新手游下載量破百萬(wàn)了，身為開(kāi)發(fā)者的小A卻一點(diǎn)興奮不起來(lái)......

游戲上線后，小A眼瞅著業(yè)務(wù)平臺(tái)數(shù)據(jù)一路飆升。如此海量用戶轉(zhuǎn)化個(gè)80%的充值玩家不和玩似得？結(jié)果半年過(guò)去了，小A不光沒(méi)靠著優(yōu)勢(shì)掙到錢，還反虧一大筆。

 

難道數(shù)據(jù)有問(wèn)題？小A資訊了業(yè)務(wù)平臺(tái)客服，結(jié)果真是如此，他得知自己使用的業(yè)務(wù)平臺(tái)存在數(shù)據(jù)篡改的情況，下載量都是刷單平臺(tái)堆上去的假數(shù)據(jù)。

看來(lái)，業(yè)務(wù)平臺(tái)不靠譜真是后患無(wú)窮。上述僅是本宅YY的故事，但與之類似的事件在其他行業(yè)頻發(fā)。那么，怎樣才能制止這種坑爹的情況再度發(fā)生呢？

在2019年4月26日，以“共享數(shù)據(jù)價(jià)值·共擔(dān)安全責(zé)任”為主題的第三屆中國(guó)數(shù)據(jù)安全治理高峰論壇在北京落幕。在26日下午的數(shù)據(jù)安全治理金融分論壇上，大信會(huì)計(jì)師事務(wù)所合伙人郭穎濤就金融業(yè)案例向我們分享了IT審計(jì)數(shù)據(jù)安全的重要性及其保障方案。

金融業(yè)數(shù)據(jù)安全問(wèn)題頻現(xiàn)

IT審計(jì)是審計(jì)準(zhǔn)則里面規(guī)定的一個(gè)專業(yè)術(shù)語(yǔ)。信息系統(tǒng)是企業(yè)生產(chǎn)活動(dòng)、經(jīng)營(yíng)活動(dòng)不可或缺的部分。IT審計(jì)是作為信息科技風(fēng)險(xiǎn)的第三道防線，是對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行的審計(jì)，具體而言就是指IT審計(jì)人員從獨(dú)立的第三方的角度，對(duì)信息系統(tǒng)從規(guī)劃、開(kāi)發(fā)、測(cè)試、實(shí)施到運(yùn)行維護(hù)的過(guò)程進(jìn)行審查與評(píng)價(jià)的活動(dòng)。

與上述案例類似，金融行業(yè)審計(jì)，數(shù)據(jù)的特點(diǎn)表現(xiàn)為數(shù)據(jù)量巨大，數(shù)據(jù)分支之間形成復(fù)雜的內(nèi)部體系。一般情況下，事務(wù)所為了確保財(cái)務(wù)數(shù)據(jù)的準(zhǔn)確性需要通過(guò)業(yè)務(wù)數(shù)據(jù)系統(tǒng)和財(cái)務(wù)數(shù)據(jù)系統(tǒng)進(jìn)行比對(duì)。

該過(guò)程中，難免會(huì)出現(xiàn)數(shù)據(jù)安全問(wèn)題。典型案例整理如下：

“想要審計(jì)數(shù)據(jù)精準(zhǔn)無(wú)誤，對(duì)其過(guò)程進(jìn)行安全把控顯得尤為重要——審計(jì)過(guò)程中的權(quán)限問(wèn)題、數(shù)據(jù)篡改問(wèn)題、限制設(shè)置合理性問(wèn)題等等，均會(huì)影響最終財(cái)務(wù)月報(bào)的準(zhǔn)確性?！?/p>

把關(guān)安全：IT審計(jì)

要想獲取準(zhǔn)確的財(cái)務(wù)數(shù)據(jù)，就要檢查整個(gè)信息系統(tǒng)是否可靠，就要進(jìn)行IT審計(jì)。 “隨著IT技術(shù)的快速發(fā)展以及在金融行業(yè)的深入運(yùn)用，越來(lái)越多的業(yè)務(wù)經(jīng)營(yíng)和管理經(jīng)營(yíng)活動(dòng)都依賴于信息系統(tǒng)進(jìn)行高速智能化的處理。為了降低審計(jì)風(fēng)險(xiǎn)，我們要越發(fā)關(guān)注高風(fēng)險(xiǎn)領(lǐng)域，同時(shí)也要在審計(jì)效果和效率之間找一個(gè)平衡，基于金融行業(yè)這個(gè)特點(diǎn)，我們要對(duì)財(cái)務(wù)報(bào)表的數(shù)據(jù)來(lái)源-信息系統(tǒng)進(jìn)行審計(jì)?！?/p>

郭穎濤覺(jué)得，不光是金融行業(yè)，幾乎所有財(cái)務(wù)核心數(shù)據(jù)來(lái)源于信息系統(tǒng)的行業(yè)，審計(jì)工作重點(diǎn)都在于確認(rèn)IT數(shù)據(jù)的準(zhǔn)確性。

從她的角度來(lái)看，建立完善、高效、安全的信息系統(tǒng)應(yīng)取得決策層的支持，制定數(shù)據(jù)安全管理規(guī)范，構(gòu)建數(shù)據(jù)保護(hù)技術(shù)支撐體系，至少應(yīng)包含建立權(quán)限、重要數(shù)據(jù)備份、指定程序生成文檔、對(duì)重要數(shù)據(jù)進(jìn)行加密、離線文檔進(jìn)行管理、外發(fā)文檔的管理這六大要素。

針對(duì)IT審計(jì)，郭穎濤認(rèn)為主要內(nèi)容分為ITGC和ITAC兩塊，并逐一進(jìn)行了介紹。

ITGC

ITGC是指信息系統(tǒng)一般控制審計(jì)，一般來(lái)說(shuō)，ITGC又分為IT治理和IT基礎(chǔ)層面的控制。

首先是IT治理：

1、組織架構(gòu)

公司的組織架構(gòu)健全，才有利于健全信息系統(tǒng)的順利落地。信息系統(tǒng)管理是公司內(nèi)部控制的一部分，判斷內(nèi)部控制制度的有效性通常會(huì)從是否具備有效制度、是否有效執(zhí)行兩方面入手，公司制度若想有效執(zhí)行，必須具有健全的組織架構(gòu)。

同理，判斷信息系統(tǒng)是否有效，我們也需要考慮是否有健全的組織架構(gòu)，沒(méi)有健全的組織架構(gòu)確保系統(tǒng)的有效安全運(yùn)行，很難有效保障信息系統(tǒng)數(shù)據(jù)精準(zhǔn)性。

2、制度體系—運(yùn)維制度

在制度體系里，運(yùn)維制度的完整性也會(huì)影響健全信息系統(tǒng)的執(zhí)行。運(yùn)維制度中比較關(guān)注的包括機(jī)房管理、網(wǎng)絡(luò)信息系統(tǒng)管理、數(shù)據(jù)和介質(zhì)管理、安全管理，這五點(diǎn)綜合起來(lái)作為衡量整個(gè)運(yùn)維體系完整性的標(biāo)尺。公司應(yīng)根據(jù)發(fā)展戰(zhàn)略，制定信息化發(fā)展規(guī)劃，同時(shí)滿足業(yè)務(wù)發(fā)展和信息安全的需要。

3、崗位職責(zé)

在制度體系完備的情況下，還要制定具體的崗位分工和崗位職責(zé)。崗位職責(zé)中的關(guān)注點(diǎn)在于崗位分離，如果信息系統(tǒng)缺失了分離制度或者相關(guān)權(quán)限分配，也就失去了制約性。如果參與系統(tǒng)使用的員工可獲取任意的調(diào)用權(quán)限，也就意味著整個(gè)體系面臨著被隨時(shí)篡改的可能性。

4、資源

公司要有足夠的資源，保證信息系統(tǒng)有效運(yùn)行。前期主要是指一般性的資源整理，而在一個(gè)健全的責(zé)任分工下，公司資源要足夠該制度正常運(yùn)轉(zhuǎn)，這是任何健全信息系統(tǒng)要滿足的前提條件。

其次是IT基礎(chǔ)控制：

1、操作系統(tǒng)安全管理：口令定期更新、訪問(wèn)控制、安全策略、默認(rèn)用戶、默認(rèn)口令、冗余賬戶、共享賬戶等；

2、數(shù)據(jù)庫(kù)系統(tǒng)安全管理：口令定期更新、訪問(wèn)控制、安全策略、默認(rèn)用戶、默認(rèn)口令、冗余賬戶、共享賬戶等；

3、應(yīng)用系統(tǒng)安全管理：登錄控制、身份識(shí)別；

4、安全管理制度：安全管理制度、執(zhí)行、評(píng)估報(bào)告等；

5、還包括網(wǎng)絡(luò)安全管理、機(jī)房管理、數(shù)據(jù)備份管理、數(shù)據(jù)恢復(fù)管理等。

ITAC

ITAC（應(yīng)用層面控制審計(jì)），屬于具體業(yè)務(wù)流程測(cè)試，需根據(jù)客戶業(yè)務(wù)特點(diǎn)制定具體的IT審計(jì)策略，針對(duì)性較強(qiáng)。

一般的測(cè)試內(nèi)容為財(cái)務(wù)系統(tǒng)本身的授權(quán)、控制（崗位分離）、備份等是否得到有效把控；業(yè)務(wù)系統(tǒng)至財(cái)務(wù)系統(tǒng)的數(shù)據(jù)在傳輸過(guò)程中是否存在遺漏或被篡改的情況；自動(dòng)化記賬過(guò)程是否被人為干預(yù)。

值得一提的是，并非所有的公司審計(jì)都需要對(duì)其信息系統(tǒng)進(jìn)行審計(jì)，對(duì)于一般的公司(Statutory Audit) 而言，是否對(duì)其信息系統(tǒng)進(jìn)行審計(jì)，這取決于信息系統(tǒng)對(duì)該公司年度財(cái)務(wù)報(bào)表的影響程度，審計(jì)師會(huì)根據(jù)影響程度，制定相應(yīng)的審計(jì)策略 (Audit Strategy) 。

審計(jì)困境：數(shù)據(jù)安全強(qiáng)隨機(jī)性

郭穎濤稱，在查詢2018年銀監(jiān)會(huì)對(duì)相關(guān)銀行處罰的記錄后，我發(fā)現(xiàn)，2018年尚有部分金融機(jī)構(gòu)因客戶信息安全管理不到位，部分重要信息系統(tǒng)災(zāi)難恢復(fù)等級(jí)未達(dá)到第5級(jí)（含）以上等數(shù)據(jù)安全問(wèn)題被處罰；我覺(jué)得目前部分金融機(jī)構(gòu)的數(shù)據(jù)安全監(jiān)管機(jī)構(gòu)體系級(jí)別還不夠，其對(duì)于信息系統(tǒng)數(shù)據(jù)安全把控尚未滿足監(jiān)管要求。

原來(lái)，對(duì)于外部審計(jì)機(jī)構(gòu)來(lái)說(shuō)，業(yè)務(wù)流程最終反映到財(cái)務(wù)報(bào)表中需要一個(gè)有效結(jié)合過(guò)程。為了將業(yè)務(wù)流程和財(cái)務(wù)數(shù)據(jù)進(jìn)行相關(guān)結(jié)合，通常對(duì)業(yè)務(wù)系統(tǒng)和財(cái)務(wù)系統(tǒng)形成相互比對(duì)，進(jìn)而達(dá)成數(shù)據(jù)之間的互通互聯(lián)。

總結(jié)一句話，就是通過(guò)業(yè)務(wù)數(shù)據(jù)的可靠性來(lái)支持財(cái)務(wù)數(shù)據(jù)準(zhǔn)確無(wú)誤。

“將業(yè)務(wù)數(shù)據(jù)與財(cái)務(wù)數(shù)據(jù)相結(jié)合，就意味著以上幾點(diǎn)必須有明確的分工。為了在審計(jì)過(guò)程中讓相關(guān)人員有據(jù)可循，IT審計(jì)系統(tǒng)需要建立相互查詢控制的機(jī)制。如果在這個(gè)過(guò)程中我們?nèi)藛T角色或者其他定位沒(méi)有定義好，就有可能造成財(cái)務(wù)數(shù)據(jù)被篡改，最終影響審計(jì)結(jié)果?！?/p>

實(shí)際上，這種被篡改數(shù)據(jù)的情況總會(huì)出現(xiàn)。郭穎濤坦白道，每年做IT審計(jì)，由于人員分配問(wèn)題，或者其他的特殊情況導(dǎo)致的一些公司業(yè)務(wù)數(shù)據(jù)與財(cái)務(wù)數(shù)據(jù)對(duì)不上的事情時(shí)常發(fā)生。起因大都因?yàn)橐恍┕緦?duì)于上述的幾點(diǎn)信息系統(tǒng)安全保障做的不夠好，這有可能造成財(cái)務(wù)系統(tǒng)和業(yè)務(wù)系統(tǒng)在對(duì)接過(guò)程中是存在漏洞的。

另外一點(diǎn)，即便是小型銀行也會(huì)使用自動(dòng)化記賬本，記賬過(guò)程無(wú)需人為干預(yù)。雖然自動(dòng)化記賬本要求業(yè)務(wù)數(shù)據(jù)和財(cái)務(wù)數(shù)據(jù)實(shí)現(xiàn)完全的自動(dòng)生成，但實(shí)際上執(zhí)行過(guò)程中業(yè)務(wù)數(shù)據(jù)和財(cái)務(wù)數(shù)據(jù)總會(huì)出現(xiàn)匹配度不一樣的情況。

當(dāng)然，也有可能有些數(shù)據(jù)原本就是人工參與生成的，其匹配難度也就更大，這會(huì)影響對(duì)IT信息系統(tǒng)的判斷。

那么，怎么驗(yàn)證財(cái)務(wù)數(shù)據(jù)準(zhǔn)確性呢？

郭穎濤稱，對(duì)于財(cái)務(wù)系統(tǒng)本身來(lái)講，業(yè)務(wù)數(shù)據(jù)保障是整個(gè)IT審計(jì)業(yè)務(wù)模塊里面的一部分。在整個(gè)財(cái)務(wù)系統(tǒng)中，我們也必須建立有效的控制機(jī)制，其中包括本身授權(quán)、崗位職責(zé)分離、財(cái)務(wù)備份等較為健全的制度。與此同時(shí)，數(shù)據(jù)真實(shí)性欠缺的情況應(yīng)該引發(fā)IT審計(jì)從業(yè)者對(duì)整個(gè)財(cái)務(wù)報(bào)表數(shù)據(jù)的公允性考慮。

此外，會(huì)上安華金和CEO劉曉韜也分享到，數(shù)據(jù)安全治理不僅僅是一套用工具組合的產(chǎn)品級(jí)解決方案，而是從決策層到技術(shù)層，從管理制度到工具支撐，自上而下貫穿整個(gè)組織架構(gòu)的完整鏈條。

組織內(nèi)的各個(gè)層級(jí)之間需要相互協(xié)作，對(duì)數(shù)據(jù)安全治理的目標(biāo)和宗旨達(dá)成共識(shí)，并從能力、執(zhí)行、場(chǎng)景三個(gè)維度建設(shè)數(shù)據(jù)安全治理體系，以最有效的方式保護(hù)信息資源。

數(shù)據(jù)安全治理體系框架

能力維度：完善的組織機(jī)構(gòu)、有針對(duì)性和可行的管理制度和規(guī)范、全面和先進(jìn)的數(shù)據(jù)安全技術(shù)，是構(gòu)建數(shù)據(jù)安全治理體系的基礎(chǔ)。

執(zhí)行維度：針對(duì)數(shù)據(jù)使用的各個(gè)場(chǎng)景，需要通過(guò)梳理來(lái)了解數(shù)據(jù)資產(chǎn)狀況和風(fēng)險(xiǎn)；配合制度規(guī)范要求，采用不同的安全技術(shù)手段進(jìn)行數(shù)據(jù)使用過(guò)程中的管控，同時(shí)要監(jiān)控使用過(guò)程，對(duì)訪問(wèn)行為進(jìn)行稽核，并不斷完善。

場(chǎng)景維度：數(shù)據(jù)安全治理涵蓋數(shù)據(jù)在日常使用過(guò)程中面臨的各種場(chǎng)景，具體包含開(kāi)發(fā)測(cè)試、運(yùn)維、共享、分析、應(yīng)用訪問(wèn)、內(nèi)部特權(quán)訪問(wèn)等場(chǎng)景。

基于以上觀點(diǎn)，郭穎濤認(rèn)為盡可能打造互聯(lián)、互通的業(yè)務(wù)與財(cái)務(wù)數(shù)據(jù)通道將成為解決IT審計(jì)安全問(wèn)題的根本性解決方案。“IT審計(jì)跨行業(yè)、跨部門的性質(zhì)較強(qiáng)，其在發(fā)展安全保障體系的同時(shí)，合規(guī)性應(yīng)該首先考慮將業(yè)務(wù)和財(cái)務(wù)數(shù)據(jù)整體關(guān)聯(lián)，以此換取財(cái)務(wù)數(shù)據(jù)的相對(duì)公允?！?/p>

金融行業(yè)數(shù)據(jù)安全相關(guān)法規(guī)

隨著數(shù)據(jù)被金融行業(yè)高度采用，數(shù)據(jù)安全問(wèn)題亦頻繁出現(xiàn)，引發(fā)的信息科技乃至業(yè)務(wù)風(fēng)險(xiǎn)逐年增高。而為了杜絕“數(shù)據(jù)安全強(qiáng)隨機(jī)性”的出現(xiàn)，國(guó)家相關(guān)規(guī)定陸續(xù)出臺(tái)。

2015年8月29日人大獲通過(guò)的《刑法修正案（九）》明確了導(dǎo)致個(gè)人隱私泄漏的情形、責(zé)任、及導(dǎo)致泄漏的責(zé)任主體及法律責(zé)任：

第二百八十六條：網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正，有下列情形之一的，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金：

（一）致使違法信息大量傳播的；

（二）致使用戶信息泄露，造成嚴(yán)重后果的；

（三）致使刑事案件證據(jù)滅失，情節(jié)嚴(yán)重的；

（四）有其他嚴(yán)重情節(jié)的。

單位犯前款罪的，對(duì)單位判處罰金，并對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照前款的規(guī)定處罰。有前兩款行為，同時(shí)構(gòu)成其他犯罪的，依照處罰較重的規(guī)定定罪處罰。

2017年6月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施，根據(jù)規(guī)定金融行業(yè)重要的信息系統(tǒng)是國(guó)家信息安全重點(diǎn)保護(hù)對(duì)象，因此金融行業(yè)是落實(shí)和實(shí)施信息安全等級(jí)保護(hù)的重點(diǎn)行業(yè)之一。

第二十一條：國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：

（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任；

（二）采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；

（三）采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月；

（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；

（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。

第三十一條：國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定。

第三十四條 除本法第二十一條的規(guī)定外，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者還應(yīng)當(dāng)履行下列安全保護(hù)義務(wù)：

（一）設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人，并對(duì)該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查；

（二）定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核；

（三）對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份；

（四）制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進(jìn)行演練；

（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。

演講的最后，郭穎濤總結(jié)道，通過(guò)對(duì)IT審計(jì)安全保障體系的回顧，我們發(fā)現(xiàn)，隨著社會(huì)信息系統(tǒng)安全意識(shí)的不斷加強(qiáng)，信息系統(tǒng)數(shù)據(jù)安全建設(shè)投入不斷增加，社會(huì)越來(lái)越需要對(duì)信息安全保障系統(tǒng)提供強(qiáng)有力支持的公司。雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。