【摘要】隨著信息技術(shù)的迅猛發(fā)展，在為金融機(jī)構(gòu)帶來收益和效率的同時(shí)，也使信息安全保密問題日益凸顯，在全球范圍內(nèi)，信息安全事件頻發(fā)，給銀行和客戶造成經(jīng)濟(jì)損失的同時(shí)，也帶來了巨大的聲譽(yù)損失。面對日益復(fù)雜的國內(nèi)外經(jīng)濟(jì)金融形勢和日趨激烈的同行業(yè)競爭，審計(jì)信息安全保密面臨嚴(yán)峻的挑戰(zhàn)，銀行業(yè)敏感信息和商業(yè)秘密是不法分子竊取的重點(diǎn)目標(biāo)，做好審計(jì)信息安全保密工作刻不容緩。本文從審計(jì)信息安全保密的重要性入手，分析存在的主要問題和風(fēng)險(xiǎn)，提出審計(jì)信息安全保密防范措施。

【關(guān)鍵詞】保密意識 審計(jì)信息安全

審計(jì)信息是審計(jì)人員在工作中運(yùn)用一定的技術(shù)、方法、手段，收集加工提煉整理的業(yè)務(wù)信息，是反映和體現(xiàn)審計(jì)工作成果的重要載體，主要包括審計(jì)工作信息和審計(jì)項(xiàng)目信息，涉及銀行敏感信息及經(jīng)營決策管理的商業(yè)秘密。審計(jì)人員泄密風(fēng)險(xiǎn)如影隨形，無時(shí)不在，審計(jì)信息保密事關(guān)銀行信息安全和審計(jì)聲譽(yù)。因此，審計(jì)人員肩負(fù)審計(jì)數(shù)據(jù)及信息安全的重任，牢固樹立保密意識、嚴(yán)格履行保密職責(zé)、執(zhí)行保密紀(jì)律是每個(gè)審計(jì)人員義不容辭的責(zé)任。

一、審計(jì)信息渠道

審計(jì)信息主要來源于審計(jì)管理系統(tǒng)及平臺信息和審計(jì)業(yè)務(wù)信息收集兩個(gè)方面：

第一，審計(jì)管理系統(tǒng)及平臺信息是審計(jì)人員在實(shí)施審計(jì)項(xiàng)目、進(jìn)行審計(jì)管理的過程中，通過審計(jì)應(yīng)用系統(tǒng)及平臺獲取審計(jì)業(yè)務(wù)操作與管理的業(yè)務(wù)和數(shù)據(jù)信息，包括非現(xiàn)場審計(jì)系統(tǒng)（OAS系統(tǒng)）信息、審計(jì)管理信息系統(tǒng)（AMIS系統(tǒng)）信息、審計(jì)知識庫系統(tǒng)信息、任期經(jīng)濟(jì)責(zé)任審計(jì)信息資料庫信息、總審計(jì)室信息平臺等信息。

第二，審計(jì)業(yè)務(wù)信息是審計(jì)項(xiàng)目和日常審計(jì)工作中由各級機(jī)構(gòu)提供的業(yè)務(wù)信息以及審計(jì)項(xiàng)目信息。業(yè)務(wù)信息包括審計(jì)機(jī)構(gòu)審計(jì)計(jì)劃、審計(jì)研究成果、被審計(jì)機(jī)構(gòu)經(jīng)營計(jì)劃及業(yè)務(wù)指標(biāo)、客戶及其賬戶信息、業(yè)務(wù)管理信息等，以及通過Notes郵箱、辦公自動化系統(tǒng)（OA系統(tǒng)）、檔案管理信息系統(tǒng)等收集整理的各類業(yè)務(wù)信息。審計(jì)項(xiàng)目信息包括審計(jì)方案、審計(jì)報(bào)告、審計(jì)模型、審計(jì)證據(jù)、審計(jì)工作底稿，以及審計(jì)過程中通過會計(jì)檔案管理系統(tǒng)、UAAP統(tǒng)一報(bào)表發(fā)布平臺、對公信貸業(yè)務(wù)流程系統(tǒng)（CLPM系統(tǒng)）、個(gè)人信貸管理系統(tǒng)（A+P系統(tǒng)）、信貸管理系統(tǒng)（CMISII系統(tǒng)）、ODSB二期及ERPF報(bào)表查詢等收集加工整理的各類信息。

二、主要問題和風(fēng)險(xiǎn)

（一）審計(jì)信息未集中管理，存在泄密的潛在風(fēng)險(xiǎn)隱患

便攜式計(jì)算機(jī)是審計(jì)人員的必備工具，其中存儲大量重要信息，實(shí)施審計(jì)項(xiàng)目按照審計(jì)方案要求分組開展，審計(jì)現(xiàn)場點(diǎn)多面廣，審計(jì)資料不便于集中，審計(jì)人員注重信息資料使用忽視保密管理，對敏感及涉密信息未經(jīng)加密處理采取保密措施，形成審計(jì)信息安全隱患。一是項(xiàng)目實(shí)施過程中審計(jì)信息處于分散失控狀態(tài)，缺乏安全管理；二是審計(jì)項(xiàng)目結(jié)束后，由于未明確和指定專人負(fù)責(zé)歸集審計(jì)項(xiàng)目信息，致使審計(jì)人員未及時(shí)清理、歸集移除審計(jì)項(xiàng)目電子信息資料，長久滯留審計(jì)人員計(jì)算機(jī)中將可能導(dǎo)致審計(jì)信息流失和泄密。

（二）計(jì)算機(jī)上網(wǎng)導(dǎo)致審計(jì)信息失密，造成損失形成銀行聲譽(yù)風(fēng)險(xiǎn)

計(jì)算機(jī)上網(wǎng)成為信息泄露的主要途徑，涉密計(jì)算機(jī)使用無線鍵盤或鼠標(biāo)上網(wǎng)、移動存儲介質(zhì)與聯(lián)網(wǎng)計(jì)算機(jī)交叉使用將會導(dǎo)致失泄密。一是審計(jì)人員因工作需要，有時(shí)通過互聯(lián)網(wǎng)傳送或下載工作信息，或上網(wǎng)查詢信貸客戶企業(yè)注冊登記等信息，如果客戶敏感信息被不法分子截獲并利用，給客戶帶來不利影響的同時(shí)，將會導(dǎo)致銀行聲譽(yù)風(fēng)險(xiǎn)的嚴(yán)重后果。二是審計(jì)人員使用的計(jì)算機(jī)、U盤等磁介質(zhì)若不采取保密措施，未經(jīng)加密在互聯(lián)網(wǎng)上傳輸行內(nèi)重要數(shù)據(jù)或信息，被竊密者運(yùn)用技術(shù)軟件竊取，無意中將泄露銀行敏感信息或商業(yè)秘密，給銀行造成無可估量的損失。

（三）審計(jì)管理系統(tǒng)用戶認(rèn)證安全機(jī)制低、對客戶敏感信息訪問無控制

由于非現(xiàn)場審計(jì)系統(tǒng)對相關(guān)敏感數(shù)據(jù)字段未能加密，在審計(jì)項(xiàng)目實(shí)施過程中，審計(jì)人員登錄系統(tǒng)可任意查詢導(dǎo)出相關(guān)的信息及數(shù)據(jù)，存在敏感信息和商業(yè)秘密泄漏的風(fēng)險(xiǎn)。

三、審計(jì)信息安全管理措施

第一，健全制度，落實(shí)責(zé)任。為加強(qiáng)審計(jì)信息安全保密，對于計(jì)算機(jī)設(shè)備使用管理、審計(jì)管理系統(tǒng)運(yùn)行管理及數(shù)據(jù)信息安全保密管理，制定信息安全管理制度，明確責(zé)任，落實(shí)保密職責(zé)。

第二，加強(qiáng)安全保密培訓(xùn)和教育，筑牢審計(jì)人員的安全和風(fēng)險(xiǎn)意識。一是要警鐘長鳴，加強(qiáng)警示教育，做到防患于未然。二是建立信息安全的長效機(jī)制，將審計(jì)信息安全保密作為審計(jì)人員培訓(xùn)教育的重要內(nèi)容，使之深刻認(rèn)識安全無小事，牢記“失之毫厘、謬以千里”道理，始終繃緊安全保密意識的弦，嚴(yán)守保密紀(jì)律，自覺履行保密職責(zé)。

第三，加強(qiáng)審計(jì)系統(tǒng)用戶管理，嚴(yán)格用戶操作權(quán)限，禁止將用戶口令及UKEY轉(zhuǎn)借他人使用。在未開展審計(jì)項(xiàng)目階段限制非現(xiàn)場審計(jì)系統(tǒng)操作用戶，使用系統(tǒng)必須經(jīng)過申請批準(zhǔn)，以防止敏感信息泄露。搭建開放的非現(xiàn)場審計(jì)系統(tǒng)學(xué)習(xí)培訓(xùn)環(huán)境，提供審計(jì)人員用于學(xué)習(xí)操作非現(xiàn)場系統(tǒng)。

第四，利用管理信息平臺FTP服務(wù)器對審計(jì)重要信息進(jìn)行管理，實(shí)現(xiàn)遠(yuǎn)程資源共享，審計(jì)人員可查詢相關(guān)工作信息，本機(jī)不再保存敏感信息和數(shù)據(jù)，切實(shí)防范便攜機(jī)或移動硬盤存儲審計(jì)信息失泄密的風(fēng)險(xiǎn)隱患。

第五，落實(shí)安全管理責(zé)任，簽訂《審計(jì)崗位人員保密協(xié)議》，強(qiáng)化保密意識，約束審計(jì)信息保密行為。

第六，加強(qiáng)涉密計(jì)算機(jī)管理，嚴(yán)防信息失泄密。設(shè)置屏幕保護(hù)的時(shí)間和密碼，確保在長時(shí)間不使用計(jì)算機(jī)時(shí)對屏幕上和系統(tǒng)內(nèi)的敏感信息進(jìn)行安全保護(hù)。涉密計(jì)算機(jī)做到專機(jī)專用，與互聯(lián)網(wǎng)物理隔離，禁止通過電子郵箱或互聯(lián)網(wǎng)傳輸涉密及重要工作信息，避免移動存儲介質(zhì)交叉使用。

第七，應(yīng)用技術(shù)手段加強(qiáng)信息安全管理，審計(jì)條線全員推廣使用Windows7（企業(yè)版）操作系統(tǒng)，應(yīng)用全盤加密（BitLocker）功能，能夠有效降低因設(shè)備物理丟失導(dǎo)致的審計(jì)信息泄露風(fēng)險(xiǎn)，有助于加強(qiáng)審計(jì)信息安全管理。

第八，以檢查促落實(shí)，嚴(yán)堵泄密漏洞。設(shè)立安全管理員負(fù)責(zé)信息安全日常檢查監(jiān)督，采取實(shí)時(shí)監(jiān)控和定期檢查相結(jié)合的方式，在全面自查的基礎(chǔ)上，對審計(jì)人員的計(jì)算機(jī)進(jìn)行檢查和抽查，落實(shí)整改。

第九，建立激勵(lì)與約束機(jī)制。為使審計(jì)信息管理的規(guī)范化，不斷提高審計(jì)信息安全管理水平，建立激勵(lì)和約束機(jī)制是促進(jìn)審計(jì)信息安全管理可靠保證，將信息管理情況作為部門和個(gè)人年度考核的重要內(nèi)容。