容

紀(jì)律作風(fēng)、市容市貌、環(huán)境衛(wèi)生、園林綠化、違法建設(shè)、戶外廣告、餐飲油煙及露天燒烤整治管理、城鄉(xiāng)環(huán)衛(wèi)一體化管理、建筑垃圾資源化綜合利用、城中村及社區(qū)管理、城市照明設(shè)施管理及公共自行車(chē)管理。

六、考核結(jié)果運(yùn)用

(一)局督導(dǎo)科對(duì)各項(xiàng)工作開(kāi)展情況進(jìn)行逐項(xiàng)督導(dǎo),對(duì)工作開(kāi)展進(jìn)度遲緩、質(zhì)量不高、整改不力的進(jìn)行嚴(yán)厲責(zé)任追究;對(duì)工作開(kāi)展有力,推進(jìn)快的單位予以表?yè)P(yáng)。

(二)對(duì)在連續(xù)兩次通報(bào)成績(jī)靠后的單位或科室,由局分管領(lǐng)導(dǎo)對(duì)單位或科室負(fù)責(zé)人進(jìn)行約談。

(三)對(duì)連續(xù)三次及以上通報(bào)成績(jī)靠后的單位或科室,由局主要領(lǐng)導(dǎo)對(duì)分管領(lǐng)導(dǎo)、科室負(fù)責(zé)人進(jìn)行約談,并取消其本年度評(píng)先樹(shù)優(yōu)資格。

七、相關(guān)要求

1、加強(qiáng)組織領(lǐng)導(dǎo)。“三城聯(lián)創(chuàng)”期間所有督導(dǎo)人員及車(chē)輛由局督導(dǎo)科統(tǒng)一調(diào)度,統(tǒng)一安排,集中時(shí)間,集中力量,對(duì)“三城聯(lián)創(chuàng)”工作集中攻堅(jiān)。局督導(dǎo)科與二級(jí)單位執(zhí)法大隊(duì)的督查科及園林環(huán)衛(wèi)服務(wù)中心的督導(dǎo)考核科屬上下級(jí)業(yè)務(wù)領(lǐng)導(dǎo)關(guān)系,與數(shù)字城管中心及城鄉(xiāng)環(huán)衛(wèi)一體化工作領(lǐng)導(dǎo)小組辦公室屬平級(jí)配合關(guān)系。

第8篇:安全審計(jì)制度范文

關(guān)鍵詞:信息管理系統(tǒng) 信息安全 系統(tǒng)安全建設(shè)

中圖分類(lèi)號(hào):TP39 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1003-9082(2014)03-0001-02

一、引言

隨著全球信息化不斷在我國(guó)深化和發(fā)展,我國(guó)各地區(qū)、各行業(yè)使用信息系統(tǒng)開(kāi)展工作的比例越來(lái)越大。一般來(lái)說(shuō),信息化程度越高,對(duì)信息管理系統(tǒng)的依賴性就越強(qiáng),信息安全問(wèn)題就越為突顯和嚴(yán)重。而信息安全問(wèn)題也正逐漸成為影響各企事業(yè)單位業(yè)務(wù)能否正常運(yùn)行、生產(chǎn)力能否快速發(fā)展的重要因素之一。但是由于我國(guó)信息化建設(shè)起步相對(duì)較晚,與國(guó)外先進(jìn)國(guó)家相比,無(wú)論在信息安全意識(shí)還是信息安全防護(hù)技術(shù)等諸多方面都還存在較大差距,各企事業(yè)單位的信息安全基本上均處于一個(gè)相對(duì)較為薄弱的環(huán)節(jié)。一旦信息管理系統(tǒng)中的個(gè)人信息和敏感數(shù)據(jù)發(fā)生丟失或者泄漏,可能會(huì)對(duì)自身造成無(wú)可估量的損失。因此,重點(diǎn)保障信息管理系統(tǒng)安全已成為各行各業(yè)的首要任務(wù)。信息管理系統(tǒng)安全建設(shè)應(yīng)該系統(tǒng)地、有條理地進(jìn)行全面規(guī)劃,充分地、全方位地考慮安全需求和特性,從而達(dá)到各種安全產(chǎn)品、安全管理、整體安全策略和外部安全服務(wù)的統(tǒng)一,發(fā)揮其最大的效率,給予信息管理系統(tǒng)以最大保障。

二、信息管理系統(tǒng)安全建設(shè)原則

1.安全體系兼容性

安全體系有一個(gè)重要的思想是安全技術(shù)的兼容性,安全措施能夠和目前主流、標(biāo)準(zhǔn)的安全技術(shù)和產(chǎn)品兼容。

2.信息管理系統(tǒng)體系架構(gòu)安全性

系統(tǒng)的系統(tǒng)架構(gòu)已經(jīng)成為保護(hù)系統(tǒng)安全的重要防線,一個(gè)優(yōu)秀的系統(tǒng)體系架構(gòu)除了能夠保證系統(tǒng)的穩(wěn)定性以外,還能夠封裝不同層次的業(yè)務(wù)邏輯。各種業(yè)務(wù)組件之間的“黑盒子”操作,能夠有效地保護(hù)系統(tǒng)邏輯隱蔽性和獨(dú)立性。

3.傳輸安全性

由于計(jì)算機(jī)網(wǎng)絡(luò)涉及很多用戶的接入訪問(wèn),因此如何保護(hù)數(shù)據(jù)在傳輸過(guò)程中不被竊聽(tīng)和撰改就成為重點(diǎn)考慮內(nèi)的問(wèn)題,建議采用傳輸協(xié)議的加密保護(hù)。

4.軟硬件結(jié)合的防護(hù)體系

系統(tǒng)應(yīng)支持和多種軟硬件安全設(shè)備結(jié)合,構(gòu)成一個(gè)立體防護(hù)體系,主要安全軟硬件設(shè)備為防火墻系統(tǒng)、防病毒軟件等。

5.可跟蹤審計(jì)

系統(tǒng)應(yīng)內(nèi)置多粒度的日志系統(tǒng),能夠按照需要把各種不同操作粒度的動(dòng)作都記錄在日志中,用于跟蹤和審計(jì)用戶的歷史操作。

6.身份確認(rèn)及操作不可抵賴

身份確認(rèn)對(duì)于系統(tǒng)來(lái)說(shuō)有兩重含義,一是用戶身份的確認(rèn),二是服務(wù)器身份的確認(rèn),兩者在信息安全體系建設(shè)中必不可少。

7.數(shù)據(jù)存儲(chǔ)的安全性

系統(tǒng)中數(shù)據(jù)存儲(chǔ)方面可以采取兩道機(jī)制進(jìn)行的保護(hù),一是系統(tǒng)提供的訪問(wèn)權(quán)限控制,二是數(shù)據(jù)的加密存放。

三、信息管理系統(tǒng)安全建設(shè)內(nèi)容

按照系統(tǒng)安全體系結(jié)構(gòu),結(jié)合安全需求、安全策略和安全措施,并充分利用安全設(shè)備包括防火墻、入侵檢測(cè)、主機(jī)審計(jì)等,其建設(shè)內(nèi)容主要有:

1.物理安全

機(jī)房要求保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施(含網(wǎng)絡(luò))以及其它媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其它環(huán)境事故(如電磁污染、電源故障、設(shè)備被盜、被毀等)破壞。

2.網(wǎng)絡(luò)安全

利用現(xiàn)有的防火墻、路由器,實(shí)行訪問(wèn)控制,按用戶與系統(tǒng)間的訪問(wèn)規(guī)則,決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)。同時(shí)加強(qiáng)端口、拒絕服務(wù)攻擊、網(wǎng)絡(luò)蠕蟲(chóng)等的監(jiān)控,保障系統(tǒng)網(wǎng)絡(luò)運(yùn)行的暢通。

2.1使用防火墻技術(shù)

通過(guò)使用防火墻技術(shù),建立系統(tǒng)的第二道安全屏障。例如,防止外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的未授權(quán)訪問(wèn),建立系統(tǒng)的對(duì)外安全屏障。最好是采用不同技術(shù)的防火墻,增加黑客擊穿防火墻的難度。

2.2使用入侵監(jiān)測(cè)系統(tǒng)

使用入侵監(jiān)測(cè)系統(tǒng),建立系統(tǒng)的第三道安全屏障,提高系統(tǒng)的安全性能,主要包括:監(jiān)測(cè)分析用戶和系統(tǒng)的活動(dòng)、核查系統(tǒng)配置和漏洞、評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性、識(shí)別已知的攻擊行為、統(tǒng)計(jì)分析異常行為、操作系統(tǒng)日志管理,并識(shí)別違反安全策略的用戶活動(dòng)等功能。

3.主機(jī)安全

系統(tǒng)主機(jī)安全從主機(jī)身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼防范和資源控制等方面考慮。

3.1主機(jī)身份鑒別

對(duì)登錄操作系統(tǒng)的用戶進(jìn)行身份設(shè)別和鑒別,對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)設(shè)置復(fù)雜的登錄口令,并且定期進(jìn)行更換。同時(shí)對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)用戶分配不同的用戶分配不同用戶名。

3.2訪問(wèn)控制

通過(guò)三層交換機(jī)和防火墻設(shè)置對(duì)系統(tǒng)服務(wù)器的訪問(wèn)控制權(quán)限。對(duì)服務(wù)器實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分離,限制默認(rèn)賬號(hào)的訪問(wèn)權(quán)限,重命名系統(tǒng)默認(rèn)賬戶,修改默認(rèn)密碼。

3.3安全審計(jì)

服務(wù)器操作系統(tǒng)本身帶有審計(jì)功能,要求審計(jì)范圍覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶,審計(jì)內(nèi)容包括重要用戶行為、系統(tǒng)資源異常使用并進(jìn)行記錄。

信息管理系統(tǒng)也應(yīng)考慮安全審計(jì)功能,記錄系統(tǒng)用戶行為,系統(tǒng)用戶操作事件日期、時(shí)間、類(lèi)型、操作結(jié)果等。

3.4入侵防范

利用入侵檢測(cè)系統(tǒng)和防火墻相應(yīng)功能,檢測(cè)對(duì)服務(wù)器入侵行為,記錄入侵源IP、攻擊的類(lèi)型、攻擊的目標(biāo)、攻擊時(shí)間,并在發(fā)生嚴(yán)重的入侵事件時(shí)提供報(bào)警。

3.5惡意代碼防范

在服務(wù)器上安裝服務(wù)器端防病毒系統(tǒng),以提供對(duì)病毒的檢測(cè)、清除、免疫和對(duì)抗能力。

3.6資源控制

在核心交換機(jī)與防火墻配置詳細(xì)訪問(wèn)控制策略,限制非法訪問(wèn)。

4.應(yīng)用安全

4.1安全審計(jì)

信息管理系統(tǒng)應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能,對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì),審計(jì)記錄內(nèi)容至少包括事件的日期、時(shí)間、發(fā)起者信息、類(lèi)型、描述和結(jié)果等,保證無(wú)法刪除、修改或覆蓋審計(jì)記錄。

4.2資源控制

信息管理系統(tǒng)應(yīng)限制用戶對(duì)系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)、限制單個(gè)賬戶的多重并發(fā)會(huì)話、限制某一時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)。

5.數(shù)據(jù)安全

系統(tǒng)數(shù)據(jù)安全要求確保管理數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)等重要信息在傳輸過(guò)程和存儲(chǔ)過(guò)程中的完整性和保密性。對(duì)于數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù),需對(duì)數(shù)據(jù)項(xiàng)進(jìn)行加密,保證管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程與存儲(chǔ)過(guò)程中完整性不受到破壞。

對(duì)數(shù)據(jù)進(jìn)行定期備份,確保存儲(chǔ)過(guò)程中檢測(cè)到數(shù)據(jù)完整性錯(cuò)誤時(shí),具有數(shù)據(jù)恢復(fù)能力。必須采用至少兩種手段進(jìn)行備份,備份手段以整體安全備份系統(tǒng)為主,配合其他備份手段,如GHOST、TRUE IMAGE或操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)本身的備份服務(wù)等。備份具體要求如下:

5.1各服務(wù)器專職管理員根據(jù)所管服務(wù)器的具體情況與整體安全備份系統(tǒng)專職管理員協(xié)調(diào)制訂好所管服務(wù)器的備份計(jì)劃及備份策略。

5.2整體安全備份系統(tǒng)專職管理人員必須組織各服務(wù)器專職管理員對(duì)各服務(wù)器每個(gè)季度進(jìn)行一次整體災(zāi)備(冷備)。若某臺(tái)服務(wù)器的配置需要發(fā)生較大變更,該服務(wù)器的專職管理員應(yīng)在對(duì)該服務(wù)器實(shí)施變更前和圓滿完成變更后,分別對(duì)該服務(wù)器做一次整體災(zāi)備,必要時(shí)整體安全備份系統(tǒng)專職管理員需對(duì)整體災(zāi)備提供協(xié)助。

5.3數(shù)據(jù)備份主要分為月備份、周備份、日備份及日志(增量)備份。月備份每月對(duì)各服務(wù)器的所有系統(tǒng)、目錄及數(shù)據(jù)庫(kù)做一次全備(熱備)。周備份每周對(duì)各服務(wù)器的所有系統(tǒng)、目錄及數(shù)據(jù)庫(kù)做一次全備(熱備)。日備份每天對(duì)各服務(wù)器的重要目錄及數(shù)據(jù)庫(kù)做一次備份。日志(增量)備份針對(duì)數(shù)據(jù)更新較頻繁的服務(wù)器,每天進(jìn)行多次增量備份。

5.4除日志(增量)備份外,其它各種備份以每一次獨(dú)立執(zhí)行的備份作為一個(gè)獨(dú)立版本。每個(gè)獨(dú)立版本的備份必須存儲(chǔ)在獨(dú)立的備份介質(zhì)上,不能混合存儲(chǔ)在同一套備份介質(zhì)。整體災(zāi)備(冷備)和月備份一般要求保留至少能覆蓋當(dāng)年及上一年全年時(shí)間的所有版本,周備份要求保留至少最近5個(gè)版本,日備份要求保留至少最近4個(gè)版本,日志(增量)備份保留至少自上一次周備份以來(lái)的所有版本。

5.5備份介質(zhì)應(yīng)放在機(jī)房以外安全的地方保管。所有備份介質(zhì)必須有明確、詳盡的標(biāo)簽文字說(shuō)明。

5.6整體安全備份系統(tǒng)專職管理員必須定時(shí)檢查備份作業(yè)的運(yùn)行情況,備份異常情況應(yīng)盡快查明原因,解決問(wèn)題并在值班登記本上詳細(xì)記錄。

四、安全制度建設(shè)

建設(shè)嚴(yán)格、完整的基本管理制度包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理機(jī)制幾個(gè)方面。

安全管理制度:包括安全策略、安全制度、操作規(guī)程等的管理制度;管理制度的制定和;管理制度的評(píng)審和修訂。

安全管理機(jī)構(gòu):包括職能部門(mén)崗位設(shè)置;系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員的人員配備;授權(quán)和審批;管理人員、內(nèi)部機(jī)構(gòu)和職能部門(mén)間的溝通和合作;定期的安全審核和安全檢查。

人員安全管理:包括人員錄用;人員離崗;人員考核;安全意識(shí)教育和培訓(xùn);外部人員訪問(wèn)管理。

系統(tǒng)建設(shè)管理:包括系統(tǒng)定級(jí);安全方案設(shè)計(jì);產(chǎn)品采購(gòu)和使用;自行軟件開(kāi)發(fā);外包軟件開(kāi)發(fā);工程實(shí)施;測(cè)試驗(yàn)收;系統(tǒng)交付;系統(tǒng)備案;等級(jí)測(cè)評(píng);安全服務(wù)商選擇。

系統(tǒng)運(yùn)維管理:包括機(jī)房環(huán)境管理;信息資產(chǎn)管理;介質(zhì)管理;設(shè)備管理;監(jiān)控管理和安全管理中心;網(wǎng)絡(luò)安全管理;系統(tǒng)安全管理;惡意代碼防范管理;密碼管理;變更管理;備份與恢復(fù)管理;安全事件處置;應(yīng)急預(yù)案管理。

五、結(jié)束語(yǔ)

信息化建設(shè)已經(jīng)涉及到國(guó)民經(jīng)濟(jì)和社會(huì)生活的各個(gè)領(lǐng)域,信息管理系統(tǒng)也成為各行各業(yè)信息化建設(shè)發(fā)展中的重要工具。如何保障信息管理系統(tǒng)安全從而保證信息安全是關(guān)系到國(guó)家安全、社會(huì)安全和行業(yè)安全的大問(wèn)題。我們只有在實(shí)現(xiàn)信息安全的條件下,才能有效利用信息管理系統(tǒng)這個(gè)有力的工具提高生產(chǎn)力,推動(dòng)社會(huì)的發(fā)展。本文通過(guò)對(duì)信息系統(tǒng)安全建設(shè)原則、安全建設(shè)內(nèi)容和安全制度建設(shè)三方面較為詳細(xì)的探討,應(yīng)該對(duì)于各企事業(yè)單位信息管理系統(tǒng)的安全建設(shè)有所幫助和借鑒。

參考文獻(xiàn)

[1] 林國(guó)恩,李建彬,信息系統(tǒng)安全,電子工業(yè)出版社,2010-03

[2] Dieter Gollmann, Computer Security 2 edition, Wiley, 2006

[3]《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》,中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn),GB/T 22239-2008

[4] 尚邦治等,做好信息安全等級(jí)保護(hù)工作,中國(guó)衛(wèi)生信息管理雜志,2012.5

第9篇:安全審計(jì)制度范文

關(guān)鍵詞:企業(yè)安全審計(jì)系統(tǒng);模塊設(shè)計(jì);測(cè)試模型

中圖分類(lèi)號(hào):TP311 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2016)22-0049-02

1 概述

隨著國(guó)家改革開(kāi)放的不斷深入,互聯(lián)網(wǎng)的應(yīng)用深入到了企業(yè)工作中的各個(gè)方面,企業(yè)發(fā)展面臨著前所未有的挑戰(zhàn)。企業(yè)員工通過(guò)互聯(lián)網(wǎng)辦公的行為越來(lái)越多,互聯(lián)網(wǎng)在方便企業(yè)員工的同時(shí),也帶來(lái)了員工工作效率低下、容易泄露企業(yè)秘密,造成企業(yè)的網(wǎng)絡(luò)安全沒(méi)有保障,企業(yè)的信息資源網(wǎng)絡(luò)泄密等風(fēng)險(xiǎn)。企業(yè)安全掃描過(guò)程漫長(zhǎng)、排查隱患不合理、問(wèn)題定位不精確、掃描缺乏深度、安全結(jié)論模糊等一系列業(yè)技術(shù)難題。這在很大程度上影響了公司的進(jìn)一步發(fā)展。本系統(tǒng)正是在這種背景之下提出的。集中表現(xiàn)在以下幾個(gè)方面:

1)提高了企業(yè)的經(jīng)營(yíng)質(zhì)量和效率。

2)提高企業(yè)員工辦公的工作效率,加強(qiáng)企業(yè)互聯(lián)網(wǎng)使用制度管理。

3)降低企業(yè)的人員管理成本,減少人為因素和管理缺失造成的關(guān)鍵業(yè)務(wù)停頓造成的損失。

4)降低企業(yè)泄密事件風(fēng)險(xiǎn),為企業(yè)的互聯(lián)網(wǎng)環(huán)境提供安全保障。

5)管理部門(mén)應(yīng)加強(qiáng)對(duì)員工互聯(lián)網(wǎng)通信數(shù)據(jù)和通話內(nèi)容的監(jiān)管、審計(jì)。

2 企業(yè)安全審計(jì)系統(tǒng)的需求分析與設(shè)計(jì)

通過(guò)調(diào)查,要求系統(tǒng)需要有以下功能;1)有良好的人機(jī)界面,有較好權(quán)限管理;2)系統(tǒng)操作簡(jiǎn)單,容易學(xué)習(xí),容易理解,快速上手使用系統(tǒng);3)系統(tǒng)數(shù)據(jù)安全加密、系統(tǒng)具有數(shù)據(jù)備份和數(shù)據(jù)還原功能;4) 方便的全方位的數(shù)據(jù)查詢;5)審計(jì)數(shù)據(jù)的瀏覽和下載;6)企業(yè)工作電話的通話內(nèi)容錄制;7)非工作互聯(lián)網(wǎng)網(wǎng)絡(luò)站點(diǎn)的訪問(wèn);8)企業(yè)員工網(wǎng)絡(luò)數(shù)據(jù)瀏覽的統(tǒng)計(jì)和分析。

通過(guò)對(duì)企業(yè)需求的分析得出,需要設(shè)計(jì)的模塊為:系統(tǒng)狀態(tài)監(jiān)控、設(shè)置向?qū)АT工網(wǎng)絡(luò)行為監(jiān)控、員工通話記錄、員工上網(wǎng)行為過(guò)濾、員工網(wǎng)絡(luò)數(shù)據(jù)統(tǒng)計(jì)分析、系統(tǒng)管理七大模塊。

3 企業(yè)安全審計(jì)系統(tǒng)的模塊規(guī)劃與詳細(xì)設(shè)計(jì)

安全審計(jì)系統(tǒng)是一個(gè)典型的數(shù)據(jù)庫(kù)開(kāi)發(fā)與應(yīng)用的程序,能夠通過(guò)互聯(lián)網(wǎng)上網(wǎng)的技術(shù)手段對(duì)員工互聯(lián)網(wǎng)行為進(jìn)行監(jiān)督、審計(jì)和管理,避免企業(yè)重要信息資源泄露,以及發(fā)生泄密事件后能夠溯源找到相關(guān)證據(jù)和原因提供技術(shù)層面的支持。其相關(guān)的模塊等部分是本系統(tǒng)的重要組成部分,特此規(guī)劃本系統(tǒng)的功能模塊如下:

系統(tǒng)狀態(tài)監(jiān)控模塊

該模塊主要負(fù)責(zé)系統(tǒng)的接入方式、數(shù)據(jù)來(lái)源的管理狀況;員工網(wǎng)絡(luò)行為監(jiān)控的狀態(tài)和現(xiàn)在的工作模式;員工通話記錄的監(jiān)控的啟用和停止?fàn)顟B(tài);員工上網(wǎng)行為過(guò)濾的啟用和停止?fàn)顟B(tài)。

設(shè)置向?qū)K

該模塊主要負(fù)責(zé)系統(tǒng)監(jiān)管內(nèi)容設(shè)置、系統(tǒng)互聯(lián)網(wǎng)接入方式設(shè)置、系統(tǒng)用戶使用權(quán)限設(shè)置、員工互聯(lián)網(wǎng)數(shù)據(jù)監(jiān)控設(shè)置、員工通話記錄設(shè)置、員工上網(wǎng)行為過(guò)濾設(shè)置。

員工網(wǎng)絡(luò)行為監(jiān)控

該模塊主要負(fù)責(zé)對(duì)員工網(wǎng)絡(luò)行為監(jiān)控的基本設(shè)置;啟用和停止監(jiān)控;網(wǎng)絡(luò)行為的回放、審計(jì)和下載――支持對(duì)上網(wǎng)時(shí)間、IP、URL、MAC、關(guān)鍵字、上網(wǎng)賬號(hào)、上網(wǎng)電話、郵件類(lèi)型進(jìn)行回放、審計(jì)和下載。支持對(duì)http上傳、http下載、https、smtp、pop3、telnet、ftp、qq、msn、skype、微信、飛信、qq傳輸文件、web郵件傳輸、web網(wǎng)站訪問(wèn)、sohu微博、sina微博、其他未知協(xié)議跟蹤等具體的按協(xié)議分類(lèi)的回放、審計(jì)和下載;員工上網(wǎng)身份查詢;員工網(wǎng)絡(luò)行為實(shí)時(shí)回放、審計(jì)和下載。

員工通話記錄模塊

該模塊主要負(fù)責(zé)員工辦公室固定電話通話內(nèi)容回放;通話內(nèi)容記錄啟用和停止設(shè)置。

員工上網(wǎng)行為過(guò)濾模塊

該模塊主要負(fù)責(zé)員工上網(wǎng)行為過(guò)濾規(guī)則的設(shè)置――支持對(duì)ip、mac、端口、url、http、組合策略(ip+端口、mac+端口)等規(guī)則進(jìn)行過(guò)濾和放行;過(guò)濾行為啟用和停止設(shè)置。

員工網(wǎng)絡(luò)數(shù)據(jù)統(tǒng)計(jì)和分析模塊

該模塊主要負(fù)責(zé)員工網(wǎng)絡(luò)數(shù)據(jù)時(shí)間統(tǒng)計(jì)和分析――支持對(duì)ip、mac、賬號(hào)的統(tǒng)計(jì)和分析;員工網(wǎng)絡(luò)數(shù)據(jù)軌跡統(tǒng)計(jì)和分析――支持對(duì)ip、mac、賬號(hào)的統(tǒng)計(jì)和分析;

系統(tǒng)管理模塊

該模塊主要負(fù)責(zé)權(quán)限管理、數(shù)據(jù)備份、數(shù)據(jù)還原、版本升級(jí)、設(shè)備狀態(tài)、關(guān)閉設(shè)備、工具下載、操作日志審查。

其他功能模塊

該模塊主要負(fù)責(zé)系統(tǒng)版本信息、重新登錄、退出系統(tǒng)。

4 軟件開(kāi)發(fā)過(guò)程

本系統(tǒng)的開(kāi)發(fā)結(jié)合軟件信息系統(tǒng)的開(kāi)發(fā)階段分為下面4個(gè)子階段:需求分析階段、架構(gòu)設(shè)計(jì)階段、程序編碼階段、系統(tǒng)測(cè)試和調(diào)試階段。

1)分析階段

進(jìn)行需求分析(requirement analysis):理解問(wèn)題需求,包括程序是否需要和用戶進(jìn)行交互,是否操縱數(shù)據(jù),是否有輸出結(jié)果以及輸出結(jié)果的格式等等。如果程序需要對(duì)數(shù)據(jù)進(jìn)行操作,開(kāi)發(fā)人員必須了解數(shù)據(jù)類(lèi)型及它們的表示方法。這時(shí)候可能會(huì)接觸一些樣本數(shù)據(jù)。如果程序有輸出信息,必須確定它們所生成的結(jié)果及輸出格式等;如果需要解決的問(wèn)題過(guò)于復(fù)雜,可以把它分解為多個(gè)子問(wèn)題,在對(duì)每個(gè)子問(wèn)題做相應(yīng)的需求分析。

2)設(shè)計(jì)階段

結(jié)構(gòu)化設(shè)計(jì)方法

將一個(gè)問(wèn)題分解為若干個(gè)子問(wèn)題的方法叫做結(jié)構(gòu)化設(shè)計(jì)方法。結(jié)構(gòu)化設(shè)計(jì)方法又叫做自頂向下的設(shè)計(jì)方法、逐步求精方法和模塊化程序設(shè)計(jì)方法。在結(jié)構(gòu)化設(shè)計(jì)方法中,問(wèn)題被分解為若干子問(wèn)題,然后分別對(duì)每個(gè)子問(wèn)題進(jìn)行分析和求解。所有子問(wèn)題的解合并起來(lái)就是原始問(wèn)題的解。使用結(jié)構(gòu)化設(shè)計(jì)方法進(jìn)行編程就叫做結(jié)構(gòu)化程序設(shè)計(jì)。

面向?qū)ο笤O(shè)計(jì)方法

在面向?qū)ο笤O(shè)計(jì)方法中,求解問(wèn)題的首要步驟是識(shí)別稱為“對(duì)象”的組件(它是運(yùn)用該方法求解問(wèn)題的基礎(chǔ))和確定對(duì)象之間如何進(jìn)行交互。對(duì)象包括數(shù)據(jù)和在數(shù)據(jù)上執(zhí)行的操作。對(duì)象可以看作數(shù)據(jù)和其上操作的統(tǒng)一體。使用面向?qū)ο蠓椒ň幊?,最終的程序是交互對(duì)象的集合。實(shí)現(xiàn)面向?qū)ο笤O(shè)計(jì)方法的編程語(yǔ)言叫做面向?qū)ο蟪绦蛟O(shè)計(jì)語(yǔ)言。

3)編程階段

在編程階段,編寫(xiě)和編譯程序代碼,以實(shí)現(xiàn)在設(shè)計(jì)階段分析得到的類(lèi)和函數(shù)。

4)測(cè)試和調(diào)試

系統(tǒng)測(cè)試是保證軟件開(kāi)發(fā)質(zhì)量的主要手段,測(cè)試目的不在于找出錯(cuò)誤,而在于遍歷軟件系統(tǒng)各功能和邊界條件,保障軟件系統(tǒng)的正常工作和運(yùn)行,是評(píng)價(jià)系統(tǒng)軟件質(zhì)量的重要方法之一。

5 軟件開(kāi)發(fā)模型(方法)

本系統(tǒng)開(kāi)發(fā)采用增量的軟件開(kāi)發(fā)模型來(lái)實(shí)現(xiàn)系統(tǒng)各功能模塊。

1)瀑布模型

該模型嚴(yán)格按照需求分析、軟件設(shè)計(jì)、程序編碼、系統(tǒng)測(cè)試、運(yùn)行和維護(hù)一級(jí)一級(jí)的向下執(zhí)行,每個(gè)階段必須經(jīng)過(guò)階段性評(píng)審,并通過(guò)評(píng)審,再進(jìn)入下一個(gè)開(kāi)發(fā)階段。

2)原型方法模型

在開(kāi)發(fā)的早期階段,系統(tǒng)需求不確定時(shí)采用。通過(guò)一個(gè)簡(jiǎn)單的功能實(shí)現(xiàn)系統(tǒng)再進(jìn)一步確認(rèn)系統(tǒng)將要實(shí)現(xiàn)的各功能的一種開(kāi)發(fā)模型。

3)增量模型(漸增模型)

結(jié)合了原型方法模型和瀑布模型的基本軟件開(kāi)發(fā)階段,該模型首先通過(guò)早期的原型系統(tǒng)建立的模型,再進(jìn)一步按照瀑布模型的各階段完成系統(tǒng)開(kāi)發(fā)。再次迭代原型系統(tǒng)模型和階段開(kāi)發(fā)模型直至系統(tǒng)所有功能滿足用戶需求。

6 軟件測(cè)試與維護(hù)

1)軟件測(cè)試:

測(cè)試這個(gè)術(shù)語(yǔ)表示檢測(cè)程序的正確性,即檢查程序是不是完成了需要完成的工作。而調(diào)試一詞指,如果程序存在錯(cuò)誤,如何找到并修改錯(cuò)誤。在每寫(xiě)完一個(gè)函數(shù)或算法后,接下來(lái)應(yīng)該驗(yàn)證它是否正確工作。在復(fù)雜的大型程序中,錯(cuò)誤是一定存在的。為了提高程序的可靠性,必須在交付用戶前發(fā)現(xiàn)并修改其中的錯(cuò)誤。

測(cè)試有兩類(lèi)方法,即:黑盒測(cè)試和白盒測(cè)試。使用黑盒測(cè)試方法時(shí),您不需要知道算法或函數(shù)的內(nèi)部實(shí)現(xiàn),只需要知道程序的功能即可黑盒測(cè)試是基于輸入輸出的方法。它的測(cè)試用例通過(guò)創(chuàng)建等價(jià)類(lèi)來(lái)選取。如果程序?qū)τ诘葍r(jià)類(lèi)中的某個(gè)輸入的輸出結(jié)果是正確的話,那么就認(rèn)為對(duì)應(yīng)該等價(jià)類(lèi)中其他輸入也會(huì)輸出同樣的正確結(jié)果。白盒測(cè)試法需要測(cè)試人員遍歷測(cè)試程序的內(nèi)部邏輯結(jié)構(gòu)和業(yè)務(wù)處理流程的一種測(cè)試方法。常見(jiàn)的白盒測(cè)試方法有:基本路徑測(cè)試、循環(huán)覆蓋測(cè)試、邏輯覆蓋測(cè)試,測(cè)試的重點(diǎn)在于檢驗(yàn)內(nèi)部邏輯結(jié)構(gòu)和業(yè)務(wù)實(shí)現(xiàn)流程。

2)軟件維護(hù):軟件開(kāi)發(fā)的工作的結(jié)果就是交付一個(gè)滿足用戶需求的軟件產(chǎn)品。軟件產(chǎn)品一旦投入應(yīng)用,產(chǎn)品的缺陷就會(huì)逐漸的暴露出來(lái),運(yùn)行的環(huán)境會(huì)逐漸發(fā)生變化,新的用戶也會(huì)不斷地浮出水面。軟件維護(hù)就是要針對(duì)這些問(wèn)題而對(duì)軟件產(chǎn)品進(jìn)行相應(yīng)的修改或演化,從而真正的修改錯(cuò)誤,改善性能或其他特征。

軟件維護(hù)是整個(gè)軟件開(kāi)發(fā)生命周期歷時(shí)最長(zhǎng)得工作,主要是為了保障軟件系統(tǒng)的正常工作和運(yùn)行直至軟件使用消亡或更新?lián)Q代。軟件的維護(hù)主要可分為三種:改正性維護(hù)(糾正軟件存在的錯(cuò)誤和缺陷)、適應(yīng)性維護(hù)(適應(yīng)內(nèi)、外部環(huán)境)、完善性維護(hù)(添加、擴(kuò)容和升級(jí)新的軟件功能)。

參考文獻(xiàn):

[1] 沈備軍.軟件工程原理[M]. 北京:高等教育出版社,2013.

[2] 張海藩,倪寧.軟件工程[M].北京:人民郵電出版社,2010.

[3] 陳明.軟件工程導(dǎo)論[M].3版.北京:機(jī)械工業(yè)出版社,2010.

[4] 錢(qián)曉明,朱健江,王曉勇.軟件工程[M].北京:中國(guó)鐵道出版社,2007.

[5] 呂云翔,王昕鵬.軟件工程[M]. 北京:人民郵電出版社,2009.

[6] Carig Larman.UML和模式應(yīng)用[M]. 3版. 北京:機(jī)械工業(yè)出版社,2006.

[7] Grady Booch.Object-Oriented Analysis and Design with Applications[M]. Addison Wesley Longman Publishing Co., Inc, 2003.