电网企业审计数据安全管理实践研究

2023-08-04 09:01阎玺牛军李景红郑少飞张亚强李晓华
会计之友 2023年15期
关键词:安全管理体系安全评估

阎玺 牛军 李景红 郑少飞 张亚强 李晓华

【摘 要】 大数据是数字化审计的基础,做好大数据安全防护,杜绝数据泄漏和非法篡改等安全风险,已成为数字化审计持续健康发展的核心问题。文章提出一套“组织+管理+技术+评估”为核心的审计数据安全管理体系框架,融入数据安全能力成熟度模型(DSMM)理论,通过国网HN省电力公司最佳实践,实现审计数据采集、传输、存储、分析、交换、销毁等全生命周期安全管理,提升了企业审计数据安全管理能力和安全技术能力,为电网企业各单位以及其他行业内部审计数据安全管理提供了参考。

【关键词】 审计数据; 安全管理体系; 技术保障; 安全评估

【中图分类号】 F239.1  【文献标识码】 A  【文章编号】 1004-5937(2023)15-0133-07

一、引言

随着数字国网战略的落地,电网企业实现了建设、生产、运营和管理等全业务数字化,产生了越来越多的高价值数据。侯本忠等[ 1 ]认为企业运营过程产生的海量数据是企业内部大数据审计的基础,企业拥有海量数据使得全量、跨域、多维度、多层次大数据审计得以实现,显著提升审计工作效率和审计揭示问题的精准度,充分发挥了审计在推进企业治理体系和治理能力现代化中的重要作用。大数据审计在给审计工作带来巨大价值的同时,审计采集的数据不断增多使数据安全和隐私保护问题日渐突出,电网企业现有的信息安全手段已不能满足大数据审计的信息安全要求,安全威胁逐渐成为制约数字化审计发展的瓶颈。现有审计数据安全管理的研究文献相对较少,且注重理论研究,未来应更加注重审计业务、管理和数据安全新技术应用与实践。

本文通过对电网企业审计数据安全管理实践研究,实现审计数据采集、传输、存储、分析、交换、销毁等全生命周期安全管理,极大促进数据价值挖掘,对推动企业高质量发展具有重要意义。

二、审计数据安全管理涵义

电网企业数字化审计以全覆盖为目標,常态化开展“全量+跨域”大数据审计分析,使用数据涵盖结构化、半结构化、非结构化等,数据通常散乱在企业内部众多业务信息系统及外部政府工商信息中,审计数据量巨大且结构复杂。蒋红兰[ 2 ]认为数据之间的关系难以理解和掌握,孙伟[ 3 ]认为数据多层传递更易造成信息失真,刘任红[ 4 ]认为数据质量不高且最终对审计结果造成负面影响,仲怀公和刘舒[ 5 ]研究表明国企审计要致力提高信息质量和审计质量,康鼎煦[ 6 ]探讨了数字化远程审计制度保障体系、数据整合管理等方面的问题、对策和建议,郑志远[ 7 ]从全量审计、持续审计、智能审计思维分析内部审计理念的转型,郑伟等[ 8 ]从逻辑流程、网络架构和应用架构三个维度设计大数据环境下数据审计模式与路径,张文秀等[ 9 ]改进了大数据时代审计机构组织方式,能强化审计数据管理、优化审计流程并提高审计质效。由于电网企业属于国家能源战略安全链条中的关键环节,基于安全性考虑,各部门建立了数据负面清单和负面清单数据审批机制,如物资部门物资招投标和智慧供应链数据。鉴于审计部门缺少专用数据安全管理工具,业务部门与审计部门的数据交流和共享存在安全顾虑,审计获取数据难度加大,严重影响审计工作效率和质量。如何确保审计数据安全,杜绝数据泄漏和非法篡改等风险,让提供数据的业务部门放心,已成为数字化审计持续健康发展所要考虑的核心问题。开展审计数据安全管理,用必要的管理措施和技术手段保障数据得到有效保护和合法利用,达到数据安全保护和使用交流的平衡,解除数据安全掣肘数字化审计“紧箍咒”,夯实数字化审计数据基础,为企业级数据归集、大数据价值挖掘和业务创新保驾护航。

三、审计数据安全管理需求分析

电网企业审计数据体量大,使用数据的审计项目多,被审计单位分布广,审计项目组人员多、成员来自多个单位,开展审计过程中存在多方参与、行为追溯、数据安全和可信审计等数据安全管理需求。一是需要保障海量数据使用安全。当前电网企业审计仓库数据总容量达到TB级、每周数据增量200GB之余,数据总量增速快,数据涉及的业务种类多、体量大。刘国城等[ 10 ]认为数字化审计加大了数据集中度,要对获取的数据和资料严格保密,在提升效率的同时注重数据安全性;王会金等[ 11 ]指出随着大数据审计技术的创新和发展,审计大数据安全问题的解决更加依托科学的技术方法和安全管理方式。二是需要保障审计数据全生命周期安全。数字化审计项目开展涉及数据采集、传输、存储、分析、交换、销毁等全生命周期多个环节,数据流转轨迹长且审计过程复杂,业务部门人员、系统运维人员、审计人员等都能够直接接触到原始数据,数据泄露、截获、篡改风险大,需要审计数据处理各个环节中用户授权、责任到位、数据标准、数据质量、数据密级、数据资产目录和行为监控等方面管控。三是需要提升审计数据安全管理水平。目前电网企业审计实务中多数仍以工作组织、方式方法、成果质量为核心开展项目,对如何开展数据安全管理、安全管理等级、防范哪些风险、必须执行哪些程序和工作流程等都处于探索阶段,需要进一步完善审计数据安全管理组织、制度和技术手段。

四、审计数据安全管理体系研究

(一)审计数据安全管理目标

以合法合规保障“审计数据全生命周期安全”为目标,明确审计数据安全管理工作的团队及职责,规划制定相关制度规范,构建数据安全技术体系。在合规保障和风险管理的前提下,重点关注数据使用权限、行为监控、业务应用和数据全生命周期各环节安全,重新设计和构建大数据安全架构并开放数据服务,定制审计专用大数据安全管理工具和部署整体安全解决方案,实现审计数据分级分类、数据加密、访问控制、追踪溯源和行为监控,摸清审计数据资产家底,覆盖数据所有使用环节和应用场景安全,打造审计数据安全管理体系,推动数据安全管理体系持续改善,保障数字化审计持续健康发展,实现审计数据的有效利用,确保审计数据安全和发展的双向促进。

(二)审计数据安全管理体系框架探索

本文提出一套集“组织+管理+技术+评估”一体的审计数据安全管理体系框架,融入数据安全能力成熟度模型(Data Security Capability Maturity Mode,DSMM)理论,围绕审计数据采集、传输、存储、分析、交换、销毁6个全生命周期环节,从审计数据管理能力和技术保障两方面进行安全管理,聚焦审计数据安全技术,保障能力实现,用技术手段支撑数据全生命周期所有环节安全管理,有效落实国家和电网企业数据安全管理法规及制度要求,满足企业审计数据安全管理需求,达到审计数据安全管理目标,如图1所示。

组织方面:构建领导小组、办公室、管理团队等自上而下的审计数据安全管理组织,设置审计数据安全管理机构和岗位,明确部门职责分工、人员定责定岗以及结合考核与激励的管理措施,全面提升审计人员的综合素质和执行能力。

管理方面:根据审计数据安全管理目标,针对审计数据应用场景和分类分级成果,采用不同的安全管理策略、规范,建立审计数据全生命周期安全管理制度办法、标准指南、表单模板三级管理制度体系。

技术方面:在确保各项管理制度落地的前提下,以“事前防范、事中监控、事后审计”为原则,混合应用多种数据安全技术,全面构建审计数据全生命周期安全管理技术体系,实现数据处理可看可控、可信可追溯,数据资产分布清晰明了,管理维护精准高效。

评估方面:苏霞等[ 12 ]为了在实施过程中实现预期目标,借鉴数据安全能力成熟度模型(DSMM)方法论,从管理组织、制度、数据质量、数据应用、用户行为、权限管理、风险监测等多维度评估企业审计数据安全管理能力和有效性,发现问题并提出优化建议,持续推动审计数据安全管理体系不断迭代。

五、审计数据安全管理体系实践

本文以国网HN省电力公司为例。国网HN省电力公司严格按照数据安全管理国家法规政策和电网企业制度规定,结合当前电网企业审计大数据安全管理呈现的问题、风险与现状,围绕“组织+管理+技术+评估”为核心的审计数据安全管理体系框架探索落地最佳实践,建立健全审计数据安全管理体系,提升与组织相适应的数据安全管理能力,包括组织架构的建设、制度体系的完善、安全管理技术体系的建立等,全面落实审计数据安全管理相关工作,树立了电网企业审计数据安全管理标杆。

(一)组织建设

明晰的组织建设是保障审计数据安全工作顺利开展的首要条件。国网HN省电力公司审计部设立内控信息处,负责统筹审计数据安全管理规划、建设安全管理工具、监督和管理数据安全工作、考核执行情况,市公司审计部设立专人专岗负责数据安全管理、安全审计、系统应用管理。2018年,为了进一步推进数字化审计和数据安全管理工作,HN省电力公司审计部牵头成立审计数据安全领导小组,小组成员由公司审计部、数字化工作部及信通公司领导组成,负责贯彻国家和公司数据安全管理政策,审定审计数据安全管理规划和重大决策,办公室设在内控信息处;同年,HN省电力公司本部设立数字化审计工作室,开辟数字化审计和数据安全“实验室”,组建省、市两级审计人员构成的151人数字化审计工作团队,具体执行各单位审计日常工作及审计项目开展中的数据安全监督和管理工作;2020年,推动市公司建立数字化审计工作室,构建分层级、分专业的数字化审计工作组织,形成“本部引领、基层支撑”组织体系。

(二)管理规范

管理规范是审计数据安全防护要求、管理策略、操作规程的集合和依据。国网HN省电力公司建立了审计数据安全管理制度体系,包括顶层的《国网HN省电力公司审计数据安全管理办法》,围绕审计数据全生命周期的安全管理规范和操作指南以及细化的各类审计数据安全细则和工作模板30余份,对审计数据安全管理职责分工、数据全生命周期安全保护要求、数据安全实施细则等进行了明确,在审计数据分类分级、安全评估、采集存储、交换、使用分析等方面进行细化,并结合审计数据安全管理工具建设,系统内固化标准化的数据安全管理工作流程规范,实现对审计数据全生命周期安全防护以及对数据安全管理的支撑。

(三)技术保障

安全管理技术体系是落实审计数据安全管理体系框架的有效手段,也是支撑数据安全管理的技术保障。国網HN省电力公司将“事前防范、事中监控、事后审计”原则贯穿审计数据安全管理全过程,创新开展隐私计算、区块链、数据加密、数据脱敏、数据目录、血缘分析、行为画像、访问控制、数据审计、数字水印、可视化等多技术交叉融合应用,以模块化和组件化思维设计审计数据安全管理工具,研发了一套针对审计数据安全管理全流程、全环节的风险防控技术工具,形成了具有数据分类分级、数据加密、数据监控、数据溯源、数据资产目录和台账、可信执行环境、可信认证中心、安全评估8个安全技术能力的审计数据安全方舱通用管理工具,管理工具与数字化审计平台集成,实现安全管理技术体系落地应用。

1.发明三项审计数据安全特色技术

将“可用不可见、安全方舱、可信溯源”理念融入审计数据安全方舱通用管理工具建设,定制化研发审计安全管理专用技术,生成并获得“数据分层可信加密方法”“数据黑盒式可信计算方法”“数据全链路追溯监控方法”3项技术发明专利,通过各技术组合形成具有审计特色的数据加密、可信执行环境、安全监测、数据追溯、数据目录5大安全技术职能,安全技术贯穿数据全生命周期的6个阶段,强化审计数据安全管理能力。

(1)数据分层可信加密方法研发

混合利用国密加密、数据目录、数据监控、访问控制等技术,探索属性、文件、动态、对称等加密技术,在数据加密的同时实现数据的可信认证,研发一种数据分层可信加密方法并获得发明专利。该方法实现步骤:一是数据加密,获取对称密钥K,对称加密第一数据,生成内容加密数据。二是数据可信加密,基于可信指针加密第一数据,生成可信加密数据。三是解秘秘钥加密,基于公开参数PK和访问结构树T属性加密对称密钥K,生成访问秘钥EK,访问秘钥EK对应至少一个访问私钥SK。访问私钥SK基于主密钥MK、公开参数PK和访问属性集A生成,其中访问属性集A∈访问结构树T。

可信指针为随机数,数据可信加密步骤包括使用摘要处理方法计算第一数据的摘要值H1,获取一级可信根RT1,组合摘要值H1和一级可信根RT1为第一组合数据;使用摘要处理方法计算第一组合数据的摘要值H2,令二级可信根RT2=H2。可信加密数据包括关联的一级可信根RT1和二级可信根RT2,其中一级可信根RT1为可信指针。

摘要处理方法为Hash算法。加密数据和第一数据指针关联存储在数据库内,一级可信根RT1由可信认证中心生成,第一数据指针和一级可信根RT1存储在记录区块链合约的区块内,可信认证中心关联存储有一级可信根RT1和二级可信根RT2,其中第一数据指针与第一数据唯一对应。第一数据在可信执行环境内传输时,执行数据加密步骤,内容加密数据脱离可信执行环境过程中,执行数据可信加密步骤和解秘秘钥加密步骤。

数据加密分为初始化、密钥生成、加密、解密4个阶段。初始化阶段,初始化算法为随机化算法,仅生成系统公钥、系统主密钥;密钥生成阶段,可信认证中心根据公钥、主密钥和数据请求者提交的属性集合,为数据请求者生成与属性集合关联的用户私钥;加密阶段,输入公钥、要加密的消息和访问结构T,输出基于属性加密的密文;解密阶段,输入对应属性集的私钥和基于访问结构T的密文,如果属性集满足访问策略,则算法可以成功解密密文,否则失败,实现审计数据有效访问管控、安全管理。

(2)数据黑盒式可信计算方法研发

混合利用数据脱敏、隐私计算、数据加密访问控制等技术,探索多方安全计算、隐私计算和分层分级的数据访问权限管控功能,在审计数据分析过程中建立可信执行环境,达到数据分析可用不可见,研发一种数据黑盒式可信计算方法。该计算方法包括:一是获取访问秘钥EK,使用访问私钥SK解密访问秘钥EK,得到对称密钥K。二是获取内容加密数据,使用对称密钥K解秘内容加密数据,得到第二数据。三是根据第一数据指针获取可信指针和可信加密数据,基于可信指针加密第二数据,生成可信验证数据。对比可信加密数据和可信验证数据,若可信加密数据等于可信验证数据,则第二数据等同于第一数据;若可信加密数据不等于可信验证数据,则第二数据区别于第一数据。其中,第一数据指针与第一数据唯一对应,内容加密数据为使用对称秘钥K加密第一数据得到。

访问秘钥EK基于公开参数PK和访问结构树T属性加密对称密钥K获得,访问私钥SK基于主密钥MK、公开参数PK和访问属性集A生成。

内容加密数据存储在审计数据库内,可信指针和可信加密数据关联存储在可信认证中心内,关联发送可信验证数据和可信指针。可信认证中心基于可信指针对比可信加密数据和可信验证数据,并返回对比结果。若可信加密数据等于可信验证数据,则返回第一信息;若可信加密数据不等于可信验证数据,则返回第二信息。第一信息表达第二数据可信的意思,第二信息表达第二数据存疑的意思。

可信指针为一级可信根RT1。可信验证数据的生成方法:一是使用摘要处理方法计算第二数据的摘要值H1',组合摘要值H1'和一级可信根RT1为第二组合数据。二是使用摘要处理方法计算第二组合数据的摘要值H2',令二级验证根RT2'=H2',二级验证根RT2'为可信验证数据。摘要处理方法为Hash算法。

通过可信预处理和可信验证两个环节交互执行,形成一个安全可靠的数据安全方舱可信执行环境。可信预处理环节:在数据加密前,首先对业务数据计算其摘要值H;其次向可信认证中心申请该业务数据的一级可信根RT1,并将数据摘要H和一级可信根RT1组合计算摘要值,形成二级可信根RT2;最后可信认证中心存储一级可信根RT1和二级可信根RT2。可信验证环节:数据安全方舱审计前,首先向可信认证中心申请一级可信根RT1和二级可信根RT2;其次对解密得到的审计数据计算摘要值H',并将数据摘要H'和一级可信根RT1组合计算摘要值,形成二级验证根RT2';最后验证对比二级可信根RT2和二级验证根RT2',若相等则可进行审计,实现强制访问控制和可信执行环境,从而保障数据分析安全。如图2所示。

(3)数据全链路追溯监控方法研发

基于国网区块链①上链存证技术和“一主两侧多从”架构,结合数据审计、数据目录、数字水印、血缘分析、行为画像、可视化等技术,探索数据监控、数据溯源、数据资产目录、数據台账、数字水印、数据可视化等功能,保障审计数据操作和流转的安全,研发一种数据全链路追溯监控方法。该方法实现步骤:一是数据源端上传数据文件加密记录、可信认证加密记录、秘钥加密记录,以及关联的数据文件指针、可信指针和可信数据至记录区块链;二是数据黑盒上传数据获取记录和可信认证记录至记录区块链,数据操作端上传数据操作记录至记录区块链,记录区块链建立区块,区块内容包括数据文件加密记录、可信认证加密记录、秘钥加密记录、数据获取记录、可信认证记录、数据操作记录,以及关联的数据文件指针、可信指针和可信数据。

数据源端上传数据文件指针和加密数据文件至审计数据库。数据黑盒根据数据文件指针从审计数据库获取加密数据文件,并生成数据获取记录。数据源端关联上传可信指针和可信数据至可信认证中心,可信认证中心用于运行可信指针随机生成器。

可信认证中心还存储有主密钥MK和公开参数PK,数据源端生成对称秘钥K,并从可信认证中心获取公开参数PK,基于对称秘钥K、公开参数PK和数据结构树T生成秘钥EK,数据黑盒发送访问属性集A至可信认证中心,可信认证中心基于主密钥MK、公开参数PK和访问属性集A生成私钥SK,发送私钥SK至数据黑盒,数据黑盒使用私钥SK解秘秘钥EK,获得对称秘钥K。

数据黑盒根据数据文件指针从审计数据库获取加密数据文件,根据数据文件指针从记录区块链中获取可信指针和可信数据,数据黑盒使用对称秘钥K解秘加密数据文件,生成第二数据。基于可信指针加密第二数据,生成并发送可信验证数据至可信认证中心,可信认证中心对比可信数据和可信验证数据,返回对比结果,数据黑盒输出对比结果并生成可信认证记录。若可信数据等于可信验证数据,则对比结果为第一信息;若可信数据不等于可信验证数据,则对比结果为第二信息。第一信息表达第二数据可信的意思,第二信息表达第二数据存疑的意思。

数据源端获取对称密钥K,对称加密第一数据,生成内容加密数据和数据文件加密记录。基于可信指针加密第一数据,生成可信数据和可信认证加密记录;基于公开参数PK和访问结构树T属性加密对称密钥K,生成秘钥EK和秘钥加密记录,秘钥EK对应至少一个私钥SK,第一数据与数据文件指针唯一对应。

数据源端获取可信指针,可信指针为一级可信根RT1,组合第一数据和一级可信根RT1为第一组合数据。使用摘要处理方法计算第一组合数据的摘要值H2,令二级可信根RT2=H2,二级可信根RT2为可信数据。

从数据源头建立审计数据的可信根并上链存证,记录保护数据所有操作,结合区块链进行可信存证与安全审计,解决数据处理所有环节可信可用问题;同时将审计管理、审计项目所涉及数据的HASH数据实时上链,并对审计行为进行签名背书,对用户行为进行监控,全息记录操作,实现数据操作全程追溯。

2.审计数据分类分级

审计数据分类分级作为实施审计数据安全管理措施和技术措施的前提,是一个定期常态化工作。根据公司数据分类分级的标准、方法及策略,制定《国网HN省电力公司审计数据分类分级管理制度》和《国网HN省电力公司审计数据分类分级工作指南》,按季度梳理审计数据,识别审计部门各类敏感数据并设定商密等级,编制审计数据负面清单、分类分级目录、数据资产目录、数据台账和数据字典,建立审计数据负面清单和分类分级目录中敏感数据关键字库,研发量化的审计数据分类分级功能嵌入审计数据安全方舱通用管理工具,实现审计数据在使用过程中自动化完成分类分级梳理、分类分级打标及敏感数据的流转监控。

3.审计数据全生命周期安全防护

(1)数据采集和存储环节安全管理

应用审计数据安全方舱通用管理工具在审计数据采集环节对分类分级的数据生成数据资产目录、数据血缘关系图谱并进行加密,数据存储环节对分类分级后的敏感数据进行加密存储和全息记录系统操作、审计人员行为,并对审计人员账号进行分级授权管理,实现数据采集和存储环节安全可控。

一是审计数据采集、存储数据分类分级和加密。在业务信息系统导出数据时,首先生成对称密钥,再用该密钥对数据文件进行对称加密,支持用户定制加密规则,形成用户密钥,对源端数据按照敏感性、专业属性、安全保护等级等进行重要性界定,根据用户密钥对相关数据分专业进行分层分类加密,实现目的端认证源端的身份、用户身份认证、数据加密、隐私保护和密文数据附加消息认证码等安全;其次对密钥进行属性加密并上传到可信认证中心;最后数据文件和对称密钥均以密文的形式传输到审计数据仓库进行存储。如为保证物资招投标和智慧供应链数据安全,按物资数据负面清单和分级分类目录中敏感数据关键字库,采用国密SM4等算法依据不同数据敏感等级进行差异化加密处理,加密功能性能卓越,已实现加密10万条数据仅用2秒、100万条数据在20秒内完成的数据处理能力。

二是审计数据访问控制和解密。根据审计人员数据使用权限,数据加密功能向可信认证中心发出请求,获取对称密钥就审计文件进行解密,这样只有符合条件的审计人员才能解密获得对称密钥,实现了身份认证,并把解密或脱敏后的数据分别发送给不同的数据调用對象。

(2)数据分析环节安全管理

应用审计数据安全方舱通用管理工具在数据审计平台形成支持数据密态计算和分析的“可信执行环境”,全方位保护审计模型和大数据分析工具对数据进行分析过程中的安全,解决审计项目中数据分析阶段安全问题,实现看不到原始业务数据但是数据价值“可用”。

一是审计模型和大数据分析工具在加密数据上直接进行计算,得到所需的计算结果;审计数据安全方舱通用管理工具把数字化审计平台人资、财务、营销、工程、物资等300余个审计模型和一个大数据分析工具运行纳入可信执行环境。在使用审计模型时,数据以密文的形式给出,在可信执行环境中进行解密和计算,整个审计分析过程在一个黑匣子中进行,然后把疑点结果数据解密后输出给审计人员;在使用大数据分析工具时,数据提取中对加密数据进行解密,并依据敏感数据关键字库开展动态脱敏,审计人员不能接触审计原始数据,在脱敏数据上进行分析计算,实现“数据可用(可计算)不可见(不可获取)”,有效消除各专业部门数据安全和隐私泄露的顾虑。

二是强化数字化审计平台的身份认证和权限管理,开展分层分级的审计数据权限管控,批量敏感数据限制在数字化审计平台中访问并限制数据向外导出,以此确保审计数据使用安全。

(3)数据传输和交换环节安全管理

应用审计数据安全方舱通用管理工具在审计数据进出数字化审计平台数据库时,自动注册在数据台账和记录账本中,同时创建数据字典、资源目录和数据资源全景地图,精确分配数据使用权限,以数字水印加可视化方式展示不同账户下数据资源分布,方便审计人员实时了解所有数据全貌、组织和分布情况,并提供透视和追溯能力。

一是审计数据所有操作在线监控。数据监控功能全息记录操作和数据使用轨迹,数据获取和使用的摘要信息进入国网区块链;数据可视化功能为数据进行画像(其中敏感数据提供5W1H画像)和可视化展示。

二是审计数据流通过程可追溯。数据溯源、数字水印功能依据数据监控主体功能模块全息记录数据获取和使用信息,实现数据全链路追溯监控,并为数据追溯提供完整详实证据链,追责定责清晰。

三是数据资产精准、高效管理。数据台账、数据资产目录实现对公司数字化审计平台330张审计中间表和726张源数据表的数据资源发布全景地图、审计数据血缘可视化,帮助审计人员及时掌握审计数据全貌,提高数据管理质效。

(4)数据销毁环节安全管理

根据审计数据管理需要,对数字化审计平台中的数据进行销毁,审计数据安全方舱通用管理工具依据数据分类分级,结合业务和数据重要性,将数据的销毁行为进行监控和记录,变更数据资产目录和数据台账,为后续数据审计和数据安全管理提供日志记录、变更记录,明确数据安全管理追责去责。

(四)安全评估

安全评估是检验审计数据安全管理体系成效的最有效措施,编制《国网HN省电力公司审计数据安全管理评估标准》《国网HN省电力公司审计数据安全管理评估量化指标体系》和《国网HN省电力公司审计数据安全管理评估工作指南》3份评估工作标准规范文件,梳理审计数据全生命周期各环节所涉及的安全管理措施和技术,研发具有审计数据安全管理组织机构的完整性评价、制度规范完善评价、数据分类分级和质量分析、数据和审计模型应用分析、用户行为画像分析、系统告警分析等模型的安全评估分析主体功能模块,定期开展审计数据安全评估,分析各环节审计数据流转中安全管理措施和技术的有效性,监测各项安全管理评估量化指标的达标情况,并对安全管理成效进行打分评价,生成审计数据安全管理评估分析报告。根据评估中发现的问题制定解决优化方案,及时优化建设审计数据安全方舱通用工具安全评估分析功能,不断提升审计数据安全管理水平。同时,通过提炼总结工作亮点,形成《数据安全方舱——审计数据可用不可见》审计数据安全管理优秀案例,通过向外输出经验,促进行业共同进步。

六、结论与展望

在审计数据安全管理实践中,通过加大对审计数据安全新技术的研发,不断强化制度规范的制定和落地,同时大幅提升安全技术体系的建设力度,形成一套行之有效、覆盖审计数据全生命周期安全的复合管理模式。随着国家不断出台数据安全相关法律法规、标准指南及新技术,特别是机器学习、大数据分析逐步应用于审计数据安全管理领域,探索构建基于人工智能、大数据分析的数据安全和风险评估模型,实时感知数据安全态势、波动趋势,开展面向安全大数据的挖掘,及时得到安全预警和防护建议,提高企业评估风险、跟踪威胁、应对处理的能力,进一步增强数据安全条件下的审计“全量+跨域”数据分析与约束建模,以技术信任实现跨专业、跨单位、多行业数据交流与共享,有力推进大数据价值全面释放,推动电网企业以及其他行业内部审计工作数字化转型升级。

【参考文獻】

[1] 侯本忠,白雪娇,刘甜甜,等.大数据视角下企业经济责任审计画像指标构建[J].会计之友,2021(23):102-106.

[2] 蒋红兰.大数据背景下的政府审计问题研究[J].财会通讯,2019(7):78-82.

[3] 孙伟.提高大型统一组织审计项目的审计资源集聚效能[J].审计研究,2018(5):51-56.

[4] 刘任红.大数据时代审计信息化面临的问题[J].中国集体经济,2019(3):142-143.

[5] 仲怀公,刘舒.公共卫生事件防控经验对国企审计的启示[J].会计之友,2021(15):125-131.

[6] 康鼎煦.疫情影响下对推进远程审计的思考与建议[J].中国内部审计,2022(6):9-13.

[7] 郑志远.大数据下的银行审计思维[J].中国金融,2016(14):52-53.

[8] 郑伟,张立民,杨莉.试析大数据环境下的数据式审计[J].审计研究,2016(4):20-27.

[9] 张文秀,张琳琳,夏聪颖.大数据时代内部审计机构组织方式研究[J].会计之友,2021(8):22-26.

[10] 刘国城,马欣萌,徐志.审计全覆盖驱动下大数据审计平台构建研究[J].会计之友,2021(11):125-132.

[11] 王会金,刘国城.大数据时代政务云安全风险估计及其审计运行研究[J].审计与经济研究,2018(5):1-11.

[12] 苏霞,张晶晶,张炜光,等.国家电网智慧审计平台评价应用研究[J].会计之友,2022(9):116-124.

猜你喜欢
安全管理体系安全评估
地质录井专业外部市场安全管理探索与实践
OA系统安全评估体系及策略制定
企业安全发展中安全管理体系应用
关于精细化煤矿安全管理体系研究与应用
通信铁塔安全快速评估软件的设计与实现
全面质量管理TQM在民航安全管理体系SMS中的应用研究
民用飞机系统功能危险性评估
关于建筑工程安全管理效益的思考
对完善消防监督管理的策略建议
安全管理体系在航运企业中的建立及应用