亚洲成色777777女色窝,777亚洲妇女,色吧亚洲日本,亚洲少妇视频

信息安全領域工作計劃

時間:2023-01-10 18:05:17

導語:在信息安全領域工作計劃的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優(yōu)秀范文,愿這些內容能夠啟發(fā)您的創(chuàng)作靈感,引領您探索更多的創(chuàng)作可能。

第1篇

關鍵詞:工業(yè)控制系統(tǒng) ;信息安全 ;問題風險;防御體系

一、工控系統(tǒng)介紹

工業(yè)控制系統(tǒng)由各種組件構成,有些組件是自動的,有些是能進行過程監(jiān)控的,兩種組件構成了工業(yè)控制系統(tǒng)的主體。該系統(tǒng)的主要目的就是在第一時間實現對數據的采集和監(jiān)控工業(yè)生產流程。如圖,主要分為控制中心、通信網絡、控制器組。

工控系統(tǒng)主要包括過程控制、數據采集系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)、程序邏輯控制(PLC)以及其他控制系統(tǒng)等。一直以來,這些系統(tǒng)被應用在不同的工業(yè)領域,成為了國家的重點基礎工程項目的建設中不可缺少的成分之一。所有的工業(yè)控制系統(tǒng)中, 工業(yè)控制過程都包括控制回路、人機交互界面(HMI)及遠程診斷與維護組件。上圖為典型的ICS 控制過程。

二、工控系統(tǒng)的安全現狀分析

隨著計算機技術和工業(yè)生產的結合,工業(yè)控制系統(tǒng)(Industrial Control Systems, ICS)已成為制造、電力及交通運輸等行業(yè)的基石。一方面,工控系統(tǒng)為工業(yè)的發(fā)展帶來了巨大的積極作用,另一方面,因為工業(yè)控制系統(tǒng)的安全防護體系做得還不是很到位, 很多的非法入侵事件屢見不鮮,這對工業(yè)的發(fā)展,甚至對整個國家的安全戰(zhàn)略提出了挑戰(zhàn)。尤其是2010 年的Stuxnet 病毒的肆虐,讓全球都明白,人們一直認為相對安全的工業(yè)控制系統(tǒng)也成為了黑客攻擊的目標,因此,在第一時間發(fā)現工控系統(tǒng)的安全問題,并及時解決這些安全問題是極其重要的。此外,建設安全可信的工控防御體系,也是現在各國發(fā)展和建設的重要一環(huán)。

三、工控系統(tǒng)現存在的問題

3.1系統(tǒng)內部風險:操作系統(tǒng)存在安全漏洞。由于工控軟件先設計,之后操作系統(tǒng)才會發(fā)現漏洞進行修復,甚至絕大部分工控系統(tǒng)所使用的Windows XP系統(tǒng)生產者Microsoft公司申明:4月8日以后不會對XP系統(tǒng)安全漏洞進行修復,所以之后工控系統(tǒng)病毒的爆發(fā)會更加頻繁,使工控系統(tǒng)更加危險。

無殺毒軟件的問題。使用Windows操作系統(tǒng)的工控系統(tǒng)基于工控軟件與殺毒軟件的兼容性的考慮,一般不會安裝殺毒軟件,給病毒的傳播與擴散留下了空間。

u盤傳播病毒問題。在工控系統(tǒng)中的管理終端一般不會有專門軟件對U盤進行管理,導致外設的無序使用從而引發(fā)工控系統(tǒng)病毒傳播。

工控系統(tǒng)存在被有意控制的風險。沒有對工控系統(tǒng)的操作行為監(jiān)控和制定相應的措施,工控系統(tǒng)中的異常行為會給工控系統(tǒng)帶來較大的風險。

3.2 外部問題。安全評估存在困難。安全評估是建立安全防護體系的第一步,工業(yè)控制系統(tǒng)信息安全評估標準是國家頒發(fā)的第一個關于工控系統(tǒng)安全方面的標準,工信部2011年的通知中明確要求對重點領域的工業(yè)控制系統(tǒng)進行安全評估,但2012 年這項工作遇到了例如缺少針對特定行業(yè)的評估規(guī)范、只能針對IT系統(tǒng),不能對非IT類的設備進行評估等困難。

缺乏針對ICS安全有效的解決方案?,F有的縱深防御架構解決方案只針對一般ICS模型,針對特定行業(yè)的工控系統(tǒng)進行防護,還需要在未來大量實踐的基礎上才能完善。

應對APT攻擊解決效果不佳。從過去的幾次ICS安全事故來看,有針對性、有持續(xù)性的APT攻擊威脅最大,APT 攻擊的防御一直是信息安全行業(yè)面臨的難題,即使是Google、RSA 這些擁有許多專門人才和對信息安全有大投入的公司在APT攻擊面前也沒能幸免。

四、工控系統(tǒng)信息安全的解決

4.1硬件完善。國際上有兩種不同的工控系統(tǒng)信息安全解決方案: 主動隔離式和被動檢測式

主動隔離式解決方案:即相同功能和安全要求的設備放在同一區(qū)域,區(qū)域間通信有專門通道,加強對通道的管理來阻擋非法入侵,保護其中的設備。例如:加拿大Byres Security公司推出的Tofino工控系統(tǒng)信息安全解決方案。

被動檢測式解決方案:除了身份認證、數據加密等技術以外,多采用病毒查殺、入侵檢測等方式確定非法身份,多層次部署與檢測來加強網絡信息安全。例如:美國Industrial Defender公司的ICS安全解決方案。

4.2“軟件”完善:安全管理體系。安全管理防護體系由安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理五部分構成。工控系統(tǒng)管理體系是一個循序漸進的過程,且要隨著時代的進步隨時更新,逐步完善系統(tǒng),完善管理體系,最終才能實現工控系統(tǒng)的真正的安全。

安全管理制度:建立、健全工控系統(tǒng)安全管理制度,制定安全工作的總體方針和戰(zhàn)略,工控系統(tǒng)安全防護及信息錄入納入日常工作管理體系,對安全管理人員或者操作人員所進行的重要操作建立規(guī)范流程;形成由安全政策、管理方法、操作規(guī)范流程等構成的安全管理制度體系。

安全管理機構:專門設立的工控信息安全工作部門,確定相關領導為安全事故責任人,制定相關文件明確機構、崗位、個人的職責分工和要求等。

人員安全管理:規(guī)范重要崗位錄用流程,對錄用者進行相關身份、背景、專業(yè)資質的嚴格審查,進行相關專業(yè)技能的考核,與關鍵崗位的人員簽訂保密協(xié)議;對相關崗位人員進行定期安全培訓教育,嚴格限制外來人員訪問相關區(qū)域、系統(tǒng)、設備等。

系統(tǒng)建設管理:首先要根據系統(tǒng)重要程度設立安全等級實施相應的基本安全措施,根據實時狀態(tài)更新完善系統(tǒng),制定相應的補充調整安全措施制定長遠的工作計劃。

五、工業(yè)控制系統(tǒng)信息安全發(fā)展趨勢

眾所周知,工業(yè)控制系統(tǒng)逐漸延伸到各行各業(yè),造福人類的同時,也顯露出不少問題,給國家和人民造成了巨大損失。進入新世紀以來,各個國家都在致力于解決這個問題,但是信息安全事故任然屢見不鮮。

第2篇

從2005年起,我國保險業(yè)履行入世承諾,實行全面開放,保險業(yè)由此成為我國金融行業(yè)中開放最早、開放力度最大、開放過渡期最短的行業(yè)。面對全球保險市場的考驗和挑戰(zhàn),利用信息技術來提高企業(yè)核心競爭力、經營管理水平就成了保險機構和企業(yè)最重要的應對策略和措施之一。

現狀

經過近些年的大力推進,保險業(yè)的信息系統(tǒng)已經基本建立起來。保險信息系統(tǒng)包括保險監(jiān)管信息系統(tǒng)及信息網絡,保險機構及公司的業(yè)務、財務信息系統(tǒng)及信息網絡。

其中,保險監(jiān)管信息系統(tǒng)及網絡主要用于中國保監(jiān)會系統(tǒng)(包括保監(jiān)會機關和35家地方派出機構)的各項監(jiān)管工作。系統(tǒng)涉及保監(jiān)會有關辦公公文數據,以及各保險公司提供的用于監(jiān)管的業(yè)務、財務數據。

保險機構及公司的業(yè)務、財務信息系統(tǒng)及網絡則主要用于保險機構及公司的經營各項保險業(yè)務以及財務工作,信息網絡遍及各保險機構經營區(qū)域,總體來說,基本覆蓋了全國各地市縣。系統(tǒng)涉及各保險機構及公司和廣大被保險人的利益,關系到經濟的發(fā)展和社會的穩(wěn)定。

全面開放后,分布在全國各地的保險機構及公司是市場競爭的主體,其信息系統(tǒng)建設的程度和水平將決定國內保險業(yè)的競爭力。當前,保險機構及公司的信息系統(tǒng)建設的成就主要體現在以下幾個方面:

信息化建設的整體規(guī)劃不斷加強。大部分保險公司依托企業(yè)發(fā)展戰(zhàn)略,借鑒國內外信息化建設的成功經驗,引進信息化咨詢服務,制訂了企業(yè)信息化的發(fā)展藍圖,加強了對信息化建設的整體規(guī)劃。

信息化建設的投入不斷加大。據不完全統(tǒng)計,2005年保險業(yè)信息化資金投入為35.5億元,占全國保險業(yè)務收入的0.72%,其中軟件、運維和服務費用占比有所增加,信息化投資結構進一步改善。人員投入有所增加,各公司在總、分公司層面都建立了較強的信息化工作隊伍。

業(yè)務運營平臺的改造和優(yōu)化逐步深入。推進了業(yè)務平臺的統(tǒng)一化,逐步消除各地區(qū)各自為政和系統(tǒng)平臺的不一致。加強了業(yè)務系統(tǒng)的標準化,促進了業(yè)務系統(tǒng)間的信息共享和聯機處理,逐步解決業(yè)務系統(tǒng)信息不能共享的問題。

保險公司數據大集中穩(wěn)步推進。絕大部分保險公司實現了業(yè)務、財務數據處理的全國集中,部分公司完成了業(yè)務數據的省級集中或實現了省級業(yè)務處理的集中。

客戶服務信息系統(tǒng)平臺建設不斷加強。各保險公司不同層次地建立了各自的客戶服務系統(tǒng)平臺。中國人保、中國人壽、中國太平洋、中國平安、新華人壽以及泰康人壽等公司都建立了全國統(tǒng)一的客戶服務系統(tǒng)并開展咨詢、投訴、報案、客戶回訪、掛失以及電話投保等工作。

保險監(jiān)管信息化建設取得成效。保險監(jiān)管機構加強了內外網絡的規(guī)劃改造,建立了辦公自動化系統(tǒng)、內網信息平臺和門戶網站以及中國保險統(tǒng)計信息系統(tǒng),研發(fā)出了保險現場稽核系統(tǒng)。

保險信息安全保障體系初步建立。各保險公司加快信息安全基礎設施建設。超過50%的公司開展了災難演習或制訂了災難演習工作計劃,中國平安建立了上海數據備份中心,部分公司正在建設異地災備中心或計劃建設異地災備中心。

問題

盡管近年來保險業(yè)的信息化建設進步很大,但無論是與國外的保險業(yè)相比,還是與國內的銀行業(yè)、證券業(yè)相比,其信息化水平還處于相對落后的地步。同時,與保險業(yè)近幾年增長迅猛的勢頭相比,其信息化建設也顯得滯后。

據統(tǒng)計,“十五”期間,保險業(yè)務收入年均增長超過25%,這顯然對其信息化建設提出了更高的要求。但是,目前信息化在保險業(yè)務、管理以及決策等方面應用的廣度和深度離保險業(yè)持續(xù)快速發(fā)展的需要還有一定的差距,由于忽視對業(yè)務流程、管理流程、組織架構的信息化構造,信息化對于促進業(yè)務發(fā)展,提高產品創(chuàng)新能力和客戶服務水平的作用仍然沒有充分發(fā)揮出來。

在具體層面上,保險業(yè)信息化存在的問題主要包括:技術標準體系缺乏、信息技術應用層面不高、數據資產利用率不夠、信息化投入與保險業(yè)發(fā)展不匹配、地區(qū)發(fā)展不平衡、安全保障體系不夠完善、信息化技術人才短缺、客戶服務信息化水平較低等方面。

專項規(guī)劃新目標

為推進保險業(yè)信息化水平的進一步提升,2006年12月22日,中國保險監(jiān)督管理委員會了《中國保險業(yè)發(fā)展“十一五”規(guī)劃信息化重點專項規(guī)劃》,這是我國保險業(yè)的第一個關于信息化的專項規(guī)劃,表明國家對于保險業(yè)信息化建設的高度重視。

該規(guī)劃根據深化應用、加強管理的思路設立了五大發(fā)展目標,勾畫出了中國保險業(yè)未來五年信息化發(fā)展的藍圖。

第一目標“信息化整體規(guī)劃顯著增強,信息化管理決策機制不斷優(yōu)化”:重視整體規(guī)劃的同時還要求對信息化建設工作本身進行流程規(guī)范、績效考核以及引入信息化治理。

第二目標“信息化建設資金投入不斷增加,信息化投資結構不斷改善”:不僅要擴大投資,還要調整投資結構,確保投資的有效性。

第三目標“‘以客戶為中心’的業(yè)務平臺基本建立,業(yè)務財務系統(tǒng)實現無縫對接”:從信息化為業(yè)務和應用服務的終極目標出發(fā),同時又能促進保險業(yè)的創(chuàng)新與改革。

第四目標“信息化覆蓋面不斷擴大,信息技術支撐發(fā)展的能力進一步增強”:不僅支持保險公司業(yè)務本身,還要求能夠支持“農村信息化”和電子商務。

第五目標“管理信息系統(tǒng)建設穩(wěn)步推進,信息資源開發(fā)利用初顯成效”:在業(yè)務系統(tǒng)發(fā)展的同時,也要建設好管理信息系統(tǒng),而對業(yè)務系統(tǒng)中的信息資源進行開發(fā)利用則是連接這兩個方面的橋梁。

第六目標“保險監(jiān)管信息系統(tǒng)體系基本成型,監(jiān)管信息化顯著加強”:保險監(jiān)管要利用信息化來豐富并改善監(jiān)管的手段,進一步提高監(jiān)管效率,以信息化創(chuàng)新監(jiān)管,形成基本成型的監(jiān)管信息系統(tǒng)體系。

第七目標“信息安全保障工作切實加強,信息安全保障體系逐步完善”,指明除了日常的基本信息安全措施外,應急機制和災難恢復機制也都是保險安全保障體系的重要內容。

第3篇

在專題報告中,全軍各大單位衛(wèi)生部門信息中心不僅總結了2009年落實總后衛(wèi)生部五項重點工作的成績,而且闡述了存在的問題,分析了問題存在的原因,并介紹了2010年的工作計劃。

總后衛(wèi)生部信息中心劉運成主任對各大單位衛(wèi)生部門信息中心做出的成績予以肯定,總結了經驗,并部署了2010年的工作計劃。劉主任指出,全軍衛(wèi)生信息化建設在2010年應做好進一步完善疫情直報信息系統(tǒng)、擴大衛(wèi)勤機關綜合信息管理系統(tǒng)使用范圍、完成醫(yī)院信息系統(tǒng)升級改造、制定信息化標準及系統(tǒng)研制、完善倉庫信息系統(tǒng)、組織遠程醫(yī)學信息系統(tǒng)升級改造等六件大事。

多名專家在專題講座中分別交流介紹了一號工程、二號工程、電子病歷及應用、軍隊衛(wèi)生信息化建設“十二五”計劃設想,國家衛(wèi)生部信息中心領導與醫(yī)院信息化專家介紹了國家居民健康檔案和國外數字化醫(yī)院發(fā)展思路及趨勢。

軍隊衛(wèi)生信息化建設的“十二五”計劃設想總體目標為,統(tǒng)籌規(guī)劃軍隊衛(wèi)生信息化建設,全面實施“數字化衛(wèi)勤”工程,擬初步實現全軍衛(wèi)生資源動態(tài)管理、全軍衛(wèi)生活動動態(tài)監(jiān)控,并擬在數字化醫(yī)院、數字化療養(yǎng)院、數字化門診部、遠程醫(yī)學等建設方面有所突破。重點任務在于建成衛(wèi)生系統(tǒng)綜合信息平臺,建立衛(wèi)生網絡服務平臺,與國家接軌,建立軍人健康檔案,并完善體制與政策、標準和法規(guī),做到“統(tǒng)一領導,總體規(guī)劃。突出重點,協(xié)調發(fā)展。需求牽引,技術推動。整體優(yōu)化,綜合集成”。

總后衛(wèi)生部張雁靈部長在講話中指出了“十一五”以來軍隊衛(wèi)生信息化建設取得的顯著成績和存在的突出問題。他指出,過去存在的主要問題在于“統(tǒng)籌規(guī)劃不夠有力、信息資源開發(fā)利用不夠充分、人才隊伍建設還比較薄弱”,同時指出今后一個時期衛(wèi)生信息化建設的總體思路和主要任務,全面實現“數字化衛(wèi)勤工程”。主要表現為: 搞好整體籌劃、建立綜合平臺、加強數字化信息系統(tǒng)配套建設、加強數字化醫(yī)院、療養(yǎng)院建設、提高遠程醫(yī)學系統(tǒng)應用水平,逐步實現廣大官兵就醫(yī)“一卡通”、推進衛(wèi)生信息資源的開發(fā)與利用,加大信息基礎建設力度。最后,張部長指出了在工作指導上需要重點把握“進一步加強學習提高、加強擊中統(tǒng)一領導管理、加強信息基礎建設、加強衛(wèi)生信息安全保障體系建設”等幾個問題。

與會代表在討論過程中,進行了積極發(fā)言,為全軍衛(wèi)生信息化發(fā)展獻計獻策。與會代表表示這是一次成功的、求真務實的大會。這次大會不僅總結了過去,而且分析了存在的問題,并指出了未來衛(wèi)生信息化發(fā)展方向,對衛(wèi)生信息化建設工作提出了更高要求。

每周衛(wèi)事

國務院通過公立醫(yī)院

改革試點指導意見

據新華網消息,2月2日,國務院常務會議討論并原則通過《關于公立醫(yī)院改革試點的指導意見》,決定按照先行試點、逐步推開的原則,由各省(區(qū)、市)分別選擇1至2個城市或城區(qū)試點。

會議強調,公立醫(yī)院改革要堅持公立醫(yī)院的“公益性質”,把維護人民群眾健康權益放在第一位。改革主要任務包括: (1)優(yōu)化公立醫(yī)院布局,建立公立醫(yī)院與城鄉(xiāng)基層醫(yī)療衛(wèi)生機構的分工協(xié)作機制; (2)積極探索管辦分開的有效形式,增強公立醫(yī)院活力,進一步完善分配激勵機制; (3)改革公立醫(yī)院補償機制,逐步取消藥品加成,實現由服務收費和政府補助來補償; (4)加強公立醫(yī)院內部管理,提高醫(yī)療服務質量; (5)加快推進多元化辦醫(yī)格局,鼓勵社會資本進入。

《意見》的原則通過,意味著醫(yī)改的重頭戲之一的公立醫(yī)院改革即將邁出重要一步。同時,既然是先期試點,就意味著各地將因地制宜探索改革的具體路徑,譬如: 醫(yī)療資源優(yōu)化配置、管辦分離、補償機制等核心命題。

衛(wèi)生部召開

2010年全國醫(yī)政工作會議

1月28~29日,2010年全國醫(yī)政工作會議在江蘇南京召開。衛(wèi)生部副部長馬曉偉說,2009年全國醫(yī)政工作者堅持以人為本、以病人為中心,以提高醫(yī)療質量、保障醫(yī)療安全為主線,做了大量工作。但深化醫(yī)藥衛(wèi)生體制改革任務仍然十分艱巨,醫(yī)療質量和醫(yī)療安全狀況仍有待改進,人民群眾看病就醫(yī)問題并未得到根本解決,人民群眾對醫(yī)療服務的滿意度還需進一步提高,醫(yī)政工作面臨著嚴峻挑戰(zhàn),任重道遠。

2010年,醫(yī)政工作要繼續(xù)建立和完善醫(yī)政管理法制體系、準入體系、醫(yī)療質量管理與控制體系和醫(yī)療服務體系; 在體系建設的基礎上推動醫(yī)政管理的規(guī)范化、專業(yè)化、標準化、精細化和信息化,持續(xù)改善醫(yī)療服務,提高醫(yī)療質量,保證醫(yī)療安全。

衛(wèi)生部與清華大學簽署

衛(wèi)生信息化合作協(xié)議

1月26日,衛(wèi)生部與清華大學簽署衛(wèi)生信息化合作協(xié)議,衛(wèi)生部副部長尹力出席簽字儀式并講話,衛(wèi)生部與清華大學開展衛(wèi)生信息化合作研究,有利于充分發(fā)揮清華大學在信息技術領域、尤其是下一代互聯網領域具有的雄厚科技力量,以及長期以來參與國家各行業(yè)信息化建設的經驗,發(fā)揮技術優(yōu)勢、人才優(yōu)勢和科研優(yōu)勢,支持衛(wèi)生信息化學術與應用的有機結合,加速衛(wèi)生信息化的規(guī)劃研究、標準制訂、成果轉化、試行推廣等工作的開展。

清華大學副校長康克軍表示,衛(wèi)生信息化對于一個國家的發(fā)展至關重要。清華大學將發(fā)揮科技優(yōu)勢,以及長期以來參與國家各行業(yè)信息化建設的經驗,在衛(wèi)生信息化總體設計和科學研究方面與衛(wèi)生部開展合作,配合新醫(yī)改開展衛(wèi)生信息化建設項目,培養(yǎng)衛(wèi)生信息化亟需的人才。

北京醫(yī)師多點執(zhí)業(yè)將合法

1月31日,北京市衛(wèi)生局局長方來英介紹,北京允許醫(yī)師多點執(zhí)業(yè)的制度方案,已于近日被衛(wèi)生部接受審批,預計今年上半年可獲批準執(zhí)行。下一步將完善相關制度,約束公立醫(yī)院醫(yī)師,在完成本職崗位工作后,才能利用業(yè)余時間到其他各類醫(yī)療機構提供服務,并且不能加收診療費。

醫(yī)生“自由”了,有利于緩解大醫(yī)院掛號難、看病難的問題,關鍵問題是收費必須合法,必須完善管理機制、加強監(jiān)管,堅決遏制醫(yī)生走穴非法牟利的情況。

第4篇

對信息安全專業(yè)來說,目前的實驗教學還停留在以演示和驗證性實驗為主的階段,明顯缺乏綜合性和創(chuàng)新性實驗。無法適應信息安全專業(yè)學生的培養(yǎng)。在我國的部分研究型高校中,僅有部分教師對信息安全專業(yè)課程的實驗教學環(huán)節(jié)的改革進行了嘗試。文獻[1]將學生安全編碼能力的培養(yǎng)與程序設計課程群、操作系統(tǒng)、軟件工程等課程相結合,提出在教學中加強安全編碼能力訓練的幾種主要途徑。文獻[2]從信息安全類課程教學與實踐兩大環(huán)節(jié)中的共性問題入手,在分析信息安全技術課程實際教學活動的基礎上,提出教學內容點面結合、教學實踐知行合一的內容安排與學生認知評價體系。文獻[3]針對信息安全課程具有的計算復雜性大,算法理解難度大,實驗內容靈活的特點,基于三年的課程教學經驗,提出一種多維研討式教學模式,集課堂教學、實踐教學和課程交叉三個維度的研討方式,收到了良好的教學效果。我校于2011年為信息安全專業(yè)高年級學生開設了“網絡安全與防護技術”選修課程,“網絡安全與防護技術”課程推出,是對我校信息安全課程體系建設的重要補充和完善。

2.“網絡安全與防護技術”課程分析

與信息安全專業(yè)其他課程相比,網絡安全防護致力于解決如何有效進行介入控制及如何保證數據傳輸的安全性的技術手段,主要包括物理安全分析技術,網絡結構安全分析技術,系統(tǒng)安全分析技術,管理安全分析技術,以及其他安全服務和安全機制策略。因此此門課程是一門理論與實踐緊密結合、實用性很強的課程。與其他課程相比,該課程有以下兩個特點。

(1)網絡安全與防護技術的研究還面臨許多未知領域,缺乏系統(tǒng)性的理論基礎及公平統(tǒng)一的性能測試與評價體系。

(2)網絡安全與防護技術是一門新的綜合性前沿應用學科,涉及計算機科學與技術、網絡安全、信息安全、應用數學等多個學科知識。

“網絡安全與防護技術”課程是整個信息安全專業(yè)課程體系中必不可少的重要環(huán)節(jié),它是“數字信號與信息隱藏”、“數據通信原理”、“信息系統(tǒng)安全”、“信息安全管理”等內容及多門課程的綜合運用。經過三年的對該門課程的實踐教學部分的研究,我們發(fā)現,該課程的實驗環(huán)節(jié)中存在實驗教學側重于理論嚴重、實驗考核方法不完備、實驗創(chuàng)新性不足等問題。因此“網絡安全與防護技術”課程的實驗教學存在很多問題有待研究、解決并加以實踐驗證,本文針對這門課程的實驗環(huán)節(jié)提出研究型開放式的實驗教學方式,包括研究型項目引導,開放式教學內容、多樣化實驗考核、隨堂實驗環(huán)節(jié)、團隊實驗研究等多方面的實驗改革措施。使得該課程能在信息安全專業(yè)對學生的創(chuàng)新意識和全面素質培養(yǎng)起到良好作用。

3.“網絡安全與防護技術”課程實驗教學現狀及存在的問題

目前“網絡安全與防護技術”課程的實驗環(huán)節(jié)存在的主要問題包括以下五個方面。

(1)實驗教學側重于理論驗證。

受到傳統(tǒng)的教學理念的影響,“網絡安全與技術”課程的實驗教學環(huán)節(jié)作為理論驗證的一種手段,依然停留在理論學習階段,例如:防火墻的配置實驗、入侵檢測的規(guī)則建立實驗等都是典型的驗證性實驗,學生按照實驗指導書中的方法進行操作,記錄實驗過程然后填寫報告。對于這類實驗學生沒有機會完成一些綜合性很強的實驗設計,無法培養(yǎng)創(chuàng)新能力。

(2)實驗教學學時分配不夠。

課程的實驗教學是“網絡安全與防護技術”課程的重要環(huán)節(jié),單純依靠理論授課方式,片面重視理論的重要性,往往會造成課堂氣氛沉悶,缺乏教學的互動效果,使學生只能被動記憶課本內容以應付考核,無法借助雙眼環(huán)節(jié)驗證課堂教學內容,無法激發(fā)學生參與課堂討論的積極性,導致課程教學過程缺乏互動。

(3)實驗考核方法不完備。

目前信息安全類課程大多采用統(tǒng)一的實驗步驟、實驗方法衡量學生實驗的情況,這種單一的考核方式促使學生更加傾向于按照傳統(tǒng)的實驗方法做實驗,而忽略對學生創(chuàng)新實驗能力的培養(yǎng),導致所培養(yǎng)出來的學生缺乏獨立思考和解決問題的能力,在日后的工作中無法真正解決企業(yè)或單位所面臨的實際安全問題。

(4)實驗創(chuàng)新性不夠。

網絡安全技術從第一階段防火墻,到第二階段的入侵檢測,再到第三階段的入侵容忍技術,信息安全技術正經歷著日新月異的發(fā)展和變化,“網絡安全防護技術”實驗環(huán)節(jié)必須在學生大一的時候就編制在教學大綱中,等到學生上課的時候已經大三了,兩年的變化使得有些實驗已經變成了“往事”,如何適應這種飛速發(fā)展的技術變化,一直是每一個信息安全專業(yè)任課教師思考的問題。

(5)團隊合作精神無法得到鍛煉。

信息安全技術的開發(fā)和研究始終需要團隊合作才能夠完成,因此信息安全技術專業(yè)的學生迫切需要鍛煉團隊合作精神。目前大多數實驗課程都局限在每個學生的“單打獨斗”,學生的團隊合作精神無法得到鍛煉。

4.研究型開放式實驗教學模式

(1)研究型項目引導。

教師通過對教學目的、教學內容和教學方法的介紹,使學生了解課程目標,教師根據研討的專題為學生分組,每組負責一個具體的安全類項目。開課初期的一個重要內容就是教會學生查資料和找文獻的方法,讓學生具備動手查資料的能力,為后續(xù)項目做準備。另外通過項目引導使學生自己主動查資料,掌握自己不熟悉的內容,彌補學生背景知識不足的問題。

(2)開放式實驗教學。

開放式實驗教學以實驗任務為主線,配合課堂講授的教學內容插入多個精心設計的子實驗。教師布置與課堂教學相關的實驗任務,學生利用課后時間自己組成實驗課題組,并動手解決問題。一方面克服了學時不夠的問題。另一方面,在完成任務的過程中,教師由權威的知識傳授者變成了實驗教學的引導者、組織者和評價者,學生由被動學習者變成了學習主體。

(3)豐富的實驗教學內容和實驗方法多樣化。

開放式實驗教學不僅要求實驗教學內容的開放,而且要求通過開放多種形式的實驗教學內容、分層次教學,滿足不同學生需求,探索培養(yǎng)創(chuàng)新能力模式。“網絡安全與防護技術課程”的特點決定了這門課程的實驗方法并不是一成不變的和固定的,例如:利用防火墻禁止某一個IP地址的URL請求可以使用多種配置方法。因此實驗方法也是多樣化的,實驗教學過程中鼓勵學生思考并使用創(chuàng)新性實驗方法。

(4)隨堂實驗環(huán)節(jié)。

在課堂教學之間穿插實驗教學內容,通過學生自己動手實踐,課后實踐,或課堂演示實踐等多種方式進行,使得學生在學習了重要知識點后,都能迅速通過實踐方式加深理解和強化記憶,激發(fā)學生持續(xù)的好奇心并培養(yǎng)學生動手能力。

(5)團隊實驗研究。

學生組成小團隊自己帶著實驗課題,檢索文獻,閱讀資料,并定期將工作計劃和所完成的實驗由學生組長向老師匯報,一方面便于教師對實驗進度和方向把關,另一方面可以培養(yǎng)學生的團隊合作精神。“網絡安全與防護技術”課程涉及多種網絡安全技術和主流的安全產品,組成員的交流和發(fā)言可以最大限度地避免和糾正對網絡安全技術理解的偏差。

5.結語

第5篇

充分發(fā)揮省信息化工作領導小組的作用,切實加強對全省信息化工作的統(tǒng)一領導和組織協(xié)調,建立定期會議制度,研究解決信息化發(fā)展中重大問題。各級各部門都要建立信息化組織領導機構,理順管理體制,形成省市縣協(xié)調聯動的組織保障體系。各級各部門信息化工作領導小組辦公室,具體負責本地區(qū)、本部門信息化統(tǒng)籌規(guī)劃、綜合協(xié)調和重大項目推進等工作。

第二,完善推進機制

做好《**省信息化條例》立法和宣貫工作,為全省信息化快速發(fā)展提供法制保障。建立信息化與電子政務項目統(tǒng)籌機制,凡使用財政資金進行建設的信息化與電子政務項目,統(tǒng)一由同級信息化工作領導小組辦公室負責項目方案審定,提出資金需求,避免重復建設,促進資源共享;由財政部門負責對項目資金進行核定把關,統(tǒng)籌考慮資金安排,保障項目建設。建立電子政務運維保障機制,由省財政廳會同省信息化工作領導小組辦公室,研究提出電子政務運行維護資金管理辦法及運行維護資金標準,將電子政務運維資金納入預算體系,保障電子政務系統(tǒng)的正常運行。研究設立信息化統(tǒng)計指標體系,探索建立信息化發(fā)展水平統(tǒng)計監(jiān)測、報告制度和績效評估制度,逐步將信息化發(fā)展水平和項目建設績效納入政府考核體系,形成長效推進機制。

第三,加大資金投入

各級政府要做好跨部門電子政務應用、公共信息資源開發(fā)、公益性信息化項目以及引導性試點示范等重大信息化項目的統(tǒng)籌規(guī)劃和集約建設,加大資金投入,確保項目建成達效,形成需求主導、效益驅動的資金投入機制。有條件的地區(qū)可設立信息化專項資金。根據省財政收入增長情況,逐步擴大省級信息化專項資金的預算規(guī)模。根據國家和省關于企業(yè)技術改造的有關政策,積極爭取相關資金支持,引導企業(yè)加大信息技術改造傳統(tǒng)產業(yè)的投資力度,拓寬融資渠道,提高企業(yè)信息化水平和綜合競爭力。建立完善信息化風險投資機制和資本退出機制,探索推進合同能源管理模式在信息化建設中的應用。充分發(fā)揮市場機制作用,鼓勵社會資本投向通信、電力、交通、農業(yè)等基礎性、戰(zhàn)略性行業(yè)和民生領域的重大信息化工程。

第四,提升全員素質

加強對兩化融合人才、信息化高級人才的引進、培養(yǎng)和使用,鼓勵知識、技術和才能等生產要素參與收益分配,為推進信息化和工業(yè)化深度融合提供智力支撐。鼓勵高等院校和職業(yè)技術院校根據市場需求調整學科和專業(yè)設置,發(fā)揮社會培訓組織的作用,培養(yǎng)滿足市場需求的各層次信息化人才。加強黨政機關、企事業(yè)單位信息化隊伍建設,組織開展有針對性的專業(yè)培訓、技術交流和考察學習。在大中型企業(yè)推行CIO制度。加強面向公眾的信息化知識宣傳普及、技能培訓和職業(yè)鑒定,提高全民信息素質和能力。在信息產業(yè)、信息技術、信息資源、人才培養(yǎng)等領域加強與國外及國內先進省市的交流與合作,學習和借鑒先進經驗。

第五,健全支撐體系,完善政策法規(guī)

圍繞電子政務、電子商務、兩化融合、三網融合、信息資源、信息安全、信息產業(yè)等方面發(fā)展需求,加快制定相關的政策和規(guī)章,保障信息化健康有序發(fā)展。強化標準支撐。加強國家標準、行業(yè)標準和地方標準的宣貫、培訓和推廣,鼓勵現代物流、電子政務、企業(yè)信息化等重點應用領域制定信息化相關標準和規(guī)范,支持應用單位梳理建立業(yè)務框架和信息框架。健全技術保障。探索開展信息化應用項目等級認定,引導信息化服務組織自覺提高設計、研發(fā)和服務水平;鼓勵和支持大型骨干企業(yè)軟件及信息服務部門的剝離,建立政產學研用聯動機制,整合社會各類資源,構建與信息化相關的研究中心、技術中心、重點實驗室和推進聯盟等支撐體系,為各行業(yè)、各領域提供專業(yè)化的技術服務。壯大咨詢服務。繼續(xù)發(fā)揮省信息化專家咨詢委員會的決策參謀作用,借助專業(yè)咨詢、行業(yè)協(xié)會、評測中心等第三方服務機構的優(yōu)勢,為信息化建設提供戰(zhàn)略規(guī)劃、可行性研究、項目監(jiān)理、評測評估等方面的咨詢服務。

第6篇

對我個人來講,這一年意義深刻!剛剛過去的一年里,我們在中隊領導和中心領導的正確領導下,在其他同志的配合下,堅持以高標準嚴格要求自己,兢兢業(yè)業(yè)做好本職工作,較出色地完成可領導交給的各項工作任務,個人工作能力得到很大的提高,同時也取得了一定的工作成績。

一年的時間很快過去了,在一年里,我在公司領導、部門領導及同事們的關心與幫助下圓滿的完成了各項工作,在思想覺悟方面有了更進一步的提高,本年度的工作總結主要有以下

思想政治表現、品德素質修養(yǎng)及職業(yè)道德。能夠認真貫徹黨的基本路線方針政策,通過報紙、雜志、書籍積極學習政治理論;遵紀守法,認真學習法律知識;愛崗敬業(yè),具有強烈的責任感和事業(yè)心,積極主動認真的學習專業(yè)知識,工作...

認清自我,找出差距。在這一年的工作中,雖然我有不少的成績和進步,但出項的問題也不容忽視。如:自身有待進一步提高,對交通法律法規(guī)知識,不能活學活用,服務意識有待提高,

2015年,我們在押運中心領導的正確領導下,在上級部門的精心指導下。公司全體員工齊心協(xié)力勤奮工作,公司的綜合實力顯著增強,保安員隊伍規(guī)模不斷擴大,業(yè)務領域日益廣泛,服務質量持續(xù)優(yōu)化,進一步促進了我公司保安服務業(yè)務積極穩(wěn)步的向前發(fā)展,實現了經濟效益和社會效益雙豐收,圓滿地完成了與客戶單位合同約定的各項服務任務,確保了客戶人身、財產和信息安全,贏得了客戶的好評。

抓住市場機遇,重點發(fā)展押運業(yè)務,不斷提升公司經濟效益。隨著我國市場經濟的深入發(fā)展,社會化押運服務的時機日漸成熟,公司抓住良好市場機遇

加強法制、安全教育,健全、完善管理制度,認真落實依法規(guī)范執(zhí)勤,提高服務質量,贏取良好社會信譽。公司一向高度重視保安服務業(yè)務經營的合法性和安全性,從法制、安全教育和健全、完善管理制度上入手,對全體員工各崗位工作環(huán)節(jié)進行不余遺力的管理。公司為工行、農行、建行、提供的武裝押運服務和為各家銀行的營業(yè)網點、企業(yè)等客戶單位工作崗位提供的人防保安服務在服務質量上

總而言之,在上半年里,公司在押運安全工作取得了一點成績,但與領導和各部門的指導和關心是分不開的。守押工作無小事,任何一絲的麻痹大意都有可能造成不可挽回的損失,在下步的工作中,要時刻保持清醒的頭腦,嚴格要求,針對上半年存在的個人問題,從實際出發(fā),從根本上解決,力爭把事故消滅在萌芽狀態(tài)。同時,好的方面也要繼續(xù)保持。公司全體人員將繼續(xù)努力,確保人員生命和財產以人為本,保護員工合法權益,建設和諧、穩(wěn)定的服務團隊。公司的發(fā)展離不開員工的辛勤勞動,離不開員工的刻苦奉獻,而這種勞動和奉獻是建立在員工對公司信賴的基礎之上。公司一向堅持以人為本的理念

一年來,公司在完成上述幾方面工作的具體過程中,遇到過一些困難和問題,通過中心的指導、客戶單位的幫助和公司全體人員的努力,所遇到的困難和問題都逐一得到了解決或緩解。

二、2016年工作計劃

新的征途,新的追求。在不斷迎接新任務的日子里,我們將一如既往地團結一心、誠實守信,嚴格遵循《保安服務管理條例》的有關規(guī)定,認真依法執(zhí)業(yè)、守法經營。新的一年,我們在市局黨委的領導下,有《保安服務管理條例》為保安服務行業(yè)指明方向,更加信心百倍,決心繼續(xù)以貫徹《保安服務管理條例》為契機,以構建和諧平安樟樹和確保客戶人身、財產、信息安全為目標,為實現公司經濟效益和社會效益再豐收而勤奮勞動。

(一) 工作目標

1、繼續(xù)貫徹執(zhí)行好《保安服務管理條例》,依法規(guī)范公司的經營活動,進一步促進公司依法執(zhí)業(yè),守法經營。

2、繼續(xù)貫徹執(zhí)行好《勞動法》和《勞動合同法》,依照法律要求處理好公司與客戶之間和諧的服務關系以及公司與員工之間和諧的勞動關系,制定出適合員工勞動和勞動報酬的相關規(guī)定和標準,并保證其合法性和可操作性,進一步依法保護好員工的合法權益。

3、繼續(xù)加強隊伍建設。隊伍建設是公司實現各項工作目標的基礎工作,我們將繼續(xù)把好人員準入關,對新招人員做到按規(guī)定嚴格政審、培訓、實習,同時進一步加強日常工作的管理,加大隊伍建設力度,夯實公司謀求進一步發(fā)展的基礎。

在思想非常重視自己工作崗位重要性,我能夠服從領導安排,團結同事,愛護集體榮譽,遵守規(guī)章制度和崗位職責,做到上班不遲到不早退,工作中不擅自離崗脫崗,押運過程不接聽電話發(fā)送短信等違反規(guī)章制度行為,并態(tài)度端正不當面頂撞領導不背后議論,不泄露押運秘密等一切公司內部消息。

有優(yōu)點也有缺點工作中業(yè)務不夠熟練,工作效率不太高,文明禮儀不夠好,工作中方法不夠靈活,有時候存在這思想麻痹和僥幸心理,其次安排事情比叫拖拉沒有提前意識,想問題不夠深入等。

在過去的工作時間里,既取得了一定的成績,又有不足之處,不管怎樣,在今后的工作中,我一定克服困難,再接再厲,從而較好地起到武裝護衛(wèi)的作用,決心為安邦武裝押運事業(yè)作出巨大貢獻!

第7篇

一、充分認識信息技術改造傳統(tǒng)流通業(yè)的重要意義

用信息技術改造傳統(tǒng)流通業(yè),加快建立現代流通體系,是提高國民經濟運行質量,建設制造業(yè)強省的重要舉措,是建設現代流通業(yè)強省的必由之路。近年來,*省對這項工作高度重視,特別是被國家確定為信息技術改造傳統(tǒng)產業(yè)試點省后,各地和有關部門采取一系列有效措施,不斷加大流通信息化建設力度,取得了明顯成效。一批規(guī)模較大的物流和商貿企業(yè)采用信息化管理手段對采購、運輸、倉儲、銷售和配送等業(yè)務進行優(yōu)化整合,壓縮了倉儲面積,加快了資金周轉,降低了流通成本,增強了競爭能力。但與先進省市相比,仍然存在一些問題:一是重視程度不夠,對流通信息化的作用和意義認識不足;二是信息化水平低,傳統(tǒng)流通業(yè)信息技術應用范圍小;三是對流通信息化人力、物力投入不足;四是政策環(huán)境有待進一步完善;五是流通領域信息化建設缺乏統(tǒng)一規(guī)劃與協(xié)調等等。這些問題嚴重制約了*省流通業(yè)信息化的快速發(fā)展。各地、各有關部門對此要高度重視,積極引導、扶持利用信息技術改造傳統(tǒng)流通業(yè),促進*省現代流通業(yè)的發(fā)展。

二、指導思想及工作原則

(一)指導思想。

以*理論和“*”重要思想為指導,用科學發(fā)展觀統(tǒng)攬全局,全面貫徹黨的十六大和十六屆五中全會精神,采用先進、適用的信息技術賦予傳統(tǒng)流通業(yè)新的內容,促進流通產業(yè)結構的優(yōu)化升級,提高*省流通業(yè)的整體水平和核心競爭力。

(二)工作原則。

1、統(tǒng)籌規(guī)劃,分步實施。各級政府要將信息技術改造傳統(tǒng)流通業(yè)納入工作計劃,制定切實可行的實施方案,先易后難,分步實施,注重實效。

2、政府推進,企業(yè)主導。各有關部門要采取相應措施,鼓勵流通行業(yè)推廣應用信息技術,引導社會投入資金,加強基礎設施建設和信息技術推廣。各流通企業(yè)要主動利用信息技術對經營、管理、營銷等環(huán)節(jié)進行改造,促進傳統(tǒng)流通方式向信息化支撐下的現代流通方式轉變。

3、突出重點,協(xié)調發(fā)展。按照*省發(fā)展現代流通業(yè)總體部署,把物流、商貿企業(yè)最需要信息技術進行改造的關鍵環(huán)節(jié)作為重點,有效解決阻礙流通信息化發(fā)展的瓶頸問題。統(tǒng)籌協(xié)調物流、商貿企業(yè),創(chuàng)建實用、高效的流通信息化體系。

4、統(tǒng)一標準,資源共享。各有關部門要按照“統(tǒng)一規(guī)劃,標準先行,互聯互通,資源共享”的原則,打破信息在行業(yè)、體制和所有制上的分割,實現共同開發(fā),共同利用,共同受益。

三、目標及任務

(一)主要目標。突出抓好連鎖經營、物流配送、批發(fā)市場和超級市場的信息化建設,建立區(qū)域、基地、園區(qū)、企業(yè)等多層次流通信息化網絡,實現服務理念、管理手段、流通方式向信息化流通方式轉變。加快推進內外貿一體化和貿、工、農一體化,加強企業(yè)的橫向聯合,注重供應鏈上企業(yè)間的信息共享與聯系,用5年左右的時間基本建成結構合理、技術先進、運轉高效的流通業(yè)信息體系,用10年左右的時間初步實現流通現代化。

(二)主要任務。用信息技術改造傳統(tǒng)物流企業(yè)和商貿企業(yè),加快培育現代流通企業(yè),實現信息流、資金流、物流的一體化運作。以開拓市場、擴大消費、方便群眾為主線,大力推進商品市場體系、現代流通體系、市場監(jiān)控體系、商業(yè)信用體系和網絡及信息安全體系建設。

1、建設與國際接軌的區(qū)域性流通信息化基地。*、青島、臨沂作為流通信息化的重點區(qū)域,要通過優(yōu)化流程,改組改造,建立高水平、標準化、智能化的流通信息化基地,成為*省流通信息交換樞紐和電子商務中心。

*、*、*、*、*、*、*、*等地區(qū),重點發(fā)展區(qū)域物流信息化,提升物流園區(qū)、物流中心和物流場站服務功能,努力建成全國中轉物流基地,成為連接華南、華中和華北地區(qū)的重要樞紐;青島、煙臺、濰坊、威海、日照等地區(qū),重點發(fā)展港口流通信息化。構筑暢通的海運、鐵路、公路、航空信息系統(tǒng),努力成為輻射東北三省和韓、日、朝等國的國際化物流與商貿基地;棗莊、濟寧、臨沂、菏澤等地區(qū),重點推進連鎖經營、物流配送、服務“*”信息化建設??诎冻鞘幸訌姟按笸P”信息管理平臺建設,推行一站式服務形式,提高通關效率。

2、在流通領域大力推行電子商務。進一步加大貫徹實施《中華人民共和國電子簽名法》、《關于加快電子商務發(fā)展的若干意見》,以及*省相關政策的力度,加強信用評估與誠信機制建設,逐步建立和完善信息安全制度,為推廣電子商務營造良好環(huán)境。力爭到2010年電子商務交易額占社會消費品零售總額6%—7%,持卡消費額占社會消費品零售額10%以上。

3、在物流企業(yè)拓寬信息技術應用的深度和廣度。以大型物流企業(yè)為重點,開展面向供應鏈的流通示范工程。重點做好改造第三方物流企業(yè)工作,主要包括以工業(yè)原材料和零部件采購為主的物流企業(yè),以產品貿易批發(fā)為主的物流企業(yè),以運輸、倉儲和貨代為主的物流企業(yè),以農副產品流通為主的物流企業(yè)。采用先進的網絡設備、信息技術、自動控制技術、車輛衛(wèi)星定位系統(tǒng)(GPS)技術、衛(wèi)星定位系統(tǒng)和地理信息系統(tǒng)(GIS)相結合的監(jiān)控技術、條碼技術、電子標簽(RFID)技術、智能倉庫技術及電子數據交換(EDI)技術等,實現貨物運輸信息的快速傳遞、加工與管理,使流通企業(yè)實現調度管理科學化、貨物配載智能化、裝卸搬運機械化、賬目結算電子化,形成物流信息化新格局。加快建設和完善全省交通業(yè)務資源網,建立豐富的交通信息資源庫和高效的信息共享與傳輸平臺。完善車站、機場、碼頭以及各類運輸工具的調度管理系統(tǒng),確保信息傳輸通暢、貨物轉運流暢、車輛調度順暢。到2010年,大型流通企業(yè)和中型流通企業(yè)網絡營銷普及率分別達到80%和50%。

4、推進商貿零售企業(yè)信息技術應用向縱深發(fā)展。以具有一定規(guī)模的超市和連鎖配送企業(yè)為重點,建立健全流通平臺,在人、財、物、進、銷、存和企業(yè)管理等環(huán)節(jié)推廣普及綜合信息管理系統(tǒng)(MIS)、企業(yè)資源計劃系統(tǒng)(ERP)和時點銷售系統(tǒng)(POS);引導和鼓勵供需雙方開展網上交易,促進傳統(tǒng)交易方式向現代交易方式轉變。有條件的大中型商貿企業(yè)要逐步推廣電子訂貨系統(tǒng)(EOS)、供應商管理系統(tǒng)(SRM)、客戶關系管理系統(tǒng)(CRM)和供應鏈管理系統(tǒng)(SCM)等,引導企業(yè)應用先進信息技術。

加強IC卡的管理與發(fā)行,通過整合社會公共信息資源,爭取實現一卡多用。進一步擴大金融卡持卡人數量,擴大刷卡消費和支付范圍。

5、在“*”領域逐步推廣應用信息技術。青島、煙臺、濰坊、棗莊、*、日照、菏澤等地要充分發(fā)揮農、林、畜、水產等地方優(yōu)勢,以農資、農產品、消費品加工、儲藏、運輸、銷售為突破口,加快信息技術在“*”領域和涉農企業(yè)的應用。要充分利用信息技術對涉農市場運行進行監(jiān)測和預報,協(xié)助農民識別、打擊假冒偽劣種子、化肥等農資產品。要根據農村和農民需要,整合不同需求,逐步形成城鄉(xiāng)聯動、連鎖配送的商品流通體系。有條件的地方可實現網上交易和網上支付,促進農產品進城、農資及日常用品下鄉(xiāng),擴大城鄉(xiāng)物資交流范圍,縮小城鄉(xiāng)差距。爭取利用3年左右的時間使信息網絡覆蓋全省各鄉(xiāng)鎮(zhèn)和80%以上的行政村。

四、主要措施

(一)加強流通領域信息基礎設施建設。要整合企業(yè)、交通、銀行、海關、工商、稅務等多個信息系統(tǒng),在*、青島、臨沂3市建設省級公共流通信息交換平臺。制訂流通業(yè)信息交換標準,實現生產商、流通商和需求商的信息交流與整合。各大網絡運營商逐步把網絡延伸至農村,積極為現代流通業(yè)提供優(yōu)質高效的網絡資源。信息產業(yè)主管部門要組織有關企業(yè)和科研機構加大對流通信息化的研究和開發(fā)力度,在硬件、軟件和技術保障等方面提供相應服務。

(二)用足用好扶持政策。各級政府、各部門要大力支持用信息技術改造傳統(tǒng)流通業(yè),把建設現代物流公共信息平臺作為高新技術產業(yè)加以扶持,享受國家高新技術產業(yè)同等優(yōu)惠政策。發(fā)展與改革部門制定年度經濟發(fā)展規(guī)劃時,要重點體現信息技術在流通企業(yè)的推廣應用;信息產業(yè)發(fā)展專項資金要對信息技術改造傳統(tǒng)流通業(yè)予以傾斜;省內刷卡消費要按同行業(yè)最低標準收取手續(xù)費。依據《關于調整進口設備稅收政策的通知》和財政部、國家稅務總局《關于印發(fā)〈技術改造國產設備投資抵免企業(yè)所得稅暫行辦法〉的通知》、《關于印發(fā)〈鼓勵軟件產業(yè)和集成電路產業(yè)發(fā)展若干政策〉的通知》等文件規(guī)定,經主管機關批準,流通企業(yè)建立信息管理系統(tǒng)、流通配送管理系統(tǒng)等項目所需進口設備,執(zhí)行國家有關稅收減免政策。優(yōu)先推薦技術應用狀況良好、經營業(yè)績優(yōu)良的企業(yè)上市;對已上市的流通企業(yè)優(yōu)先推薦發(fā)行新股。

(三)發(fā)揮典型示范作用。以省政府確定的15戶流通大企業(yè)和29戶重點連鎖經營企業(yè)為示范單位,不斷積累在使用電子標簽(RFID)、條碼、商品編碼、稅控收款機、前臺交易系統(tǒng)、決策支持系統(tǒng)、網上訂貨系統(tǒng)、倉儲自動化管理等方面的經驗,通過采取現場會等多種形式宣傳推廣,努力提高信息化整體水平。

第8篇

關鍵詞:射頻識別(RFID,Radio Frequency Identification);系統(tǒng)設計;混凝土方量統(tǒng)計

以往車輛管理及統(tǒng)計混凝土運輸量絕大部分都是依靠人工,每運輸一次就登記累加一次,然后在規(guī)定時間點收集、匯總。這樣的形式,不僅增加了人工投入,還會因為人工長時間疲勞工作而造成的錯記、漏記、多記,甚至是虛報現象,為數據統(tǒng)計造成諸多麻煩。而采用RFID電子標簽后,所有數據統(tǒng)計均由信息處理系統(tǒng)自動完成而無需人工干預,為運輸費用支付提供了科學依據。

RFID射頻識別技術是從上世紀80年展起來,并逐步走向成熟的一項自動識別技術, 90年代后期,隨著電子信息技術的發(fā)展而得到蓬勃發(fā)展。在當今社會中,RFID技術已經與我們息息相關,如第二代公民身份證、ETC不停車收費統(tǒng)、RFID門禁系統(tǒng)、RFID-SIM手機錢包、RFID停車場、RFID門票、公交智能卡等, RFID的應用已相當廣泛。

文章提出了基于RFID的混凝土運輸車輛自動化統(tǒng)計系統(tǒng),該系統(tǒng)可以有效收集混凝土裝載、運輸、卸載等各個環(huán)節(jié)的信號。

1 RFID技術及系統(tǒng)

RFID技術起步較早, 按工作頻率的不同,RFID技術可分為低頻(LF)、高頻(HF)、超高頻(UHF)和微波頻段(MW)四種。

典型的射頻識別系統(tǒng)包括三部分:讀寫器、射頻卡及天線。讀寫器也稱收發(fā)器或詢問器,它由發(fā)射單元、接收單元、信號處理控制單元和電源等組成。它通過天線向RFID卡發(fā)送射頻調制信號(也稱詢問信號),同時通過天線接收從RFID卡返回的載有RFID卡中信息的射頻調制信號(也稱應答信號),經處理后傳給智能控制設備。射頻卡也稱應答器或電子標簽,它的幾個主要模塊集成到一塊芯片中,完成與讀寫器通信,芯片上有存儲空間用來儲存識別號碼或其他各種設定數據等。芯片僅需連接天線,可以作為人員的身份識別卡或貨物的標識卡。RFID系統(tǒng)工作時,RFID讀寫器通過天線發(fā)送出一定頻率的射頻信號 ,當RFID卡進入該磁場時產生感應電流獲得能量,處于激活狀態(tài),同時利用此能量發(fā)送出自身編碼等信息通過卡內置發(fā)送天線發(fā)送出去,系統(tǒng)接收天線接收到從射頻卡發(fā)送來的載波信號,經天線調節(jié)器傳送到讀寫器,讀寫器讀取信息并解碼后獲得卡內數據;當寫數據時,讀寫器通過發(fā)射特定頻率的無線電波傳送寫指令信息和所寫數據給 RFID卡,RFID卡則按照指定的地址把數據寫入RFID卡。

圖1 RFID系統(tǒng)組成

2 系統(tǒng)設計

系統(tǒng)充分利用RFID電子標簽非接觸即可感應的特性,由設在運輸車輛上的車輛上的RFID電子標簽、RFID感應天線、RFID讀寫器及RFID手持式終端等組成。

在混凝土拌合樓運輸車??坎⒌却b料的地方埋設感應天線,并與RFID讀卡器相連接,RFID讀卡器通過TCP/IP方式與信息處理中心雙向通訊;RFID電子標簽安裝在對應車輛合適位置,確保能被感應天線正確讀取和寫入數據。

裝有混凝土的車輛到達裝料點,等待裝運混凝土時,感應天線激活RFID電子標簽,RFID電子標簽通過自身天線以無線電波方式發(fā)射需要存儲的數據,如前一車運輸方量、混凝土標號、運輸目的地等信息,感應天線撲捉到無線電波,將信號送至RFID讀卡器,經RFID讀卡器經解碼等信號處理后,通過TCP/IP網絡傳送到信息處理中心,信息處理中心后臺數據庫記錄下數據,同時發(fā)出一個需要RFID電子標簽存儲的信息,如運輸方量、混凝土標號、運輸目的地、質檢是否合格等信息,信息反向經TCP/IP網絡傳至RFID讀卡器,讀卡器再經過編碼通過感應天線發(fā)出無線電波,RFID電子標簽收到電波后激活,并經數據校對后寫入對應信息。

圖2

在混凝土輸送目的地,施工管理人員可通過手持式移動終端,讀取混凝土運輸車輛上設置的RFID電子標簽信息,檢查車輛裝載混凝土標號、方量、是否合格等信息,實現對混凝土運輸車輛的裝車及卸車的數據及時監(jiān)控,并實時通過無線聯網上傳相關數據至信息處理中心集中存儲,實現自動化的控制、減少人工作業(yè)、提高了混凝土運輸車輛統(tǒng)計自動化程度。管理人員可以在信息中心查閱任意時間段的混凝土運輸總量、每月(每日、每班)運輸總數等施工信息,能更科學、合理的安排下一環(huán)節(jié)工作計劃,為施工及管理提供了方便。

3 結束語

近年來,射頻識別技術以其特有的優(yōu)勢,逐漸在社會眾多領域開始應用,如工業(yè)自動化控制、商業(yè)自動化和交通運輸、商品零售、物流控制管理等領域,深入到生活中的方方面面,如身份證、公交卡、超市、小區(qū)門禁等,處處可以見到,同時也給人們帶來了很大的便利。

RFID技術對改善人們的生活質量、提高企業(yè)經濟效益起到了重要作用, RFID技術通過與二維條碼、指紋生物識別信息識別技術的融合,在公共信息安全方面發(fā)揮了重要作用,同時也大幅提高了社會信息化水平。在不遠的將來可以預見,RFID技術將向智能化、模塊化、小型化發(fā)展,將使RFID信息更加安全,使用更加方便、快捷和廣泛。

參考文獻

[1]游戰(zhàn)清,劉克勝.無線射頻識別技術(RFID)規(guī)劃與實施[M].電子工業(yè)出版社.

[2]王曉華,周曉光.射頻識別技術及其應用[J].現代電子技術.

[3]王洪亮,高晏波.談談RFID技術的應用[J].科技應用,2006.

[4]劉兆峰,徐進.無線射頻識別(RFID)技術及其應用探討[J].山東機械.

第9篇

【關鍵詞】 信息系統(tǒng)審計 審計內容 審計方法

一、引言

相比于傳統(tǒng)審計,信息系統(tǒng)審計(Information System Auditing)是審計領域中的一個新概念。目前,關于信息系統(tǒng)審計,學術界和業(yè)界均無通用的定義。美國信息系統(tǒng)審計權威專家Ron.A.Weber提出:信息系統(tǒng)審計可定義為通過一定的技術手段收集、分析證據,以對計算機系統(tǒng)是否能夠保證資產安全、維護數據完整、實現組織目標以及高效利用資源進行評價的過程。日本通產情報協(xié)會作了如下定義:信息系統(tǒng)審計是指,為了信息系統(tǒng)的安全、可靠與有效,由獨立于審計對象的信息系統(tǒng)審計師以第三方的立場對以計算機為核心的信息系統(tǒng)進行綜合檢查和評價,并向信息系統(tǒng)審計對象的最高領導者提出問題與建議的一連串活動。國際信息系統(tǒng)審計和控制協(xié)會(ISACA)將其定義為:信息系統(tǒng)審計是一個獲取并評價證據,以判斷計算機系統(tǒng)是否能夠保證資產的安全、數據的完整以及有效率地利用組織的資源并有效果地實現組織目標的過程。

針對以上觀點,我們將其要點歸納如下:信息系統(tǒng)審計是審計師對以計算機為核心的信息系統(tǒng),通過專業(yè)判斷和評價,合理保證信息系統(tǒng)安全、穩(wěn)定、有效,并向信息系統(tǒng)的高層管理者及使用者提供問題解決方案,以達到改善經營和為組織增加價值目的的一個過程。

二、信息系統(tǒng)審計的發(fā)展與現狀

20世紀60年代,隨著計算機技術開始運用于企業(yè)的信息收集和整理中,會計信息處理逐漸無紙化,促使審計人員在執(zhí)行傳統(tǒng)審計業(yè)務時,必須關注以電子數據為載體的電子數據處理審計(EDP Electronic Data Processing)。20世紀70年代中期至80年代,電子數據處理和管理系統(tǒng)等在企業(yè)中逐漸普及,同時,計算機犯罪和計算機系統(tǒng)失效的事件頻頻發(fā)生,使得信息系統(tǒng)審計日益得到重視并迅速發(fā)展。美國、日本先后成立了IT審計方面的協(xié)會組織,從事對IT審計規(guī)則的制定和實施指導。20世紀90年代,信息和信息系統(tǒng)已成為企業(yè)的重要資產,企業(yè)和社會對信息系統(tǒng)控制和審計的需求愈發(fā)強烈。發(fā)達國家的信息系統(tǒng)審計進入普及期,許多國家的審計機關、學者和組織對計算機環(huán)境下的信息系統(tǒng)審計進行了有益的探索。同時,東南亞各國也逐漸認識到信息系統(tǒng)審計的重要性,開始著手研究信息系統(tǒng)審計理論和實務。

目前,我國信息系統(tǒng)審計僅有十幾年的歷史,尚處于探索階段,既缺乏開展信息系統(tǒng)審計業(yè)務的人才隊伍,也沒有形成專業(yè)規(guī)范體系,所進行的一些計算機審計方面的探索和嘗試以及計算機審計軟件的開發(fā)和應用還大都停留在對被審計單位電子數據進行處理的階段。存在的主要問題有:信息系統(tǒng)審計觀念落后;信息系統(tǒng)審計相關的準則、標準和規(guī)范尚不完善;信息系統(tǒng)審計專業(yè)人才匱乏;信息系統(tǒng)審計軟件開發(fā)工作滯后。

1997年,廣州地鐵開始公司“信息化”建設。最初,廣州地鐵經營審計采用“繞過計算機審計”的方法,即對導出數據進行審計。審計過程中,其逐漸意識到了運用這種“黑箱原理”審計方法的風險。因此,2006年公司組建了專門的IT審計模塊,探索“如何利用計算機審計”和“通過計算機審計”。其后,廣州地鐵信息系統(tǒng)審計發(fā)展經歷了借力、助力和自立三個階段。

一是借力期:IT審計模塊成立初期,公司與外部顧問共同開展IT審計項目,通過外部專業(yè)人員向審計人員傳輸IT審計技能,同時制定《IT審計實施細則》,在人員技能儲備和制度上為IT審計模塊的發(fā)展奠定了基礎。二是助力期:審計人員參照審計手冊,利用從外部顧問處學習到的審計技能,逐步開展信息系統(tǒng)審計工作,將IT審計工作模式調整為以自身力量為主,外部咨詢服務為輔的模式。三是自立期:2009年,廣州地鐵IT審計已基本實現自主化,且IT審計模塊逐步走向成熟,同時其還建立了具有自身特色的信息系統(tǒng)審計框架。

目前,IT審計已經發(fā)展成為廣州地鐵內部審計的一根“支柱”,連同“內控審計”,作為基本的審計手段貫穿于各類專業(yè)審計工作中,支持審計體系的鞏固與發(fā)展。

三、信息系統(tǒng)審計內容

1、國內外關于信息系統(tǒng)審計內容的研究

開展信息系統(tǒng)審計首先要明確審計內容。國際信息系統(tǒng)審計協(xié)會規(guī)定,信息系統(tǒng)審計的主要內容包括信息系統(tǒng)程序審計、信息技術(IT)治理、系統(tǒng)生命周期管理、IT服務的交付與支持、信息資產的保護、災難恢復和業(yè)務連續(xù)性計劃。

近十幾年來,國內的學者和組織也對信息系統(tǒng)審計的內容進行了探索和研究。審計署在2012年頒布的《信息系統(tǒng)審計指南――計算機審計實務公告第34號》中明確提出了:信息系統(tǒng)審計包括對應用控制、一般控制和項目管理的審計。其中,應用控制包括信息系統(tǒng)業(yè)務流程,數據輸入、處理和輸出的控制,信息共享和業(yè)務協(xié)同;一般控制包括信息系統(tǒng)總體控制、信息安全技術控制、信息安全管理控制;項目管理包括信息系統(tǒng)建設的經濟性、信息系統(tǒng)建設管理、信息系統(tǒng)績效。

上述具有代表性的規(guī)定和研究成果對信息系統(tǒng)審計內容的劃分,均是以對信息系統(tǒng)邏輯結構的分析為基礎。全面分析信息系統(tǒng)的邏輯結構,可從信息系統(tǒng)的構成要素、信息系統(tǒng)生命周期和信息系統(tǒng)管理三個維度進行描述:從構成要素來看,信息系統(tǒng)由人員、應用(包括軟件平臺和應用系統(tǒng))、所采用的技術、硬件設備、數據文件運行規(guī)則組成;信息系統(tǒng)生命周期可劃分為信息系統(tǒng)的規(guī)劃階段、開發(fā)階段、運行維護階段和更新階段;從信息系統(tǒng)管理的維度來看,對系統(tǒng)的管理與控制活動貫穿于信息系統(tǒng)生命周期的始終,主要是通過有效執(zhí)行一系列健全有效的規(guī)章制度和管理規(guī)程來實現。

2、廣州地鐵信息系統(tǒng)審計實施框架

結合廣州地鐵信息化項目多、系統(tǒng)更新快、數據集成度高、系統(tǒng)控制與手工控制并重等特點,圍繞信息系統(tǒng)構成要素、信息系統(tǒng)生命周期和信息系統(tǒng)管理三個維度,廣州地鐵將信息系統(tǒng)審計的內容劃分為整體計算機控制審計、應用控制審計和系統(tǒng)建設效能評價三個方面。其中,整體計算機控制審計是對信息系統(tǒng)運行中的控制活動進行審計,目的是合理保證由信息系統(tǒng)支持的業(yè)務流程控制是可靠的、生成的數據和報告是可信的。應用系統(tǒng)控制審計是對業(yè)務流程中的自動化控制活動進行審計,以合理保證交易的有效性、經適當授權和記錄、完成的完整性、準確性和及時性。項目及系統(tǒng)績效審計是對信息化項目的過程及成果對企業(yè)和業(yè)務產生的效益進行審計,用來合理保證信息化項目的投資/產出比例符合建設的目標,以及信息系統(tǒng)對企業(yè)戰(zhàn)略起到的預期的支撐作用。圍繞上述三個方面,廣州地鐵內部審計確立了以下的實施框架。

(1)確立整體計算機控制安全、操作、變更的三個評價維度,圍繞“信息系統(tǒng)全生命周期”,明確整體計算機控制十個流程。廣州地鐵通過學習和借鑒國際信息系統(tǒng)技術管理和控制標準COBIT,建立起了一套自己的整體計算機控制審計框架??蚣芸砂戳鞒毯涂刂祁愋蛢煞N方式進行劃分,兩種劃分方式在本質上是一致的。在按流程劃分出的每個子流程中,信息系統(tǒng)審計人員需要從變更、安全、操作的角度去確認和評估具體的控制點;在按控制職能所作的劃分中,審計人員需要圍繞信息系統(tǒng)的策略與計劃、信息系統(tǒng)操作、與外部供應商關系、業(yè)務可持續(xù)計劃、應用系統(tǒng)開發(fā)、數據庫、軟件支持、網絡、硬件等十個子流程進行審計。

圍繞安全、變更、操作三個角度及十個子流程,廣州地鐵共梳理出有關整體計算機控制的41項審計內容,并針對每一項內容明確了控制目標和風險,建立起了一套完整的整體計算機控制矩陣。例如,信息系統(tǒng)策略和計劃子流程中,廣州地鐵明確了整體計算機控制的三大目標――信息系統(tǒng)戰(zhàn)略、規(guī)劃和預算應與實際業(yè)務和戰(zhàn)略目標保持一致,計算機處理環(huán)境應得到具有適當技能和經驗的人員的充分支持和保證,以及計算機處理環(huán)境中的人員應接受適當的培訓,審計人員在此基礎上針對各控制目標,識別并歸納出廣州地鐵現行的9個控制活動。在具體開展信息系統(tǒng)整體計算機控制審計時,信息系統(tǒng)審計人員根據審計項目的特點和要求,選擇需要評價的子流程,再對照子流程的控制活動進行評估及測試即可。

(2)從內部控制目標出發(fā),將信息系統(tǒng)應用控制劃分為訪問控制、完整性控制及數據質量控制三大方面。廣州地鐵將信息系統(tǒng)的應用控制劃分為應用系統(tǒng)訪問控制、流程和系統(tǒng)完整性控制以及數據質量控制三大類,并針對各類控制分別設計了不同的審計內容。

一是應用系統(tǒng)授權訪問控制審計包括對系統(tǒng)的認證方式、授權機制、權限的分配管理以及不相容職責分離在系統(tǒng)中的實現情況的審計,目的在于保證經過允許的人才能訪問和操作系統(tǒng)。二是流程和系統(tǒng)完整性控制審計是對系統(tǒng)輸入、處理、輸出以及接口等各種系統(tǒng)運行規(guī)則的審計,用以保證所有經允許處理的數據均轉換到介質上并被處理,且處理的結果可通過適當的方式加以輸出,所有輸入、轉換、處理和輸出均在正常的時間內準確地進行。三是數據質量控制審計則是指對信息系統(tǒng)中的數據的完整性、規(guī)范性和有效性所進行的審計,旨在保證所有系統(tǒng)的輸出均反映為經批準的有效的經濟業(yè)務,所有經過系統(tǒng)的數據真實、有效,且能滿足企業(yè)各項業(yè)務的使用要求。

(3)圍繞“信息化項目”和“信息系統(tǒng)”,綜合評價信息化建設的效益。在開展整體計算機控制審計和應用控制審計的基礎上,廣州地鐵從企業(yè)經營和投資效益的視角出發(fā),在信息系統(tǒng)審計中引入了3E審計的概念,嘗試對信息系統(tǒng)建設項目的成效、建成后系統(tǒng)的應用效能以及信息化對戰(zhàn)略的支撐效果進行審計。為了全面評價項目,廣州地鐵通常將對單個信息系統(tǒng)建設項目的合規(guī)性審計與項目效能審計結合在一起開展。

一是信息系統(tǒng)建設成效審計旨在通過對系統(tǒng)建設全過程的審計,促進信息系統(tǒng)的建設規(guī)范性,提高信息系統(tǒng)建設的質量。二是信息系統(tǒng)應用效能審計包括對業(yè)務需求的實現情況、建成功能的使用情況的審計分析,以及對系統(tǒng)應用對業(yè)務管理規(guī)范化、標準化和精細化提升作用的綜合評價,目的在于促進系統(tǒng)使用價值的最大化,減少系統(tǒng)建設的投資浪費。三是戰(zhàn)略支撐效果審計是從支持戰(zhàn)略實現的角度,評價信息系統(tǒng)的建設效益,保證信息化建設在符合業(yè)務管理要求的同時,符合公司戰(zhàn)略的需要,支持公司戰(zhàn)略的實現。

四、信息系統(tǒng)審計實施步驟

信息系統(tǒng)審計步驟(或流程),是審計工作從開始到結束的整個過程。信息系統(tǒng)審計流程一般可劃分為四個階段:計劃階段、實施階段、報告階段和后續(xù)階段。計劃階段是信息系統(tǒng)審計流程的起點,此階段的主要工作包括了解被審計系統(tǒng)的基本情況,初步評價被審計單位信息系統(tǒng)的內部控制和外部控制,識別重要性和編制審計計劃。實施階段是根據計劃階段確定的審計范圍、重點、步驟和方法進行有針對性的取證、評價,并形成審計結論的過程。實施階段是信息系統(tǒng)審計工作的核心,主要由符合性測試和實質性測試兩個部分構成。在報告階段,信息系統(tǒng)審計人員需運用專業(yè)判斷,整理、評價收集到的審計證據,以經過核實的審計證據為依據,形成審計意見,出具審計報告。審計報告的出具并不意味著信息系統(tǒng)審計工作的終結。根據國際信息系統(tǒng)審計標準,信息系統(tǒng)審計人員對于系統(tǒng)中發(fā)現的重大問題和漏洞,需要對被審計單位所采取的糾正措施及其效果進行后續(xù)審計。審計人員需要將后續(xù)審計納入計劃,并安排必要的人員和時間進行后續(xù)審計。

廣州地鐵IT審計模塊成立之初,即明確了IT審計“對公司的系統(tǒng)流程與控制、項目進行審計”和“提供有益于增加公司價值的咨詢服務”兩項核心職責,并圍繞公司戰(zhàn)略,以“風險導向”、“服務戰(zhàn)略”理念為指導,從信息系統(tǒng)審計戰(zhàn)略規(guī)劃和具體項目執(zhí)行兩個層面分別制定信息系統(tǒng)審計的流程。

1、以公司戰(zhàn)略為導向,制定信息系統(tǒng)審計的戰(zhàn)略規(guī)劃

一直以來,廣州地鐵奉行“源于戰(zhàn)略、服務于戰(zhàn)略”的現代審計理念。這一理念主要體現在兩個方面:一是在制定內審工作計劃時,從公司戰(zhàn)略出發(fā),制定各個內審業(yè)務及各專業(yè)審計模塊的戰(zhàn)略,并以業(yè)務戰(zhàn)略為指導,開展具體的審計工作;二是在開展審計項目的過程中,始終從保障公司戰(zhàn)略執(zhí)行的角度去發(fā)現問題、評價問題,提出整改意見和落實整改。信息系統(tǒng)審計的戰(zhàn)略規(guī)劃來源于公司的戰(zhàn)略,以及以公司戰(zhàn)略指導制定的公司信息系統(tǒng)戰(zhàn)略規(guī)劃和內部審計業(yè)務戰(zhàn)略規(guī)劃;同時還須結合公司信息化現狀和IT審計模塊定位,明確廣州地鐵IT審計發(fā)展戰(zhàn)略目標。

2、通過風險評估,確定各信息系統(tǒng)風險等級,制定層次分明、重點突出的信息系統(tǒng)循環(huán)審計計劃

為利用有限的審計資源掌握公司主要信息系統(tǒng)的建設、運營情況,保障信息資源的有效利用,降低公司信息系統(tǒng)的整體風險,廣州地鐵建立了一套“根據信息系統(tǒng)風險評級制定差異化的審計策略”。

(1)梳理信息系統(tǒng)脈絡,全面掌握信息系統(tǒng)現狀。廣州地鐵結合信息系統(tǒng)規(guī)劃、建設和運營的情況及系統(tǒng)分類梳理出被審計信息系統(tǒng)清單,并從系統(tǒng)構成要素的角度收集系統(tǒng)相關的信息。這些信息包括系統(tǒng)名稱、功能模塊、采用產品等基本信息,以及項目的建設信息、系統(tǒng)的使用狀況和運維的基本情況。這些信息是風險評分的依據,也為后續(xù)開展具體審計工作時確定審計方案提供了指引。

(2)開展信息系統(tǒng)風險評級,制定風險導向型審計計劃。內審人員從通用風險、業(yè)務風險、項目風險、系統(tǒng)風險、數據風險和人員風險六大風險類別出發(fā),全面識別信息系統(tǒng)各類構成要素中存在的風險;對信息系統(tǒng)進行風險評價,根據風險得分將信息系統(tǒng)按優(yōu)先級分別劃分為高、中、低三類。結合公司IT審計資源的情況,對優(yōu)先等級高的系統(tǒng)采用三年一審策略,中等級系統(tǒng)5―6年一個審計周期,風險等級低的系統(tǒng)則根據需要安排審計。在此審計策略的基礎上,再綜合考慮公司業(yè)務的十大風險、領導關注事項、上一年度內控評價結果和審計項目成果、公司新一年的工作重點、公司信息系統(tǒng)的變動情況,并制定出本年度的信息系統(tǒng)審計計劃。

3、以風險為導向,開展信息系統(tǒng)審計

在項目實施階段,審計人員必須從公司整體信息系統(tǒng)控制環(huán)境和被審計系統(tǒng)的狀況、流程與內部控制兩個方面進一步收集被審計系統(tǒng)的相關資料,了解和確認被審計單位已建立的內部控制措施,并對這些控制措施的設計是否達到控制目標進行評估。

(1)以“輪流循環(huán)+以點帶面”的方式開展整體計算機控制審計。公司的信息化業(yè)務采用統(tǒng)一集中管理的模式,整體計算機控制對各個系統(tǒng)具有一定的通用性。因此,在實務操作中,廣州地鐵采用“以點帶面”的策略,以單個信息系統(tǒng)整體計算機控制為切入點對整體計算機控制進行審計,評價整體信息系統(tǒng)的安全性;同時,考慮到信息系統(tǒng)在一定時間內相對穩(wěn)定,因此在實施整體計算機控制審計時可采取輪流測試的方式,即每年從十個子流程中選取幾個進行測試,經過一定周期后,完成對整體計算機控制的全面審計。例如,在2011年開展的信息安全審計項目中,審計人員就圍繞信息安全這個審計主題,從十個子流程中選取了與信息安全直接相關的信息系統(tǒng)操作、信息系統(tǒng)安全、業(yè)務可持續(xù)計劃、應用系統(tǒng)開發(fā)與實施、數據庫開發(fā)與實施和系統(tǒng)軟件支持等六個流程進行審計。分步、循環(huán)開展整體計算機審計,在審計風險可控的情況下,大大節(jié)省了審計資源,也使得審計人員能夠更加深入地挖掘和分析整體計算機控制方面所存在問題以及問題的成因,提出更為切實可行、同時又符合公司信息化業(yè)務發(fā)展現狀和要求的整改措施。

(2)以風險為著眼點,確定應用控制審計重點。應用控制是各個信息系統(tǒng)內部所建立的控制機制,應用控制審計必須針對某個具體信息系統(tǒng)開展。在開展應用控制審計的過程中,審計人員應緊緊圍繞“風險”這個著眼點,通過對原有業(yè)務成熟度和系統(tǒng)建設過程中風險的評估,選擇不同的審計側重點開展應用控制審計。例如,在合同管理系統(tǒng)審計項目中,由于合同管理系統(tǒng)是全新開發(fā)的系統(tǒng),審計人員經分析,判定系統(tǒng)在應用系統(tǒng)訪問控制方面的風險較高。而在進行控制評估和測試后,審計人員發(fā)現業(yè)務人員在創(chuàng)建系統(tǒng)權限設置機制時完全套用了公司辦公自動化系統(tǒng)的權限機制,而未針對合同業(yè)務流程中不同于公司組織架構下的角色設立相應的用戶組,導致系統(tǒng)無法實現合同經辦人與審批人職責的分離,存在重大的內控風險。

五、信息系統(tǒng)審計方法

在信息系統(tǒng)審計中,可因地制宜,綜合運用多種學科的技術方法,包括:傳統(tǒng)審計中內部控制測評的基本方法和審計取證的基本方法(包括審閱、核對、監(jiān)盤、觀察、查詢、函證、計算、分析性復核);計算機科學的技術方法,如數據測試法、程序編碼審查法、受控處理法、受控再處理法、整體測試法、平行模擬法、程序比較法、漏洞掃描、入侵檢測、嵌入審計程序法等等;行為科學的技術方法,如運用組織發(fā)展的理論與方法、個體行為一般規(guī)律的理論和方法。這些方法與技術并不是孤立的,而是互相聯系的。

目前,廣州地鐵在信息系統(tǒng)審計中所運用的方法仍主要集中在傳統(tǒng)的內控審計方法和信息系統(tǒng)管理的技術方法兩個領域,具體包括詢問、觀察、文件復核、抽樣、重新執(zhí)行、使用計算機輔助軟件等。在部分項目中,也采用了一些計算機科學的技術方法。受限于審計資源不足,廣州地鐵較少采用程序比較法、平行模擬法、程序編碼審查法等高成本的審計方法,而傾向于選用一些較為高效的測試方法。但這些高效方法的運用不能完全消除審計風險,這就需要審計人員根據自身的經驗盡量避免。

1、傳統(tǒng)審計方法的運用

廣州地鐵在開展信息系統(tǒng)審計過程中較多運用傳統(tǒng)審計的方法。例如,在對信息系統(tǒng)整體計算機控制進行審計時,通過對系統(tǒng)使用人員的訪談、調研和對系統(tǒng)各項操作的觀察,梳理出整體計算機控制相關的各種控制活動。在沒有測試環(huán)境的情況下對生產在用信息系統(tǒng)的人機交互界面和功能進行調查和確認時,審計人員大量運用了觀察的方法。在對固定資產信息系統(tǒng)模塊進行審計中,審計人員通過觀察物資采購人員、資產管理人員、會計核算人員在系統(tǒng)中的操作界面、系統(tǒng)實現效果以及業(yè)務操作流程來了解系統(tǒng)功能的構造。發(fā)現采購中的供應商信息在跨系統(tǒng)流程過程中丟失,導致財務系統(tǒng)和實物管理的MAXIMO系統(tǒng)的資產臺賬中均缺少供應商信息,致使日后采購同類物資時,采購人員無法獲取歷史采購信息作為參考,增加了市場調研成本。除內控矩陣和訪談、觀察等方法之外,編制流程圖、數據流圖和報表流圖也是信息系統(tǒng)審計經常使用的方法。

2、計算機科學技術方法的運用

計算機科學技術方法是信息系統(tǒng)審計特有的方法,來源于IT行業(yè)的信息技術的轉換應用,主要包括基于數據分析的方法和基于程序分析的方法,這些方法的綜合使用使得對信息系統(tǒng)的審計更加有效。具體方法的選用需視被審計系統(tǒng)的實際情況而定。在一個審計項目中,廣州地鐵審計人員經常將多種方法結合使用。例如,在票務收入系統(tǒng)審計項目中,審計人員首先采用數據測試法,使用正常及非正常的測試地鐵票搭乘地鐵,在系統(tǒng)中跟蹤測試票的處理情況,以驗證系統(tǒng)處理與控制功能是否均有效;在對系統(tǒng)中后期內部開發(fā)的車站單程票售賣功能進行審計時,審計人員采用了程序編碼審查法,對系統(tǒng)的源程序編碼進行審查,審查后發(fā)現單程票售賣金額統(tǒng)計報表在進行數據處理時省略了小數點后的尾數,導致報表金額存在偏差;在對票務系統(tǒng)的清分報表進行驗證時,審計人員又采用了平行模擬法,抽取系統(tǒng)中一段時間內的正式交易記錄,在系統(tǒng)外模擬系統(tǒng)的處理規(guī)則對交易記錄進行處理,并將處理結果與系統(tǒng)的報表數據進行核對,結果發(fā)現系統(tǒng)在數據傳遞和處理過程中,由于系統(tǒng)對于異常數據的審核過于嚴格,導致部分正常數據被當作垃圾數據丟進異常庫,給公司造成票務損失。

3、計算機輔助審計軟件的應用

計算機輔助審計軟件的應用是信息系統(tǒng)審計的一個顯著特點,也是審計人員準備階段需要重點關注的問題之一。目前,廣州地鐵對計算機輔助審計軟件的應用主要體現在以下兩個方面。

(1)對系統(tǒng)中數據的準確性、完整性和一致性的檢查。例如,在合同管理系統(tǒng)審計項目中,為核對系統(tǒng)接口程序的可靠性,審計人員利用審計輔助軟件快速完成了對合同系統(tǒng)和財務系統(tǒng)數據一致性的核對,迅速查找出兩個系統(tǒng)中不一致的數據。經過深入分析,審計人員發(fā)現由于財務核算人員在財務系統(tǒng)中復核合同支付數據時發(fā)現錯誤,將支付申請退回給合同系統(tǒng)再由合同經辦人重新填報時,合同系統(tǒng)未對已生成的支付信息進行更新,導致上述問題的出現。針對海量數據處理系統(tǒng),數據驗證是審計的重點,計算機輔助軟件是“不可或缺”的審計工具。在地鐵票務收入保障審計項目中,審計人需要通過數據驗證的方式對業(yè)務處理的核心系統(tǒng)――自動售檢票(AFC)系統(tǒng)中的系統(tǒng)傳輸和處理機制進行驗證。為此,審計人員共設計了8大類29子類47個數據驗證主題。審計時,審計人員運用計算機輔助審計技術,在兩個月內完成了對AFC系統(tǒng)中10天總計超過3億條運營數據的驗證工作。

(2)利用計算機輔助軟件進行對比測試。即審計人員從信息系統(tǒng)中抽取某部門樣本數據,將樣本數據輸入到與計算機輔助軟件中進行處理,把審計軟件輸出的結果與業(yè)務系統(tǒng)產生的結果進行對比分析,以判定業(yè)務系統(tǒng)的可靠性與準確性。廣州地鐵在已開展的運營票務收入保障審計項目中大量地使用了此種方式。審計人員將各車站站務人員在票務系統(tǒng)中錄入的售票數據導入到計算機輔助軟件中,按照業(yè)務規(guī)則對數據進行處理,將處理結果和系統(tǒng)輸出的結果進行對比。經對比,審計人員發(fā)現票務系統(tǒng)在處理異常數據時過于嚴格,導致部分非異常數據被系統(tǒng)當作異常數據丟入異常庫中,給公司造成票務損失。

4、信息系統(tǒng)審計與業(yè)務內控審計相結合

企業(yè)管理流程信息化的過程中,會對原有的業(yè)務流程進行優(yōu)化甚至重構。對原有手工流程的內控評價在信息化環(huán)境中可能不再適用。因此,廣州地鐵在信息系統(tǒng)審計中添加了對業(yè)務流程的內控評價――先對業(yè)務的內部控制情況進行評估,梳理并確定業(yè)務流程風險和關鍵控制點,再對照業(yè)務流程對系統(tǒng)的處理流程進行評價,確保信息系統(tǒng)審計評價的準確性。信息系統(tǒng)審計與業(yè)務內控審計相結合的方法還體現在對一個流程中未在信息系統(tǒng)實現的控制環(huán)節(jié)可以通過內控審計進行補充。實踐表明,信息系統(tǒng)審計與業(yè)務內控審計相結合的方法在很大程度上提高了審計的全面性。

由于信息技術自身的特點,例如電子數據的不可視性,加之被審計單位信息系統(tǒng)內部控制方面可能存在缺陷以及信息系統(tǒng)審計人員在專業(yè)技術和職業(yè)道德方面亦不完美,信息系統(tǒng)審計風險客觀存在。面對信息系統(tǒng)審計風險,需要審計人員通過深入調研,全面了解被審計系統(tǒng)的情況;需要培養(yǎng)專業(yè)人才,“以點帶面”提升團隊能力;結合企業(yè)發(fā)展情況,制定內部信息系統(tǒng)審計標準;利用審計軟件,降低抽樣風險,提高審計效率等多種措施,不斷降低審計過程中的檢查風險,提高審計質量。

【參考文獻】

[1] Ron A.Weber,Information Systems Control and Audit,1st ed,NJ:Prentice Hall,1998.

[2] S. Anantha Sayana:The IS Audit Process[J].The ISACA Journal,2002(1).

[3] Craig S. Wright:The IT Regulatory and Standards Compliance Handbook:How to Survive Information Systems Audit and Assessments,1st ed,MA:Syngress, 2008.

[4] Robert E. Davis:Information Systems Auditing:The IS Audit Planning Process,3rd ed,2010.

[5] Jack J. Champlain:Auditing Information Systems[J].2nd ed,NJ:John Wiley&Sons,2003.

[6] 盧紅柱:計算機信息系統(tǒng)審計的探索之路[J].審計研究,2006(增刊).

[7] 王進波、常衛(wèi):信息系統(tǒng)審計的發(fā)展與現狀[J].財政監(jiān)督,2008(4).

[8] 陳繼初:信息系統(tǒng)審計在我國的現狀及存在的問題[J].消費導刊,2008(12).

[9] 吳沁紅:信息系統(tǒng)審計內容分析[J].財會研究,2008(10).

[10] 胡曉明:信息系統(tǒng)審計理論體系的構建[J].中國注冊會計師,2006(6).

[11] 王艷、周劍:信息系統(tǒng)審計辨析[J].圖書情報工作,2004(48).

[12] 田佳林:信息系統(tǒng)審計簡述[J].財政監(jiān)督,2008(4).

[13] 陳婉玲、楊文杰:COBIT及其在信息系統(tǒng)控制與審計中的應用[J].審計研究,2006(增刊).

[14] 趙靜:COBIT框架在IT審計中的應用[J].中國內部審計,2009(12).

[15] 張妍:信息系統(tǒng)審計方法研究[J].審計月刊,2010(11).

[16] 劉杰、羅繼榮:信息系統(tǒng)審計質量控制準則研究[J].財會通訊,2011(5).

[17] 王振武、張子瑾:信息系統(tǒng)審計理論結構框架研究[J].會計之友,2011(7).