電子政務(wù)信息系統(tǒng)安全審計(jì)研究

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了電子政務(wù)信息系統(tǒng)安全審計(jì)研究范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

摘要：隨著云計(jì)算、大數(shù)據(jù)等技術(shù)的高速發(fā)展，各地政府響應(yīng)“放管服”改革和建設(shè)服務(wù)型政府的戰(zhàn)略決策，逐漸深化電子政務(wù)的實(shí)踐。本文首先以文獻(xiàn)綜述的方式系統(tǒng)性分析近年來(lái)國(guó)內(nèi)外關(guān)于信息系統(tǒng)審計(jì)的研究進(jìn)展，其次梳理我國(guó)信息系統(tǒng)審計(jì)發(fā)展概況，最后提出電子政務(wù)信息系統(tǒng)云安全審計(jì)體系。文末分析我國(guó)信息系統(tǒng)安全審計(jì)亟待解決的問(wèn)題，并從行業(yè)法規(guī)標(biāo)準(zhǔn)的完善、審計(jì)工具軟件的優(yōu)化配置及人才培養(yǎng)儲(chǔ)備等方面提出相關(guān)改進(jìn)建議。

關(guān)鍵詞：云計(jì)算；電子政務(wù)；信息系統(tǒng)審計(jì)；安全審計(jì)

一、引言

“十二五”規(guī)劃明確要求以云計(jì)算為基礎(chǔ)，積極構(gòu)建并完善政府公共服務(wù)平臺(tái)，促進(jìn)政府各機(jī)關(guān)組織全方位協(xié)同、信息資源共享以及為信息安全提供保障。“互聯(lián)網(wǎng)+政務(wù)服務(wù)”的概念在2016年政府報(bào)告中被提及，自此政務(wù)云、政務(wù)信息系統(tǒng)的建設(shè)步履不停。翟云（2017）認(rèn)為“互聯(lián)網(wǎng)+政務(wù)服務(wù)”能夠推動(dòng)政府實(shí)現(xiàn)治理現(xiàn)代化。從實(shí)踐成果方面看，全國(guó)各地積極將電子政務(wù)系統(tǒng)投入公共服務(wù)工作中，并建成各省市區(qū)網(wǎng)上政務(wù)信息平臺(tái)。成都市致力于統(tǒng)籌公共信息平臺(tái)與信息系統(tǒng)，綜合調(diào)度、加強(qiáng)政務(wù)信息系統(tǒng)的交互訪問(wèn)；2019年甘肅開(kāi)辟多條信息化稅務(wù)通道“前后呼應(yīng)”為民眾減負(fù)；北京大興區(qū)政府致力于建設(shè)智慧城市、打通政務(wù)服務(wù)“最后一公里”，與百度合作共同打造“指尖上的政務(wù)”；2020年浙江開(kāi)設(shè)“云上商務(wù)廳”，提供線上“廳長(zhǎng)問(wèn)診”服務(wù)。據(jù)2020年聯(lián)合國(guó)出具的對(duì)世界各國(guó)電子政務(wù)調(diào)查報(bào)告顯示，我國(guó)2020年電子政務(wù)發(fā)展指數(shù)居全球第45位，排名較之前有了顯著提升。我國(guó)電子政務(wù)系統(tǒng)建設(shè)雖初有成效，但仍有進(jìn)步空間。在信息系統(tǒng)設(shè)計(jì)與實(shí)施方面，電子政務(wù)信息系統(tǒng)的協(xié)同與完善、政務(wù)數(shù)據(jù)互聯(lián)共享機(jī)制有待完善；在數(shù)據(jù)存儲(chǔ)安全方面，信息存儲(chǔ)與訪問(wèn)安全、公民隱私保護(hù)措施仍有待加強(qiáng)。

二、相關(guān)概念與理論基礎(chǔ)

1．電子政務(wù)。電子政務(wù)是依賴信息技術(shù)與通信技術(shù)開(kāi)展的政府政務(wù)活動(dòng)。電子政務(wù)建立在一系列信息基礎(chǔ)設(shè)施之上，使用相關(guān)軟件實(shí)現(xiàn)政府功能，電子政務(wù)信息系統(tǒng)是一種利用網(wǎng)絡(luò)實(shí)現(xiàn)公共服務(wù)，集信息處理、交互、反饋為一體的系統(tǒng)，電子政務(wù)信息系統(tǒng)適用于政府各機(jī)關(guān)組織、企業(yè)和公眾。電子政務(wù)信息系統(tǒng)服務(wù)的對(duì)象包括該組織的內(nèi)部機(jī)構(gòu)，以及其他機(jī)構(gòu)、團(tuán)體、企業(yè)和公眾，處理內(nèi)容包括政府機(jī)構(gòu)的內(nèi)部信息，可以在一定范圍內(nèi)交換的信息，并接受各種類型的投訴、建議和要求。簡(jiǎn)而言之，電子政務(wù)信息系統(tǒng)是一種政府綜合行政電子管理系統(tǒng)，通過(guò)技術(shù)手段將政府傳統(tǒng)行政方式轉(zhuǎn)變?yōu)殡娮庸芾砟Ｊ健?/p>

2．信息系統(tǒng)安全審計(jì)。2012年審計(jì)署的《信息系統(tǒng)審計(jì)指南》指出，信息系統(tǒng)審計(jì)是國(guó)家審計(jì)機(jī)關(guān)依法對(duì)被審計(jì)單位信息系統(tǒng)的合法性、真實(shí)性、效益性和安全性進(jìn)行審計(jì)監(jiān)督。而信息系統(tǒng)安全審計(jì)是圍繞系統(tǒng)的“安全性”屬性展開(kāi)一系列審計(jì)活動(dòng)。例如，從風(fēng)險(xiǎn)管理角度測(cè)試黑客攻擊、網(wǎng)絡(luò)詐騙、病毒侵入等安全風(fēng)險(xiǎn)對(duì)組織造成的不利影響；或是從內(nèi)部控制角度審查來(lái)自組織內(nèi)部的舞弊、異常刪除、未經(jīng)授權(quán)的訪問(wèn)等，造成信息資產(chǎn)損壞、個(gè)人隱私泄露等后果。綜上所述，信息系統(tǒng)安全審計(jì)的目標(biāo)是評(píng)價(jià)信息系統(tǒng)是否足夠安全，能否識(shí)別并抵御內(nèi)部、外部的安全威脅，以及評(píng)價(jià)信息系統(tǒng)內(nèi)數(shù)據(jù)的安全性、完整性。

三、文獻(xiàn)研究綜述

1．?dāng)?shù)據(jù)與存儲(chǔ)安全審計(jì)。數(shù)據(jù)安全指的就是承托信息的數(shù)據(jù)安全，包括結(jié)構(gòu)化與非結(jié)構(gòu)化數(shù)據(jù)的安全。在實(shí)務(wù)中的理解就是，做到用戶數(shù)據(jù)信息資產(chǎn)的保密性、完整性、可用性、授權(quán)與訪問(wèn)等方面的安全防護(hù)。隨著政府信息化建設(shè)的不斷推進(jìn)，信息資產(chǎn)安全需求增加，政府對(duì)數(shù)據(jù)的機(jī)密性、完整性要求極高，但受制于有限的本地存儲(chǔ)資源，往往會(huì)依托第三方可靠的云存儲(chǔ)服務(wù)。由此，電子政務(wù)信息系統(tǒng)的安全審計(jì)需基于“云”的背景展開(kāi)。國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（InformationSystemsAu-ditandControlAssociation，ISACA）認(rèn)為云審計(jì)的主要關(guān)注點(diǎn)是云治理、網(wǎng)絡(luò)配置管理、身份和訪問(wèn)管理、資源配置管理和資源安全、日志與監(jiān)控、安全事件響應(yīng)、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)、數(shù)據(jù)保護(hù)和數(shù)據(jù)加密。Wang（2013）從資源配置角度提出一個(gè)云存儲(chǔ)系統(tǒng)，基于公鑰的同態(tài)線性身份認(rèn)證器顯著減少審計(jì)方的通信和計(jì)算開(kāi)銷。Mei（2014）從云治理層面提出一個(gè)能夠?qū)Φ湫驮拼鎯?chǔ)系統(tǒng)進(jìn)行審計(jì)的云安全審計(jì)體系，將可信的計(jì)算技術(shù)與第三方審計(jì)相結(jié)合，既支持云服務(wù)提供商的問(wèn)責(zé)，又能保護(hù)云用戶的利益。在身份和訪問(wèn)管理層面，Anbuchelian等（2019）創(chuàng)新了密碼策略，密鑰提供者使用改進(jìn)的RSA密碼系統(tǒng)算法（稱為MRSAC算法）生成密鑰，采用多級(jí)哈希樹(shù)算法對(duì)數(shù)據(jù)信息的完整性進(jìn)行審計(jì)驗(yàn)證。Shen（2017）則是從身份驗(yàn)證機(jī)制方面提出改良建議，引入第三方媒介為用戶生成身份驗(yàn)證器，并代表用戶驗(yàn)證數(shù)據(jù)完整性。區(qū)別于加密算法復(fù)雜的操作過(guò)程，用戶訪問(wèn)云數(shù)據(jù)時(shí)無(wú)需執(zhí)行耗時(shí)的解密操作，只需確保使用的第三方媒介在有效期內(nèi)且獲得授權(quán)即可。為確保外包數(shù)據(jù)的完整性，Li等（2020）提出一種支持?jǐn)?shù)據(jù)動(dòng)態(tài)的安全可審計(jì)云存儲(chǔ)方案，使用輕量級(jí)的信息加密操作便能使審計(jì)在檢查數(shù)據(jù)完整性方面快了兩倍。Madi等（2016）則從系統(tǒng)結(jié)構(gòu)的視角，構(gòu)建一個(gè)自動(dòng)化審計(jì)框架用以驗(yàn)證與虛擬化相關(guān)的安全屬性、多個(gè)控制層的一致性，并通過(guò)覆蓋層和第二層的云視圖來(lái)審計(jì)openstack管理的云中虛擬網(wǎng)絡(luò)之間的一致性隔離。

2．政務(wù)信息系統(tǒng)審計(jì)理論框架。陳柏興（2010）基于可拓模糊理論的負(fù)載均衡模型，構(gòu)建了一個(gè)適用于電子政務(wù)信息系統(tǒng)的安全審計(jì)框架。劉國(guó)城、王會(huì)金（2012）借鑒COBIT理論，以日志為導(dǎo)向提出了信息系統(tǒng)安全審計(jì)模型構(gòu)想。張文秀（2012）綜合比較典型的國(guó)際信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)、框架和指南，以國(guó)家文化差異為影響因子建模，探究信息系統(tǒng)審計(jì)規(guī)范制度是否可移植。同樣是研究國(guó)外理論的可移植性，唐志豪（2014）就國(guó)際信息系統(tǒng)審計(jì)準(zhǔn)則進(jìn)行本土化分析。馮朝勝（2015）從加密存儲(chǔ)、安全審計(jì)和密文訪問(wèn)控制3個(gè)方面對(duì)云計(jì)算在數(shù)據(jù)安全方面進(jìn)行評(píng)述。劉國(guó)城（2016）基于審計(jì)的“過(guò)程”視角探討信息系統(tǒng)安全審計(jì)如何展開(kāi)，并提出適用于電子政務(wù)的云安全審計(jì)模式，結(jié)合既定風(fēng)險(xiǎn)估值與風(fēng)險(xiǎn)等級(jí)層次分析，從宏觀角度論證信息系統(tǒng)安全審計(jì)免疫體系。楊文（2018）從國(guó)家宏觀層面出發(fā)，認(rèn)為我國(guó)政務(wù)信息資源共享安全方面面臨著數(shù)據(jù)風(fēng)險(xiǎn)、平臺(tái)風(fēng)險(xiǎn)和管理風(fēng)險(xiǎn)，提議建立政務(wù)信息系統(tǒng)共享平臺(tái)，多角度、全方位地進(jìn)行信息系統(tǒng)審計(jì)。白利芳（2020）對(duì)我國(guó)數(shù)據(jù)安全審計(jì)現(xiàn)有的四大機(jī)制進(jìn)行綜述，并在此基礎(chǔ)上構(gòu)建了數(shù)據(jù)安全審計(jì)機(jī)制的框架。還有的學(xué)者探討如何量化政務(wù)云安全風(fēng)險(xiǎn)。劉國(guó)城（2017）以商業(yè)銀行信息系統(tǒng)為審計(jì)客體，以“審計(jì)免疫”為理論基礎(chǔ)，借助“信息熵”技術(shù)進(jìn)行安全審計(jì)，實(shí)現(xiàn)風(fēng)險(xiǎn)的分級(jí)與量化。王會(huì)金、劉國(guó)城（2018）創(chuàng)新性地引入“重大漏誤風(fēng)險(xiǎn)”，對(duì)實(shí)施、管理、控制與技術(shù)這四個(gè)領(lǐng)域?qū)嵤┫到y(tǒng)化的風(fēng)險(xiǎn)評(píng)估，構(gòu)建審計(jì)框架。

四、我國(guó)電子政務(wù)信息系統(tǒng)審計(jì)實(shí)施現(xiàn)狀

我國(guó)審計(jì)機(jī)關(guān)開(kāi)展信息系統(tǒng)安全審計(jì)工作起步較晚，信息系統(tǒng)安全審計(jì)上也有一定的研究。首先從政府部門角度來(lái)看，我國(guó)相繼出臺(tái)了一些有關(guān)信息系統(tǒng)安全審計(jì)的法律法規(guī)。2010年4月，審計(jì)署了《關(guān)于檢查信息系統(tǒng)相關(guān)審計(jì)事項(xiàng)的指導(dǎo)意見(jiàn)》，該指導(dǎo)意見(jiàn)第一條就明確要求審計(jì)機(jī)關(guān)檢查被審計(jì)單位的信息系統(tǒng)的安全性，也具體說(shuō)明了信息系統(tǒng)安全審計(jì)的對(duì)象、內(nèi)容及方法。此后，審計(jì)署了《信息系統(tǒng)審計(jì)指南》，在指南中明確信息系統(tǒng)安全審計(jì)的內(nèi)容，并提供了一些信息系統(tǒng)安全審計(jì)的方式方法、審計(jì)程序，指導(dǎo)審計(jì)機(jī)關(guān)開(kāi)展信息系統(tǒng)安全審計(jì)工作。從審計(jì)內(nèi)容方面看，信息系統(tǒng)安全審計(jì)主要包括安全性審計(jì)、內(nèi)部控制審計(jì)和平臺(tái)建設(shè)健全性審計(jì)。安全性審計(jì)是指各國(guó)在進(jìn)行信息系統(tǒng)安全審計(jì)時(shí)都以信息系統(tǒng)的安全威脅作為關(guān)鍵審計(jì)事項(xiàng)。電子政務(wù)系統(tǒng)的信息安全不僅包括信息數(shù)據(jù)本身的完整性、保密性、安全性，還包括云存儲(chǔ)方式下存儲(chǔ)技術(shù)的安全與信息載體的安全，因此防范和化解信息系統(tǒng)安全威脅是保證我國(guó)政務(wù)信息安全的關(guān)鍵。除此之外，信息系統(tǒng)審計(jì)還需關(guān)注內(nèi)部控制和平臺(tái)建設(shè)健全性審計(jì)。一方面，電子政務(wù)信息資產(chǎn)涉及國(guó)家或相關(guān)企業(yè)的內(nèi)部信息，保護(hù)信息資產(chǎn)安全是核心要?jiǎng)?wù)。雖然政務(wù)內(nèi)網(wǎng)與政務(wù)外網(wǎng)存在物理隔離，但內(nèi)部人員的惡意泄露防不勝防，因此要審查內(nèi)部控制的規(guī)范性，力求避免機(jī)密信息的泄露或丟失。另一方面，政務(wù)系統(tǒng)本身可能存在設(shè)計(jì)缺陷或平臺(tái)建設(shè)安全問(wèn)題，因此既要從系統(tǒng)設(shè)計(jì)層面審查系統(tǒng)結(jié)構(gòu)的健全性，又要完善信息資產(chǎn)的分級(jí)、分類存儲(chǔ)程序。

五、我國(guó)電子政務(wù)信息系統(tǒng)安全審計(jì)的啟示

1．建立健全信息系統(tǒng)審計(jì)安全體系。中國(guó)計(jì)算機(jī)用戶協(xié)會(huì)的《信息系統(tǒng)審計(jì)師職業(yè)技能評(píng)價(jià)》（T/CCUA002—2020）標(biāo)準(zhǔn)，提出了基于信息系統(tǒng)的4類結(jié)構(gòu)性控制的知識(shí)體系，以及4個(gè)方面的信息系統(tǒng)審計(jì)知識(shí)。從近年國(guó)內(nèi)出臺(tái)的規(guī)范來(lái)看，由于沒(méi)有專門機(jī)構(gòu)負(fù)責(zé)審計(jì)系統(tǒng)審計(jì)方面的規(guī)則、標(biāo)準(zhǔn)、指南，各個(gè)機(jī)構(gòu)出臺(tái)標(biāo)準(zhǔn)、規(guī)范、指南等并不統(tǒng)一。由于缺少適應(yīng)我國(guó)國(guó)情的標(biāo)準(zhǔn)和規(guī)范，大部分還是出于信息系統(tǒng)審計(jì)人員個(gè)人理解對(duì)理論研究和框架模式的探索，不具有廣泛性。國(guó)內(nèi)信息系統(tǒng)安全審計(jì)方面系統(tǒng)體系混亂的問(wèn)題亟待解決。因此，從云治理層面出發(fā)需要關(guān)注云治理結(jié)構(gòu)、方針政策和規(guī)范制度、風(fēng)險(xiǎn)管理與權(quán)責(zé)分離。一是完善法律法規(guī)，為IT審計(jì)人員提供強(qiáng)有力的法律依據(jù)；二是加強(qiáng)審計(jì)指南的層次性，細(xì)致具體的審計(jì)層次結(jié)構(gòu)能夠幫助審計(jì)人員快速識(shí)別分析的控制弱點(diǎn)、確定審計(jì)計(jì)劃、實(shí)施具體審計(jì)程序，提高審計(jì)效率，也節(jié)省審計(jì)資源；三是優(yōu)化信息系統(tǒng)控制標(biāo)準(zhǔn)，便于IT審計(jì)人員評(píng)估系統(tǒng)的控制狀態(tài)。具體而言，建議指定機(jī)構(gòu)專門負(fù)責(zé)編制相關(guān)標(biāo)準(zhǔn)、指南，為構(gòu)建符合實(shí)際需求的安全審計(jì)體系，建議出臺(tái)總體標(biāo)準(zhǔn)、基礎(chǔ)設(shè)施標(biāo)準(zhǔn)、數(shù)據(jù)標(biāo)準(zhǔn)、業(yè)務(wù)標(biāo)準(zhǔn)、服務(wù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)以及安全標(biāo)準(zhǔn)，將信息系統(tǒng)安全審計(jì)的體系規(guī)范化、詳細(xì)化。具體如圖1所示。

2．優(yōu)化審計(jì)工具軟件配置。目前我國(guó)政府機(jī)關(guān)配置的計(jì)算機(jī)信息系統(tǒng)與審計(jì)軟件的接口匹配度不高，導(dǎo)致審計(jì)工具軟件的利用率較低；此外隨著信息系統(tǒng)審計(jì)實(shí)務(wù)越加復(fù)雜化，審計(jì)軟件需要定期更新升級(jí)，否則審計(jì)軟件存在功能滯后性，嚴(yán)重影響信息系統(tǒng)審計(jì)的實(shí)施。信息系統(tǒng)審計(jì)工具軟件優(yōu)化配置可從以下幾方面進(jìn)行：一是建議將審計(jì)軟件的采購(gòu)納入招標(biāo)競(jìng)爭(zhēng)機(jī)制，優(yōu)先采購(gòu)?fù)ㄓ眯蛯徲?jì)軟件，解決軟件與硬件不匹配的問(wèn)題；二是提高審計(jì)軟件的采購(gòu)標(biāo)準(zhǔn)，尤其是對(duì)審計(jì)軟件的實(shí)務(wù)類的功能（如數(shù)據(jù)分析處理功能）嚴(yán)格把關(guān)；三是與審計(jì)軟件供應(yīng)商簽訂長(zhǎng)期服務(wù)協(xié)議，保證審計(jì)軟件的配置與維護(hù)升級(jí)。

3．信息系統(tǒng)審計(jì)人才培養(yǎng)與儲(chǔ)備。信息系統(tǒng)審計(jì)不僅需要靈活使用專業(yè)知識(shí)，更需要實(shí)務(wù)經(jīng)驗(yàn)，因此人才是信息系統(tǒng)審計(jì)的關(guān)鍵，只有重視并系統(tǒng)性培養(yǎng)人才，才能在未來(lái)信息系統(tǒng)發(fā)展中贏得優(yōu)勢(shì)。信息系統(tǒng)審計(jì)師需要將諸多學(xué)科的理論知識(shí)融會(huì)貫通，并靈活應(yīng)用于實(shí)踐。在審計(jì)實(shí)踐中不僅僅會(huì)遇到信息系統(tǒng)審計(jì)方面的難題，還可能遭遇財(cái)務(wù)難題、組織管理難題、網(wǎng)絡(luò)技術(shù)難題等。因此，想要提高國(guó)內(nèi)信息系統(tǒng)審計(jì)水平，離不開(kāi)人才的培養(yǎng)與儲(chǔ)備，應(yīng)加快建設(shè)并擴(kuò)充信息系統(tǒng)審計(jì)的職業(yè)隊(duì)伍。信息系統(tǒng)審計(jì)人才培養(yǎng)可考慮從以下幾方面進(jìn)行：一是加強(qiáng)理論研究。鼓勵(lì)高校線上線下同時(shí)開(kāi)展信息系統(tǒng)審計(jì)相關(guān)課程的培訓(xùn)，幫助學(xué)生學(xué)習(xí)掌握信息系統(tǒng)審計(jì)的理論體系；二是加大培訓(xùn)力度、拓寬培訓(xùn)范圍。開(kāi)展多渠道的培訓(xùn)講座，展示表彰優(yōu)秀審計(jì)案例，加強(qiáng)審計(jì)人員間經(jīng)驗(yàn)交流；三是加大績(jī)效考核和優(yōu)化激勵(lì)制度。號(hào)召相關(guān)從業(yè)人員積極參與實(shí)務(wù)，定期考核從業(yè)人員的績(jī)效并及時(shí)發(fā)放獎(jiǎng)勵(lì)，充分調(diào)動(dòng)審計(jì)人員的參與積極性。

六、小結(jié)

綜上所述，我國(guó)信息系統(tǒng)審計(jì)發(fā)展進(jìn)程略微落后，研究方向大體是信息系統(tǒng)審計(jì)框架探索、信息系統(tǒng)數(shù)據(jù)存儲(chǔ)安全審計(jì)等。面對(duì)新形勢(shì)、新挑戰(zhàn)，一方面我國(guó)需要盡快落實(shí)信息系統(tǒng)審計(jì)體系劃分，出臺(tái)相應(yīng)的政策和法規(guī)，明確統(tǒng)一通用型的指南與標(biāo)準(zhǔn)。另一方面，我國(guó)需重視組建并擴(kuò)充信息系統(tǒng)審計(jì)的職業(yè)隊(duì)伍，為國(guó)內(nèi)信息系統(tǒng)審計(jì)的發(fā)展積蓄人才?？偠灾?，關(guān)于電子政務(wù)信息系統(tǒng)審計(jì)的研究仍有較大發(fā)展空間，我國(guó)未來(lái)可以在通用審計(jì)實(shí)務(wù)經(jīng)驗(yàn)、軟件功能更新和規(guī)范落實(shí)等方向上繼續(xù)探索。

作者:侯良格 單位:南京審計(jì)大學(xué)政府審計(jì)學(xué)院