新用户扫码下载
扫码下载APP
及时接收最新考试资讯及
备考信息
英国推行ISO/IEC17799安全标准
现阶段我国审计机关正在实施的“金审工程”是国家审计进一步推进信息化建设的核心工作,也是实现计算机审计工作的一个重要平台。在此平台上,审计人员可以采用计算机手段更加高效地完成日常工作。但如何保障“金审工程”顺利、有效地开展,保证审计信息安全,我们有必要学习一些发达国家在电子政务安全建设方面的宝贵经验。笔者认为,英国政府采取的一系列措施值得我国“金审工程”建设借鉴。
1999年11月,英国政府正式决定采用国际标准化组织ISO提出的《信息技术——信息安全管理业务规范》,即ISO/IEC17799标准,同时要求政府各个部门都要在执行他们关键的信息操作过程中严格遵循该标准。英国国家审计署在开展绩效审计过程中,对于信息系统安全方面提出了很多的管理措施。这些措施主要体现在审计过程中,审计人员不但要严格遵循ISO/IEC17799标准的规定,对于自身所使用的审计系统以及计算机审计工具都要进行检查以符合ISO/IEC17799标准。更要对审计对象在使用信息系统过程中是否遵循ISO/IEC17799标准的情况进行严格的审计,特别是英国政府提出的电子政务标准及必须采取的安全措施,更要对此加以审计。
ISO/IEC17799标准最初于1993年由英国贸易工业部立项,由标准化协会筹备起草并作为英国的标准。1995年,首次发布BS 7799-1:1995《信息安全管理业务规范》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定各类信息系统通用控制范围的唯一参考基准,并且适用于大、中、小组织以及政府部门;1998年,标准化协会发表标准的第二部分BS 7799-2《信息安全管理体系规范》,它规定信息安全管理体系与信息安全控制要求,是一个组织的全面或部分信息安全管理体系评估的基础,它还可以作为一个正式认证方案的根据;BS 7799-1与BS 7799-2经过修订于1999年重新予以发布,此次考虑了信息处理技术,尤其是考虑了在网络和通信领域应用的最新发展情况;2000年12月,BS 7799-1:1999《信息安全管理业务规范》通过了国际标准化组织ISO的认可,正式成为国际标准,即ISO/IEC17799-1:2000《信息技术——信息安全管理业务规范》标准。
在具体的实施过程中,ISO/IEC17799主要是为了实现对以书面的或计算机存储的信息的安全性、保密性和完整性进行保护,即构成信息安全中最重要的安全三角。在保密性方面,确保信息只能够由得到授权的人访问;在完整性方面,保护信息的正确性和完整性以及信息处理方法;在有效性方面,保证经授权的用户可以访问到信息。如果需要的话,还能够访问相关资产设备。信息安全最终通过实施这一整套的控制才能达到,这些控制措施可能是策略、做法、程序、组织结构或者软件功能,以确保实现该机构特殊的安全目标。
信息安全问题毕竟是十分复杂的新问题,即使英国这样的信息化大国,在信息安全防护方面占尽优势也不能说完全能解决信息安全问题。近年不断出现的黑客攻击和病毒肆虐就让英国损失不少。特别是已经有六个方面共性的问题引起了政府的高度重视。即政府高层管理的信息安全意识有待提高,目前的安全措施有待加强,安全教育和培训力度有待加大,针对信息安全的投资有待增多,针对安全服务商的要求有待明确,有关安全漏洞、弱点的信息有待共享等。究其原因,其中很重要的一点是对于安全管理,政府往往陷入了过分追求技术优势的误区,常常是花费巨额资金在硬件及系统方面完成信息安全的防护而忽视了对其整体的管理。因此,学习发达国家在信息安全方面的政策和举措,对于我国的信息化进程是很有意义的,特别是政府的信息安全工作应如何开展,电子政务的安全应如何保障,网上不良信息应如何有效控制,信息产业应如何推动和发展等多方面都值得我们认真思考。
我国审计机关可以参照信息安全管理模型,按照先进的信息安全管理标——ISO/IEC17799建立完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式,用最低的成本达到可接受的信息安全水平,从根本上保证业务的持续性。
上一篇:反洗钱的审计使命及其战略
实务学习指南
距6月报税结束还有天
新用户扫码下载
京公网安备 11010802044457号