审计中电子资料安全管理.docVIP

审计中电子资料安全管理 　　随着计算机辅助审计工作的开展，越来越多的审计电子资料需要管理。当前，审计部门对电子资料还没有形成制度化、规范化的管理。同时，由于电子数据存储介质的特殊性、计算机病毒的破坏性以及网络环境的不安全性，若不采取相应措施，在保管过程中极易造成资料的损坏、丢失和泄密，因此，有必要对审计中电子资料的安全管理规范及防范方法进行研究。 　　 　　一、审计电子资料的法律地位 　　 　　从电子数据资料的作用来看，被审计单位的电子数据作为审计证据之一，它在计算机辅助审计中发挥着越来越重要的作用。《审计机关审计证据准则》（2000年审计署令第2号）第三条明确规定，被审计单位电子数据作为审计证据，它在证明事项真相、形成审计结论等方面起到重要的作用。因此，保管好审计中的电子资料，在一定程度上也就保证了审计工作质量。 　　 　　二、审计电子资料面临的风险 　　 　　从电子资料的存储介质来看，电子资料属于无纸化资料，它存贮在各种磁性介质中，而磁性介质容易遭受破碎、形变等物理损毁。如果电子资料的存储介质遭受损毁，电子资料内容也不可避免地遭受破坏。而电子资料一旦受到损害，将导致审计证据不足，进一步导致审计工作的无法进行。 　　从审计人员方面看，电子资料具有数据高度集中的特点，它容易泄漏秘密。电子资料是以数字编码的形式存储在各种磁性介质中，而磁性存储介质不但体积小而且存储容量大。一张光盘或一个Ｕ盘就可以装下一个被审计单位的全部财务电子数据资料，因此电子资料非常容易携带。而电子资料一旦泄漏，被审计单位的商业或财务机密将被泄漏，审计部门将承担相应的法律责任。 　　从计算机软件系统的特点看，计算机病毒极易相互传播，病毒的发作将导致数据资料的破坏、篡改及彻底丢失，从而给审计工作带来不应有的损失。 　　从计算机系统的通信方式看，现有的计算机系统大多与网络相连，各种计算机入侵工具大量存在，系统木马及入侵者较易获得系统的密钥，从而绕过系统的认证措施顺利地篡改及盗取审计资料，造成数据泄密，同样会给被审计单位带来经济上的巨大损失。 　　 　　三、审计电子资料的安全管理 　　 　　针对审计电子资料管理中存在的安全风险，必须制定相应的管理规范以规避风险。规范包括：电子资料的采集及存放规范、计算机系统操作规范、计算机病毒与入侵防范规范和电子资料的加密规范。 　　（一）电子资料的采集及存放规范。审计中电子资料作为一种特殊的数据存储形式，与一般的纸制介质相比具有不同的特点。在各种磁性介质中，以磁性为载体的电子资料容易遭受物理损毁。一方面审计中的电子资料对于物理性灾难更加脆弱，一旦出现问题后果更加严重；另一方面保存电子资料的系统硬盘、光盘、Ｕ盘等存储介质体积小且易于丢失。为此，在使用过程中要加强对装有审计电子资料的存储介质的管理，防止损坏或丢失存储介质。主要措施为：第一，对于存档的审计电子资料，各单位应设立专职资料管理员。存储介质要做好防火、防潮、防强震、防磨损等防范措施。第二，建立电子资源的冗余存储机制。审计中的电子资料要进行多冗余备份，并且将存储介质分散保管，增强电子资料的安全性。第三，建立电子资料的使用登记制度。审计人员每次使用电子资料时需要向资料管理员提出申请，经主管领导批准，填写使用登记表，使用完毕后要及时将存储介质交还给管理人员，管理人员要进行审计资料的核对验证，并将登记表作为档案材料存档备查，从而促使审计人员增强自觉保护意识。第四，除审计组成员外，禁止其他人员接触和保存审计电子资料。 　　（二）计算机系统操作规范。对于正在进行的审计工作项目，审计人员需要借助计算机系统进行数据的核对与计算，为保证系统及电子资源的安全性，对于审计计算机系统的操作应建立相应的管理规范，主要体现为：第一，建立计算机操作人员资格管理制度。非资格操作人员的各种错误操作可能造成系统及审计资料的损害和丢失。因此，计算机系统操作人员必须具有国家规定的计算机水平考试资格证书才能够获得计算机审计系统的正常操作资格。第二，建立计算机系统密钥管理机制。没有密钥和不规范的密钥会给无关人员，或是其他恶意的合法人员造成入侵的机会。因此，对每个涉及审计的计算机系统必须设置合理、规范的系统密钥，确保系统的入口安全。 　　（三）计算机病毒与入侵防范规范。由于计算机病毒的流行及互联网络的开放性，计算机病毒和网络入侵行为将给系统中的电子资料带来篡改、丢失和泄密的严重威胁，给审计机关和被审计单位带来风险。因此，必须制定计算机病毒防范机制，同时对上网的计算机系统进行网络控制。主要措施为：第一，所有涉及审计的计算机系统要安装正版防病毒软件，及时更新病毒库，提高杀毒软件抗病毒的能力；电子资料要及时记录成光盘备份保存。第二，禁止非法拷贝或从网上下载非正规来源的软件，对外来软件要进