时间:2023-01-10 18:05:17
导语:在信息安全领域工作计划的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
关键词:工业控制系统 ;信息安全 ;问题风险;防御体系
一、工控系统介绍
工业控制系统由各种组件构成,有些组件是自动的,有些是能进行过程监控的,两种组件构成了工业控制系统的主体。该系统的主要目的就是在第一时间实现对数据的采集和监控工业生产流程。如图,主要分为控制中心、通信网络、控制器组。
工控系统主要包括过程控制、数据采集系统(SCADA)、分布式控制系统(DCS)、程序逻辑控制(PLC)以及其他控制系统等。一直以来,这些系统被应用在不同的工业领域,成为了国家的重点基础工程项目的建设中不可缺少的成分之一。所有的工业控制系统中, 工业控制过程都包括控制回路、人机交互界面(HMI)及远程诊断与维护组件。上图为典型的ICS 控制过程。
二、工控系统的安全现状分析
随着计算机技术和工业生产的结合,工业控制系统(Industrial Control Systems, ICS)已成为制造、电力及交通运输等行业的基石。一方面,工控系统为工业的发展带来了巨大的积极作用,另一方面,因为工业控制系统的安全防护体系做得还不是很到位, 很多的非法入侵事件屡见不鲜,这对工业的发展,甚至对整个国家的安全战略提出了挑战。尤其是2010 年的Stuxnet 病毒的肆虐,让全球都明白,人们一直认为相对安全的工业控制系统也成为了黑客攻击的目标,因此,在第一时间发现工控系统的安全问题,并及时解决这些安全问题是极其重要的。此外,建设安全可信的工控防御体系,也是现在各国发展和建设的重要一环。
三、工控系统现存在的问题
3.1系统内部风险:操作系统存在安全漏洞。由于工控软件先设计,之后操作系统才会发现漏洞进行修复,甚至绝大部分工控系统所使用的Windows XP系统生产者Microsoft公司申明:4月8日以后不会对XP系统安全漏洞进行修复,所以之后工控系统病毒的爆发会更加频繁,使工控系统更加危险。
无杀毒软件的问题。使用Windows操作系统的工控系统基于工控软件与杀毒软件的兼容性的考虑,一般不会安装杀毒软件,给病毒的传播与扩散留下了空间。
u盘传播病毒问题。在工控系统中的管理终端一般不会有专门软件对U盘进行管理,导致外设的无序使用从而引发工控系统病毒传播。
工控系统存在被有意控制的风险。没有对工控系统的操作行为监控和制定相应的措施,工控系统中的异常行为会给工控系统带来较大的风险。
3.2 外部问题。安全评估存在困难。安全评估是建立安全防护体系的第一步,工业控制系统信息安全评估标准是国家颁发的第一个关于工控系统安全方面的标准,工信部2011年的通知中明确要求对重点领域的工业控制系统进行安全评估,但2012 年这项工作遇到了例如缺少针对特定行业的评估规范、只能针对IT系统,不能对非IT类的设备进行评估等困难。
缺乏针对ICS安全有效的解决方案。现有的纵深防御架构解决方案只针对一般ICS模型,针对特定行业的工控系统进行防护,还需要在未来大量实践的基础上才能完善。
应对APT攻击解决效果不佳。从过去的几次ICS安全事故来看,有针对性、有持续性的APT攻击威胁最大,APT 攻击的防御一直是信息安全行业面临的难题,即使是Google、RSA 这些拥有许多专门人才和对信息安全有大投入的公司在APT攻击面前也没能幸免。
四、工控系统信息安全的解决
4.1硬件完善。国际上有两种不同的工控系统信息安全解决方案: 主动隔离式和被动检测式
主动隔离式解决方案:即相同功能和安全要求的设备放在同一区域,区域间通信有专门通道,加强对通道的管理来阻挡非法入侵,保护其中的设备。例如:加拿大Byres Security公司推出的Tofino工控系统信息安全解决方案。
被动检测式解决方案:除了身份认证、数据加密等技术以外,多采用病毒查杀、入侵检测等方式确定非法身份,多层次部署与检测来加强网络信息安全。例如:美国Industrial Defender公司的ICS安全解决方案。
4.2“软件”完善:安全管理体系。安全管理防护体系由安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五部分构成。工控系统管理体系是一个循序渐进的过程,且要随着时代的进步随时更新,逐步完善系统,完善管理体系,最终才能实现工控系统的真正的安全。
安全管理制度:建立、健全工控系统安全管理制度,制定安全工作的总体方针和战略,工控系统安全防护及信息录入纳入日常工作管理体系,对安全管理人员或者操作人员所进行的重要操作建立规范流程;形成由安全政策、管理方法、操作规范流程等构成的安全管理制度体系。
安全管理机构:专门设立的工控信息安全工作部门,确定相关领导为安全事故责任人,制定相关文件明确机构、岗位、个人的职责分工和要求等。
人员安全管理:规范重要岗位录用流程,对录用者进行相关身份、背景、专业资质的严格审查,进行相关专业技能的考核,与关键岗位的人员签订保密协议;对相关岗位人员进行定期安全培训教育,严格限制外来人员访问相关区域、系统、设备等。
系统建设管理:首先要根据系统重要程度设立安全等级实施相应的基本安全措施,根据实时状态更新完善系统,制定相应的补充调整安全措施制定长远的工作计划。
五、工业控制系统信息安全发展趋势
众所周知,工业控制系统逐渐延伸到各行各业,造福人类的同时,也显露出不少问题,给国家和人民造成了巨大损失。进入新世纪以来,各个国家都在致力于解决这个问题,但是信息安全事故任然屡见不鲜。
从2005年起,我国保险业履行入世承诺,实行全面开放,保险业由此成为我国金融行业中开放最早、开放力度最大、开放过渡期最短的行业。面对全球保险市场的考验和挑战,利用信息技术来提高企业核心竞争力、经营管理水平就成了保险机构和企业最重要的应对策略和措施之一。
现状
经过近些年的大力推进,保险业的信息系统已经基本建立起来。保险信息系统包括保险监管信息系统及信息网络,保险机构及公司的业务、财务信息系统及信息网络。
其中,保险监管信息系统及网络主要用于中国保监会系统(包括保监会机关和35家地方派出机构)的各项监管工作。系统涉及保监会有关办公公文数据,以及各保险公司提供的用于监管的业务、财务数据。
保险机构及公司的业务、财务信息系统及网络则主要用于保险机构及公司的经营各项保险业务以及财务工作,信息网络遍及各保险机构经营区域,总体来说,基本覆盖了全国各地市县。系统涉及各保险机构及公司和广大被保险人的利益,关系到经济的发展和社会的稳定。
全面开放后,分布在全国各地的保险机构及公司是市场竞争的主体,其信息系统建设的程度和水平将决定国内保险业的竞争力。当前,保险机构及公司的信息系统建设的成就主要体现在以下几个方面:
信息化建设的整体规划不断加强。大部分保险公司依托企业发展战略,借鉴国内外信息化建设的成功经验,引进信息化咨询服务,制订了企业信息化的发展蓝图,加强了对信息化建设的整体规划。
信息化建设的投入不断加大。据不完全统计,2005年保险业信息化资金投入为35.5亿元,占全国保险业务收入的0.72%,其中软件、运维和服务费用占比有所增加,信息化投资结构进一步改善。人员投入有所增加,各公司在总、分公司层面都建立了较强的信息化工作队伍。
业务运营平台的改造和优化逐步深入。推进了业务平台的统一化,逐步消除各地区各自为政和系统平台的不一致。加强了业务系统的标准化,促进了业务系统间的信息共享和联机处理,逐步解决业务系统信息不能共享的问题。
保险公司数据大集中稳步推进。绝大部分保险公司实现了业务、财务数据处理的全国集中,部分公司完成了业务数据的省级集中或实现了省级业务处理的集中。
客户服务信息系统平台建设不断加强。各保险公司不同层次地建立了各自的客户服务系统平台。中国人保、中国人寿、中国太平洋、中国平安、新华人寿以及泰康人寿等公司都建立了全国统一的客户服务系统并开展咨询、投诉、报案、客户回访、挂失以及电话投保等工作。
保险监管信息化建设取得成效。保险监管机构加强了内外网络的规划改造,建立了办公自动化系统、内网信息平台和门户网站以及中国保险统计信息系统,研发出了保险现场稽核系统。
保险信息安全保障体系初步建立。各保险公司加快信息安全基础设施建设。超过50%的公司开展了灾难演习或制订了灾难演习工作计划,中国平安建立了上海数据备份中心,部分公司正在建设异地灾备中心或计划建设异地灾备中心。
问题
尽管近年来保险业的信息化建设进步很大,但无论是与国外的保险业相比,还是与国内的银行业、证券业相比,其信息化水平还处于相对落后的地步。同时,与保险业近几年增长迅猛的势头相比,其信息化建设也显得滞后。
据统计,“十五”期间,保险业务收入年均增长超过25%,这显然对其信息化建设提出了更高的要求。但是,目前信息化在保险业务、管理以及决策等方面应用的广度和深度离保险业持续快速发展的需要还有一定的差距,由于忽视对业务流程、管理流程、组织架构的信息化构造,信息化对于促进业务发展,提高产品创新能力和客户服务水平的作用仍然没有充分发挥出来。
在具体层面上,保险业信息化存在的问题主要包括:技术标准体系缺乏、信息技术应用层面不高、数据资产利用率不够、信息化投入与保险业发展不匹配、地区发展不平衡、安全保障体系不够完善、信息化技术人才短缺、客户服务信息化水平较低等方面。
专项规划新目标
为推进保险业信息化水平的进一步提升,2006年12月22日,中国保险监督管理委员会了《中国保险业发展“十一五”规划信息化重点专项规划》,这是我国保险业的第一个关于信息化的专项规划,表明国家对于保险业信息化建设的高度重视。
该规划根据深化应用、加强管理的思路设立了五大发展目标,勾画出了中国保险业未来五年信息化发展的蓝图。
第一目标“信息化整体规划显著增强,信息化管理决策机制不断优化”:重视整体规划的同时还要求对信息化建设工作本身进行流程规范、绩效考核以及引入信息化治理。
第二目标“信息化建设资金投入不断增加,信息化投资结构不断改善”:不仅要扩大投资,还要调整投资结构,确保投资的有效性。
第三目标“‘以客户为中心’的业务平台基本建立,业务财务系统实现无缝对接”:从信息化为业务和应用服务的终极目标出发,同时又能促进保险业的创新与改革。
第四目标“信息化覆盖面不断扩大,信息技术支撑发展的能力进一步增强”:不仅支持保险公司业务本身,还要求能够支持“农村信息化”和电子商务。
第五目标“管理信息系统建设稳步推进,信息资源开发利用初显成效”:在业务系统发展的同时,也要建设好管理信息系统,而对业务系统中的信息资源进行开发利用则是连接这两个方面的桥梁。
第六目标“保险监管信息系统体系基本成型,监管信息化显著加强”:保险监管要利用信息化来丰富并改善监管的手段,进一步提高监管效率,以信息化创新监管,形成基本成型的监管信息系统体系。
第七目标“信息安全保障工作切实加强,信息安全保障体系逐步完善”,指明除了日常的基本信息安全措施外,应急机制和灾难恢复机制也都是保险安全保障体系的重要内容。
在专题报告中,全军各大单位卫生部门信息中心不仅总结了2009年落实总后卫生部五项重点工作的成绩,而且阐述了存在的问题,分析了问题存在的原因,并介绍了2010年的工作计划。
总后卫生部信息中心刘运成主任对各大单位卫生部门信息中心做出的成绩予以肯定,总结了经验,并部署了2010年的工作计划。刘主任指出,全军卫生信息化建设在2010年应做好进一步完善疫情直报信息系统、扩大卫勤机关综合信息管理系统使用范围、完成医院信息系统升级改造、制定信息化标准及系统研制、完善仓库信息系统、组织远程医学信息系统升级改造等六件大事。
多名专家在专题讲座中分别交流介绍了一号工程、二号工程、电子病历及应用、军队卫生信息化建设“十二五”计划设想,国家卫生部信息中心领导与医院信息化专家介绍了国家居民健康档案和国外数字化医院发展思路及趋势。
军队卫生信息化建设的“十二五”计划设想总体目标为,统筹规划军队卫生信息化建设,全面实施“数字化卫勤”工程,拟初步实现全军卫生资源动态管理、全军卫生活动动态监控,并拟在数字化医院、数字化疗养院、数字化门诊部、远程医学等建设方面有所突破。重点任务在于建成卫生系统综合信息平台,建立卫生网络服务平台,与国家接轨,建立军人健康档案,并完善体制与政策、标准和法规,做到“统一领导,总体规划。突出重点,协调发展。需求牵引,技术推动。整体优化,综合集成”。
总后卫生部张雁灵部长在讲话中指出了“十一五”以来军队卫生信息化建设取得的显著成绩和存在的突出问题。他指出,过去存在的主要问题在于“统筹规划不够有力、信息资源开发利用不够充分、人才队伍建设还比较薄弱”,同时指出今后一个时期卫生信息化建设的总体思路和主要任务,全面实现“数字化卫勤工程”。主要表现为: 搞好整体筹划、建立综合平台、加强数字化信息系统配套建设、加强数字化医院、疗养院建设、提高远程医学系统应用水平,逐步实现广大官兵就医“一卡通”、推进卫生信息资源的开发与利用,加大信息基础建设力度。最后,张部长指出了在工作指导上需要重点把握“进一步加强学习提高、加强击中统一领导管理、加强信息基础建设、加强卫生信息安全保障体系建设”等几个问题。
与会代表在讨论过程中,进行了积极发言,为全军卫生信息化发展献计献策。与会代表表示这是一次成功的、求真务实的大会。这次大会不仅总结了过去,而且分析了存在的问题,并指出了未来卫生信息化发展方向,对卫生信息化建设工作提出了更高要求。
每周卫事
国务院通过公立医院
改革试点指导意见
据新华网消息,2月2日,国务院常务会议讨论并原则通过《关于公立医院改革试点的指导意见》,决定按照先行试点、逐步推开的原则,由各省(区、市)分别选择1至2个城市或城区试点。
会议强调,公立医院改革要坚持公立医院的“公益性质”,把维护人民群众健康权益放在第一位。改革主要任务包括: (1)优化公立医院布局,建立公立医院与城乡基层医疗卫生机构的分工协作机制; (2)积极探索管办分开的有效形式,增强公立医院活力,进一步完善分配激励机制; (3)改革公立医院补偿机制,逐步取消药品加成,实现由服务收费和政府补助来补偿; (4)加强公立医院内部管理,提高医疗服务质量; (5)加快推进多元化办医格局,鼓励社会资本进入。
《意见》的原则通过,意味着医改的重头戏之一的公立医院改革即将迈出重要一步。同时,既然是先期试点,就意味着各地将因地制宜探索改革的具体路径,譬如: 医疗资源优化配置、管办分离、补偿机制等核心命题。
卫生部召开
2010年全国医政工作会议
1月28~29日,2010年全国医政工作会议在江苏南京召开。卫生部副部长马晓伟说,2009年全国医政工作者坚持以人为本、以病人为中心,以提高医疗质量、保障医疗安全为主线,做了大量工作。但深化医药卫生体制改革任务仍然十分艰巨,医疗质量和医疗安全状况仍有待改进,人民群众看病就医问题并未得到根本解决,人民群众对医疗服务的满意度还需进一步提高,医政工作面临着严峻挑战,任重道远。
2010年,医政工作要继续建立和完善医政管理法制体系、准入体系、医疗质量管理与控制体系和医疗服务体系; 在体系建设的基础上推动医政管理的规范化、专业化、标准化、精细化和信息化,持续改善医疗服务,提高医疗质量,保证医疗安全。
卫生部与清华大学签署
卫生信息化合作协议
1月26日,卫生部与清华大学签署卫生信息化合作协议,卫生部副部长尹力出席签字仪式并讲话,卫生部与清华大学开展卫生信息化合作研究,有利于充分发挥清华大学在信息技术领域、尤其是下一代互联网领域具有的雄厚科技力量,以及长期以来参与国家各行业信息化建设的经验,发挥技术优势、人才优势和科研优势,支持卫生信息化学术与应用的有机结合,加速卫生信息化的规划研究、标准制订、成果转化、试行推广等工作的开展。
清华大学副校长康克军表示,卫生信息化对于一个国家的发展至关重要。清华大学将发挥科技优势,以及长期以来参与国家各行业信息化建设的经验,在卫生信息化总体设计和科学研究方面与卫生部开展合作,配合新医改开展卫生信息化建设项目,培养卫生信息化亟需的人才。
北京医师多点执业将合法
1月31日,北京市卫生局局长方来英介绍,北京允许医师多点执业的制度方案,已于近日被卫生部接受审批,预计今年上半年可获批准执行。下一步将完善相关制度,约束公立医院医师,在完成本职岗位工作后,才能利用业余时间到其他各类医疗机构提供服务,并且不能加收诊疗费。
医生“自由”了,有利于缓解大医院挂号难、看病难的问题,关键问题是收费必须合法,必须完善管理机制、加强监管,坚决遏制医生走穴非法牟利的情况。
对信息安全专业来说,目前的实验教学还停留在以演示和验证性实验为主的阶段,明显缺乏综合性和创新性实验。无法适应信息安全专业学生的培养。在我国的部分研究型高校中,仅有部分教师对信息安全专业课程的实验教学环节的改革进行了尝试。文献[1]将学生安全编码能力的培养与程序设计课程群、操作系统、软件工程等课程相结合,提出在教学中加强安全编码能力训练的几种主要途径。文献[2]从信息安全类课程教学与实践两大环节中的共性问题入手,在分析信息安全技术课程实际教学活动的基础上,提出教学内容点面结合、教学实践知行合一的内容安排与学生认知评价体系。文献[3]针对信息安全课程具有的计算复杂性大,算法理解难度大,实验内容灵活的特点,基于三年的课程教学经验,提出一种多维研讨式教学模式,集课堂教学、实践教学和课程交叉三个维度的研讨方式,收到了良好的教学效果。我校于2011年为信息安全专业高年级学生开设了“网络安全与防护技术”选修课程,“网络安全与防护技术”课程推出,是对我校信息安全课程体系建设的重要补充和完善。
2.“网络安全与防护技术”课程分析
与信息安全专业其他课程相比,网络安全防护致力于解决如何有效进行介入控制及如何保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,以及其他安全服务和安全机制策略。因此此门课程是一门理论与实践紧密结合、实用性很强的课程。与其他课程相比,该课程有以下两个特点。
(1)网络安全与防护技术的研究还面临许多未知领域,缺乏系统性的理论基础及公平统一的性能测试与评价体系。
(2)网络安全与防护技术是一门新的综合性前沿应用学科,涉及计算机科学与技术、网络安全、信息安全、应用数学等多个学科知识。
“网络安全与防护技术”课程是整个信息安全专业课程体系中必不可少的重要环节,它是“数字信号与信息隐藏”、“数据通信原理”、“信息系统安全”、“信息安全管理”等内容及多门课程的综合运用。经过三年的对该门课程的实践教学部分的研究,我们发现,该课程的实验环节中存在实验教学侧重于理论严重、实验考核方法不完备、实验创新性不足等问题。因此“网络安全与防护技术”课程的实验教学存在很多问题有待研究、解决并加以实践验证,本文针对这门课程的实验环节提出研究型开放式的实验教学方式,包括研究型项目引导,开放式教学内容、多样化实验考核、随堂实验环节、团队实验研究等多方面的实验改革措施。使得该课程能在信息安全专业对学生的创新意识和全面素质培养起到良好作用。
3.“网络安全与防护技术”课程实验教学现状及存在的问题
目前“网络安全与防护技术”课程的实验环节存在的主要问题包括以下五个方面。
(1)实验教学侧重于理论验证。
受到传统的教学理念的影响,“网络安全与技术”课程的实验教学环节作为理论验证的一种手段,依然停留在理论学习阶段,例如:防火墙的配置实验、入侵检测的规则建立实验等都是典型的验证性实验,学生按照实验指导书中的方法进行操作,记录实验过程然后填写报告。对于这类实验学生没有机会完成一些综合性很强的实验设计,无法培养创新能力。
(2)实验教学学时分配不够。
课程的实验教学是“网络安全与防护技术”课程的重要环节,单纯依靠理论授课方式,片面重视理论的重要性,往往会造成课堂气氛沉闷,缺乏教学的互动效果,使学生只能被动记忆课本内容以应付考核,无法借助双眼环节验证课堂教学内容,无法激发学生参与课堂讨论的积极性,导致课程教学过程缺乏互动。
(3)实验考核方法不完备。
目前信息安全类课程大多采用统一的实验步骤、实验方法衡量学生实验的情况,这种单一的考核方式促使学生更加倾向于按照传统的实验方法做实验,而忽略对学生创新实验能力的培养,导致所培养出来的学生缺乏独立思考和解决问题的能力,在日后的工作中无法真正解决企业或单位所面临的实际安全问题。
(4)实验创新性不够。
网络安全技术从第一阶段防火墙,到第二阶段的入侵检测,再到第三阶段的入侵容忍技术,信息安全技术正经历着日新月异的发展和变化,“网络安全防护技术”实验环节必须在学生大一的时候就编制在教学大纲中,等到学生上课的时候已经大三了,两年的变化使得有些实验已经变成了“往事”,如何适应这种飞速发展的技术变化,一直是每一个信息安全专业任课教师思考的问题。
(5)团队合作精神无法得到锻炼。
信息安全技术的开发和研究始终需要团队合作才能够完成,因此信息安全技术专业的学生迫切需要锻炼团队合作精神。目前大多数实验课程都局限在每个学生的“单打独斗”,学生的团队合作精神无法得到锻炼。
4.研究型开放式实验教学模式
(1)研究型项目引导。
教师通过对教学目的、教学内容和教学方法的介绍,使学生了解课程目标,教师根据研讨的专题为学生分组,每组负责一个具体的安全类项目。开课初期的一个重要内容就是教会学生查资料和找文献的方法,让学生具备动手查资料的能力,为后续项目做准备。另外通过项目引导使学生自己主动查资料,掌握自己不熟悉的内容,弥补学生背景知识不足的问题。
(2)开放式实验教学。
开放式实验教学以实验任务为主线,配合课堂讲授的教学内容插入多个精心设计的子实验。教师布置与课堂教学相关的实验任务,学生利用课后时间自己组成实验课题组,并动手解决问题。一方面克服了学时不够的问题。另一方面,在完成任务的过程中,教师由权威的知识传授者变成了实验教学的引导者、组织者和评价者,学生由被动学习者变成了学习主体。
(3)丰富的实验教学内容和实验方法多样化。
开放式实验教学不仅要求实验教学内容的开放,而且要求通过开放多种形式的实验教学内容、分层次教学,满足不同学生需求,探索培养创新能力模式。“网络安全与防护技术课程”的特点决定了这门课程的实验方法并不是一成不变的和固定的,例如:利用防火墙禁止某一个IP地址的URL请求可以使用多种配置方法。因此实验方法也是多样化的,实验教学过程中鼓励学生思考并使用创新性实验方法。
(4)随堂实验环节。
在课堂教学之间穿插实验教学内容,通过学生自己动手实践,课后实践,或课堂演示实践等多种方式进行,使得学生在学习了重要知识点后,都能迅速通过实践方式加深理解和强化记忆,激发学生持续的好奇心并培养学生动手能力。
(5)团队实验研究。
学生组成小团队自己带着实验课题,检索文献,阅读资料,并定期将工作计划和所完成的实验由学生组长向老师汇报,一方面便于教师对实验进度和方向把关,另一方面可以培养学生的团队合作精神。“网络安全与防护技术”课程涉及多种网络安全技术和主流的安全产品,组成员的交流和发言可以最大限度地避免和纠正对网络安全技术理解的偏差。
5.结语
充分发挥省信息化工作领导小组的作用,切实加强对全省信息化工作的统一领导和组织协调,建立定期会议制度,研究解决信息化发展中重大问题。各级各部门都要建立信息化组织领导机构,理顺管理体制,形成省市县协调联动的组织保障体系。各级各部门信息化工作领导小组办公室,具体负责本地区、本部门信息化统筹规划、综合协调和重大项目推进等工作。
第二,完善推进机制
做好《**省信息化条例》立法和宣贯工作,为全省信息化快速发展提供法制保障。建立信息化与电子政务项目统筹机制,凡使用财政资金进行建设的信息化与电子政务项目,统一由同级信息化工作领导小组办公室负责项目方案审定,提出资金需求,避免重复建设,促进资源共享;由财政部门负责对项目资金进行核定把关,统筹考虑资金安排,保障项目建设。建立电子政务运维保障机制,由省财政厅会同省信息化工作领导小组办公室,研究提出电子政务运行维护资金管理办法及运行维护资金标准,将电子政务运维资金纳入预算体系,保障电子政务系统的正常运行。研究设立信息化统计指标体系,探索建立信息化发展水平统计监测、报告制度和绩效评估制度,逐步将信息化发展水平和项目建设绩效纳入政府考核体系,形成长效推进机制。
第三,加大资金投入
各级政府要做好跨部门电子政务应用、公共信息资源开发、公益性信息化项目以及引导性试点示范等重大信息化项目的统筹规划和集约建设,加大资金投入,确保项目建成达效,形成需求主导、效益驱动的资金投入机制。有条件的地区可设立信息化专项资金。根据省财政收入增长情况,逐步扩大省级信息化专项资金的预算规模。根据国家和省关于企业技术改造的有关政策,积极争取相关资金支持,引导企业加大信息技术改造传统产业的投资力度,拓宽融资渠道,提高企业信息化水平和综合竞争力。建立完善信息化风险投资机制和资本退出机制,探索推进合同能源管理模式在信息化建设中的应用。充分发挥市场机制作用,鼓励社会资本投向通信、电力、交通、农业等基础性、战略性行业和民生领域的重大信息化工程。
第四,提升全员素质
加强对两化融合人才、信息化高级人才的引进、培养和使用,鼓励知识、技术和才能等生产要素参与收益分配,为推进信息化和工业化深度融合提供智力支撑。鼓励高等院校和职业技术院校根据市场需求调整学科和专业设置,发挥社会培训组织的作用,培养满足市场需求的各层次信息化人才。加强党政机关、企事业单位信息化队伍建设,组织开展有针对性的专业培训、技术交流和考察学习。在大中型企业推行CIO制度。加强面向公众的信息化知识宣传普及、技能培训和职业鉴定,提高全民信息素质和能力。在信息产业、信息技术、信息资源、人才培养等领域加强与国外及国内先进省市的交流与合作,学习和借鉴先进经验。
第五,健全支撑体系,完善政策法规
围绕电子政务、电子商务、两化融合、三网融合、信息资源、信息安全、信息产业等方面发展需求,加快制定相关的政策和规章,保障信息化健康有序发展。强化标准支撑。加强国家标准、行业标准和地方标准的宣贯、培训和推广,鼓励现代物流、电子政务、企业信息化等重点应用领域制定信息化相关标准和规范,支持应用单位梳理建立业务框架和信息框架。健全技术保障。探索开展信息化应用项目等级认定,引导信息化服务组织自觉提高设计、研发和服务水平;鼓励和支持大型骨干企业软件及信息服务部门的剥离,建立政产学研用联动机制,整合社会各类资源,构建与信息化相关的研究中心、技术中心、重点实验室和推进联盟等支撑体系,为各行业、各领域提供专业化的技术服务。壮大咨询服务。继续发挥省信息化专家咨询委员会的决策参谋作用,借助专业咨询、行业协会、评测中心等第三方服务机构的优势,为信息化建设提供战略规划、可行性研究、项目监理、评测评估等方面的咨询服务。
对我个人来讲,这一年意义深刻!刚刚过去的一年里,我们在中队领导和中心领导的正确领导下,在其他同志的配合下,坚持以高标准严格要求自己,兢兢业业做好本职工作,较出色地完成可领导交给的各项工作任务,个人工作能力得到很大的提高,同时也取得了一定的工作成绩。
一年的时间很快过去了,在一年里,我在公司领导、部门领导及同事们的关心与帮助下圆满的完成了各项工作,在思想觉悟方面有了更进一步的提高,本年度的工作总结主要有以下
思想政治表现、品德素质修养及职业道德。能够认真贯彻党的基本路线方针政策,通过报纸、杂志、书籍积极学习政治理论;遵纪守法,认真学习法律知识;爱岗敬业,具有强烈的责任感和事业心,积极主动认真的学习专业知识,工作...
认清自我,找出差距。在这一年的工作中,虽然我有不少的成绩和进步,但出项的问题也不容忽视。如:自身有待进一步提高,对交通法律法规知识,不能活学活用,服务意识有待提高,
2015年,我们在押运中心领导的正确领导下,在上级部门的精心指导下。公司全体员工齐心协力勤奋工作,公司的综合实力显著增强,保安员队伍规模不断扩大,业务领域日益广泛,服务质量持续优化,进一步促进了我公司保安服务业务积极稳步的向前发展,实现了经济效益和社会效益双丰收,圆满地完成了与客户单位合同约定的各项服务任务,确保了客户人身、财产和信息安全,赢得了客户的好评。
抓住市场机遇,重点发展押运业务,不断提升公司经济效益。随着我国市场经济的深入发展,社会化押运服务的时机日渐成熟,公司抓住良好市场机遇
加强法制、安全教育,健全、完善管理制度,认真落实依法规范执勤,提高服务质量,赢取良好社会信誉。公司一向高度重视保安服务业务经营的合法性和安全性,从法制、安全教育和健全、完善管理制度上入手,对全体员工各岗位工作环节进行不余遗力的管理。公司为工行、农行、建行、提供的武装押运服务和为各家银行的营业网点、企业等客户单位工作岗位提供的人防保安服务在服务质量上
总而言之,在上半年里,公司在押运安全工作取得了一点成绩,但与领导和各部门的指导和关心是分不开的。守押工作无小事,任何一丝的麻痹大意都有可能造成不可挽回的损失,在下步的工作中,要时刻保持清醒的头脑,严格要求,针对上半年存在的个人问题,从实际出发,从根本上解决,力争把事故消灭在萌芽状态。同时,好的方面也要继续保持。公司全体人员将继续努力,确保人员生命和财产以人为本,保护员工合法权益,建设和谐、稳定的服务团队。公司的发展离不开员工的辛勤劳动,离不开员工的刻苦奉献,而这种劳动和奉献是建立在员工对公司信赖的基础之上。公司一向坚持以人为本的理念
一年来,公司在完成上述几方面工作的具体过程中,遇到过一些困难和问题,通过中心的指导、客户单位的帮助和公司全体人员的努力,所遇到的困难和问题都逐一得到了解决或缓解。
二、2016年工作计划
新的征途,新的追求。在不断迎接新任务的日子里,我们将一如既往地团结一心、诚实守信,严格遵循《保安服务管理条例》的有关规定,认真依法执业、守法经营。新的一年,我们在市局党委的领导下,有《保安服务管理条例》为保安服务行业指明方向,更加信心百倍,决心继续以贯彻《保安服务管理条例》为契机,以构建和谐平安樟树和确保客户人身、财产、信息安全为目标,为实现公司经济效益和社会效益再丰收而勤奋劳动。
(一) 工作目标
1、继续贯彻执行好《保安服务管理条例》,依法规范公司的经营活动,进一步促进公司依法执业,守法经营。
2、继续贯彻执行好《劳动法》和《劳动合同法》,依照法律要求处理好公司与客户之间和谐的服务关系以及公司与员工之间和谐的劳动关系,制定出适合员工劳动和劳动报酬的相关规定和标准,并保证其合法性和可操作性,进一步依法保护好员工的合法权益。
3、继续加强队伍建设。队伍建设是公司实现各项工作目标的基础工作,我们将继续把好人员准入关,对新招人员做到按规定严格政审、培训、实习,同时进一步加强日常工作的管理,加大队伍建设力度,夯实公司谋求进一步发展的基础。
在思想非常重视自己工作岗位重要性,我能够服从领导安排,团结同事,爱护集体荣誉,遵守规章制度和岗位职责,做到上班不迟到不早退,工作中不擅自离岗脱岗,押运过程不接听电话发送短信等违反规章制度行为,并态度端正不当面顶撞领导不背后议论,不泄露押运秘密等一切公司内部消息。
有优点也有缺点工作中业务不够熟练,工作效率不太高,文明礼仪不够好,工作中方法不够灵活,有时候存在这思想麻痹和侥幸心理,其次安排事情比叫拖拉没有提前意识,想问题不够深入等。
在过去的工作时间里,既取得了一定的成绩,又有不足之处,不管怎样,在今后的工作中,我一定克服困难,再接再厉,从而较好地起到武装护卫的作用,决心为安邦武装押运事业作出巨大贡献!
一、充分认识信息技术改造传统流通业的重要意义
用信息技术改造传统流通业,加快建立现代流通体系,是提高国民经济运行质量,建设制造业强省的重要举措,是建设现代流通业强省的必由之路。近年来,*省对这项工作高度重视,特别是被国家确定为信息技术改造传统产业试点省后,各地和有关部门采取一系列有效措施,不断加大流通信息化建设力度,取得了明显成效。一批规模较大的物流和商贸企业采用信息化管理手段对采购、运输、仓储、销售和配送等业务进行优化整合,压缩了仓储面积,加快了资金周转,降低了流通成本,增强了竞争能力。但与先进省市相比,仍然存在一些问题:一是重视程度不够,对流通信息化的作用和意义认识不足;二是信息化水平低,传统流通业信息技术应用范围小;三是对流通信息化人力、物力投入不足;四是政策环境有待进一步完善;五是流通领域信息化建设缺乏统一规划与协调等等。这些问题严重制约了*省流通业信息化的快速发展。各地、各有关部门对此要高度重视,积极引导、扶持利用信息技术改造传统流通业,促进*省现代流通业的发展。
二、指导思想及工作原则
(一)指导思想。
以*理论和“*”重要思想为指导,用科学发展观统揽全局,全面贯彻党的十六大和十六届五中全会精神,采用先进、适用的信息技术赋予传统流通业新的内容,促进流通产业结构的优化升级,提高*省流通业的整体水平和核心竞争力。
(二)工作原则。
1、统筹规划,分步实施。各级政府要将信息技术改造传统流通业纳入工作计划,制定切实可行的实施方案,先易后难,分步实施,注重实效。
2、政府推进,企业主导。各有关部门要采取相应措施,鼓励流通行业推广应用信息技术,引导社会投入资金,加强基础设施建设和信息技术推广。各流通企业要主动利用信息技术对经营、管理、营销等环节进行改造,促进传统流通方式向信息化支撑下的现代流通方式转变。
3、突出重点,协调发展。按照*省发展现代流通业总体部署,把物流、商贸企业最需要信息技术进行改造的关键环节作为重点,有效解决阻碍流通信息化发展的瓶颈问题。统筹协调物流、商贸企业,创建实用、高效的流通信息化体系。
4、统一标准,资源共享。各有关部门要按照“统一规划,标准先行,互联互通,资源共享”的原则,打破信息在行业、体制和所有制上的分割,实现共同开发,共同利用,共同受益。
三、目标及任务
(一)主要目标。突出抓好连锁经营、物流配送、批发市场和超级市场的信息化建设,建立区域、基地、园区、企业等多层次流通信息化网络,实现服务理念、管理手段、流通方式向信息化流通方式转变。加快推进内外贸一体化和贸、工、农一体化,加强企业的横向联合,注重供应链上企业间的信息共享与联系,用5年左右的时间基本建成结构合理、技术先进、运转高效的流通业信息体系,用10年左右的时间初步实现流通现代化。
(二)主要任务。用信息技术改造传统物流企业和商贸企业,加快培育现代流通企业,实现信息流、资金流、物流的一体化运作。以开拓市场、扩大消费、方便群众为主线,大力推进商品市场体系、现代流通体系、市场监控体系、商业信用体系和网络及信息安全体系建设。
1、建设与国际接轨的区域性流通信息化基地。*、青岛、临沂作为流通信息化的重点区域,要通过优化流程,改组改造,建立高水平、标准化、智能化的流通信息化基地,成为*省流通信息交换枢纽和电子商务中心。
*、*、*、*、*、*、*、*等地区,重点发展区域物流信息化,提升物流园区、物流中心和物流场站服务功能,努力建成全国中转物流基地,成为连接华南、华中和华北地区的重要枢纽;青岛、烟台、潍坊、威海、日照等地区,重点发展港口流通信息化。构筑畅通的海运、铁路、公路、航空信息系统,努力成为辐射东北三省和韩、日、朝等国的国际化物流与商贸基地;枣庄、济宁、临沂、菏泽等地区,重点推进连锁经营、物流配送、服务“*”信息化建设。口岸城市要加强“大通关”信息管理平台建设,推行一站式服务形式,提高通关效率。
2、在流通领域大力推行电子商务。进一步加大贯彻实施《中华人民共和国电子签名法》、《关于加快电子商务发展的若干意见》,以及*省相关政策的力度,加强信用评估与诚信机制建设,逐步建立和完善信息安全制度,为推广电子商务营造良好环境。力争到2010年电子商务交易额占社会消费品零售总额6%—7%,持卡消费额占社会消费品零售额10%以上。
3、在物流企业拓宽信息技术应用的深度和广度。以大型物流企业为重点,开展面向供应链的流通示范工程。重点做好改造第三方物流企业工作,主要包括以工业原材料和零部件采购为主的物流企业,以产品贸易批发为主的物流企业,以运输、仓储和货代为主的物流企业,以农副产品流通为主的物流企业。采用先进的网络设备、信息技术、自动控制技术、车辆卫星定位系统(GPS)技术、卫星定位系统和地理信息系统(GIS)相结合的监控技术、条码技术、电子标签(RFID)技术、智能仓库技术及电子数据交换(EDI)技术等,实现货物运输信息的快速传递、加工与管理,使流通企业实现调度管理科学化、货物配载智能化、装卸搬运机械化、账目结算电子化,形成物流信息化新格局。加快建设和完善全省交通业务资源网,建立丰富的交通信息资源库和高效的信息共享与传输平台。完善车站、机场、码头以及各类运输工具的调度管理系统,确保信息传输通畅、货物转运流畅、车辆调度顺畅。到2010年,大型流通企业和中型流通企业网络营销普及率分别达到80%和50%。
4、推进商贸零售企业信息技术应用向纵深发展。以具有一定规模的超市和连锁配送企业为重点,建立健全流通平台,在人、财、物、进、销、存和企业管理等环节推广普及综合信息管理系统(MIS)、企业资源计划系统(ERP)和时点销售系统(POS);引导和鼓励供需双方开展网上交易,促进传统交易方式向现代交易方式转变。有条件的大中型商贸企业要逐步推广电子订货系统(EOS)、供应商管理系统(SRM)、客户关系管理系统(CRM)和供应链管理系统(SCM)等,引导企业应用先进信息技术。
加强IC卡的管理与发行,通过整合社会公共信息资源,争取实现一卡多用。进一步扩大金融卡持卡人数量,扩大刷卡消费和支付范围。
5、在“*”领域逐步推广应用信息技术。青岛、烟台、潍坊、枣庄、*、日照、菏泽等地要充分发挥农、林、畜、水产等地方优势,以农资、农产品、消费品加工、储藏、运输、销售为突破口,加快信息技术在“*”领域和涉农企业的应用。要充分利用信息技术对涉农市场运行进行监测和预报,协助农民识别、打击假冒伪劣种子、化肥等农资产品。要根据农村和农民需要,整合不同需求,逐步形成城乡联动、连锁配送的商品流通体系。有条件的地方可实现网上交易和网上支付,促进农产品进城、农资及日常用品下乡,扩大城乡物资交流范围,缩小城乡差距。争取利用3年左右的时间使信息网络覆盖全省各乡镇和80%以上的行政村。
四、主要措施
(一)加强流通领域信息基础设施建设。要整合企业、交通、银行、海关、工商、税务等多个信息系统,在*、青岛、临沂3市建设省级公共流通信息交换平台。制订流通业信息交换标准,实现生产商、流通商和需求商的信息交流与整合。各大网络运营商逐步把网络延伸至农村,积极为现代流通业提供优质高效的网络资源。信息产业主管部门要组织有关企业和科研机构加大对流通信息化的研究和开发力度,在硬件、软件和技术保障等方面提供相应服务。
(二)用足用好扶持政策。各级政府、各部门要大力支持用信息技术改造传统流通业,把建设现代物流公共信息平台作为高新技术产业加以扶持,享受国家高新技术产业同等优惠政策。发展与改革部门制定年度经济发展规划时,要重点体现信息技术在流通企业的推广应用;信息产业发展专项资金要对信息技术改造传统流通业予以倾斜;省内刷卡消费要按同行业最低标准收取手续费。依据《关于调整进口设备税收政策的通知》和财政部、国家税务总局《关于印发〈技术改造国产设备投资抵免企业所得税暂行办法〉的通知》、《关于印发〈鼓励软件产业和集成电路产业发展若干政策〉的通知》等文件规定,经主管机关批准,流通企业建立信息管理系统、流通配送管理系统等项目所需进口设备,执行国家有关税收减免政策。优先推荐技术应用状况良好、经营业绩优良的企业上市;对已上市的流通企业优先推荐发行新股。
(三)发挥典型示范作用。以省政府确定的15户流通大企业和29户重点连锁经营企业为示范单位,不断积累在使用电子标签(RFID)、条码、商品编码、税控收款机、前台交易系统、决策支持系统、网上订货系统、仓储自动化管理等方面的经验,通过采取现场会等多种形式宣传推广,努力提高信息化整体水平。
关键词:射频识别(RFID,Radio Frequency Identification);系统设计;混凝土方量统计
以往车辆管理及统计混凝土运输量绝大部分都是依靠人工,每运输一次就登记累加一次,然后在规定时间点收集、汇总。这样的形式,不仅增加了人工投入,还会因为人工长时间疲劳工作而造成的错记、漏记、多记,甚至是虚报现象,为数据统计造成诸多麻烦。而采用RFID电子标签后,所有数据统计均由信息处理系统自动完成而无需人工干预,为运输费用支付提供了科学依据。
RFID射频识别技术是从上世纪80年展起来,并逐步走向成熟的一项自动识别技术, 90年代后期,随着电子信息技术的发展而得到蓬勃发展。在当今社会中,RFID技术已经与我们息息相关,如第二代公民身份证、ETC不停车收费统、RFID门禁系统、RFID-SIM手机钱包、RFID停车场、RFID门票、公交智能卡等, RFID的应用已相当广泛。
文章提出了基于RFID的混凝土运输车辆自动化统计系统,该系统可以有效收集混凝土装载、运输、卸载等各个环节的信号。
1 RFID技术及系统
RFID技术起步较早, 按工作频率的不同,RFID技术可分为低频(LF)、高频(HF)、超高频(UHF)和微波频段(MW)四种。
典型的射频识别系统包括三部分:读写器、射频卡及天线。读写器也称收发器或询问器,它由发射单元、接收单元、信号处理控制单元和电源等组成。它通过天线向RFID卡发送射频调制信号(也称询问信号),同时通过天线接收从RFID卡返回的载有RFID卡中信息的射频调制信号(也称应答信号),经处理后传给智能控制设备。射频卡也称应答器或电子标签,它的几个主要模块集成到一块芯片中,完成与读写器通信,芯片上有存储空间用来储存识别号码或其他各种设定数据等。芯片仅需连接天线,可以作为人员的身份识别卡或货物的标识卡。RFID系统工作时,RFID读写器通过天线发送出一定频率的射频信号 ,当RFID卡进入该磁场时产生感应电流获得能量,处于激活状态,同时利用此能量发送出自身编码等信息通过卡内置发送天线发送出去,系统接收天线接收到从射频卡发送来的载波信号,经天线调节器传送到读写器,读写器读取信息并解码后获得卡内数据;当写数据时,读写器通过发射特定频率的无线电波传送写指令信息和所写数据给 RFID卡,RFID卡则按照指定的地址把数据写入RFID卡。
图1 RFID系统组成
2 系统设计
系统充分利用RFID电子标签非接触即可感应的特性,由设在运输车辆上的车辆上的RFID电子标签、RFID感应天线、RFID读写器及RFID手持式终端等组成。
在混凝土拌合楼运输车停靠并等待装料的地方埋设感应天线,并与RFID读卡器相连接,RFID读卡器通过TCP/IP方式与信息处理中心双向通讯;RFID电子标签安装在对应车辆合适位置,确保能被感应天线正确读取和写入数据。
装有混凝土的车辆到达装料点,等待装运混凝土时,感应天线激活RFID电子标签,RFID电子标签通过自身天线以无线电波方式发射需要存储的数据,如前一车运输方量、混凝土标号、运输目的地等信息,感应天线扑捉到无线电波,将信号送至RFID读卡器,经RFID读卡器经解码等信号处理后,通过TCP/IP网络传送到信息处理中心,信息处理中心后台数据库记录下数据,同时发出一个需要RFID电子标签存储的信息,如运输方量、混凝土标号、运输目的地、质检是否合格等信息,信息反向经TCP/IP网络传至RFID读卡器,读卡器再经过编码通过感应天线发出无线电波,RFID电子标签收到电波后激活,并经数据校对后写入对应信息。
图2
在混凝土输送目的地,施工管理人员可通过手持式移动终端,读取混凝土运输车辆上设置的RFID电子标签信息,检查车辆装载混凝土标号、方量、是否合格等信息,实现对混凝土运输车辆的装车及卸车的数据及时监控,并实时通过无线联网上传相关数据至信息处理中心集中存储,实现自动化的控制、减少人工作业、提高了混凝土运输车辆统计自动化程度。管理人员可以在信息中心查阅任意时间段的混凝土运输总量、每月(每日、每班)运输总数等施工信息,能更科学、合理的安排下一环节工作计划,为施工及管理提供了方便。
3 结束语
近年来,射频识别技术以其特有的优势,逐渐在社会众多领域开始应用,如工业自动化控制、商业自动化和交通运输、商品零售、物流控制管理等领域,深入到生活中的方方面面,如身份证、公交卡、超市、小区门禁等,处处可以见到,同时也给人们带来了很大的便利。
RFID技术对改善人们的生活质量、提高企业经济效益起到了重要作用, RFID技术通过与二维条码、指纹生物识别信息识别技术的融合,在公共信息安全方面发挥了重要作用,同时也大幅提高了社会信息化水平。在不远的将来可以预见,RFID技术将向智能化、模块化、小型化发展,将使RFID信息更加安全,使用更加方便、快捷和广泛。
参考文献
[1]游战清,刘克胜.无线射频识别技术(RFID)规划与实施[M].电子工业出版社.
[2]王晓华,周晓光.射频识别技术及其应用[J].现代电子技术.
[3]王洪亮,高晏波.谈谈RFID技术的应用[J].科技应用,2006.
[4]刘兆峰,徐进.无线射频识别(RFID)技术及其应用探讨[J].山东机械.
【关键词】 信息系统审计 审计内容 审计方法
一、引言
相比于传统审计,信息系统审计(Information System Auditing)是审计领域中的一个新概念。目前,关于信息系统审计,学术界和业界均无通用的定义。美国信息系统审计权威专家Ron.A.Weber提出:信息系统审计可定义为通过一定的技术手段收集、分析证据,以对计算机系统是否能够保证资产安全、维护数据完整、实现组织目标以及高效利用资源进行评价的过程。日本通产情报协会作了如下定义:信息系统审计是指,为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师以第三方的立场对以计算机为核心的信息系统进行综合检查和评价,并向信息系统审计对象的最高领导者提出问题与建议的一连串活动。国际信息系统审计和控制协会(ISACA)将其定义为:信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。
针对以上观点,我们将其要点归纳如下:信息系统审计是审计师对以计算机为核心的信息系统,通过专业判断和评价,合理保证信息系统安全、稳定、有效,并向信息系统的高层管理者及使用者提供问题解决方案,以达到改善经营和为组织增加价值目的的一个过程。
二、信息系统审计的发展与现状
20世纪60年代,随着计算机技术开始运用于企业的信息收集和整理中,会计信息处理逐渐无纸化,促使审计人员在执行传统审计业务时,必须关注以电子数据为载体的电子数据处理审计(EDP Electronic Data Processing)。20世纪70年代中期至80年代,电子数据处理和管理系统等在企业中逐渐普及,同时,计算机犯罪和计算机系统失效的事件频频发生,使得信息系统审计日益得到重视并迅速发展。美国、日本先后成立了IT审计方面的协会组织,从事对IT审计规则的制定和实施指导。20世纪90年代,信息和信息系统已成为企业的重要资产,企业和社会对信息系统控制和审计的需求愈发强烈。发达国家的信息系统审计进入普及期,许多国家的审计机关、学者和组织对计算机环境下的信息系统审计进行了有益的探索。同时,东南亚各国也逐渐认识到信息系统审计的重要性,开始着手研究信息系统审计理论和实务。
目前,我国信息系统审计仅有十几年的历史,尚处于探索阶段,既缺乏开展信息系统审计业务的人才队伍,也没有形成专业规范体系,所进行的一些计算机审计方面的探索和尝试以及计算机审计软件的开发和应用还大都停留在对被审计单位电子数据进行处理的阶段。存在的主要问题有:信息系统审计观念落后;信息系统审计相关的准则、标准和规范尚不完善;信息系统审计专业人才匮乏;信息系统审计软件开发工作滞后。
1997年,广州地铁开始公司“信息化”建设。最初,广州地铁经营审计采用“绕过计算机审计”的方法,即对导出数据进行审计。审计过程中,其逐渐意识到了运用这种“黑箱原理”审计方法的风险。因此,2006年公司组建了专门的IT审计模块,探索“如何利用计算机审计”和“通过计算机审计”。其后,广州地铁信息系统审计发展经历了借力、助力和自立三个阶段。
一是借力期:IT审计模块成立初期,公司与外部顾问共同开展IT审计项目,通过外部专业人员向审计人员传输IT审计技能,同时制定《IT审计实施细则》,在人员技能储备和制度上为IT审计模块的发展奠定了基础。二是助力期:审计人员参照审计手册,利用从外部顾问处学习到的审计技能,逐步开展信息系统审计工作,将IT审计工作模式调整为以自身力量为主,外部咨询服务为辅的模式。三是自立期:2009年,广州地铁IT审计已基本实现自主化,且IT审计模块逐步走向成熟,同时其还建立了具有自身特色的信息系统审计框架。
目前,IT审计已经发展成为广州地铁内部审计的一根“支柱”,连同“内控审计”,作为基本的审计手段贯穿于各类专业审计工作中,支持审计体系的巩固与发展。
三、信息系统审计内容
1、国内外关于信息系统审计内容的研究
开展信息系统审计首先要明确审计内容。国际信息系统审计协会规定,信息系统审计的主要内容包括信息系统程序审计、信息技术(IT)治理、系统生命周期管理、IT服务的交付与支持、信息资产的保护、灾难恢复和业务连续性计划。
近十几年来,国内的学者和组织也对信息系统审计的内容进行了探索和研究。审计署在2012年颁布的《信息系统审计指南――计算机审计实务公告第34号》中明确提出了:信息系统审计包括对应用控制、一般控制和项目管理的审计。其中,应用控制包括信息系统业务流程,数据输入、处理和输出的控制,信息共享和业务协同;一般控制包括信息系统总体控制、信息安全技术控制、信息安全管理控制;项目管理包括信息系统建设的经济性、信息系统建设管理、信息系统绩效。
上述具有代表性的规定和研究成果对信息系统审计内容的划分,均是以对信息系统逻辑结构的分析为基础。全面分析信息系统的逻辑结构,可从信息系统的构成要素、信息系统生命周期和信息系统管理三个维度进行描述:从构成要素来看,信息系统由人员、应用(包括软件平台和应用系统)、所采用的技术、硬件设备、数据文件运行规则组成;信息系统生命周期可划分为信息系统的规划阶段、开发阶段、运行维护阶段和更新阶段;从信息系统管理的维度来看,对系统的管理与控制活动贯穿于信息系统生命周期的始终,主要是通过有效执行一系列健全有效的规章制度和管理规程来实现。
2、广州地铁信息系统审计实施框架
结合广州地铁信息化项目多、系统更新快、数据集成度高、系统控制与手工控制并重等特点,围绕信息系统构成要素、信息系统生命周期和信息系统管理三个维度,广州地铁将信息系统审计的内容划分为整体计算机控制审计、应用控制审计和系统建设效能评价三个方面。其中,整体计算机控制审计是对信息系统运行中的控制活动进行审计,目的是合理保证由信息系统支持的业务流程控制是可靠的、生成的数据和报告是可信的。应用系统控制审计是对业务流程中的自动化控制活动进行审计,以合理保证交易的有效性、经适当授权和记录、完成的完整性、准确性和及时性。项目及系统绩效审计是对信息化项目的过程及成果对企业和业务产生的效益进行审计,用来合理保证信息化项目的投资/产出比例符合建设的目标,以及信息系统对企业战略起到的预期的支撑作用。围绕上述三个方面,广州地铁内部审计确立了以下的实施框架。
(1)确立整体计算机控制安全、操作、变更的三个评价维度,围绕“信息系统全生命周期”,明确整体计算机控制十个流程。广州地铁通过学习和借鉴国际信息系统技术管理和控制标准COBIT,建立起了一套自己的整体计算机控制审计框架。框架可按流程和控制类型两种方式进行划分,两种划分方式在本质上是一致的。在按流程划分出的每个子流程中,信息系统审计人员需要从变更、安全、操作的角度去确认和评估具体的控制点;在按控制职能所作的划分中,审计人员需要围绕信息系统的策略与计划、信息系统操作、与外部供应商关系、业务可持续计划、应用系统开发、数据库、软件支持、网络、硬件等十个子流程进行审计。
围绕安全、变更、操作三个角度及十个子流程,广州地铁共梳理出有关整体计算机控制的41项审计内容,并针对每一项内容明确了控制目标和风险,建立起了一套完整的整体计算机控制矩阵。例如,信息系统策略和计划子流程中,广州地铁明确了整体计算机控制的三大目标――信息系统战略、规划和预算应与实际业务和战略目标保持一致,计算机处理环境应得到具有适当技能和经验的人员的充分支持和保证,以及计算机处理环境中的人员应接受适当的培训,审计人员在此基础上针对各控制目标,识别并归纳出广州地铁现行的9个控制活动。在具体开展信息系统整体计算机控制审计时,信息系统审计人员根据审计项目的特点和要求,选择需要评价的子流程,再对照子流程的控制活动进行评估及测试即可。
(2)从内部控制目标出发,将信息系统应用控制划分为访问控制、完整性控制及数据质量控制三大方面。广州地铁将信息系统的应用控制划分为应用系统访问控制、流程和系统完整性控制以及数据质量控制三大类,并针对各类控制分别设计了不同的审计内容。
一是应用系统授权访问控制审计包括对系统的认证方式、授权机制、权限的分配管理以及不相容职责分离在系统中的实现情况的审计,目的在于保证经过允许的人才能访问和操作系统。二是流程和系统完整性控制审计是对系统输入、处理、输出以及接口等各种系统运行规则的审计,用以保证所有经允许处理的数据均转换到介质上并被处理,且处理的结果可通过适当的方式加以输出,所有输入、转换、处理和输出均在正常的时间内准确地进行。三是数据质量控制审计则是指对信息系统中的数据的完整性、规范性和有效性所进行的审计,旨在保证所有系统的输出均反映为经批准的有效的经济业务,所有经过系统的数据真实、有效,且能满足企业各项业务的使用要求。
(3)围绕“信息化项目”和“信息系统”,综合评价信息化建设的效益。在开展整体计算机控制审计和应用控制审计的基础上,广州地铁从企业经营和投资效益的视角出发,在信息系统审计中引入了3E审计的概念,尝试对信息系统建设项目的成效、建成后系统的应用效能以及信息化对战略的支撑效果进行审计。为了全面评价项目,广州地铁通常将对单个信息系统建设项目的合规性审计与项目效能审计结合在一起开展。
一是信息系统建设成效审计旨在通过对系统建设全过程的审计,促进信息系统的建设规范性,提高信息系统建设的质量。二是信息系统应用效能审计包括对业务需求的实现情况、建成功能的使用情况的审计分析,以及对系统应用对业务管理规范化、标准化和精细化提升作用的综合评价,目的在于促进系统使用价值的最大化,减少系统建设的投资浪费。三是战略支撑效果审计是从支持战略实现的角度,评价信息系统的建设效益,保证信息化建设在符合业务管理要求的同时,符合公司战略的需要,支持公司战略的实现。
四、信息系统审计实施步骤
信息系统审计步骤(或流程),是审计工作从开始到结束的整个过程。信息系统审计流程一般可划分为四个阶段:计划阶段、实施阶段、报告阶段和后续阶段。计划阶段是信息系统审计流程的起点,此阶段的主要工作包括了解被审计系统的基本情况,初步评价被审计单位信息系统的内部控制和外部控制,识别重要性和编制审计计划。实施阶段是根据计划阶段确定的审计范围、重点、步骤和方法进行有针对性的取证、评价,并形成审计结论的过程。实施阶段是信息系统审计工作的核心,主要由符合性测试和实质性测试两个部分构成。在报告阶段,信息系统审计人员需运用专业判断,整理、评价收集到的审计证据,以经过核实的审计证据为依据,形成审计意见,出具审计报告。审计报告的出具并不意味着信息系统审计工作的终结。根据国际信息系统审计标准,信息系统审计人员对于系统中发现的重大问题和漏洞,需要对被审计单位所采取的纠正措施及其效果进行后续审计。审计人员需要将后续审计纳入计划,并安排必要的人员和时间进行后续审计。
广州地铁IT审计模块成立之初,即明确了IT审计“对公司的系统流程与控制、项目进行审计”和“提供有益于增加公司价值的咨询服务”两项核心职责,并围绕公司战略,以“风险导向”、“服务战略”理念为指导,从信息系统审计战略规划和具体项目执行两个层面分别制定信息系统审计的流程。
1、以公司战略为导向,制定信息系统审计的战略规划
一直以来,广州地铁奉行“源于战略、服务于战略”的现代审计理念。这一理念主要体现在两个方面:一是在制定内审工作计划时,从公司战略出发,制定各个内审业务及各专业审计模块的战略,并以业务战略为指导,开展具体的审计工作;二是在开展审计项目的过程中,始终从保障公司战略执行的角度去发现问题、评价问题,提出整改意见和落实整改。信息系统审计的战略规划来源于公司的战略,以及以公司战略指导制定的公司信息系统战略规划和内部审计业务战略规划;同时还须结合公司信息化现状和IT审计模块定位,明确广州地铁IT审计发展战略目标。
2、通过风险评估,确定各信息系统风险等级,制定层次分明、重点突出的信息系统循环审计计划
为利用有限的审计资源掌握公司主要信息系统的建设、运营情况,保障信息资源的有效利用,降低公司信息系统的整体风险,广州地铁建立了一套“根据信息系统风险评级制定差异化的审计策略”。
(1)梳理信息系统脉络,全面掌握信息系统现状。广州地铁结合信息系统规划、建设和运营的情况及系统分类梳理出被审计信息系统清单,并从系统构成要素的角度收集系统相关的信息。这些信息包括系统名称、功能模块、采用产品等基本信息,以及项目的建设信息、系统的使用状况和运维的基本情况。这些信息是风险评分的依据,也为后续开展具体审计工作时确定审计方案提供了指引。
(2)开展信息系统风险评级,制定风险导向型审计计划。内审人员从通用风险、业务风险、项目风险、系统风险、数据风险和人员风险六大风险类别出发,全面识别信息系统各类构成要素中存在的风险;对信息系统进行风险评价,根据风险得分将信息系统按优先级分别划分为高、中、低三类。结合公司IT审计资源的情况,对优先等级高的系统采用三年一审策略,中等级系统5―6年一个审计周期,风险等级低的系统则根据需要安排审计。在此审计策略的基础上,再综合考虑公司业务的十大风险、领导关注事项、上一年度内控评价结果和审计项目成果、公司新一年的工作重点、公司信息系统的变动情况,并制定出本年度的信息系统审计计划。
3、以风险为导向,开展信息系统审计
在项目实施阶段,审计人员必须从公司整体信息系统控制环境和被审计系统的状况、流程与内部控制两个方面进一步收集被审计系统的相关资料,了解和确认被审计单位已建立的内部控制措施,并对这些控制措施的设计是否达到控制目标进行评估。
(1)以“轮流循环+以点带面”的方式开展整体计算机控制审计。公司的信息化业务采用统一集中管理的模式,整体计算机控制对各个系统具有一定的通用性。因此,在实务操作中,广州地铁采用“以点带面”的策略,以单个信息系统整体计算机控制为切入点对整体计算机控制进行审计,评价整体信息系统的安全性;同时,考虑到信息系统在一定时间内相对稳定,因此在实施整体计算机控制审计时可采取轮流测试的方式,即每年从十个子流程中选取几个进行测试,经过一定周期后,完成对整体计算机控制的全面审计。例如,在2011年开展的信息安全审计项目中,审计人员就围绕信息安全这个审计主题,从十个子流程中选取了与信息安全直接相关的信息系统操作、信息系统安全、业务可持续计划、应用系统开发与实施、数据库开发与实施和系统软件支持等六个流程进行审计。分步、循环开展整体计算机审计,在审计风险可控的情况下,大大节省了审计资源,也使得审计人员能够更加深入地挖掘和分析整体计算机控制方面所存在问题以及问题的成因,提出更为切实可行、同时又符合公司信息化业务发展现状和要求的整改措施。
(2)以风险为着眼点,确定应用控制审计重点。应用控制是各个信息系统内部所建立的控制机制,应用控制审计必须针对某个具体信息系统开展。在开展应用控制审计的过程中,审计人员应紧紧围绕“风险”这个着眼点,通过对原有业务成熟度和系统建设过程中风险的评估,选择不同的审计侧重点开展应用控制审计。例如,在合同管理系统审计项目中,由于合同管理系统是全新开发的系统,审计人员经分析,判定系统在应用系统访问控制方面的风险较高。而在进行控制评估和测试后,审计人员发现业务人员在创建系统权限设置机制时完全套用了公司办公自动化系统的权限机制,而未针对合同业务流程中不同于公司组织架构下的角色设立相应的用户组,导致系统无法实现合同经办人与审批人职责的分离,存在重大的内控风险。
五、信息系统审计方法
在信息系统审计中,可因地制宜,综合运用多种学科的技术方法,包括:传统审计中内部控制测评的基本方法和审计取证的基本方法(包括审阅、核对、监盘、观察、查询、函证、计算、分析性复核);计算机科学的技术方法,如数据测试法、程序编码审查法、受控处理法、受控再处理法、整体测试法、平行模拟法、程序比较法、漏洞扫描、入侵检测、嵌入审计程序法等等;行为科学的技术方法,如运用组织发展的理论与方法、个体行为一般规律的理论和方法。这些方法与技术并不是孤立的,而是互相联系的。
目前,广州地铁在信息系统审计中所运用的方法仍主要集中在传统的内控审计方法和信息系统管理的技术方法两个领域,具体包括询问、观察、文件复核、抽样、重新执行、使用计算机辅助软件等。在部分项目中,也采用了一些计算机科学的技术方法。受限于审计资源不足,广州地铁较少采用程序比较法、平行模拟法、程序编码审查法等高成本的审计方法,而倾向于选用一些较为高效的测试方法。但这些高效方法的运用不能完全消除审计风险,这就需要审计人员根据自身的经验尽量避免。
1、传统审计方法的运用
广州地铁在开展信息系统审计过程中较多运用传统审计的方法。例如,在对信息系统整体计算机控制进行审计时,通过对系统使用人员的访谈、调研和对系统各项操作的观察,梳理出整体计算机控制相关的各种控制活动。在没有测试环境的情况下对生产在用信息系统的人机交互界面和功能进行调查和确认时,审计人员大量运用了观察的方法。在对固定资产信息系统模块进行审计中,审计人员通过观察物资采购人员、资产管理人员、会计核算人员在系统中的操作界面、系统实现效果以及业务操作流程来了解系统功能的构造。发现采购中的供应商信息在跨系统流程过程中丢失,导致财务系统和实物管理的MAXIMO系统的资产台账中均缺少供应商信息,致使日后采购同类物资时,采购人员无法获取历史采购信息作为参考,增加了市场调研成本。除内控矩阵和访谈、观察等方法之外,编制流程图、数据流图和报表流图也是信息系统审计经常使用的方法。
2、计算机科学技术方法的运用
计算机科学技术方法是信息系统审计特有的方法,来源于IT行业的信息技术的转换应用,主要包括基于数据分析的方法和基于程序分析的方法,这些方法的综合使用使得对信息系统的审计更加有效。具体方法的选用需视被审计系统的实际情况而定。在一个审计项目中,广州地铁审计人员经常将多种方法结合使用。例如,在票务收入系统审计项目中,审计人员首先采用数据测试法,使用正常及非正常的测试地铁票搭乘地铁,在系统中跟踪测试票的处理情况,以验证系统处理与控制功能是否均有效;在对系统中后期内部开发的车站单程票售卖功能进行审计时,审计人员采用了程序编码审查法,对系统的源程序编码进行审查,审查后发现单程票售卖金额统计报表在进行数据处理时省略了小数点后的尾数,导致报表金额存在偏差;在对票务系统的清分报表进行验证时,审计人员又采用了平行模拟法,抽取系统中一段时间内的正式交易记录,在系统外模拟系统的处理规则对交易记录进行处理,并将处理结果与系统的报表数据进行核对,结果发现系统在数据传递和处理过程中,由于系统对于异常数据的审核过于严格,导致部分正常数据被当作垃圾数据丢进异常库,给公司造成票务损失。
3、计算机辅助审计软件的应用
计算机辅助审计软件的应用是信息系统审计的一个显著特点,也是审计人员准备阶段需要重点关注的问题之一。目前,广州地铁对计算机辅助审计软件的应用主要体现在以下两个方面。
(1)对系统中数据的准确性、完整性和一致性的检查。例如,在合同管理系统审计项目中,为核对系统接口程序的可靠性,审计人员利用审计辅助软件快速完成了对合同系统和财务系统数据一致性的核对,迅速查找出两个系统中不一致的数据。经过深入分析,审计人员发现由于财务核算人员在财务系统中复核合同支付数据时发现错误,将支付申请退回给合同系统再由合同经办人重新填报时,合同系统未对已生成的支付信息进行更新,导致上述问题的出现。针对海量数据处理系统,数据验证是审计的重点,计算机辅助软件是“不可或缺”的审计工具。在地铁票务收入保障审计项目中,审计人需要通过数据验证的方式对业务处理的核心系统――自动售检票(AFC)系统中的系统传输和处理机制进行验证。为此,审计人员共设计了8大类29子类47个数据验证主题。审计时,审计人员运用计算机辅助审计技术,在两个月内完成了对AFC系统中10天总计超过3亿条运营数据的验证工作。
(2)利用计算机辅助软件进行对比测试。即审计人员从信息系统中抽取某部门样本数据,将样本数据输入到与计算机辅助软件中进行处理,把审计软件输出的结果与业务系统产生的结果进行对比分析,以判定业务系统的可靠性与准确性。广州地铁在已开展的运营票务收入保障审计项目中大量地使用了此种方式。审计人员将各车站站务人员在票务系统中录入的售票数据导入到计算机辅助软件中,按照业务规则对数据进行处理,将处理结果和系统输出的结果进行对比。经对比,审计人员发现票务系统在处理异常数据时过于严格,导致部分非异常数据被系统当作异常数据丢入异常库中,给公司造成票务损失。
4、信息系统审计与业务内控审计相结合
企业管理流程信息化的过程中,会对原有的业务流程进行优化甚至重构。对原有手工流程的内控评价在信息化环境中可能不再适用。因此,广州地铁在信息系统审计中添加了对业务流程的内控评价――先对业务的内部控制情况进行评估,梳理并确定业务流程风险和关键控制点,再对照业务流程对系统的处理流程进行评价,确保信息系统审计评价的准确性。信息系统审计与业务内控审计相结合的方法还体现在对一个流程中未在信息系统实现的控制环节可以通过内控审计进行补充。实践表明,信息系统审计与业务内控审计相结合的方法在很大程度上提高了审计的全面性。
由于信息技术自身的特点,例如电子数据的不可视性,加之被审计单位信息系统内部控制方面可能存在缺陷以及信息系统审计人员在专业技术和职业道德方面亦不完美,信息系统审计风险客观存在。面对信息系统审计风险,需要审计人员通过深入调研,全面了解被审计系统的情况;需要培养专业人才,“以点带面”提升团队能力;结合企业发展情况,制定内部信息系统审计标准;利用审计软件,降低抽样风险,提高审计效率等多种措施,不断降低审计过程中的检查风险,提高审计质量。
【参考文献】
[1] Ron A.Weber,Information Systems Control and Audit,1st ed,NJ:Prentice Hall,1998.
[2] S. Anantha Sayana:The IS Audit Process[J].The ISACA Journal,2002(1).
[3] Craig S. Wright:The IT Regulatory and Standards Compliance Handbook:How to Survive Information Systems Audit and Assessments,1st ed,MA:Syngress, 2008.
[4] Robert E. Davis:Information Systems Auditing:The IS Audit Planning Process,3rd ed,2010.
[5] Jack J. Champlain:Auditing Information Systems[J].2nd ed,NJ:John Wiley&Sons,2003.
[6] 卢红柱:计算机信息系统审计的探索之路[J].审计研究,2006(增刊).
[7] 王进波、常卫:信息系统审计的发展与现状[J].财政监督,2008(4).
[8] 陈继初:信息系统审计在我国的现状及存在的问题[J].消费导刊,2008(12).
[9] 吴沁红:信息系统审计内容分析[J].财会研究,2008(10).
[10] 胡晓明:信息系统审计理论体系的构建[J].中国注册会计师,2006(6).
[11] 王艳、周剑:信息系统审计辨析[J].图书情报工作,2004(48).
[12] 田佳林:信息系统审计简述[J].财政监督,2008(4).
[13] 陈婉玲、杨文杰:COBIT及其在信息系统控制与审计中的应用[J].审计研究,2006(增刊).
[14] 赵静:COBIT框架在IT审计中的应用[J].中国内部审计,2009(12).
[15] 张妍:信息系统审计方法研究[J].审计月刊,2010(11).
[16] 刘杰、罗继荣:信息系统审计质量控制准则研究[J].财会通讯,2011(5).
[17] 王振武、张子瑾:信息系统审计理论结构框架研究[J].会计之友,2011(7).