新手游下載量破百萬了，身為開發(fā)者的小A卻一點(diǎn)興奮不起來......

游戲上線后，小A眼瞅著業(yè)務(wù)平臺數(shù)據(jù)一路飆升。如此海量用戶轉(zhuǎn)化個80%的充值玩家不和玩似得？結(jié)果半年過去了，小A不光沒靠著優(yōu)勢掙到錢，還反虧一大筆。

 

難道數(shù)據(jù)有問題？小A資訊了業(yè)務(wù)平臺客服，結(jié)果真是如此，他得知自己使用的業(yè)務(wù)平臺存在數(shù)據(jù)篡改的情況，下載量都是刷單平臺堆上去的假數(shù)據(jù)。

看來，業(yè)務(wù)平臺不靠譜真是后患無窮。上述僅是本宅YY的故事，但與之類似的事件在其他行業(yè)頻發(fā)。那么，怎樣才能制止這種坑爹的情況再度發(fā)生呢？

在2019年4月26日，以“共享數(shù)據(jù)價值·共擔(dān)安全責(zé)任”為主題的第三屆中國數(shù)據(jù)安全治理高峰論壇在北京落幕。在26日下午的數(shù)據(jù)安全治理金融分論壇上，大信會計(jì)師事務(wù)所合伙人郭穎濤就金融業(yè)案例向我們分享了IT審計(jì)數(shù)據(jù)安全的重要性及其保障方案。

金融業(yè)數(shù)據(jù)安全問題頻現(xiàn)

IT審計(jì)是審計(jì)準(zhǔn)則里面規(guī)定的一個專業(yè)術(shù)語。信息系統(tǒng)是企業(yè)生產(chǎn)活動、經(jīng)營活動不可或缺的部分。IT審計(jì)是作為信息科技風(fēng)險的第三道防線，是對以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行的審計(jì)，具體而言就是指IT審計(jì)人員從獨(dú)立的第三方的角度，對信息系統(tǒng)從規(guī)劃、開發(fā)、測試、實(shí)施到運(yùn)行維護(hù)的過程進(jìn)行審查與評價的活動。

與上述案例類似，金融行業(yè)審計(jì)，數(shù)據(jù)的特點(diǎn)表現(xiàn)為數(shù)據(jù)量巨大，數(shù)據(jù)分支之間形成復(fù)雜的內(nèi)部體系。一般情況下，事務(wù)所為了確保財務(wù)數(shù)據(jù)的準(zhǔn)確性需要通過業(yè)務(wù)數(shù)據(jù)系統(tǒng)和財務(wù)數(shù)據(jù)系統(tǒng)進(jìn)行比對。

該過程中，難免會出現(xiàn)數(shù)據(jù)安全問題。典型案例整理如下：

“想要審計(jì)數(shù)據(jù)精準(zhǔn)無誤，對其過程進(jìn)行安全把控顯得尤為重要——審計(jì)過程中的權(quán)限問題、數(shù)據(jù)篡改問題、限制設(shè)置合理性問題等等，均會影響最終財務(wù)月報的準(zhǔn)確性?！?/p>

把關(guān)安全：IT審計(jì)

要想獲取準(zhǔn)確的財務(wù)數(shù)據(jù)，就要檢查整個信息系統(tǒng)是否可靠，就要進(jìn)行IT審計(jì)。 “隨著IT技術(shù)的快速發(fā)展以及在金融行業(yè)的深入運(yùn)用，越來越多的業(yè)務(wù)經(jīng)營和管理經(jīng)營活動都依賴于信息系統(tǒng)進(jìn)行高速智能化的處理。為了降低審計(jì)風(fēng)險，我們要越發(fā)關(guān)注高風(fēng)險領(lǐng)域，同時也要在審計(jì)效果和效率之間找一個平衡，基于金融行業(yè)這個特點(diǎn)，我們要對財務(wù)報表的數(shù)據(jù)來源-信息系統(tǒng)進(jìn)行審計(jì)?！?/p>

郭穎濤覺得，不光是金融行業(yè)，幾乎所有財務(wù)核心數(shù)據(jù)來源于信息系統(tǒng)的行業(yè)，審計(jì)工作重點(diǎn)都在于確認(rèn)IT數(shù)據(jù)的準(zhǔn)確性。

從她的角度來看，建立完善、高效、安全的信息系統(tǒng)應(yīng)取得決策層的支持，制定數(shù)據(jù)安全管理規(guī)范，構(gòu)建數(shù)據(jù)保護(hù)技術(shù)支撐體系，至少應(yīng)包含建立權(quán)限、重要數(shù)據(jù)備份、指定程序生成文檔、對重要數(shù)據(jù)進(jìn)行加密、離線文檔進(jìn)行管理、外發(fā)文檔的管理這六大要素。

針對IT審計(jì)，郭穎濤認(rèn)為主要內(nèi)容分為ITGC和ITAC兩塊，并逐一進(jìn)行了介紹。

ITGC

ITGC是指信息系統(tǒng)一般控制審計(jì)，一般來說，ITGC又分為IT治理和IT基礎(chǔ)層面的控制。

首先是IT治理：

1、組織架構(gòu)

公司的組織架構(gòu)健全，才有利于健全信息系統(tǒng)的順利落地。信息系統(tǒng)管理是公司內(nèi)部控制的一部分，判斷內(nèi)部控制制度的有效性通常會從是否具備有效制度、是否有效執(zhí)行兩方面入手，公司制度若想有效執(zhí)行，必須具有健全的組織架構(gòu)。

同理，判斷信息系統(tǒng)是否有效，我們也需要考慮是否有健全的組織架構(gòu)，沒有健全的組織架構(gòu)確保系統(tǒng)的有效安全運(yùn)行，很難有效保障信息系統(tǒng)數(shù)據(jù)精準(zhǔn)性。

2、制度體系—運(yùn)維制度

在制度體系里，運(yùn)維制度的完整性也會影響健全信息系統(tǒng)的執(zhí)行。運(yùn)維制度中比較關(guān)注的包括機(jī)房管理、網(wǎng)絡(luò)信息系統(tǒng)管理、數(shù)據(jù)和介質(zhì)管理、安全管理，這五點(diǎn)綜合起來作為衡量整個運(yùn)維體系完整性的標(biāo)尺。公司應(yīng)根據(jù)發(fā)展戰(zhàn)略，制定信息化發(fā)展規(guī)劃，同時滿足業(yè)務(wù)發(fā)展和信息安全的需要。

3、崗位職責(zé)

在制度體系完備的情況下，還要制定具體的崗位分工和崗位職責(zé)。崗位職責(zé)中的關(guān)注點(diǎn)在于崗位分離，如果信息系統(tǒng)缺失了分離制度或者相關(guān)權(quán)限分配，也就失去了制約性。如果參與系統(tǒng)使用的員工可獲取任意的調(diào)用權(quán)限，也就意味著整個體系面臨著被隨時篡改的可能性。

4、資源

公司要有足夠的資源，保證信息系統(tǒng)有效運(yùn)行。前期主要是指一般性的資源整理，而在一個健全的責(zé)任分工下，公司資源要足夠該制度正常運(yùn)轉(zhuǎn)，這是任何健全信息系統(tǒng)要滿足的前提條件。

其次是IT基礎(chǔ)控制：

1、操作系統(tǒng)安全管理：口令定期更新、訪問控制、安全策略、默認(rèn)用戶、默認(rèn)口令、冗余賬戶、共享賬戶等；

2、數(shù)據(jù)庫系統(tǒng)安全管理：口令定期更新、訪問控制、安全策略、默認(rèn)用戶、默認(rèn)口令、冗余賬戶、共享賬戶等；

3、應(yīng)用系統(tǒng)安全管理：登錄控制、身份識別；

4、安全管理制度：安全管理制度、執(zhí)行、評估報告等；

5、還包括網(wǎng)絡(luò)安全管理、機(jī)房管理、數(shù)據(jù)備份管理、數(shù)據(jù)恢復(fù)管理等。

ITAC

ITAC（應(yīng)用層面控制審計(jì)），屬于具體業(yè)務(wù)流程測試，需根據(jù)客戶業(yè)務(wù)特點(diǎn)制定具體的IT審計(jì)策略，針對性較強(qiáng)。

一般的測試內(nèi)容為財務(wù)系統(tǒng)本身的授權(quán)、控制（崗位分離）、備份等是否得到有效把控；業(yè)務(wù)系統(tǒng)至財務(wù)系統(tǒng)的數(shù)據(jù)在傳輸過程中是否存在遺漏或被篡改的情況；自動化記賬過程是否被人為干預(yù)。

值得一提的是，并非所有的公司審計(jì)都需要對其信息系統(tǒng)進(jìn)行審計(jì)，對于一般的公司(Statutory Audit) 而言，是否對其信息系統(tǒng)進(jìn)行審計(jì)，這取決于信息系統(tǒng)對該公司年度財務(wù)報表的影響程度，審計(jì)師會根據(jù)影響程度，制定相應(yīng)的審計(jì)策略 (Audit Strategy) 。

審計(jì)困境：數(shù)據(jù)安全強(qiáng)隨機(jī)性

郭穎濤稱，在查詢2018年銀監(jiān)會對相關(guān)銀行處罰的記錄后，我發(fā)現(xiàn)，2018年尚有部分金融機(jī)構(gòu)因客戶信息安全管理不到位，部分重要信息系統(tǒng)災(zāi)難恢復(fù)等級未達(dá)到第5級（含）以上等數(shù)據(jù)安全問題被處罰；我覺得目前部分金融機(jī)構(gòu)的數(shù)據(jù)安全監(jiān)管機(jī)構(gòu)體系級別還不夠，其對于信息系統(tǒng)數(shù)據(jù)安全把控尚未滿足監(jiān)管要求。

原來，對于外部審計(jì)機(jī)構(gòu)來說，業(yè)務(wù)流程最終反映到財務(wù)報表中需要一個有效結(jié)合過程。為了將業(yè)務(wù)流程和財務(wù)數(shù)據(jù)進(jìn)行相關(guān)結(jié)合，通常對業(yè)務(wù)系統(tǒng)和財務(wù)系統(tǒng)形成相互比對，進(jìn)而達(dá)成數(shù)據(jù)之間的互通互聯(lián)。

總結(jié)一句話，就是通過業(yè)務(wù)數(shù)據(jù)的可靠性來支持財務(wù)數(shù)據(jù)準(zhǔn)確無誤。

“將業(yè)務(wù)數(shù)據(jù)與財務(wù)數(shù)據(jù)相結(jié)合，就意味著以上幾點(diǎn)必須有明確的分工。為了在審計(jì)過程中讓相關(guān)人員有據(jù)可循，IT審計(jì)系統(tǒng)需要建立相互查詢控制的機(jī)制。如果在這個過程中我們?nèi)藛T角色或者其他定位沒有定義好，就有可能造成財務(wù)數(shù)據(jù)被篡改，最終影響審計(jì)結(jié)果。”

實(shí)際上，這種被篡改數(shù)據(jù)的情況總會出現(xiàn)。郭穎濤坦白道，每年做IT審計(jì)，由于人員分配問題，或者其他的特殊情況導(dǎo)致的一些公司業(yè)務(wù)數(shù)據(jù)與財務(wù)數(shù)據(jù)對不上的事情時常發(fā)生。起因大都因?yàn)橐恍┕緦τ谏鲜龅膸c(diǎn)信息系統(tǒng)安全保障做的不夠好，這有可能造成財務(wù)系統(tǒng)和業(yè)務(wù)系統(tǒng)在對接過程中是存在漏洞的。

另外一點(diǎn)，即便是小型銀行也會使用自動化記賬本，記賬過程無需人為干預(yù)。雖然自動化記賬本要求業(yè)務(wù)數(shù)據(jù)和財務(wù)數(shù)據(jù)實(shí)現(xiàn)完全的自動生成，但實(shí)際上執(zhí)行過程中業(yè)務(wù)數(shù)據(jù)和財務(wù)數(shù)據(jù)總會出現(xiàn)匹配度不一樣的情況。

當(dāng)然，也有可能有些數(shù)據(jù)原本就是人工參與生成的，其匹配難度也就更大，這會影響對IT信息系統(tǒng)的判斷。

那么，怎么驗(yàn)證財務(wù)數(shù)據(jù)準(zhǔn)確性呢？

郭穎濤稱，對于財務(wù)系統(tǒng)本身來講，業(yè)務(wù)數(shù)據(jù)保障是整個IT審計(jì)業(yè)務(wù)模塊里面的一部分。在整個財務(wù)系統(tǒng)中，我們也必須建立有效的控制機(jī)制，其中包括本身授權(quán)、崗位職責(zé)分離、財務(wù)備份等較為健全的制度。與此同時，數(shù)據(jù)真實(shí)性欠缺的情況應(yīng)該引發(fā)IT審計(jì)從業(yè)者對整個財務(wù)報表數(shù)據(jù)的公允性考慮。

此外，會上安華金和CEO劉曉韜也分享到，數(shù)據(jù)安全治理不僅僅是一套用工具組合的產(chǎn)品級解決方案，而是從決策層到技術(shù)層，從管理制度到工具支撐，自上而下貫穿整個組織架構(gòu)的完整鏈條。

組織內(nèi)的各個層級之間需要相互協(xié)作，對數(shù)據(jù)安全治理的目標(biāo)和宗旨達(dá)成共識，并從能力、執(zhí)行、場景三個維度建設(shè)數(shù)據(jù)安全治理體系，以最有效的方式保護(hù)信息資源。

數(shù)據(jù)安全治理體系框架

能力維度：完善的組織機(jī)構(gòu)、有針對性和可行的管理制度和規(guī)范、全面和先進(jìn)的數(shù)據(jù)安全技術(shù)，是構(gòu)建數(shù)據(jù)安全治理體系的基礎(chǔ)。

執(zhí)行維度：針對數(shù)據(jù)使用的各個場景，需要通過梳理來了解數(shù)據(jù)資產(chǎn)狀況和風(fēng)險；配合制度規(guī)范要求，采用不同的安全技術(shù)手段進(jìn)行數(shù)據(jù)使用過程中的管控，同時要監(jiān)控使用過程，對訪問行為進(jìn)行稽核，并不斷完善。

場景維度：數(shù)據(jù)安全治理涵蓋數(shù)據(jù)在日常使用過程中面臨的各種場景，具體包含開發(fā)測試、運(yùn)維、共享、分析、應(yīng)用訪問、內(nèi)部特權(quán)訪問等場景。

基于以上觀點(diǎn)，郭穎濤認(rèn)為盡可能打造互聯(lián)、互通的業(yè)務(wù)與財務(wù)數(shù)據(jù)通道將成為解決IT審計(jì)安全問題的根本性解決方案。“IT審計(jì)跨行業(yè)、跨部門的性質(zhì)較強(qiáng)，其在發(fā)展安全保障體系的同時，合規(guī)性應(yīng)該首先考慮將業(yè)務(wù)和財務(wù)數(shù)據(jù)整體關(guān)聯(lián)，以此換取財務(wù)數(shù)據(jù)的相對公允?！?/p>

金融行業(yè)數(shù)據(jù)安全相關(guān)法規(guī)

隨著數(shù)據(jù)被金融行業(yè)高度采用，數(shù)據(jù)安全問題亦頻繁出現(xiàn)，引發(fā)的信息科技乃至業(yè)務(wù)風(fēng)險逐年增高。而為了杜絕“數(shù)據(jù)安全強(qiáng)隨機(jī)性”的出現(xiàn)，國家相關(guān)規(guī)定陸續(xù)出臺。

2015年8月29日人大獲通過的《刑法修正案（九）》明確了導(dǎo)致個人隱私泄漏的情形、責(zé)任、及導(dǎo)致泄漏的責(zé)任主體及法律責(zé)任：

第二百八十六條：網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正，有下列情形之一的，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金：

（一）致使違法信息大量傳播的；

（二）致使用戶信息泄露，造成嚴(yán)重后果的；

（三）致使刑事案件證據(jù)滅失，情節(jié)嚴(yán)重的；

（四）有其他嚴(yán)重情節(jié)的。

單位犯前款罪的，對單位判處罰金，并對其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照前款的規(guī)定處罰。有前兩款行為，同時構(gòu)成其他犯罪的，依照處罰較重的規(guī)定定罪處罰。

2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》正式實(shí)施，根據(jù)規(guī)定金融行業(yè)重要的信息系統(tǒng)是國家信息安全重點(diǎn)保護(hù)對象，因此金融行業(yè)是落實(shí)和實(shí)施信息安全等級保護(hù)的重點(diǎn)行業(yè)之一。

第二十一條：國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：

（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任；

（二）采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；

（三）采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月；

（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；

（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。

第三十一條：國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國務(wù)院制定。

第三十四條 除本法第二十一條的規(guī)定外，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者還應(yīng)當(dāng)履行下列安全保護(hù)義務(wù)：

（一）設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人，并對該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查；

（二）定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核；

（三）對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份；

（四）制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進(jìn)行演練；

（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。

演講的最后，郭穎濤總結(jié)道，通過對IT審計(jì)安全保障體系的回顧，我們發(fā)現(xiàn)，隨著社會信息系統(tǒng)安全意識的不斷加強(qiáng)，信息系統(tǒng)數(shù)據(jù)安全建設(shè)投入不斷增加，社會越來越需要對信息安全保障系統(tǒng)提供強(qiáng)有力支持的公司。雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。