网络信息安全等级保护条例范文

导语：如何才能写好一篇网络信息安全等级保护条例，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

动联产品拥有“计算机信息系统安全专用产品销售许可证”、“商用密码产品型号证书”、“信息系统安全产品认证”、“军用信息安全产品认证证书”、“产品信息安全认证证书”等资质。

动联产品主要应用领域有：为各种机构IT信息系统，如计算机主机、网络设备、操作系统、中间件、数据库、管理软件等提供登录保护，满足国家《信息安全等级保护条例》等政策性要求，为客户提供安全又方便的动态密码身份安全保护服务。

动联身份认证产品

动联动态密码身份认证软件是由动联自主研发的一种安全可靠、简单易用的身份认证软件。该软件基于动态密码技术，采用双因素认证机制，可以为网络设备、操作系统和其他信息系统登录提供高强度的身份认证保护，保障信息系统的安全。

动联动态密码身份认证软件支持多种动态密码认证技术，为用户的账号提供全面保护：通过动态密码来保护账号，可以有效防止盗号木马攻击；通过主机认证，可以有效防止网络钓鱼；通过签名动态密码，可以有效保护用户交易的真实性和安全性，防止中间人的攻击。

动联身份认证软件支持多种动态密码认证终端，并支持多种终端混合使用。支持终端的形式包括多种品牌的多个型号的硬件动码令、软件动码令、手机动码令、SIM动码令和短信动码令等。客户可以根据自己的实际需求和预算选择适合自己的认证终端。

动联身份认证软件具备极高的性能，只需采用一套动联身份认证软件就可以为企业主要信息资产提供全面的动态密码保护，保护的范围包括多个应用系统、VPN访问、大型数据库、网络设备、服务器和计算机终端。

动联提供全面的接口调用，包括Socket方式（可提供Jar包、动态链接库或Socket编程方式），支持WebServices和Radius协议。动联动态密码身份认证软件与应用系统的集成开发极为方便，在实际的应用案例中，往往1~3天内即可完成。

电子政务身份认证解决方案

动联结合电子政务的实际需求，采用动态密码认证机制来鉴别用户的身份合法性。只允许提供了动态密码的用户接入系统，最大程度地保证登录用户确实为授权的个体，大大降低了攻击和非法访问的风险。

完全兼容现有电子政务系统的基础认证体系，包括公务员内部办公认证、外部公众身份认证等。在认证过程中，不影响电子政务系统的原业务逻辑，与电子政务系统应用服务器之间的通信过程中采取双向身份认证的机制，能够保证整个认证过程不被绕过。

动联电子政务解决方案符合国家“信息安全等级保护条例”等政策性要求，从物理安全、网络安全、主机系统安全、应用安全等各方面提供了身份鉴别保护，帮助政府提高政务工作的效率，提升电子政务系统的安全等级。

篇2

信息安全作为国家安全的重要组成部分,是一项关系全局的战略任务,具有极端的重要性、紧迫性、长期性和复杂性。可以说,目前我国信息安全产业是通过等级保护、可信计算和产业化发展相互结合,实现网络虚拟世界秩序的安全和可信。

产业化成为重点

中国的信息安全产业仅有二十多年历史,快速发展也只是近十年的事,尚存诸多不足。在互联网应用与普及方面,我国已经进入了世界大国的行列,因此我国的信息安全问题与国际上的问题基本一样。

中国工程院院士方滨兴认为,我国在网络安全方面的解决策略是政府重在行动,企业重在引导,公众重在宣传。就是说,凡是政府信息系统,必须接受信息系统安全等级保护条例的约束,以行政的手段来强化信息系统的安全。凡是企业的系统,通过对信息安全产品的市场准入制度,以保证企业所采用的信息安全防护手段符合国家的引导思路。公众方面则通过对网络安全方面的广泛宣传,让公众对网络安全具有正确的认识,从而提高相应的防范能力。

据悉,教育部、公安部、工业和信息化部、国家标准化管理委员会等单位已经将“为国家信息化建设及国家信息安全基础设施提供支撑的信息安全产品产业化”作为2009年信息安全重点工作。其中涉及到四个方面:

1.重点支持基于国产可信计算芯片的安全应用产品,以及基于自主密码技术的高性能集成应用产品的产业化。

2.重点支持移动存储介质保密管理、恶意代码防治、电子文档安全管理、网络数字版权保护、电子数据取证、安全保密检查等产品,移动终端、桌面终端安全防护等计算机安全保护产品,以及面向无线网络的安全管理与安全应用产品的产业化。

3.重点支持安全操作系统、安全数据库、安全中间件、安全服务器、安全接入设备、安全存储、容灾备份软件、安全办公软件等产品的产业化。

4.重点支持高性能专用安全芯片和专用安全设备,以及适用于新一代网络环境的具有高性能、多安全功能的软硬件集成化产品的产业化。

技术成果的产业化过程应当是一个市场化、社会化的过程。将核心技术产品产业化地发展,推动产业结构升级,是提升核心技术发展的破局之举。

可信计算成为标尺

虽然我国的信息化技术同国际先进技术相比,存在一定的差距。但是,中国和国际上其他组织几乎是同步在进行可信计算平台的研究和部署工作。其中,部署可信计算体系中,密码技术是最重要的核心技术。

绝对的信息安全是不存在的,但信息安全却存在着一种终极的理想状态,那就是:进不去、看不见、拿不走和赖不掉。总结起来,这12字方针的目标就是可信计算。

中国可信计算工作组组长、中科院软件所副总工程师冯登国介绍,可信计算的基础是在每个终端平台上植入一个信任根,让PC从BIOS到操作系统内核层,再到应用层,均构建信任关系,由此建立一个能在网络上广泛传递的信任链。这样,人们将梦想进入一个计算免疫的时代――终端被攻击时可以实现自我保护、自我管理和自我恢复。

可以说,可信计算根就像是一把丈量计算机可信度的标尺。它会在启动之初对计算机系统上所有的运行软件进行可信性(完整性)分析,由此判定它们是否被非授权篡改。若判定不可信则阻止该软件运行,并自动恢复其合法的版本。所以,计算机一旦嵌入了该技术,即可在启动操作系统时发现内核已改,并根据用户需求进行阻止和恢复。

中国可信计算工作组发言人刘晓宇说,随着《可信计算密码支撑平台功能与接口规范》等一系列国家政策的出台与推动,以可信密码模块为TCM核心的PC、笔记本电脑、服务器、加密机等系列产品和解决方案,将逐步被我国政府/军队、制造、金融、企业/科研、公共机构、航天等行业在IT领域广泛采用。

刘晓宇说,我国自主研发的可信技术从芯片到PC硬件到系统/应用软件以及CA认证,早已形成了一条初具规模的完整产业链。

冯登国表示:“2009年将是中国可信计算蓬勃发展的一年,为打造更为强大的可信计算体系,中国可信计算工作组将优化和完善TCM硬件平台,还将致力于打通产、学、研之间的一切壁垒,促进业内同行实质性的合作交流。”

等级保护推力强劲

信息安全等级保护,是这几年听到最多的词之一。从1994年国务院147号令至今,已经过去了15年。这些年间我国在信息安全领域已经制定了数十个国家标准和行业标准,初步形成了信息安全等级保护标准体系。

方滨兴说,目前,政府在信息系统等级保护方面加大了推进力度,已经完成了等级保护的定级工作,接下来的工作就是采取有效措施来实施信息系统的安全等级保护技术。等级保护的大力推动,一方面在国际上展示了我国政府对信息安全和网络安全的管理决心;另一方面,等级管理制度的建立,突破了我国惯性思维的管理理念。

随着工业和信息化部的成立,公安部与工业和信息化部在信息系统等级保护管理方面出现了职能交叉,因此,等级保护工作的进一步开展将取决于两个部委的有效协调和合作。

2003年,国家出台《国家信息化领导小组关于加强信息安全保障工作的意见》(简称“27号文件”),明确要求我国信息安全保障工作实行等级保护制度,2007年出台《信息安全等级保护管理办法》(简称“43号文件”)。随着两项标志性文件的下发,2007年被称为等级保护的启动元年;由于要对现有信息安全系统进行加固,大量产品和服务采购开始,2008年被普遍视为等级保护采购元年;更有业内人士说,2009年等级保护的好戏才真正上演。

“当前的信息与网络安全研究,处在忙于封堵现有信息系统安全漏洞的阶段。”公安部网络安全保卫局处长郭启全认为,“要彻底解决这些迫在眉睫的问题,归根结底取决于信息安全保障体系的建设。目前,我们迫切需要根据国情,从安全体系整体着手,在建立全方位的防护体系的同时,完善法律体系,并加强管理体系。只有这样,才能保证国家信息化的健康发展,确保国家安全和社会稳定。”

“事实上,信息安全等级保护的核心思想就是根据不同的信息系统保护需求,构建一个完整的信息安全保护体系。分析《计算机信息系统安全保护等级划分准则(GB 17859-1999)》可以看出,信息安全等级保护的重点在于内网安全措施的建设和落实。建立一个完整的内网安全体系,是信息系统在安全等级保护工作中的一个重点。”郭启全说。

篇3

关键词：信息安全;技术创新;分级管理

21世纪以来，随着我国网络信息化的高速发展和“三网融合”的积极推进，广电行业的网络化、数字化和智能化的趋势与日俱增。人们在享受便利的同时，也面临着信息安全的严峻挑战。

一、信息安全的概念和要求

网络的开放性和共享性，使其更容易受到病毒、黑客的侵袭，从而导致信息外泄、恶意篡改、密码被盗、网络窃听等问题。因此，网络的信息安全，从根本上说是指网络系统本身运行稳定，以及系统中的相关数据信息在任何情况下，不会被泄漏、更改或干扰。其内涵主要包括系统安全、内容安全、传输安全等。信息安全防护工作应该满足以下要求：一是保密性，要求在保证为授权使用者正常使用的同时，能保护数据不被非法截获；二是完整性，能确保数据信息在运行过程中是未被篡改或破坏的原始信息；三是可用性，要保证系统时刻正常运行，用户在任何情况下都能及时得到或使用数据；四是可控性，确保用户身份的真实性，保证信息和信息系统的授权认证和监控管理，同时能有效防范黑客、病毒等。

二、广电行业信息安全存在的问题

广电行业的网络化、信息化和智能化的趋势，对信息安全工作提出了严峻的挑战。一方面，由于信息安全管理和技术的专业性，目前无论是人员数量上还是技能上，都存在不足；另一方面，互联网的开放性和共享性使黑客攻击更方便、破坏更广，会给单位和个人信息造成很大的安全隐患。因此，提高信息安全集中监管的能力和技术水平，成为广电行业发展的中心课题。虽然我国信息安全工作也在稳步开展，但还是存在一些不容忽视的共性问题。1.管理制度不完善，执行不到位安全保护工作日益受到各级领导的重视，各相关单位对网络和信息系统的安全保护日常管理工作基本规范，但未能严格按照等级保护管理要求，建立完整的安全管理制度；没有制定具体岗位工作职责，如系统管理员、网络管理员、安全管理员岗位不明确；安全管理制度执行过程中的记录存在缺失现象；缺乏整体的信息安全应急预案和演练记录；在信息系统建设时有规划，但缺少相关安全技术专家对安全设计方案进行论证和审定，决策的民主性、科学性不足；专门针对安全技能方面的培训和考核需要加强。2.信息安全技术滞后，创新性不足在安全技术方面各单位虽然也采取了隔离技术、防火墙技术等，但仍存在明显不足：没有从物理安全、主机安全、网络安全、应用安全、数据安全几个方面建立完整的技术防范体系；目前依赖于外网隔离、延播和备播等传统安全播出手段，很难适应日益发展的新媒体平台建设，在互联网上提供点播和直播内容服务；管理用户的身份鉴定大多数采取用户名/口令的方式，而且缺乏有效的口令更新周期机制，存在被暴力破解和窃听的风险；平台未能按照三权分立的原则设定系统管理员、安全管理员和安全审计员，造成系统存在超级用户，权力过大；目前厂家可通过第三方软件或者远程桌面直接登录到应用服务器，且操作没有行为记录，存在安全风险，需要加强对厂家进行系统运维的监管。3.管理队伍素质参差不齐，安全意识淡薄由于编制和经费等因素的制约，很多管理人员身兼多职，一人多岗。一方面，专业技术人员明显存在不足；另一方面，有的技术人员年龄偏大、专业知识老化，对一些新技术、新病毒缺乏职业敏感性，更缺乏预见性。此外，安全教育工作也没有跟上，部分人员安全意识淡薄。

三、广电行业信息安全管理的对策

信息安全问题，不仅是一个技术问题，更是一个管理方面的问题。加强信息安全管理，必须从以下几个方面入手。1.增强信息安全意识，树立整体信息安全观信息安全的保障能力是21世纪国家核心竞争力的重要组成部分，必须从国家战略层面加以重视，人人都要树立信息安全观。同时，信息安全防护也是一个比技术防护层面和一般社会管理层面更高层次的问题，它应该是基于安全技术为基础的集法律、道德、管理、技术和人才于一体的综合保障体系，因此，必须树立整体信息安全观。2.加强信息安全立法，构筑信息安全法律之网有效解决网络信息安全问题不仅要依靠技术手段，还必须将技术性规范法律化。虽然我国的《计算机信息系统安全保护条例》《计算机病毒防治管理办法》《互联网安全保护技术措施规定》等相继出台，在保障网络信息安全方面发挥了重要作用，但是现行的法律制度仍然难以适应日益发展的网络信息化的新形势，因此，加快相关立法、构建更加完善的信息安全法律保障体系，成为广电网快速发展的必然要求。3.健全信息安全管理体系，加强信息安全顶层设计随着网络的普及和深入，信息安全已不是一个孤立的问题，依靠任何单一的安全技术或产品，都不能保证网络信息的安全。这就需要构建一个以安全技术措施为基础，科学决策、规范管理、安全运行的有机统一的安全管理体系。其中，最关键是要建立和落实信息安全分级保护制度，根据不同单元的重要程度或风险程度划分为不同的保护等级，分别采取必要的保护技术和措施，以达到安全有效保护的目的。4.建立完整高效的技术防范体系，为信息安全提供技术支撑不断加强网络技术的研究与开发，从物理安全、主机安全、网络安全、应用安全、数据安全与备份恢复几个方面建立完整高效的技术防范体系。加大对内容过滤和检测技术、加密技术等关键信息技术的研发力度；同时，推行信息安全技术设备的国产化，进一步提升广电网信息安全的管控水平。合理划分安全域是建立信息安全防范技术体系的前提。通过合理划分安全域，网络边界更加明确，这样既有利于实现对物理区域和网络区域之间的有效隔离和访问控制，也增强了安全域的边界安全及内部进行重点安全防护的针对性。另外，要不断优化终端设备、IP协议以及网络上下行频率分配等，改善用户体验，提升信息服务水平。5.提高管理人员素质，为信息安全提供人才保障要制定科学合理的人才发展规划，充分发挥技术人才的作用。一方面，加大专业技术人才的引进力度，落实人才优惠政策，既要吸引人才，更要留住人才。另一方面，重视对员工的业务技能培训和职业道德教育，使其增强保密意识，遵守工作规范，履行岗位职责，让每一名信息管理人员成为守护信息安全的忠诚卫士。

四、结语

推进三网融合是促进我国信息化建设的必由之路。广电网是三网融合中很重要的一个环节，确保网络信息安全举足轻重。然而，开放共享的网络也是一把“双刃剑”，使用网络就必然存在网络信息安全问题。因此，在融合过程中，必须紧紧抓住信息安全这条主线，加强信息基础设施建设，健全法律体系，加强技术创新，落实信息安全分级保护制度，不断提升广电网的安全性，切实保障党和国家的财产安全以及人民群众的切身利益。人力资源是企业最根本、最核心的资源之一。企业以实现利益最大化为目标，而企业利益必须依靠人来创造和获取。因此，优化人力资源管理，已经成为国有煤炭企业可持续发展的重中之重。一、国有煤炭企业人力资源管理存在的问题1.“以人为本”的观念在实际工作中体现不够国有煤炭企业体制机制上的弊端反映在人力资源管理上，即强调“听从安排”，否定个性发展，重拥有不重使用，造成部分员工工作主动性和创造性不足。虽然企业也积极探索“以人为本”的人力资源管理新模式，但口头上、形式上、表面上的“以人为本”，覆盖了实质上、实际上、实效上的“以人为本”。2.没有正确认识“人力资本”的意义国有煤炭企业对人力资源的管理基本上还停留在经验管理为主的传统模式，缺乏对“人力资本”的认识，“人力资本”的概念更是模糊不清，仍然习惯于人多好干活、人海战术的劳动密集型人力资源管理方式。这造成很多部门和岗位人员偏多，工作效率较低。同时，计划经济的“大锅饭”思想束缚了员工工作的主动性和自觉性，人力资本的潜能无法发挥作用。3.员工整体素质有待提高国有煤炭企业员工整体素质较低，参加工作之前接受学校的教育程度和知识水平不高，缺乏煤矿专业系统性理论知识，根基打得不牢、不实，造成工作中业务技能难以提升。

作者:钱英 单位:安徽智圣通信技术股份有限公司

参考文献

[1]张爱华.试论我国网络信息安全的现状与对策[J].江西社会科学,2006（09）：252-255.

[2]毋晶晶,肖晏夏.关于对企业信息安全等级保护的思考[J].科技创新与生产力,2011(08)：60-61.

[3]张瑞芝.广电行业信息安全等级保护工作探究[J].信息网络安全,2010(9)：72-73.

篇4

这是怎样的一种安全工具？它的工作原理是什么？它真的能取代IDS吗？本期特组织了一组讨论NBA的专题。

为什么需要

网络行为分析

近年来，全球许多大公司都将“法规遵从”列入了自己的工作议程中，其原因在于：全球的立法机关和政府部门为了应对网络世界日益增多的各种安全威胁，都在不断与时俱进，相应出台了许多新的法规，比如美国出台了《支付卡行业数据安全标准》、《萨班斯－奥克斯利法案》和《健康保险可携性及责任性法案》等标准，中国政府出台了信息安全等级保护条例、信息系统灾难恢复指南标准，等等。这些标准与法规要求企业必须懂得数据如何得到安全的处理。企业不仅要保护网络安全、信息安全，还要通过全面的报告机制来证明自己的网络是安全的。

这些新标准的出台，证明各国政府对信息安全的重视与积极应对的态度，但遗憾的是，这些标准中并没有建议企业应该采取哪些具体的技术措施来帮助维护数据安全，这导致了各种安全技术的流行。

防火墙、反病毒软件、内容过滤器和验证系统等常规的安全工具逐渐被越来越多的用户接受，成为许多公司安全武器库当中的必要部分。但是随着网络变得日益复杂起来，这些工具越来越不能迅速识别及挫败越来越狡猾的威胁。因此，最近出现的一个新的技术手段――网络行为分析（NBA）工具逐渐开始流行，正是因为它结合了基于网络流的异常检测和网络性能监控，可用来管理网络及安全。它不同于传统流量识别系统的地方在于: 它能检查流量的行为，而不是检查流量是什么模样。

传统安全措施

尚存不足

在PC和互联网得到广泛使用之前，公司网络通常使用专有的协议和专用硬件来进行内外网隔离。针对这种通过“黑盒子”方式提供安全的模式，黑客和病毒编写者为了攻击系统，不得不了解每个攻击目标存在的各种安全漏洞。因此，黑客对目标的攻击往往仅局限于单独的系统，很难发动大规模的攻击。而如今，我们生活在PC主导企业、互联网是公司业务必要组成部分的大环境下，这种技术的一致性在创造了便利的同时，也为黑客、病毒编写者及信息世界的其他不法分子提供了可乘之机。

一些安全应用软件（如反病毒软件）往往依靠特征引擎（signature engine）来识别威胁。特征引擎将产生的数据与病毒库中已有病毒特征进行对比。如果特征引擎发现两者匹配，那么它就会发出报警，或者采取某种措施来缓解威胁。基于特征的威胁识别对付已知威胁非常有效，但在识别未知威胁方面效果有限，这就暴露了特征引擎模式存在的巨大缺陷。变通办法是不断更新病毒特征库。但是在新威胁出现，反病毒软件厂商努力开发出合适的特征代码时，已经存在明显的时差了：不管停机还是被全面感染，用户的网络都可能面临惨重损失。而且许多病毒和蠕虫很容易伪装和变种，这样反病毒引擎在下一次特征更新之前很难发现它们。

传统的安全产品历来侧重于保护网络边界，因此很多公司在网络边界上使用了防火墙，但遗憾的是，现实普遍的情况是，网络的核心更不安全。因此，包括赛门铁克在内的很多安全产品提供商提出了端点防护的建议，端点安全似乎是堵住这种缺口的一种方法，但这种方法在大型网络上很不方便，因为用户往往有许多不同的应用，所以那些“一应俱全式”的单一桌面配置方法很难实现。更司空见惯的情况是，我们需要配置多个桌面及配置多个用户文件，所以公司需要很多端点安全策略。

很多防火墙厂商在防火墙中添加了反病毒和基于特征的内容过滤，但其效果也仅限于网络边界。大部分公司并没有采用内部防火墙来保护自己内部网或广域网（WAN）等其他专用的基础架构。即便使用了内部防火墙，这些技术仍受到特征库更新频率和准确性的局限。

NBA弥补不足

而新出现的行为分析工具（NBA）则克服了这些传统安全产品的不足。但它不是取代后者，而是后者一个很好的补充。NBA技术可收集及分析网络中的数据，提供流量分析和网络流报告。这是通过对流量信息运用统计算法来实现的。网络探测程序归类的流量异常情况常常被认为是攻击的前兆。很容易从NetFlow或者sFlow数据流中识别主机或者端口侦测和扫描行为。比如，如果出现了一种未知蠕虫，在它还没有被传统的入侵检测/预防系统的特征识别出来之前，NBA系统则能立即识别这种蠕虫不同寻常的流量模式，这种行为模式往往会寻找网络上可以被感染的邻近主机。NBA系统可以监控这些行为，并且向网络管理员发出报警。

NBA最吸引人的一项功能在于，它不再与网络边界联系。一个NetFlow或者sFlow收集设备能同时监控网络上的多个内部和边界的节点。另外，NBA可与现有的身份管理解决方案融合在一起，把流量异常与相应的用户名称联系起来，从而全面了解这个用户的网络活动。几种解决方案的无缝集合不但满足了法规遵从的要求，还能够解析异常流量――一直到解析用户名称，而不是单单解析IP地址。这种机制还有可能实现双向操作，那样还可以通过解析用户名称来识别IP地址，从而确定可疑用户遭遇的攻击面。这无疑提高了故障排除能力，并且加快了补救与安全相关的问题。

篇5

【关键词】 信息系统； 审计； 审计目标

2007年2月国务院国有资产监督管理委员会和国务院信息化工作办联合印发了《关于加强中央企业信息化工作的指导意见》，加快了国有企业信息化建设的步伐。国有企业审计是中国特色社会主义国家审计的重要组成部分。由于企业与公共部门在内部控制、管理和治理方面的差异，导致了企业信息系统审计与公共部门信息系统审计的不同特点。

一、增强国有企业信息系统的可信性

审计机关的审计目标取决于法定要求。根据《中华人民共和国审计法》的规定，审计机关对国有企业财务收支的真实、合法、效益，依法进行审计监督。显然，真实性是国有企业审计的目标之一。信息系统审计是国有企业审计的重要组成部分。国有企业审计的总体目标，决定了国有企业信息系统审计的目标。国有企业审计的真实性目标，必然要求国有企业信息系统提供真实性的信息，这意味着，审计机关的国有企业信息系统审计必须把真实性作为审计目标之一。

根据相关法律的规定，注册会计师也可以对国有企业进行审计。根据我国公司法第165条的规定，“公司应当在每一会计年度终了时编制财务会计报告，并依法经会计师事务所审计。”而且，2008年10月通过的《中华人民共和国企业国有资产法》第六十七条明确规定，“履行出资人职责的机构根据需要，可以委托会计师事务所对国有独资企业、国有独资公司的年度财务会计报告进行审计，或者通过国有资本控股公司的股东会、股东大会决议，由国有资本控股公司聘请会计师事务所对公司的年度财务会计报告进行审计，维护出资人权益。”大家知道，依据注册会计师执业审计准则的规定，会计师事务所对企业财务报表审计的目的是“提高财务报表预期使用者对财务报表的信赖程度。”①这说明，注册会计师国有企业审计的目标是要求财务报表提供的信息具有可信性。注册会计师所审计的国有企业财务报表中的信息是由国有企业的信息系统产生形成的，因而必须对信息系统进行审计。注册会计师对国有企业财务报表审计的可信性目标，决定了注册会计师对国有企业信息系统审计的可信性目标。

同样的审计对象，不同的审计主体，导致了两种不同的国有企业信息系统审计目标。从上述分析不难发现，无论是审计机关还是注册会计师对国有企业进行审计，其中对企业信息系统的审计都是不可或缺的重要组成部分。根据审计法的规定，审计机关对国有企业信息系统审计的目标是真实性。而根据注册会计师执业审计准则，对国有企业信息系统审计的目标是可信性。那么，什么是真实性？什么是可信性？这两种目标之间有什么样的联系和区别？为什么说审计机关应当把增强国有企业信息系统可信性作为审计目标呢？

（一）真实性与可信性的基本涵义

我国审计法强调真实性，根据2010年9月颁布的中华人民共和国国家审计准则（以下简称国家审计准则）的规定，“真实性是指反映财政收支、财务收支以及有关经济活动的信息与实际情况相符合的程度。”那么，什么是真实性呢？真实性只是对财政财务收支及有关经济活动信息质量的最低要求。如果会计信息是真实的，但是不够完整或者披露不及时，仍然不能满足信息使用者的需要，甚至会导致错误的投资决策。事实上，就真实性本身而言，由于会计估计、核算方法等因素的影响，会计信息的真实性也只是相对的，而不是绝对的。所以，把真实性作为审计目标，具有一定的局限性。所谓可信性，从国际审计准则第200号（ISA200）可以看出，当编制的财务报表公允表达（presented fairly）或真实公允（true and fair）时，它才是可信性的。从字面上讲，公允（fair）或公平的要求，强调了财务报表各种使用者之间的利益平衡。从理论上讲，公允表达或真实公允的概念比真实性概念具有更多的内涵，涉及会计适当性、适当披露及审计责任等概念。在国际审计准则第200号（ISA200）中，公允表达是指财务报表是否在所有重大方面按照适用的财务报告框架编制，“公允”还意味着超出财务报告框架所要求披露范围的必要性，以及在极端情况下必须偏离财务报告框架的可能性。适用的财务报告框架，主要是指适用的会计法律法规、会计准则、会计制度等。大家知道，我国会计法强调“保证会计资料真实、完整”。根据会计法的要求，我国的财务报表不仅要具有真实性，而且还要具有完整性。总的来说，可信性并不否认真实性，真实性是可信性的必要前提之一，但真实的并不一定是可信的，可信性的内涵更加丰富，真实性是对财务信息质量的最低要求，可信性反映了对财务信息质量更高的要求。

（二）可信性目标反映了注册会计师审计发展的新阶段

一般认为，受社会需求变化、自身技术手段及审计风险等因素的影响，注册会计师审计目标的发展演变至今经历了四个阶段，即20世纪30年代之前的查错纠弊阶段、30年代中期至80年代验证会计报表真实公允阶段、80年代至90年代中期真实公允与查错纠弊并重阶段，及90年代后期以来的增强信息可信性阶段。虽然同为注册会计师审计的目标，然而从历史发展演变的角度看，真实性只是注册会计师审计的早期目标，当前注册会计师审计准则中的可信性目标反映了注册会计师审计的最新发展，是更高级发展阶段的目标。

（三）可信性目标比“真实公允”具有更加广泛的适用性

20世纪90年代后期，传统的财务报表审计成为更为广义的概念――“保证业务”（Assurance Service）的一个组成部分。我国注册会计师协会译为“鉴证业务”②。2004年国际会计师联合会了《国际保证业务框架》，2005年1月1日生效。2006年我国制定了《中国注册会计师鉴证业务基本准则》，2007年1月1日起施行。鉴证业务是指注册会计师对鉴证对象信息提出结论，以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。鉴证对象与鉴证对象信息具有多种形式，主要包括：当鉴证对象为财务业绩或状况时（如历史或预测的财务状况、经营成果和现金流量），鉴证对象信息是财务报表；当鉴证对象为非财务业绩或状况时（如企业的运营情况），鉴证对象信息可能是反映效率或效果的关键指标；当鉴证对象为物理特征时（如设备的生产能力），鉴证对象信息可能是有关鉴证对象物理特征的说明文件；当鉴证对象为某种系统和过程时（如企业的内部控制或信息技术系统），鉴证对象信息可能是关于其有效性的认定；当鉴证对象为一种行为时（如遵守法律法规的情况），鉴证对象信息可能是对法律法规遵守情况或执行效果的声明。不难看出，传统的财务报表审计只是鉴证业务中的一种。鉴证标准随着鉴证对象的不同，也从财务报表审计中按照适用的财务报表编制框架，如编制财务报表所使用的会计准则和相关会计制度，扩展到单位内部制定的行为准则、绩效水平等方面。从其定义看，鉴证业务的目的在于增强除责任方之外的预期使用者对鉴证对象信息的信任程度。真实公允目标是针对财务报表审计的审计目标，可信性目标在概念外延上具有更加广泛的适用性。可信性目标不仅适用于对财务信息的可信性，而且还适用于非财务信息（绩效信息）的可信性。对财务报表来说，如果它是真实公允的，即在所有重大方面是按照适用的财务报表框架编制的，它就是可信性；对于其他鉴证信息来说，如果它是符合适用的鉴证标准，就是可信性的。企业内部的信息系统，现在已不仅仅是财务信息系统，还包括各种业务和管理信息系统。与此同时，为满足企业的业务需求，信息系统所提供的信息也不局限于财务信息，而且还包括许多非财务信息。所以，在国有企业信息系统审计中，把可信性作为国有企业信息系统审计的目标比真实性目标更加符合企业信息化发展的客观要求。

（四）可信性目标反映了审计理论的深化和发展

可信性不是一个孤立的术语，它是新审计理论（或一组新的相互联系的审计概念）中的一个关键性概念。随着注册会计师的业务从传统的财务报表审计发展到鉴证业务，传统的审计理论也得到了深化和发展。大家知道，审计三方关系是指审计人、被审计人、审计授权或委托人之间的关系。传统的受托责任论，即审计动因论，是建立在传统的审计三方关系之上的。然而，在我国现行的《注册会计师鉴证业务基本准则》中给出了一种新的审计三方关系，即注册会计师、责任方和预期使用者。在新的审计三方关系中，被审计人与审计授权或委托人之间责任关系的含义更加丰富，除传统的受托责任关系外还有其他种类不带委托性质的责任关系③。在新的审计三方关系中，预期使用者应包括企业所有的利益相关者，除了传统受托责任关系中的股东外，还应包括经营者、员工、顾客、供应商、债权人、潜在的投资者、监管层、竞争者等。聘请注册会计师的通常是预期使用者或其代表，但也可能是责任方。责任方、预期使用者和注册会计师三方之间的关系，可以看作是信息提供者、信息使用者和信息可信性的保证者之间的关系④。增强信息的可信性，实际上是减少了信息提供者与预期使用者之间的信息不对称，鉴于预期使用者的广泛性，在市场经济条件下，将有利于完善市场机制，提高市场资源配置效率，从而拓展了审计的社会功能。可信性不是一个空洞的概念，鉴证对象信息是否具有可信性，需要执行一定的业务程序。审计师在收集证据的基础上，依据一定的标准，检查责任方的鉴证对象信息在所有重大方面是否符合适当的标准后，才能为鉴证对象信息的可信性提供一定程度的保证，从而提供给预期使用者。鉴证业务的保证程度被细分为合理保证和有限保证，鉴证对象信息被划分为财务信息和非财务信息，其中财务信息被进一步细分为历史财务信息和预测性财务信息。可信性概念是这些新审计理论中的关键性概念之一，相比之下，真实性概念在新的审计理论中却没有相应的理论地位。

（五）可信性目标反映了国家审计的发展趋势

在世界审计组织（INTOSAI）的道德准则（Code of Ethics）中，强调了信赖（trust）、信任（confidence）、信誉（credibility）对于审计机关的至关重要性。在南非审计署1911至2011年百年纪念的纪念品和网站首页上有一句格言：“Auditing to build public confidence”，即“审计旨在建立公共信任”。我国审计署2011年7月15日印发的《审计署关于深化经济责任审计工作的指导意见》中提出，要确保经济责任审计结果的可信、可靠和可用。刘家义审计长提出，国家审计是国家治理的一个组成部分。孔子曰：“足食，足兵，民信之矣”，“民无信不立”，说明了信任、守信在国家治理中的重要性。我们知道，“诚信友爱”是构建社会主义和谐社会的基本要求之一。国家审计可以增强政府的公信力，增强整个社会的诚信。从国家治理的角度看，可信性目标比真实性目标更好地体现了国家审计在国家治理中的作用。

经过上述真实性和可信性两种审计目标含义的对比，不难发现，虽然真实性目标是国有企业审计的传统目标之一，但是可信性比真实性的涵义更为丰富，可信性目标中不但包含了真实性目标，而且可信性目标要求信息系统提供更高质量的信息。两种目标都对信息系统提供的信息质量提出了要求，国家审计对信息质量的要求不应低于注册会计师审计。因此，笔者认为，尽管现行的审计法规定了国有企业信息系统审计的真实性目标，但是，从理论上讲以及从未来发展趋势看，审计机关应当选择可信性作为国有企业信息系统审计的目标，即国有企业信息系统审计应当促进企业信息系统提供可信的信息。

二、促进国有企业信息系统的遵循性

最高审计机关国际组织（INTOSAI）在审计基本原则（ISSAI-100）中，把政府审计业务分为两大类，即合规审计（regularity audit）和绩效审计（performance audit），并制定了相应的审计执行指南，即财务审计执行指南（Implementation Guidelines on Financial Audit）、遵循审计执行指南（implementation guidelines on compliance audit）和绩效审计执行指南（Implementation Guidelines on Performance Audit）。在这个准则指南框架中，合规性审计包括了财务审计和遵循性审计。遵循性审计是指对公共部门实体的活动是否与相关法律法规及授权要求相一致的审计。在《国际审计准则第250号――财务报表审计中对法律法规的考虑》（ISA250）中，非遵循（non-compliance），是指被审计单位不履行法律法规责任或者违反法律法规的犯罪，故意地或者非故意地，与执行的法律或法规对立的行为。在COSO内部控制框架中，遵循性（compliance）作为内部控制的目标之一，是指符合适用的法律法规。由此看来，在上述准则指南中，遵循性，就是我国国家审计中的合法性。但是，在本文中，作为国有企业信息系统审计的目标之一，遵循性与合法性不同。

为满足业务需求，对信息系统提供的信息有一般性的要求，在IT治理框架COBIT4.1中，这些要求也被称之为信息标准（information criteria）。遵循性（compliance）作为其中的标准之一，是指“涉及业务流程与所需遵守的法律、法规及合同约定之间的符合程度的属性，即外部的强制要求和内部政策的遵循性。”⑤在本文中，遵循性作为国有企业信息系统审计的目标之一，采用COBIT4.1中遵循性的概念，即国有企业信息系统的设计、建设、运行和监控不仅要符合来自企业外部的强制性要求（合法性），而且还应符合国有企业内部制定的各种规定的要求。

我国审计机关对国有企业的财务收支的真实、合法和效益，依法进行审计监督。合法性是国有企业审计的审计目标之一。作为国有企业审计的重要内容，信息系统审计应当促进国有企业信息系统的合法性。那么，为什么我们要把国有企业内部制定的各种规定同时也纳入国有企业信息系统审计的目标呢？企业内部如何制定关于其信息系统的规定是企业自己的事情，似乎审计机关不应干预，但是，效益性也是国有企业审计的审计目标之一。当信息系统不符合国有企业某些内部规定的要求时就会影响到企业效益，这些内部规定，如内部控制、管理和治理等，也应纳入国有企业信息系统审计的遵循性目标范围。

三、改善国有企业信息系统的绩效性

绩效性目标是企业信息化不断发展的产物。我国企业信息化建设已经发展到了关注绩效性的阶段。绩效性目标也是IT管理和IT治理的重要内容。IT管理和IT治理的国际标准或良好实务，为开展信息系统绩效审计提供了审计标准。

（一）企业信息系统绩效性的概念

当企业信息化发展水平达到一定程度后，信息系统的绩效问题逐渐引起了人们的关注。在企业信息化的早期阶段，信息系统主要应用于企业的财务会计领域，这时人们对信息系统关注的焦点主要是信息系统的可信性和遵循性问题，相应的措施主要集中在内部控制方面，强调信息系统的一般控制和应用控制。随着企业信息化水平的不断提高，信息系统在企业中的应用范围逐渐从财务会计领域扩展到整个业务领域和管理领域，与此同时，信息系统的建设投入和运行成本显著提高。这时人们发现，大量的信息化投入并不一定能够带来预期的收益，而且还带来巨大的潜在风险，个别企业甚至因高投入造成利润下降或财务危机，有的企业因业务流程改造滞后，还会导致管理混乱。在这种情况下，人们对信息系统关注的焦点，逐渐从“投入”转向“产出”，从技术和内部控制问题转向管理和治理问题，在企业内部出现了专门的IT管理部门，IT管理和IT治理逐渐从企业的一般管理和治理中独立出来，而“绩效”是描述信息系统投入产出、管理和治理的核心概念。

信息系统的绩效性是指利用IT资源提供企业信息服务的经济性、效率性和效果性。为它的利益相关者提供价值是企业存在的基本前提。企业信息系统的目的在于利用IT资源，通过IT流程，提供企业信息服务，以满足业务需求。信息系统要实现的绩效目标必须与企业的业务需求或业务目标相一致。

（二）绩效性目标的可行性

从我国企业信息化发展阶段看，目前信息系统的绩效问题已经成为关注的焦点。2011年2月，工信部电子一所和用友软件股份有限公司联合了《2010年中国企业信息化指数调研报告》。该报告将中国企业的信息技术应用分为四个阶段，分别为基础应用阶段、关键应用阶段、扩展整合及优化升级应用阶段以及战略应用阶段，如图1所示。

该报告认为，目前我国企业信息化总体上处于由基础应用和关键应用向扩展整合与优化升级过渡阶段。报告的主要结论之一是，2010年“信息技术应用范围的变化主要体现在应用广度和深度两方面，企业基本完成了信息技术在各业务领域的应用覆盖，已逐渐开始深度关注企业业务发展需求，着力提升信息技术的应用价值。”提高信息系统的绩效，也已经成为我国企业信息化深度发展的方向。把绩效性作为国有企业信息系统审计的目标，符合我国企业信息化发展的现状，在现实中具有可行性。

（三）绩效性是IT管理和IT治理的重要内容

IT管理目的在于如何降低成本，以更好的弹性及更快的响应速度，向组织内外部顾客提供高质量的IT服务，提供顾客的满意度。IT管理的目标就是要追求信息系统的绩效性，即经济性、效率性和效果性。

信息系统的绩效性也是IT治理追求的目标之一。在IT治理国际标准ISO/IEC38500（组织的信息技术治理）中规定了“绩效”原则，即IT应适合于支持组织的目的并提供服务，服务等级和服务质量应满足当前和将来的业务要求。IT治理框架COBIT4.1有四个基本特征：以业务为中心、以流程为导向、以控制为基础、以绩效测评为驱动。在该框架中，绩效测评是IT治理的关键，并且指出，“多项调研已经表明，IT成本、价值和风险管理缺乏透明是驱动IT治理最重要的一个因素。相对于其他关注的领域，提高透明度主要通过绩效测评来实现。”⑥

（四）绩效审计的参照标准

IT管理和IT治理从企业管理和治理中独立出来，为开展单独立项的信息系统绩效审计创造了条件。就像企业审计要关注被审计单位的管理和治理那样，企业信息系统审计要关注被审计单位的IT管理和IT治理情况。IT管理和IT治理的国际标准或良好实务，则为开展信息系统绩效审计提供了审计标准，也可以作为向被审计单位提出改进建议的参照标准。常见的IT管理和IT治理国际标准有：ISO/1EC20000（信息技术――服务管理）、ITIL（信息技术基础库）、ISO/IEC38500（组织的信息技术治理）、COBIT4.1（信息及其相关技术控制目标）等。

四、维护国有企业信息系统的安全性

维护国有企业信息系统的安全，对于维护国家经济安全至关重要。随着信息技术的发展和应用，人们对信息系统安全性的认识也不断深化。正确理解信息安全的涵义，对于开展信息系统安全性审计具有重要的意义。

（一）安全性目标的重要性

根据1994年我国颁布的《中华人民共和国计算机信息系统安全保护条例》，维护计算机信息系统的安全性，就是要保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行⑦。从这里可以看出，信息系统的安全包括：信息本身的安全、系统设施设备的安全和系统运行环境的安全三个层面。就三个层面的关系而言，信息是核心，系统设施设备及其运行环境是保障，信息本身的安全是目的，系统设施设备的安全及其运行环境的安全是手段。

国有企业信息系统安全是国家信息安全和经济安全的重要组成部分。为了保护中央企业信息系统的安全稳定运行，2010年12月，公安部和国务院国有资产监督管理委员会联合颁布了《关于进一步推进中央企业信息安全等级保护工作的通知》。据统计，截至2010年5月，已有89.6%的中央企业开展了信息安全等级保护工作，中央企业总计建成投入使用的信息系统有16 092个，已定级14 539个，占比90.3%；应向公安机关备案的系统（二级及以上）有11 370个，已备案8 113个，占应备案系统的71.4%；列入2010年定级计划的有1 598个。中央企业在公安机关备案的信息系统总数约占全国信息系统备案总数的21%，第三、四级重要系统约占全国重要信息系统备案总数的30%⑧。这些数据表明，国有企业信息系统已成为国家信息安全的重要组成部分。《中华人民共和国企业国有资产法》第七条规定，“国家采取措施，推动国有资本向关系国民经济命脉和国家安全的重要行业和关键领域集中，优化国有经济布局和结构，推进国有企业的改革和发展，提高国有经济的整体素质，增强国有经济的控制力、影响力。”由于国有企业集中在国民经济命脉和国家安全的重要行业和关键领域，如电信、电力、石油、石化等重要行业，其重要信息系统已成为国家关键基础设施，是国民经济命脉之命脉，保护国有企业信息系统的安全稳定运行，对于维护国家经济安全和社会稳定具有重要的意义。

（二）信息安全概念的演变

根据我国计算机信息系统安全保护条例中的定义，计算机信息系统的安全性，包括信息本身的安全、系统设施设备的安全和支撑环境的安全。其中，信息本身的安全，即信息安全，是信息系统安全的核心和目的。那么，究竟什么是信息安全呢？

人们对信息系统安全性的认识经历了一个不断深化的发展过程。20世纪80年代美国国防部制定的《可信计算机系统评估准则TCSEC》把保密性当作信息安全的重点。20世纪90年代初由英、法、德、荷四国制定的《信息技术安全评估准则ITSEC》开始把完整性、可用性与保密性作为同等重要的因素。自此，信息安全的概念，即信息的保密性、完整性和可用性，逐渐被普遍接受。在2002年的国际标准ISO/IEC17799：2000《信息技术――信息安全管理业务规范》中明确规定，信息安全，是指保护：“保密性（confidentiality），即确保信息只能够由获得授权的人访问；完整性（integrity），即保护信息的正确性和完整性以及信息处理方法；可用性（availability），即保证经授权的用户可以访问到信息，如果需要的话，还能够访问相关资产。”然而，在2005年的该国际标准修订版即ISO/IEC17799：2005中，信息安全的定义，包括了七种安全特性：信息的保密性（confidentiality）、完整性（integrity）、可用性（availability）及其他属性，如真实性（authenticity）、责任性（accountability）、不可抵赖性（non-repudiation）、可靠性（reliability）等，而且，这种修订后的信息安全定义，被2007年的国际标准ISO/IEC27001（《信息安全管理体系――规范与使用指南》）引用。在学术界，有人认为，信息安全的特性还应进一步包括可控性（controllability）、可预测性（predictability）、可审计性（auditability）、遵循性（compliance）等。

随着信息技术的发展与应用，信息安全的内涵越来越丰富，从最初的信息保密性发展到保密性、完整性和可用性，进而又发展到相关的真实性、责任性、抗抵赖性、可靠性等。相应地，对企业信息安全的考虑，也从最初关注企业信息安全技术层面，发展到关注企业信息安全控制、管理和治理等层面。

（三）正确理解信息安全涵义需要注意的几个问题

1.信息安全与信息保密不同。从信息安全概念的涵义可以看出，信息保密与信息安全是两个不同的概念，信息安全比信息保密的涵义更加丰富。尽管我国新修订的保密法对信息系统的保密问题作出了规定，但是保密法不能代替信息安全法。目前，我国对信息安全的立法仍然比较滞后，尚无专门的信息安全法。信息安全法是国家信息安全保障体系不可或缺的组成部分。

2.微观信息安全与宏观信息安全的联系。企业信息系统的安全离不开系统运行环境的支撑，系统环境包括物理环境和社会环境。从社会环境看，主要是指有关信息安全法律法规、安全意识、人才培养等。这就是说，微观层面单个组织的信息系统安全，还离不开宏观层面国家信息安全保障体系的构建。与此同时，微观层面的信息安全是基础，没有微观层面的信息安全，也就没有宏观层面的信息安全。

3.授权管理的重要性。信息安全的概念有三个核心涵义：保密性、完整性和可用性。这三个核心涵义都涉及一个共同的要素，即“授权”。保密性意味着只有获得授权才能访问；完整性意味着没有授权不得对信息进行删除或修改；可用性意味着拥有授权者随时可以使用。这表明，授权管理是信息安全管理的一项关键内容。信息系统是一种人机系统，授权管理主要涉及对人员行为的安全管理。

4.安全性目标与遵循性、绩效性、可信性目标的联系。从信息安全的涵义可以看出，信息系统的安全性目标不同于其遵循性、绩效性和可信性目标，但是，安全性与它们之间又是相互联系的。首先，安全性必须满足遵循性的要求，信息系统的设计、运行、使用和管理可能要置于法律规定的和合同约定的安全要求的约束之下，特别是各种信息安全法律法规、保密法，以及知识产权、个人隐私权方面的法律法规；其次，信息安全没有绝对的安全，所有的信息安全都是风险可接受条件下的安全，高水平的安全保护需要大量的投入成本，因而需要在成本、收益、风险和安全之间进行权衡，即安全性与绩效性的联系；最后，在信息安全技术层面，可信计算技术是信息安全技术的一个重要研究领域，从而表明安全性与可信性之间也有内在的联系。

笔者认为，目前国际上制定的有关信息安全等级评估、信息安全风险评估、信息安全管理体系等方面的国际标准，无论是在理论概念还是在操作实务方面，对于我国审计机关开展信息系统审计都具有重要的借鉴价值。这些国际标准或良好实务可以作为审计的参照标准，同时也可以作为审计机关向被审计单位提出改进信息系统安全性建议的依据。同时，在对国有企业信息系统的安全性进行审计时，还要立足我国实际，由于我国国有企业信息系统是国民经济命脉之命脉，事关国家经济安全和社会稳定，在重视企业本身信息系统安全的同时，还应当从宏观上揭示国有企业信息系统的安全风险，维护国家经济安全。

最后应当指出的是，在审计实践中，根据具体情况，单个审计项目可以选取上述可信性、绩效性和安全性目标中的一个或多个作为审计目标。