導語:在信息安全領域工作計劃的撰寫旅程中���,學習并吸收他人佳作的精髓是一條寶貴的路徑��,好期刊匯集了九篇優秀范文��,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能��。
第1篇
關鍵詞:工業控制系統 �����;信息安全 ���;問題風險��;防御體系
一、工控系統介紹
工業控制系統由各種組件構成,有些組件是自動的����,有些是能進行過程監控的��,兩種組件構成了工業控制系統的主體。該系統的主要目的就是在第一時間實現對數據的采集和監控工業生產流程。如圖����,主要分為控制中心���、通信網絡���、控制器組�����。
工控系統主要包括過程控制、數據采集系統(SCADA)��、分布式控制系統(DCS)�����、程序邏輯控制(PLC)以及其他控制系統等�����。一直以來,這些系統被應用在不同的工業領域,成為了國家的重點基礎工程項目的建設中不可缺少的成分之一�。所有的工業控制系統中����, 工業控制過程都包括控制回路��、人機交互界面(HMI)及遠程診斷與維護組件�。上圖為典型的ICS 控制過程��。
二���、工控系統的安全現狀分析
隨著計算機技術和工業生產的結合�,工業控制系統(Industrial Control Systems�, ICS)已成為制造、電力及交通運輸等行業的基石�����。一方面���,工控系統為工業的發展帶來了巨大的積極作用�����,另一方面�,因為工業控制系統的安全防護體系做得還不是很到位�����, 很多的非法入侵事件屢見不鮮,這對工業的發展�����,甚至對整個國家的安全戰略提出了挑戰���。尤其是2010 年的Stuxnet 病毒的肆虐��,讓全球都明白�����,人們一直認為相對安全的工業控制系統也成為了黑客攻擊的目標,因此���,在第一時間發現工控系統的安全問題,并及時解決這些安全問題是極其重要的����。此外�,建設安全可信的工控防御體系���,也是現在各國發展和建設的重要一環�。
三、工控系統現存在的問題
3.1系統內部風險:操作系統存在安全漏洞���。由于工控軟件先設計,之后操作系統才會發現漏洞進行修復����,甚至絕大部分工控系統所使用的Windows XP系統生產者Microsoft公司申明:4月8日以后不會對XP系統安全漏洞進行修復��,所以之后工控系統病毒的爆發會更加頻繁,使工控系統更加危險��。
無殺毒軟件的問題�����。使用Windows操作系統的工控系統基于工控軟件與殺毒軟件的兼容性的考慮,一般不會安裝殺毒軟件,給病毒的傳播與擴散留下了空間��。
u盤傳播病毒問題。在工控系統中的管理終端一般不會有專門軟件對U盤進行管理�,導致外設的無序使用從而引發工控系統病毒傳播�。
工控系統存在被有意控制的風險�。沒有對工控系統的操作行為監控和制定相應的措施,工控系統中的異常行為會給工控系統帶來較大的風險�����。
3.2 外部問題�。安全評估存在困難。安全評估是建立安全防護體系的第一步�,工業控制系統信息安全評估標準是國家頒發的第一個關于工控系統安全方面的標準����,工信部2011年的通知中明確要求對重點領域的工業控制系統進行安全評估�����,但2012 年這項工作遇到了例如缺少針對特定行業的評估規范����、只能針對IT系統����,不能對非IT類的設備進行評估等困難。
缺乏針對ICS安全有效的解決方案?��,F有的縱深防御架構解決方案只針對一般ICS模型,針對特定行業的工控系統進行防護����,還需要在未來大量實踐的基礎上才能完善。
應對APT攻擊解決效果不佳。從過去的幾次ICS安全事故來看,有針對性���、有持續性的APT攻擊威脅最大,APT 攻擊的防御一直是信息安全行業面臨的難題,即使是Google�、RSA 這些擁有許多專門人才和對信息安全有大投入的公司在APT攻擊面前也沒能幸免��。
四、工控系統信息安全的解決
4.1硬件完善。國際上有兩種不同的工控系統信息安全解決方案: 主動隔離式和被動檢測式
主動隔離式解決方案:即相同功能和安全要求的設備放在同一區域,區域間通信有專門通道,加強對通道的管理來阻擋非法入侵���,保護其中的設備。例如:加拿大Byres Security公司推出的Tofino工控系統信息安全解決方案����。
被動檢測式解決方案:除了身份認證�、數據加密等技術以外����,多采用病毒查殺、入侵檢測等方式確定非法身份�,多層次部署與檢測來加強網絡信息安全����。例如:美國Industrial Defender公司的ICS安全解決方案��。
4.2“軟件”完善:安全管理體系���。安全管理防護體系由安全管理制度�、安全管理機構�、人員安全管理、系統建設管理、系統運維管理五部分構成��。工控系統管理體系是一個循序漸進的過程�,且要隨著時代的進步隨時更新,逐步完善系統,完善管理體系�,最終才能實現工控系統的真正的安全��。
安全管理制度:建立、健全工控系統安全管理制度,制定安全工作的總體方針和戰略�����,工控系統安全防護及信息錄入納入日常工作管理體系��,對安全管理人員或者操作人員所進行的重要操作建立規范流程;形成由安全政策�、管理方法��、操作規范流程等構成的安全管理制度體系。
安全管理機構:專門設立的工控信息安全工作部門,確定相關領導為安全事故責任人,制定相關文件明確機構����、崗位�、個人的職責分工和要求等。
人員安全管理:規范重要崗位錄用流程,對錄用者進行相關身份、背景���、專業資質的嚴格審查,進行相關專業技能的考核,與關鍵崗位的人員簽訂保密協議��;對相關崗位人員進行定期安全培訓教育��,嚴格限制外來人員訪問相關區域�����、系統、設備等。
系統建設管理:首先要根據系統重要程度設立安全等級實施相應的基本安全措施,根據實時狀態更新完善系統,制定相應的補充調整安全措施制定長遠的工作計劃。
五���、工業控制系統信息安全發展趨勢
眾所周知,工業控制系統逐漸延伸到各行各業,造福人類的同時,也顯露出不少問題���,給國家和人民造成了巨大損失。進入新世紀以來,各個國家都在致力于解決這個問題��,但是信息安全事故任然屢見不鮮���。
第2篇
從2005年起�����,我國保險業履行入世承諾,實行全面開放�����,保險業由此成為我國金融行業中開放最早���、開放力度最大����、開放過渡期最短的行業。面對全球保險市場的考驗和挑戰��,利用信息技術來提高企業核心競爭力�����、經營管理水平就成了保險機構和企業最重要的應對策略和措施之一�。
現狀
經過近些年的大力推進����,保險業的信息系統已經基本建立起來。保險信息系統包括保險監管信息系統及信息網絡���,保險機構及公司的業務、財務信息系統及信息網絡���。
其中,保險監管信息系統及網絡主要用于中國保監會系統(包括保監會機關和35家地方派出機構)的各項監管工作�����。系統涉及保監會有關辦公公文數據���,以及各保險公司提供的用于監管的業務���、財務數據�����。
保險機構及公司的業務、財務信息系統及網絡則主要用于保險機構及公司的經營各項保險業務以及財務工作�,信息網絡遍及各保險機構經營區域��,總體來說,基本覆蓋了全國各地市縣���。系統涉及各保險機構及公司和廣大被保險人的利益,關系到經濟的發展和社會的穩定�。
全面開放后����,分布在全國各地的保險機構及公司是市場競爭的主體,其信息系統建設的程度和水平將決定國內保險業的競爭力��。當前��,保險機構及公司的信息系統建設的成就主要體現在以下幾個方面:
信息化建設的整體規劃不斷加強����。大部分保險公司依托企業發展戰略���,借鑒國內外信息化建設的成功經驗�����,引進信息化咨詢服務���,制訂了企業信息化的發展藍圖,加強了對信息化建設的整體規劃��。
信息化建設的投入不斷加大����。據不完全統計,2005年保險業信息化資金投入為35.5億元��,占全國保險業務收入的0.72%��,其中軟件�、運維和服務費用占比有所增加,信息化投資結構進一步改善��。人員投入有所增加�����,各公司在總、分公司層面都建立了較強的信息化工作隊伍。
業務運營平臺的改造和優化逐步深入。推進了業務平臺的統一化,逐步消除各地區各自為政和系統平臺的不一致����。加強了業務系統的標準化�����,促進了業務系統間的信息共享和聯機處理,逐步解決業務系統信息不能共享的問題。
保險公司數據大集中穩步推進�。絕大部分保險公司實現了業務�、財務數據處理的全國集中���,部分公司完成了業務數據的省級集中或實現了省級業務處理的集中���。
客戶服務信息系統平臺建設不斷加強����。各保險公司不同層次地建立了各自的客戶服務系統平臺���。中國人保��、中國人壽��、中國太平洋、中國平安�����、新華人壽以及泰康人壽等公司都建立了全國統一的客戶服務系統并開展咨詢����、投訴、報案��、客戶回訪���、掛失以及電話投保等工作�����。
保險監管信息化建設取得成效�����。保險監管機構加強了內外網絡的規劃改造����,建立了辦公自動化系統�、內網信息平臺和門戶網站以及中國保險統計信息系統,研發出了保險現場稽核系統。
保險信息安全保障體系初步建立����。各保險公司加快信息安全基礎設施建設。超過50%的公司開展了災難演習或制訂了災難演習工作計劃�����,中國平安建立了上海數據備份中心���,部分公司正在建設異地災備中心或計劃建設異地災備中心�。
問題
盡管近年來保險業的信息化建設進步很大,但無論是與國外的保險業相比�����,還是與國內的銀行業�����、證券業相比�����,其信息化水平還處于相對落后的地步。同時��,與保險業近幾年增長迅猛的勢頭相比�,其信息化建設也顯得滯后。
據統計���,“十五”期間,保險業務收入年均增長超過25%�����,這顯然對其信息化建設提出了更高的要求�����。但是,目前信息化在保險業務����、管理以及決策等方面應用的廣度和深度離保險業持續快速發展的需要還有一定的差距����,由于忽視對業務流程、管理流程、組織架構的信息化構造�����,信息化對于促進業務發展���,提高產品創新能力和客戶服務水平的作用仍然沒有充分發揮出來�。
在具體層面上,保險業信息化存在的問題主要包括:技術標準體系缺乏、信息技術應用層面不高�、數據資產利用率不夠�、信息化投入與保險業發展不匹配���、地區發展不平衡��、安全保障體系不夠完善�、信息化技術人才短缺���、客戶服務信息化水平較低等方面�����。
專項規劃新目標
為推進保險業信息化水平的進一步提升����,2006年12月22日����,中國保險監督管理委員會了《中國保險業發展“十一五”規劃信息化重點專項規劃》,這是我國保險業的第一個關于信息化的專項規劃,表明國家對于保險業信息化建設的高度重視。
該規劃根據深化應用��、加強管理的思路設立了五大發展目標�,勾畫出了中國保險業未來五年信息化發展的藍圖。
第一目標“信息化整體規劃顯著增強,信息化管理決策機制不斷優化”:重視整體規劃的同時還要求對信息化建設工作本身進行流程規范����、績效考核以及引入信息化治理�。
第二目標“信息化建設資金投入不斷增加�����,信息化投資結構不斷改善”:不僅要擴大投資��,還要調整投資結構,確保投資的有效性����。
第三目標“‘以客戶為中心’的業務平臺基本建立���,業務財務系統實現無縫對接”:從信息化為業務和應用服務的終極目標出發����,同時又能促進保險業的創新與改革���。
第四目標“信息化覆蓋面不斷擴大����,信息技術支撐發展的能力進一步增強”:不僅支持保險公司業務本身,還要求能夠支持“農村信息化”和電子商務。
第五目標“管理信息系統建設穩步推進���,信息資源開發利用初顯成效”:在業務系統發展的同時���,也要建設好管理信息系統�,而對業務系統中的信息資源進行開發利用則是連接這兩個方面的橋梁。
第六目標“保險監管信息系統體系基本成型�,監管信息化顯著加強”:保險監管要利用信息化來豐富并改善監管的手段����,進一步提高監管效率���,以信息化創新監管���,形成基本成型的監管信息系統體系���。
第七目標“信息安全保障工作切實加強����,信息安全保障體系逐步完善”,指明除了日常的基本信息安全措施外����,應急機制和災難恢復機制也都是保險安全保障體系的重要內容�����。
第3篇
在專題報告中,全軍各大單位衛生部門信息中心不僅總結了2009年落實總后衛生部五項重點工作的成績,而且闡述了存在的問題,分析了問題存在的原因,并介紹了2010年的工作計劃。
總后衛生部信息中心劉運成主任對各大單位衛生部門信息中心做出的成績予以肯定,總結了經驗,并部署了2010年的工作計劃���。劉主任指出,全軍衛生信息化建設在2010年應做好進一步完善疫情直報信息系統、擴大衛勤機關綜合信息管理系統使用范圍��、完成醫院信息系統升級改造����、制定信息化標準及系統研制、完善倉庫信息系統����、組織遠程醫學信息系統升級改造等六件大事�。
多名專家在專題講座中分別交流介紹了一號工程�、二號工程、電子病歷及應用�、軍隊衛生信息化建設“十二五”計劃設想,國家衛生部信息中心領導與醫院信息化專家介紹了國家居民健康檔案和國外數字化醫院發展思路及趨勢���。
軍隊衛生信息化建設的“十二五”計劃設想總體目標為,統籌規劃軍隊衛生信息化建設,全面實施“數字化衛勤”工程,擬初步實現全軍衛生資源動態管理�����、全軍衛生活動動態監控,并擬在數字化醫院、數字化療養院�����、數字化門診部���、遠程醫學等建設方面有所突破��。重點任務在于建成衛生系統綜合信息平臺,建立衛生網絡服務平臺,與國家接軌,建立軍人健康檔案,并完善體制與政策����、標準和法規,做到“統一領導,總體規劃�。突出重點,協調發展。需求牽引,技術推動�。整體優化,綜合集成”���。
總后衛生部張雁靈部長在講話中指出了“十一五”以來軍隊衛生信息化建設取得的顯著成績和存在的突出問題�。他指出,過去存在的主要問題在于“統籌規劃不夠有力��、信息資源開發利用不夠充分、人才隊伍建設還比較薄弱”,同時指出今后一個時期衛生信息化建設的總體思路和主要任務,全面實現“數字化衛勤工程”。主要表現為: 搞好整體籌劃���、建立綜合平臺、加強數字化信息系統配套建設、加強數字化醫院�����、療養院建設���、提高遠程醫學系統應用水平,逐步實現廣大官兵就醫“一卡通”�����、推進衛生信息資源的開發與利用,加大信息基礎建設力度���。最后,張部長指出了在工作指導上需要重點把握“進一步加強學習提高��、加強擊中統一領導管理、加強信息基礎建設、加強衛生信息安全保障體系建設”等幾個問題。
與會代表在討論過程中,進行了積極發言,為全軍衛生信息化發展獻計獻策。與會代表表示這是一次成功的���、求真務實的大會。這次大會不僅總結了過去,而且分析了存在的問題,并指出了未來衛生信息化發展方向,對衛生信息化建設工作提出了更高要求。
每周衛事
國務院通過公立醫院
改革試點指導意見
據新華網消息,2月2日,國務院常務會議討論并原則通過《關于公立醫院改革試點的指導意見》,決定按照先行試點����、逐步推開的原則,由各省(區�����、市)分別選擇1至2個城市或城區試點。
會議強調,公立醫院改革要堅持公立醫院的“公益性質”,把維護人民群眾健康權益放在第一位。改革主要任務包括: (1)優化公立醫院布局,建立公立醫院與城鄉基層醫療衛生機構的分工協作機制; (2)積極探索管辦分開的有效形式,增強公立醫院活力,進一步完善分配激勵機制; (3)改革公立醫院補償機制,逐步取消藥品加成,實現由服務收費和政府補助來補償; (4)加強公立醫院內部管理,提高醫療服務質量; (5)加快推進多元化辦醫格局,鼓勵社會資本進入����。
《意見》的原則通過,意味著醫改的重頭戲之一的公立醫院改革即將邁出重要一步���。同時,既然是先期試點,就意味著各地將因地制宜探索改革的具體路徑,譬如: 醫療資源優化配置、管辦分離�、補償機制等核心命題�。
衛生部召開
2010年全國醫政工作會議
1月28~29日,2010年全國醫政工作會議在江蘇南京召開����。衛生部副部長馬曉偉說,2009年全國醫政工作者堅持以人為本、以病人為中心,以提高醫療質量�����、保障醫療安全為主線,做了大量工作。但深化醫藥衛生體制改革任務仍然十分艱巨,醫療質量和醫療安全狀況仍有待改進,人民群眾看病就醫問題并未得到根本解決,人民群眾對醫療服務的滿意度還需進一步提高,醫政工作面臨著嚴峻挑戰,任重道遠。
2010年,醫政工作要繼續建立和完善醫政管理法制體系����、準入體系����、醫療質量管理與控制體系和醫療服務體系; 在體系建設的基礎上推動醫政管理的規范化�、專業化、標準化、精細化和信息化,持續改善醫療服務,提高醫療質量,保證醫療安全。
衛生部與清華大學簽署
衛生信息化合作協議
1月26日,衛生部與清華大學簽署衛生信息化合作協議,衛生部副部長尹力出席簽字儀式并講話,衛生部與清華大學開展衛生信息化合作研究,有利于充分發揮清華大學在信息技術領域���、尤其是下一代互聯網領域具有的雄厚科技力量,以及長期以來參與國家各行業信息化建設的經驗,發揮技術優勢、人才優勢和科研優勢,支持衛生信息化學術與應用的有機結合,加速衛生信息化的規劃研究、標準制訂����、成果轉化��、試行推廣等工作的開展。
清華大學副校長康克軍表示,衛生信息化對于一個國家的發展至關重要。清華大學將發揮科技優勢,以及長期以來參與國家各行業信息化建設的經驗,在衛生信息化總體設計和科學研究方面與衛生部開展合作,配合新醫改開展衛生信息化建設項目,培養衛生信息化亟需的人才��。
北京醫師多點執業將合法
1月31日,北京市衛生局局長方來英介紹,北京允許醫師多點執業的制度方案,已于近日被衛生部接受審批,預計今年上半年可獲批準執行����。下一步將完善相關制度,約束公立醫院醫師,在完成本職崗位工作后,才能利用業余時間到其他各類醫療機構提供服務,并且不能加收診療費。
醫生“自由”了,有利于緩解大醫院掛號難���、看病難的問題,關鍵問題是收費必須合法,必須完善管理機制����、加強監管,堅決遏制醫生走穴非法牟利的情況。
第4篇
對信息安全專業來說���,目前的實驗教學還停留在以演示和驗證性實驗為主的階段,明顯缺乏綜合性和創新性實驗����。無法適應信息安全專業學生的培養�����。在我國的部分研究型高校中,僅有部分教師對信息安全專業課程的實驗教學環節的改革進行了嘗試�。文獻[1]將學生安全編碼能力的培養與程序設計課程群�����、操作系統、軟件工程等課程相結合��,提出在教學中加強安全編碼能力訓練的幾種主要途徑���。文獻[2]從信息安全類課程教學與實踐兩大環節中的共性問題入手���,在分析信息安全技術課程實際教學活動的基礎上�����,提出教學內容點面結合���、教學實踐知行合一的內容安排與學生認知評價體系�����。文獻[3]針對信息安全課程具有的計算復雜性大����,算法理解難度大,實驗內容靈活的特點�,基于三年的課程教學經驗�,提出一種多維研討式教學模式����,集課堂教學、實踐教學和課程交叉三個維度的研討方式,收到了良好的教學效果。我校于2011年為信息安全專業高年級學生開設了“網絡安全與防護技術”選修課程,“網絡安全與防護技術”課程推出��,是對我校信息安全課程體系建設的重要補充和完善���。
2.“網絡安全與防護技術”課程分析
與信息安全專業其他課程相比,網絡安全防護致力于解決如何有效進行介入控制及如何保證數據傳輸的安全性的技術手段����,主要包括物理安全分析技術��,網絡結構安全分析技術,系統安全分析技術�����,管理安全分析技術���,以及其他安全服務和安全機制策略�����。因此此門課程是一門理論與實踐緊密結合����、實用性很強的課程����。與其他課程相比�����,該課程有以下兩個特點�。
(1)網絡安全與防護技術的研究還面臨許多未知領域�,缺乏系統性的理論基礎及公平統一的性能測試與評價體系。
(2)網絡安全與防護技術是一門新的綜合性前沿應用學科,涉及計算機科學與技術、網絡安全�、信息安全��、應用數學等多個學科知識。
“網絡安全與防護技術”課程是整個信息安全專業課程體系中必不可少的重要環節,它是“數字信號與信息隱藏”��、“數據通信原理”���、“信息系統安全”�、“信息安全管理”等內容及多門課程的綜合運用。經過三年的對該門課程的實踐教學部分的研究,我們發現��,該課程的實驗環節中存在實驗教學側重于理論嚴重���、實驗考核方法不完備����、實驗創新性不足等問題。因此“網絡安全與防護技術”課程的實驗教學存在很多問題有待研究、解決并加以實踐驗證����,本文針對這門課程的實驗環節提出研究型開放式的實驗教學方式��,包括研究型項目引導,開放式教學內容、多樣化實驗考核����、隨堂實驗環節、團隊實驗研究等多方面的實驗改革措施�。使得該課程能在信息安全專業對學生的創新意識和全面素質培養起到良好作用��。
3.“網絡安全與防護技術”課程實驗教學現狀及存在的問題
目前“網絡安全與防護技術”課程的實驗環節存在的主要問題包括以下五個方面。
(1)實驗教學側重于理論驗證���。
受到傳統的教學理念的影響,“網絡安全與技術”課程的實驗教學環節作為理論驗證的一種手段�,依然停留在理論學習階段�����,例如:防火墻的配置實驗、入侵檢測的規則建立實驗等都是典型的驗證性實驗����,學生按照實驗指導書中的方法進行操作���,記錄實驗過程然后填寫報告����。對于這類實驗學生沒有機會完成一些綜合性很強的實驗設計,無法培養創新能力。
(2)實驗教學學時分配不夠��。
課程的實驗教學是“網絡安全與防護技術”課程的重要環節�,單純依靠理論授課方式,片面重視理論的重要性,往往會造成課堂氣氛沉悶�,缺乏教學的互動效果����,使學生只能被動記憶課本內容以應付考核����,無法借助雙眼環節驗證課堂教學內容,無法激發學生參與課堂討論的積極性,導致課程教學過程缺乏互動���。
(3)實驗考核方法不完備��。
目前信息安全類課程大多采用統一的實驗步驟�����、實驗方法衡量學生實驗的情況,這種單一的考核方式促使學生更加傾向于按照傳統的實驗方法做實驗��,而忽略對學生創新實驗能力的培養��,導致所培養出來的學生缺乏獨立思考和解決問題的能力�����,在日后的工作中無法真正解決企業或單位所面臨的實際安全問題。
(4)實驗創新性不夠�����。
網絡安全技術從第一階段防火墻�����,到第二階段的入侵檢測����,再到第三階段的入侵容忍技術�����,信息安全技術正經歷著日新月異的發展和變化����,“網絡安全防護技術”實驗環節必須在學生大一的時候就編制在教學大綱中���,等到學生上課的時候已經大三了�����,兩年的變化使得有些實驗已經變成了“往事”,如何適應這種飛速發展的技術變化,一直是每一個信息安全專業任課教師思考的問題����。
(5)團隊合作精神無法得到鍛煉����。
信息安全技術的開發和研究始終需要團隊合作才能夠完成��,因此信息安全技術專業的學生迫切需要鍛煉團隊合作精神���。目前大多數實驗課程都局限在每個學生的“單打獨斗”�����,學生的團隊合作精神無法得到鍛煉。
4.研究型開放式實驗教學模式
(1)研究型項目引導�。
教師通過對教學目的���、教學內容和教學方法的介紹�����,使學生了解課程目標�,教師根據研討的專題為學生分組��,每組負責一個具體的安全類項目。開課初期的一個重要內容就是教會學生查資料和找文獻的方法,讓學生具備動手查資料的能力,為后續項目做準備����。另外通過項目引導使學生自己主動查資料�,掌握自己不熟悉的內容�,彌補學生背景知識不足的問題。
(2)開放式實驗教學。
開放式實驗教學以實驗任務為主線�����,配合課堂講授的教學內容插入多個精心設計的子實驗����。教師布置與課堂教學相關的實驗任務,學生利用課后時間自己組成實驗課題組�����,并動手解決問題��。一方面克服了學時不夠的問題�����。另一方面,在完成任務的過程中,教師由權威的知識傳授者變成了實驗教學的引導者�����、組織者和評價者�����,學生由被動學習者變成了學習主體�����。
(3)豐富的實驗教學內容和實驗方法多樣化���。
開放式實驗教學不僅要求實驗教學內容的開放�,而且要求通過開放多種形式的實驗教學內容、分層次教學���,滿足不同學生需求,探索培養創新能力模式�。“網絡安全與防護技術課程”的特點決定了這門課程的實驗方法并不是一成不變的和固定的����,例如:利用防火墻禁止某一個IP地址的URL請求可以使用多種配置方法���。因此實驗方法也是多樣化的���,實驗教學過程中鼓勵學生思考并使用創新性實驗方法��。
(4)隨堂實驗環節�����。
在課堂教學之間穿插實驗教學內容,通過學生自己動手實踐�����,課后實踐�����,或課堂演示實踐等多種方式進行���,使得學生在學習了重要知識點后�����,都能迅速通過實踐方式加深理解和強化記憶,激發學生持續的好奇心并培養學生動手能力����。
(5)團隊實驗研究��。
學生組成小團隊自己帶著實驗課題,檢索文獻�����,閱讀資料���,并定期將工作計劃和所完成的實驗由學生組長向老師匯報�����,一方面便于教師對實驗進度和方向把關���,另一方面可以培養學生的團隊合作精神�。“網絡安全與防護技術”課程涉及多種網絡安全技術和主流的安全產品����,組成員的交流和發言可以最大限度地避免和糾正對網絡安全技術理解的偏差。
5.結語
第5篇
充分發揮省信息化工作領導小組的作用���,切實加強對全省信息化工作的統一領導和組織協調,建立定期會議制度��,研究解決信息化發展中重大問題�。各級各部門都要建立信息化組織領導機構����,理順管理體制,形成省市縣協調聯動的組織保障體系��。各級各部門信息化工作領導小組辦公室�,具體負責本地區、本部門信息化統籌規劃���、綜合協調和重大項目推進等工作。
第二����,完善推進機制
做好《**省信息化條例》立法和宣貫工作��,為全省信息化快速發展提供法制保障。建立信息化與電子政務項目統籌機制,凡使用財政資金進行建設的信息化與電子政務項目,統一由同級信息化工作領導小組辦公室負責項目方案審定,提出資金需求�����,避免重復建設�,促進資源共享;由財政部門負責對項目資金進行核定把關,統籌考慮資金安排����,保障項目建設�。建立電子政務運維保障機制��,由省財政廳會同省信息化工作領導小組辦公室���,研究提出電子政務運行維護資金管理辦法及運行維護資金標準���,將電子政務運維資金納入預算體系�����,保障電子政務系統的正常運行���。研究設立信息化統計指標體系�����,探索建立信息化發展水平統計監測�、報告制度和績效評估制度,逐步將信息化發展水平和項目建設績效納入政府考核體系,形成長效推進機制�����。
第三���,加大資金投入
各級政府要做好跨部門電子政務應用���、公共信息資源開發����、公益性信息化項目以及引導性試點示范等重大信息化項目的統籌規劃和集約建設,加大資金投入,確保項目建成達效�����,形成需求主導�、效益驅動的資金投入機制。有條件的地區可設立信息化專項資金���。根據省財政收入增長情況,逐步擴大省級信息化專項資金的預算規模��。根據國家和省關于企業技術改造的有關政策��,積極爭取相關資金支持�����,引導企業加大信息技術改造傳統產業的投資力度��,拓寬融資渠道���,提高企業信息化水平和綜合競爭力����。建立完善信息化風險投資機制和資本退出機制��,探索推進合同能源管理模式在信息化建設中的應用�����。充分發揮市場機制作用��,鼓勵社會資本投向通信�、電力�、交通���、農業等基礎性、戰略性行業和民生領域的重大信息化工程��。
第四�,提升全員素質
加強對兩化融合人才、信息化高級人才的引進�����、培養和使用���,鼓勵知識��、技術和才能等生產要素參與收益分配�����,為推進信息化和工業化深度融合提供智力支撐����。鼓勵高等院校和職業技術院校根據市場需求調整學科和專業設置,發揮社會培訓組織的作用����,培養滿足市場需求的各層次信息化人才����。加強黨政機關����、企事業單位信息化隊伍建設��,組織開展有針對性的專業培訓�、技術交流和考察學習�。在大中型企業推行CIO制度。加強面向公眾的信息化知識宣傳普及���、技能培訓和職業鑒定,提高全民信息素質和能力�����。在信息產業�、信息技術、信息資源���、人才培養等領域加強與國外及國內先進省市的交流與合作,學習和借鑒先進經驗���。
第五,健全支撐體系,完善政策法規
圍繞電子政務��、電子商務��、兩化融合����、三網融合����、信息資源、信息安全、信息產業等方面發展需求,加快制定相關的政策和規章,保障信息化健康有序發展���。強化標準支撐。加強國家標準、行業標準和地方標準的宣貫�、培訓和推廣��,鼓勵現代物流、電子政務、企業信息化等重點應用領域制定信息化相關標準和規范,支持應用單位梳理建立業務框架和信息框架�。健全技術保障�����。探索開展信息化應用項目等級認定,引導信息化服務組織自覺提高設計、研發和服務水平����;鼓勵和支持大型骨干企業軟件及信息服務部門的剝離��,建立政產學研用聯動機制,整合社會各類資源,構建與信息化相關的研究中心���、技術中心、重點實驗室和推進聯盟等支撐體系,為各行業�、各領域提供專業化的技術服務�����。壯大咨詢服務���。繼續發揮省信息化專家咨詢委員會的決策參謀作用��,借助專業咨詢����、行業協會���、評測中心等第三方服務機構的優勢�����,為信息化建設提供戰略規劃�����、可行性研究���、項目監理�����、評測評估等方面的咨詢服務。
第6篇
對我個人來講,這一年意義深刻!剛剛過去的一年里����,我們在中隊領導和中心領導的正確領導下����,在其他同志的配合下���,堅持以高標準嚴格要求自己���,兢兢業業做好本職工作����,較出色地完成可領導交給的各項工作任務��,個人工作能力得到很大的提高��,同時也取得了一定的工作成績。
一年的時間很快過去了�����,在一年里����,我在公司領導、部門領導及同事們的關心與幫助下圓滿的完成了各項工作���,在思想覺悟方面有了更進一步的提高,本年度的工作總結主要有以下
思想政治表現����、品德素質修養及職業道德�。能夠認真貫徹黨的基本路線方針政策�,通過報紙����、雜志�����、書籍積極學習政治理論�;遵紀守法���,認真學習法律知識;愛崗敬業,具有強烈的責任感和事業心��,積極主動認真的學習專業知識,工作...
認清自我,找出差距。在這一年的工作中��,雖然我有不少的成績和進步��,但出項的問題也不容忽視����。如:自身有待進一步提高,對交通法律法規知識,不能活學活用�,服務意識有待提高,
2015年��,我們在押運中心領導的正確領導下,在上級部門的精心指導下�。公司全體員工齊心協力勤奮工作�����,公司的綜合實力顯著增強����,保安員隊伍規模不斷擴大,業務領域日益廣泛,服務質量持續優化��,進一步促進了我公司保安服務業務積極穩步的向前發展�����,實現了經濟效益和社會效益雙豐收��,圓滿地完成了與客戶單位合同約定的各項服務任務����,確保了客戶人身�、財產和信息安全,贏得了客戶的好評。
抓住市場機遇�,重點發展押運業務�����,不斷提升公司經濟效益�����。隨著我國市場經濟的深入發展���,社會化押運服務的時機日漸成熟,公司抓住良好市場機遇
加強法制����、安全教育����,健全�、完善管理制度�,認真落實依法規范執勤,提高服務質量���,贏取良好社會信譽。公司一向高度重視保安服務業務經營的合法性和安全性��,從法制���、安全教育和健全、完善管理制度上入手��,對全體員工各崗位工作環節進行不余遺力的管理���。公司為工行、農行�、建行、提供的武裝押運服務和為各家銀行的營業網點�、企業等客戶單位工作崗位提供的人防保安服務在服務質量上
總而言之,在上半年里,公司在押運安全工作取得了一點成績,但與領導和各部門的指導和關心是分不開的。守押工作無小事,任何一絲的麻痹大意都有可能造成不可挽回的損失,在下步的工作中,要時刻保持清醒的頭腦,嚴格要求,針對上半年存在的個人問題,從實際出發,從根本上解決,力爭把事故消滅在萌芽狀態��。同時,好的方面也要繼續保持���。公司全體人員將繼續努力,確保人員生命和財產以人為本,保護員工合法權益����,建設和諧��、穩定的服務團隊。公司的發展離不開員工的辛勤勞動�����,離不開員工的刻苦奉獻,而這種勞動和奉獻是建立在員工對公司信賴的基礎之上�����。公司一向堅持以人為本的理念
一年來�,公司在完成上述幾方面工作的具體過程中,遇到過一些困難和問題,通過中心的指導、客戶單位的幫助和公司全體人員的努力����,所遇到的困難和問題都逐一得到了解決或緩解����。
二、2016年工作計劃
新的征途,新的追求。在不斷迎接新任務的日子里�����,我們將一如既往地團結一心��、誠實守信�����,嚴格遵循《保安服務管理條例》的有關規定���,認真依法執業����、守法經營。新的一年,我們在市局黨委的領導下,有《保安服務管理條例》為保安服務行業指明方向�,更加信心百倍�����,決心繼續以貫徹《保安服務管理條例》為契機�,以構建和諧平安樟樹和確?����?蛻羧松?���、財產���、信息安全為目標�����,為實現公司經濟效益和社會效益再豐收而勤奮勞動��。
(一) 工作目標
1���、繼續貫徹執行好《保安服務管理條例》,依法規范公司的經營活動����,進一步促進公司依法執業,守法經營�。
2、繼續貫徹執行好《勞動法》和《勞動合同法》����,依照法律要求處理好公司與客戶之間和諧的服務關系以及公司與員工之間和諧的勞動關系,制定出適合員工勞動和勞動報酬的相關規定和標準�,并保證其合法性和可操作性,進一步依法保護好員工的合法權益��。
3�、繼續加強隊伍建設。隊伍建設是公司實現各項工作目標的基礎工作����,我們將繼續把好人員準入關���,對新招人員做到按規定嚴格政審���、培訓、實習��,同時進一步加強日常工作的管理���,加大隊伍建設力度�����,夯實公司謀求進一步發展的基礎���。
在思想非常重視自己工作崗位重要性����,我能夠服從領導安排,團結同事���,愛護集體榮譽�����,遵守規章制度和崗位職責���,做到上班不遲到不早退���,工作中不擅自離崗脫崗,押運過程不接聽電話發送短信等違反規章制度行為,并態度端正不當面頂撞領導不背后議論���,不泄露押運秘密等一切公司內部消息。
有優點也有缺點工作中業務不夠熟練,工作效率不太高�,文明禮儀不夠好��,工作中方法不夠靈活����,有時候存在這思想麻痹和僥幸心理,其次安排事情比叫拖拉沒有提前意識,想問題不夠深入等�����。
在過去的工作時間里,既取得了一定的成績,又有不足之處,不管怎樣,在今后的工作中,我一定克服困難,再接再厲,從而較好地起到武裝護衛的作用,決心為安邦武裝押運事業作出巨大貢獻!
第7篇
一����、充分認識信息技術改造傳統流通業的重要意義
用信息技術改造傳統流通業���,加快建立現代流通體系,是提高國民經濟運行質量���,建設制造業強省的重要舉措�,是建設現代流通業強省的必由之路����。近年來���,*省對這項工作高度重視����,特別是被國家確定為信息技術改造傳統產業試點省后��,各地和有關部門采取一系列有效措施�,不斷加大流通信息化建設力度,取得了明顯成效�。一批規模較大的物流和商貿企業采用信息化管理手段對采購、運輸����、倉儲、銷售和配送等業務進行優化整合����,壓縮了倉儲面積,加快了資金周轉����,降低了流通成本,增強了競爭能力�。但與先進省市相比,仍然存在一些問題:一是重視程度不夠�����,對流通信息化的作用和意義認識不足;二是信息化水平低�,傳統流通業信息技術應用范圍小;三是對流通信息化人力、物力投入不足;四是政策環境有待進一步完善;五是流通領域信息化建設缺乏統一規劃與協調等等�����。這些問題嚴重制約了*省流通業信息化的快速發展。各地、各有關部門對此要高度重視����,積極引導��、扶持利用信息技術改造傳統流通業�����,促進*省現代流通業的發展。
二����、指導思想及工作原則
(一)指導思想。
以*理論和“*”重要思想為指導���,用科學發展觀統攬全局��,全面貫徹黨的十六大和十六屆五中全會精神,采用先進��、適用的信息技術賦予傳統流通業新的內容,促進流通產業結構的優化升級,提高*省流通業的整體水平和核心競爭力�。
(二)工作原則�。
1、統籌規劃,分步實施。各級政府要將信息技術改造傳統流通業納入工作計劃,制定切實可行的實施方案��,先易后難,分步實施,注重實效。
2���、政府推進�,企業主導。各有關部門要采取相應措施,鼓勵流通行業推廣應用信息技術�,引導社會投入資金�����,加強基礎設施建設和信息技術推廣�。各流通企業要主動利用信息技術對經營��、管理�����、營銷等環節進行改造�,促進傳統流通方式向信息化支撐下的現代流通方式轉變。
3��、突出重點�,協調發展��。按照*省發展現代流通業總體部署��,把物流�����、商貿企業最需要信息技術進行改造的關鍵環節作為重點,有效解決阻礙流通信息化發展的瓶頸問題�����。統籌協調物流��、商貿企業����,創建實用、高效的流通信息化體系����。
4、統一標準�,資源共享。各有關部門要按照“統一規劃�����,標準先行����,互聯互通���,資源共享”的原則����,打破信息在行業����、體制和所有制上的分割,實現共同開發����,共同利用,共同受益。
三����、目標及任務
(一)主要目標��。突出抓好連鎖經營�����、物流配送�、批發市場和超級市場的信息化建設��,建立區域���、基地����、園區、企業等多層次流通信息化網絡,實現服務理念����、管理手段�、流通方式向信息化流通方式轉變�。加快推進內外貿一體化和貿、工、農一體化�����,加強企業的橫向聯合���,注重供應鏈上企業間的信息共享與聯系�,用5年左右的時間基本建成結構合理、技術先進、運轉高效的流通業信息體系,用10年左右的時間初步實現流通現代化��。
(二)主要任務。用信息技術改造傳統物流企業和商貿企業,加快培育現代流通企業�����,實現信息流���、資金流、物流的一體化運作�。以開拓市場、擴大消費�����、方便群眾為主線��,大力推進商品市場體系���、現代流通體系��、市場監控體系��、商業信用體系和網絡及信息安全體系建設����。
1�、建設與國際接軌的區域性流通信息化基地�。*��、青島�����、臨沂作為流通信息化的重點區域�����,要通過優化流程,改組改造���,建立高水平��、標準化、智能化的流通信息化基地�����,成為*省流通信息交換樞紐和電子商務中心。
*、*���、*����、*、*、*��、*��、*等地區,重點發展區域物流信息化,提升物流園區、物流中心和物流場站服務功能�����,努力建成全國中轉物流基地,成為連接華南、華中和華北地區的重要樞紐;青島�����、煙臺����、濰坊、威海��、日照等地區,重點發展港口流通信息化��。構筑暢通的海運�����、鐵路���、公路、航空信息系統,努力成為輻射東北三省和韓�、日���、朝等國的國際化物流與商貿基地;棗莊�����、濟寧���、臨沂�����、菏澤等地區���,重點推進連鎖經營、物流配送����、服務“*”信息化建設���?���?诎冻鞘幸訌姟按笸P”信息管理平臺建設��,推行一站式服務形式�����,提高通關效率����。
2�����、在流通領域大力推行電子商務。進一步加大貫徹實施《中華人民共和國電子簽名法》�����、《關于加快電子商務發展的若干意見》��,以及*省相關政策的力度,加強信用評估與誠信機制建設��,逐步建立和完善信息安全制度���,為推廣電子商務營造良好環境。力爭到2010年電子商務交易額占社會消費品零售總額6%—7%����,持卡消費額占社會消費品零售額10%以上。
3、在物流企業拓寬信息技術應用的深度和廣度���。以大型物流企業為重點�,開展面向供應鏈的流通示范工程。重點做好改造第三方物流企業工作,主要包括以工業原材料和零部件采購為主的物流企業,以產品貿易批發為主的物流企業��,以運輸��、倉儲和貨代為主的物流企業���,以農副產品流通為主的物流企業��。采用先進的網絡設備����、信息技術、自動控制技術����、車輛衛星定位系統(GPS)技術�、衛星定位系統和地理信息系統(GIS)相結合的監控技術�����、條碼技術�����、電子標簽(RFID)技術��、智能倉庫技術及電子數據交換(EDI)技術等��,實現貨物運輸信息的快速傳遞��、加工與管理,使流通企業實現調度管理科學化、貨物配載智能化�、裝卸搬運機械化、賬目結算電子化��,形成物流信息化新格局���。加快建設和完善全省交通業務資源網,建立豐富的交通信息資源庫和高效的信息共享與傳輸平臺��。完善車站�、機場��、碼頭以及各類運輸工具的調度管理系統,確保信息傳輸通暢����、貨物轉運流暢����、車輛調度順暢�����。到2010年���,大型流通企業和中型流通企業網絡營銷普及率分別達到80%和50%����。
4、推進商貿零售企業信息技術應用向縱深發展。以具有一定規模的超市和連鎖配送企業為重點,建立健全流通平臺,在人、財����、物、進、銷、存和企業管理等環節推廣普及綜合信息管理系統(MIS)�����、企業資源計劃系統(ERP)和時點銷售系統(POS);引導和鼓勵供需雙方開展網上交易�,促進傳統交易方式向現代交易方式轉變。有條件的大中型商貿企業要逐步推廣電子訂貨系統(EOS)、供應商管理系統(SRM)、客戶關系管理系統(CRM)和供應鏈管理系統(SCM)等,引導企業應用先進信息技術���。
加強IC卡的管理與發行,通過整合社會公共信息資源��,爭取實現一卡多用�����。進一步擴大金融卡持卡人數量����,擴大刷卡消費和支付范圍。
5���、在“*”領域逐步推廣應用信息技術��。青島�����、煙臺、濰坊、棗莊����、*����、日照���、菏澤等地要充分發揮農����、林、畜、水產等地方優勢,以農資、農產品、消費品加工����、儲藏�����、運輸、銷售為突破口,加快信息技術在“*”領域和涉農企業的應用��。要充分利用信息技術對涉農市場運行進行監測和預報�,協助農民識別��、打擊假冒偽劣種子、化肥等農資產品�。要根據農村和農民需要���,整合不同需求,逐步形成城鄉聯動�、連鎖配送的商品流通體系��。有條件的地方可實現網上交易和網上支付����,促進農產品進城�����、農資及日常用品下鄉�����,擴大城鄉物資交流范圍�,縮小城鄉差距����。爭取利用3年左右的時間使信息網絡覆蓋全省各鄉鎮和80%以上的行政村。
四�����、主要措施
(一)加強流通領域信息基礎設施建設。要整合企業�����、交通��、銀行�、海關、工商��、稅務等多個信息系統�����,在*��、青島�、臨沂3市建設省級公共流通信息交換平臺�����。制訂流通業信息交換標準��,實現生產商��、流通商和需求商的信息交流與整合�����。各大網絡運營商逐步把網絡延伸至農村�����,積極為現代流通業提供優質高效的網絡資源�����。信息產業主管部門要組織有關企業和科研機構加大對流通信息化的研究和開發力度�,在硬件、軟件和技術保障等方面提供相應服務。
(二)用足用好扶持政策����。各級政府、各部門要大力支持用信息技術改造傳統流通業,把建設現代物流公共信息平臺作為高新技術產業加以扶持�����,享受國家高新技術產業同等優惠政策�。發展與改革部門制定年度經濟發展規劃時,要重點體現信息技術在流通企業的推廣應用;信息產業發展專項資金要對信息技術改造傳統流通業予以傾斜;省內刷卡消費要按同行業最低標準收取手續費。依據《關于調整進口設備稅收政策的通知》和財政部����、國家稅務總局《關于印發〈技術改造國產設備投資抵免企業所得稅暫行辦法〉的通知》�、《關于印發〈鼓勵軟件產業和集成電路產業發展若干政策〉的通知》等文件規定����,經主管機關批準�����,流通企業建立信息管理系統�����、流通配送管理系統等項目所需進口設備���,執行國家有關稅收減免政策�。優先推薦技術應用狀況良好�、經營業績優良的企業上市;對已上市的流通企業優先推薦發行新股。
(三)發揮典型示范作用。以省政府確定的15戶流通大企業和29戶重點連鎖經營企業為示范單位,不斷積累在使用電子標簽(RFID)����、條碼、商品編碼��、稅控收款機��、前臺交易系統、決策支持系統���、網上訂貨系統����、倉儲自動化管理等方面的經驗,通過采取現場會等多種形式宣傳推廣����,努力提高信息化整體水平��。
第8篇
關鍵詞:射頻識別(RFID�����,Radio Frequency Identification)���;系統設計;混凝土方量統計
以往車輛管理及統計混凝土運輸量絕大部分都是依靠人工���,每運輸一次就登記累加一次��,然后在規定時間點收集���、匯總�����。這樣的形式�,不僅增加了人工投入�����,還會因為人工長時間疲勞工作而造成的錯記��、漏記����、多記���,甚至是虛報現象�����,為數據統計造成諸多麻煩��。而采用RFID電子標簽后���,所有數據統計均由信息處理系統自動完成而無需人工干預,為運輸費用支付提供了科學依據。
RFID射頻識別技術是從上世紀80年展起來�����,并逐步走向成熟的一項自動識別技術��, 90年代后期��,隨著電子信息技術的發展而得到蓬勃發展。在當今社會中,RFID技術已經與我們息息相關�,如第二代公民身份證、ETC不停車收費統、RFID門禁系統、RFID-SIM手機錢包、RFID停車場�、RFID門票�����、公交智能卡等����, RFID的應用已相當廣泛。
文章提出了基于RFID的混凝土運輸車輛自動化統計系統��,該系統可以有效收集混凝土裝載�����、運輸、卸載等各個環節的信號�。
1 RFID技術及系統
RFID技術起步較早����, 按工作頻率的不同�����,RFID技術可分為低頻(LF)��、高頻(HF)����、超高頻(UHF)和微波頻段(MW)四種�����。
典型的射頻識別系統包括三部分:讀寫器����、射頻卡及天線。讀寫器也稱收發器或詢問器,它由發射單元、接收單元、信號處理控制單元和電源等組成��。它通過天線向RFID卡發送射頻調制信號(也稱詢問信號),同時通過天線接收從RFID卡返回的載有RFID卡中信息的射頻調制信號(也稱應答信號),經處理后傳給智能控制設備��。射頻卡也稱應答器或電子標簽,它的幾個主要模塊集成到一塊芯片中����,完成與讀寫器通信,芯片上有存儲空間用來儲存識別號碼或其他各種設定數據等����。芯片僅需連接天線�����,可以作為人員的身份識別卡或貨物的標識卡�。RFID系統工作時���,RFID讀寫器通過天線發送出一定頻率的射頻信號 ,當RFID卡進入該磁場時產生感應電流獲得能量����,處于激活狀態�,同時利用此能量發送出自身編碼等信息通過卡內置發送天線發送出去����,系統接收天線接收到從射頻卡發送來的載波信號,經天線調節器傳送到讀寫器,讀寫器讀取信息并解碼后獲得卡內數據��;當寫數據時�����,讀寫器通過發射特定頻率的無線電波傳送寫指令信息和所寫數據給 RFID卡�����,RFID卡則按照指定的地址把數據寫入RFID卡���。
圖1 RFID系統組成
2 系統設計
系統充分利用RFID電子標簽非接觸即可感應的特性,由設在運輸車輛上的車輛上的RFID電子標簽、RFID感應天線、RFID讀寫器及RFID手持式終端等組成。
在混凝土拌合樓運輸車?����?坎⒌却b料的地方埋設感應天線,并與RFID讀卡器相連接��,RFID讀卡器通過TCP/IP方式與信息處理中心雙向通訊�;RFID電子標簽安裝在對應車輛合適位置,確保能被感應天線正確讀取和寫入數據。
裝有混凝土的車輛到達裝料點���,等待裝運混凝土時���,感應天線激活RFID電子標簽,RFID電子標簽通過自身天線以無線電波方式發射需要存儲的數據,如前一車運輸方量��、混凝土標號�����、運輸目的地等信息����,感應天線撲捉到無線電波,將信號送至RFID讀卡器,經RFID讀卡器經解碼等信號處理后,通過TCP/IP網絡傳送到信息處理中心,信息處理中心后臺數據庫記錄下數據,同時發出一個需要RFID電子標簽存儲的信息�����,如運輸方量、混凝土標號、運輸目的地�����、質檢是否合格等信息,信息反向經TCP/IP網絡傳至RFID讀卡器�����,讀卡器再經過編碼通過感應天線發出無線電波�,RFID電子標簽收到電波后激活,并經數據校對后寫入對應信息���。
圖2
在混凝土輸送目的地���,施工管理人員可通過手持式移動終端,讀取混凝土運輸車輛上設置的RFID電子標簽信息�����,檢查車輛裝載混凝土標號、方量��、是否合格等信息��,實現對混凝土運輸車輛的裝車及卸車的數據及時監控�,并實時通過無線聯網上傳相關數據至信息處理中心集中存儲����,實現自動化的控制����、減少人工作業��、提高了混凝土運輸車輛統計自動化程度�����。管理人員可以在信息中心查閱任意時間段的混凝土運輸總量�����、每月(每日�����、每班)運輸總數等施工信息�����,能更科學����、合理的安排下一環節工作計劃�����,為施工及管理提供了方便。
3 結束語
近年來,射頻識別技術以其特有的優勢�,逐漸在社會眾多領域開始應用,如工業自動化控制���、商業自動化和交通運輸��、商品零售�����、物流控制管理等領域����,深入到生活中的方方面面,如身份證、公交卡���、超市��、小區門禁等���,處處可以見到,同時也給人們帶來了很大的便利�����。
RFID技術對改善人們的生活質量���、提高企業經濟效益起到了重要作用����, RFID技術通過與二維條碼�、指紋生物識別信息識別技術的融合,在公共信息安全方面發揮了重要作用,同時也大幅提高了社會信息化水平。在不遠的將來可以預見,RFID技術將向智能化�、模塊化���、小型化發展,將使RFID信息更加安全�����,使用更加方便、快捷和廣泛��。
參考文獻
[1]游戰清��,劉克勝.無線射頻識別技術(RFID)規劃與實施[M].電子工業出版社.
[2]王曉華,周曉光.射頻識別技術及其應用[J].現代電子技術.
[3]王洪亮��,高晏波.談談RFID技術的應用[J].科技應用,2006.
[4]劉兆峰�,徐進.無線射頻識別(RFID)技術及其應用探討[J].山東機械.
第9篇
【關鍵詞】 信息系統審計 審計內容 審計方法
一、引言
相比于傳統審計��,信息系統審計(Information System Auditing)是審計領域中的一個新概念。目前�����,關于信息系統審計,學術界和業界均無通用的定義�����。美國信息系統審計權威專家Ron.A.Weber提出:信息系統審計可定義為通過一定的技術手段收集����、分析證據,以對計算機系統是否能夠保證資產安全�����、維護數據完整、實現組織目標以及高效利用資源進行評價的過程�。日本通產情報協會作了如下定義:信息系統審計是指,為了信息系統的安全�、可靠與有效����,由獨立于審計對象的信息系統審計師以第三方的立場對以計算機為核心的信息系統進行綜合檢查和評價,并向信息系統審計對象的最高領導者提出問題與建議的一連串活動���。國際信息系統審計和控制協會(ISACA)將其定義為:信息系統審計是一個獲取并評價證據,以判斷計算機系統是否能夠保證資產的安全����、數據的完整以及有效率地利用組織的資源并有效果地實現組織目標的過程。
針對以上觀點��,我們將其要點歸納如下:信息系統審計是審計師對以計算機為核心的信息系統���,通過專業判斷和評價����,合理保證信息系統安全����、穩定、有效,并向信息系統的高層管理者及使用者提供問題解決方案,以達到改善經營和為組織增加價值目的的一個過程���。
二���、信息系統審計的發展與現狀
20世紀60年代��,隨著計算機技術開始運用于企業的信息收集和整理中�����,會計信息處理逐漸無紙化�,促使審計人員在執行傳統審計業務時�,必須關注以電子數據為載體的電子數據處理審計(EDP Electronic Data Processing)。20世紀70年代中期至80年代,電子數據處理和管理系統等在企業中逐漸普及,同時,計算機犯罪和計算機系統失效的事件頻頻發生���,使得信息系統審計日益得到重視并迅速發展。美國、日本先后成立了IT審計方面的協會組織��,從事對IT審計規則的制定和實施指導�����。20世紀90年代��,信息和信息系統已成為企業的重要資產�,企業和社會對信息系統控制和審計的需求愈發強烈。發達國家的信息系統審計進入普及期,許多國家的審計機關�����、學者和組織對計算機環境下的信息系統審計進行了有益的探索。同時�����,東南亞各國也逐漸認識到信息系統審計的重要性�����,開始著手研究信息系統審計理論和實務�。
目前,我國信息系統審計僅有十幾年的歷史��,尚處于探索階段,既缺乏開展信息系統審計業務的人才隊伍�,也沒有形成專業規范體系�����,所進行的一些計算機審計方面的探索和嘗試以及計算機審計軟件的開發和應用還大都停留在對被審計單位電子數據進行處理的階段�。存在的主要問題有:信息系統審計觀念落后�����;信息系統審計相關的準則�、標準和規范尚不完善����;信息系統審計專業人才匱乏��;信息系統審計軟件開發工作滯后�。
1997年,廣州地鐵開始公司“信息化”建設�����。最初���,廣州地鐵經營審計采用“繞過計算機審計”的方法��,即對導出數據進行審計�����。審計過程中��,其逐漸意識到了運用這種“黑箱原理”審計方法的風險�����。因此,2006年公司組建了專門的IT審計模塊�����,探索“如何利用計算機審計”和“通過計算機審計”。其后,廣州地鐵信息系統審計發展經歷了借力��、助力和自立三個階段���。
一是借力期:IT審計模塊成立初期�����,公司與外部顧問共同開展IT審計項目����,通過外部專業人員向審計人員傳輸IT審計技能�,同時制定《IT審計實施細則》����,在人員技能儲備和制度上為IT審計模塊的發展奠定了基礎。二是助力期:審計人員參照審計手冊�����,利用從外部顧問處學習到的審計技能,逐步開展信息系統審計工作�,將IT審計工作模式調整為以自身力量為主�����,外部咨詢服務為輔的模式�����。三是自立期:2009年�����,廣州地鐵IT審計已基本實現自主化�����,且IT審計模塊逐步走向成熟���,同時其還建立了具有自身特色的信息系統審計框架。
目前,IT審計已經發展成為廣州地鐵內部審計的一根“支柱”,連同“內控審計”,作為基本的審計手段貫穿于各類專業審計工作中�����,支持審計體系的鞏固與發展。
三、信息系統審計內容
1�����、國內外關于信息系統審計內容的研究
開展信息系統審計首先要明確審計內容。國際信息系統審計協會規定�����,信息系統審計的主要內容包括信息系統程序審計、信息技術(IT)治理�����、系統生命周期管理�����、IT服務的交付與支持�����、信息資產的保護��、災難恢復和業務連續性計劃�����。
近十幾年來��,國內的學者和組織也對信息系統審計的內容進行了探索和研究���。審計署在2012年頒布的《信息系統審計指南――計算機審計實務公告第34號》中明確提出了:信息系統審計包括對應用控制����、一般控制和項目管理的審計�����。其中,應用控制包括信息系統業務流程���,數據輸入��、處理和輸出的控制����,信息共享和業務協同;一般控制包括信息系統總體控制��、信息安全技術控制����、信息安全管理控制;項目管理包括信息系統建設的經濟性��、信息系統建設管理�、信息系統績效���。
上述具有代表性的規定和研究成果對信息系統審計內容的劃分����,均是以對信息系統邏輯結構的分析為基礎�����。全面分析信息系統的邏輯結構��,可從信息系統的構成要素���、信息系統生命周期和信息系統管理三個維度進行描述:從構成要素來看,信息系統由人員、應用(包括軟件平臺和應用系統)��、所采用的技術����、硬件設備�����、數據文件運行規則組成�;信息系統生命周期可劃分為信息系統的規劃階段�����、開發階段�����、運行維護階段和更新階段���;從信息系統管理的維度來看��,對系統的管理與控制活動貫穿于信息系統生命周期的始終��,主要是通過有效執行一系列健全有效的規章制度和管理規程來實現�。
2�����、廣州地鐵信息系統審計實施框架
結合廣州地鐵信息化項目多����、系統更新快���、數據集成度高�����、系統控制與手工控制并重等特點���,圍繞信息系統構成要素、信息系統生命周期和信息系統管理三個維度�����,廣州地鐵將信息系統審計的內容劃分為整體計算機控制審計�、應用控制審計和系統建設效能評價三個方面。其中���,整體計算機控制審計是對信息系統運行中的控制活動進行審計,目的是合理保證由信息系統支持的業務流程控制是可靠的�、生成的數據和報告是可信的�����。應用系統控制審計是對業務流程中的自動化控制活動進行審計�,以合理保證交易的有效性�、經適當授權和記錄����、完成的完整性��、準確性和及時性��。項目及系統績效審計是對信息化項目的過程及成果對企業和業務產生的效益進行審計���,用來合理保證信息化項目的投資/產出比例符合建設的目標���,以及信息系統對企業戰略起到的預期的支撐作用。圍繞上述三個方面�����,廣州地鐵內部審計確立了以下的實施框架���。
(1)確立整體計算機控制安全�、操作��、變更的三個評價維度����,圍繞“信息系統全生命周期”���,明確整體計算機控制十個流程���。廣州地鐵通過學習和借鑒國際信息系統技術管理和控制標準COBIT,建立起了一套自己的整體計算機控制審計框架����。框架可按流程和控制類型兩種方式進行劃分,兩種劃分方式在本質上是一致的�。在按流程劃分出的每個子流程中�����,信息系統審計人員需要從變更�����、安全���、操作的角度去確認和評估具體的控制點���;在按控制職能所作的劃分中���,審計人員需要圍繞信息系統的策略與計劃����、信息系統操作���、與外部供應商關系�����、業務可持續計劃����、應用系統開發、數據庫��、軟件支持���、網絡����、硬件等十個子流程進行審計。
圍繞安全��、變更�����、操作三個角度及十個子流程,廣州地鐵共梳理出有關整體計算機控制的41項審計內容����,并針對每一項內容明確了控制目標和風險,建立起了一套完整的整體計算機控制矩陣。例如,信息系統策略和計劃子流程中,廣州地鐵明確了整體計算機控制的三大目標――信息系統戰略����、規劃和預算應與實際業務和戰略目標保持一致,計算機處理環境應得到具有適當技能和經驗的人員的充分支持和保證,以及計算機處理環境中的人員應接受適當的培訓�����,審計人員在此基礎上針對各控制目標,識別并歸納出廣州地鐵現行的9個控制活動��。在具體開展信息系統整體計算機控制審計時�,信息系統審計人員根據審計項目的特點和要求�,選擇需要評價的子流程��,再對照子流程的控制活動進行評估及測試即可�����。
(2)從內部控制目標出發,將信息系統應用控制劃分為訪問控制�����、完整性控制及數據質量控制三大方面。廣州地鐵將信息系統的應用控制劃分為應用系統訪問控制����、流程和系統完整性控制以及數據質量控制三大類�����,并針對各類控制分別設計了不同的審計內容���。
一是應用系統授權訪問控制審計包括對系統的認證方式�、授權機制����、權限的分配管理以及不相容職責分離在系統中的實現情況的審計�����,目的在于保證經過允許的人才能訪問和操作系統�����。二是流程和系統完整性控制審計是對系統輸入�、處理����、輸出以及接口等各種系統運行規則的審計���,用以保證所有經允許處理的數據均轉換到介質上并被處理,且處理的結果可通過適當的方式加以輸出����,所有輸入����、轉換����、處理和輸出均在正常的時間內準確地進行。三是數據質量控制審計則是指對信息系統中的數據的完整性���、規范性和有效性所進行的審計,旨在保證所有系統的輸出均反映為經批準的有效的經濟業務��,所有經過系統的數據真實、有效���,且能滿足企業各項業務的使用要求��。
(3)圍繞“信息化項目”和“信息系統”�,綜合評價信息化建設的效益�。在開展整體計算機控制審計和應用控制審計的基礎上�����,廣州地鐵從企業經營和投資效益的視角出發,在信息系統審計中引入了3E審計的概念�����,嘗試對信息系統建設項目的成效��、建成后系統的應用效能以及信息化對戰略的支撐效果進行審計����。為了全面評價項目����,廣州地鐵通常將對單個信息系統建設項目的合規性審計與項目效能審計結合在一起開展�。
一是信息系統建設成效審計旨在通過對系統建設全過程的審計�,促進信息系統的建設規范性,提高信息系統建設的質量。二是信息系統應用效能審計包括對業務需求的實現情況��、建成功能的使用情況的審計分析,以及對系統應用對業務管理規范化、標準化和精細化提升作用的綜合評價���,目的在于促進系統使用價值的最大化,減少系統建設的投資浪費。三是戰略支撐效果審計是從支持戰略實現的角度�,評價信息系統的建設效益����,保證信息化建設在符合業務管理要求的同時,符合公司戰略的需要,支持公司戰略的實現���。
四�����、信息系統審計實施步驟
信息系統審計步驟(或流程),是審計工作從開始到結束的整個過程。信息系統審計流程一般可劃分為四個階段:計劃階段、實施階段����、報告階段和后續階段���。計劃階段是信息系統審計流程的起點��,此階段的主要工作包括了解被審計系統的基本情況�����,初步評價被審計單位信息系統的內部控制和外部控制����,識別重要性和編制審計計劃��。實施階段是根據計劃階段確定的審計范圍���、重點�、步驟和方法進行有針對性的取證、評價�����,并形成審計結論的過程��。實施階段是信息系統審計工作的核心�,主要由符合性測試和實質性測試兩個部分構成���。在報告階段,信息系統審計人員需運用專業判斷�����,整理�����、評價收集到的審計證據,以經過核實的審計證據為依據���,形成審計意見���,出具審計報告���。審計報告的出具并不意味著信息系統審計工作的終結�����。根據國際信息系統審計標準����,信息系統審計人員對于系統中發現的重大問題和漏洞,需要對被審計單位所采取的糾正措施及其效果進行后續審計�。審計人員需要將后續審計納入計劃�����,并安排必要的人員和時間進行后續審計�。
廣州地鐵IT審計模塊成立之初,即明確了IT審計“對公司的系統流程與控制��、項目進行審計”和“提供有益于增加公司價值的咨詢服務”兩項核心職責,并圍繞公司戰略��,以“風險導向”、“服務戰略”理念為指導��,從信息系統審計戰略規劃和具體項目執行兩個層面分別制定信息系統審計的流程�����。
1��、以公司戰略為導向���,制定信息系統審計的戰略規劃
一直以來�����,廣州地鐵奉行“源于戰略�����、服務于戰略”的現代審計理念��。這一理念主要體現在兩個方面:一是在制定內審工作計劃時�,從公司戰略出發��,制定各個內審業務及各專業審計模塊的戰略����,并以業務戰略為指導���,開展具體的審計工作;二是在開展審計項目的過程中��,始終從保障公司戰略執行的角度去發現問題、評價問題��,提出整改意見和落實整改�����。信息系統審計的戰略規劃來源于公司的戰略���,以及以公司戰略指導制定的公司信息系統戰略規劃和內部審計業務戰略規劃�;同時還須結合公司信息化現狀和IT審計模塊定位,明確廣州地鐵IT審計發展戰略目標����。
2��、通過風險評估����,確定各信息系統風險等級,制定層次分明、重點突出的信息系統循環審計計劃
為利用有限的審計資源掌握公司主要信息系統的建設、運營情況,保障信息資源的有效利用,降低公司信息系統的整體風險�,廣州地鐵建立了一套“根據信息系統風險評級制定差異化的審計策略”。
(1)梳理信息系統脈絡�����,全面掌握信息系統現狀。廣州地鐵結合信息系統規劃�、建設和運營的情況及系統分類梳理出被審計信息系統清單��,并從系統構成要素的角度收集系統相關的信息���。這些信息包括系統名稱���、功能模塊����、采用產品等基本信息,以及項目的建設信息����、系統的使用狀況和運維的基本情況����。這些信息是風險評分的依據���,也為后續開展具體審計工作時確定審計方案提供了指引���。
(2)開展信息系統風險評級�,制定風險導向型審計計劃���。內審人員從通用風險���、業務風險�、項目風險�����、系統風險��、數據風險和人員風險六大風險類別出發�����,全面識別信息系統各類構成要素中存在的風險���;對信息系統進行風險評價,根據風險得分將信息系統按優先級分別劃分為高��、中、低三類�����。結合公司IT審計資源的情況,對優先等級高的系統采用三年一審策略����,中等級系統5―6年一個審計周期�����,風險等級低的系統則根據需要安排審計。在此審計策略的基礎上�,再綜合考慮公司業務的十大風險���、領導關注事項、上一年度內控評價結果和審計項目成果����、公司新一年的工作重點�、公司信息系統的變動情況,并制定出本年度的信息系統審計計劃。
3���、以風險為導向��,開展信息系統審計
在項目實施階段��,審計人員必須從公司整體信息系統控制環境和被審計系統的狀況、流程與內部控制兩個方面進一步收集被審計系統的相關資料,了解和確認被審計單位已建立的內部控制措施,并對這些控制措施的設計是否達到控制目標進行評估���。
(1)以“輪流循環+以點帶面”的方式開展整體計算機控制審計�����。公司的信息化業務采用統一集中管理的模式�,整體計算機控制對各個系統具有一定的通用性。因此�����,在實務操作中����,廣州地鐵采用“以點帶面”的策略�,以單個信息系統整體計算機控制為切入點對整體計算機控制進行審計���,評價整體信息系統的安全性;同時��,考慮到信息系統在一定時間內相對穩定,因此在實施整體計算機控制審計時可采取輪流測試的方式����,即每年從十個子流程中選取幾個進行測試��,經過一定周期后���,完成對整體計算機控制的全面審計。例如���,在2011年開展的信息安全審計項目中�,審計人員就圍繞信息安全這個審計主題�,從十個子流程中選取了與信息安全直接相關的信息系統操作�、信息系統安全、業務可持續計劃�����、應用系統開發與實施�、數據庫開發與實施和系統軟件支持等六個流程進行審計。分步���、循環開展整體計算機審計����,在審計風險可控的情況下�,大大節省了審計資源���,也使得審計人員能夠更加深入地挖掘和分析整體計算機控制方面所存在問題以及問題的成因�,提出更為切實可行、同時又符合公司信息化業務發展現狀和要求的整改措施��。
(2)以風險為著眼點,確定應用控制審計重點�����。應用控制是各個信息系統內部所建立的控制機制,應用控制審計必須針對某個具體信息系統開展�����。在開展應用控制審計的過程中,審計人員應緊緊圍繞“風險”這個著眼點�,通過對原有業務成熟度和系統建設過程中風險的評估�,選擇不同的審計側重點開展應用控制審計。例如,在合同管理系統審計項目中���,由于合同管理系統是全新開發的系統�����,審計人員經分析,判定系統在應用系統訪問控制方面的風險較高。而在進行控制評估和測試后���,審計人員發現業務人員在創建系統權限設置機制時完全套用了公司辦公自動化系統的權限機制�����,而未針對合同業務流程中不同于公司組織架構下的角色設立相應的用戶組��,導致系統無法實現合同經辦人與審批人職責的分離,存在重大的內控風險。
五�、信息系統審計方法
在信息系統審計中����,可因地制宜,綜合運用多種學科的技術方法,包括:傳統審計中內部控制測評的基本方法和審計取證的基本方法(包括審閱�、核對�、監盤��、觀察��、查詢�����、函證、計算���、分析性復核);計算機科學的技術方法,如數據測試法�����、程序編碼審查法、受控處理法、受控再處理法�、整體測試法���、平行模擬法、程序比較法���、漏洞掃描���、入侵檢測����、嵌入審計程序法等等;行為科學的技術方法����,如運用組織發展的理論與方法、個體行為一般規律的理論和方法。這些方法與技術并不是孤立的�����,而是互相聯系的。
目前��,廣州地鐵在信息系統審計中所運用的方法仍主要集中在傳統的內控審計方法和信息系統管理的技術方法兩個領域�����,具體包括詢問、觀察�、文件復核�����、抽樣�����、重新執行����、使用計算機輔助軟件等����。在部分項目中���,也采用了一些計算機科學的技術方法��。受限于審計資源不足��,廣州地鐵較少采用程序比較法��、平行模擬法、程序編碼審查法等高成本的審計方法����,而傾向于選用一些較為高效的測試方法。但這些高效方法的運用不能完全消除審計風險��,這就需要審計人員根據自身的經驗盡量避免。
1�����、傳統審計方法的運用
廣州地鐵在開展信息系統審計過程中較多運用傳統審計的方法。例如,在對信息系統整體計算機控制進行審計時�����,通過對系統使用人員的訪談�、調研和對系統各項操作的觀察���,梳理出整體計算機控制相關的各種控制活動��。在沒有測試環境的情況下對生產在用信息系統的人機交互界面和功能進行調查和確認時�,審計人員大量運用了觀察的方法。在對固定資產信息系統模塊進行審計中����,審計人員通過觀察物資采購人員�、資產管理人員���、會計核算人員在系統中的操作界面��、系統實現效果以及業務操作流程來了解系統功能的構造����。發現采購中的供應商信息在跨系統流程過程中丟失,導致財務系統和實物管理的MAXIMO系統的資產臺賬中均缺少供應商信息��,致使日后采購同類物資時,采購人員無法獲取歷史采購信息作為參考,增加了市場調研成本��。除內控矩陣和訪談�����、觀察等方法之外��,編制流程圖�、數據流圖和報表流圖也是信息系統審計經常使用的方法。
2、計算機科學技術方法的運用
計算機科學技術方法是信息系統審計特有的方法,來源于IT行業的信息技術的轉換應用,主要包括基于數據分析的方法和基于程序分析的方法,這些方法的綜合使用使得對信息系統的審計更加有效。具體方法的選用需視被審計系統的實際情況而定���。在一個審計項目中,廣州地鐵審計人員經常將多種方法結合使用���。例如�,在票務收入系統審計項目中���,審計人員首先采用數據測試法���,使用正常及非正常的測試地鐵票搭乘地鐵,在系統中跟蹤測試票的處理情況,以驗證系統處理與控制功能是否均有效;在對系統中后期內部開發的車站單程票售賣功能進行審計時,審計人員采用了程序編碼審查法�����,對系統的源程序編碼進行審查��,審查后發現單程票售賣金額統計報表在進行數據處理時省略了小數點后的尾數�����,導致報表金額存在偏差��;在對票務系統的清分報表進行驗證時�,審計人員又采用了平行模擬法����,抽取系統中一段時間內的正式交易記錄���,在系統外模擬系統的處理規則對交易記錄進行處理,并將處理結果與系統的報表數據進行核對����,結果發現系統在數據傳遞和處理過程中����,由于系統對于異常數據的審核過于嚴格,導致部分正常數據被當作垃圾數據丟進異常庫����,給公司造成票務損失��。
3�、計算機輔助審計軟件的應用
計算機輔助審計軟件的應用是信息系統審計的一個顯著特點,也是審計人員準備階段需要重點關注的問題之一���。目前��,廣州地鐵對計算機輔助審計軟件的應用主要體現在以下兩個方面。
(1)對系統中數據的準確性�、完整性和一致性的檢查。例如�,在合同管理系統審計項目中��,為核對系統接口程序的可靠性��,審計人員利用審計輔助軟件快速完成了對合同系統和財務系統數據一致性的核對�,迅速查找出兩個系統中不一致的數據����。經過深入分析,審計人員發現由于財務核算人員在財務系統中復核合同支付數據時發現錯誤��,將支付申請退回給合同系統再由合同經辦人重新填報時,合同系統未對已生成的支付信息進行更新���,導致上述問題的出現�����。針對海量數據處理系統�,數據驗證是審計的重點,計算機輔助軟件是“不可或缺”的審計工具����。在地鐵票務收入保障審計項目中����,審計人需要通過數據驗證的方式對業務處理的核心系統――自動售檢票(AFC)系統中的系統傳輸和處理機制進行驗證���。為此����,審計人員共設計了8大類29子類47個數據驗證主題。審計時,審計人員運用計算機輔助審計技術�,在兩個月內完成了對AFC系統中10天總計超過3億條運營數據的驗證工作。
(2)利用計算機輔助軟件進行對比測試。即審計人員從信息系統中抽取某部門樣本數據����,將樣本數據輸入到與計算機輔助軟件中進行處理�,把審計軟件輸出的結果與業務系統產生的結果進行對比分析,以判定業務系統的可靠性與準確性。廣州地鐵在已開展的運營票務收入保障審計項目中大量地使用了此種方式��。審計人員將各車站站務人員在票務系統中錄入的售票數據導入到計算機輔助軟件中��,按照業務規則對數據進行處理��,將處理結果和系統輸出的結果進行對比。經對比���,審計人員發現票務系統在處理異常數據時過于嚴格����,導致部分非異常數據被系統當作異常數據丟入異常庫中���,給公司造成票務損失�。
4、信息系統審計與業務內控審計相結合
企業管理流程信息化的過程中�,會對原有的業務流程進行優化甚至重構�。對原有手工流程的內控評價在信息化環境中可能不再適用����。因此�����,廣州地鐵在信息系統審計中添加了對業務流程的內控評價――先對業務的內部控制情況進行評估����,梳理并確定業務流程風險和關鍵控制點,再對照業務流程對系統的處理流程進行評價��,確保信息系統審計評價的準確性���。信息系統審計與業務內控審計相結合的方法還體現在對一個流程中未在信息系統實現的控制環節可以通過內控審計進行補充�����。實踐表明����,信息系統審計與業務內控審計相結合的方法在很大程度上提高了審計的全面性。
由于信息技術自身的特點���,例如電子數據的不可視性�����,加之被審計單位信息系統內部控制方面可能存在缺陷以及信息系統審計人員在專業技術和職業道德方面亦不完美,信息系統審計風險客觀存在���。面對信息系統審計風險����,需要審計人員通過深入調研,全面了解被審計系統的情況�;需要培養專業人才,“以點帶面”提升團隊能力�;結合企業發展情況�,制定內部信息系統審計標準;利用審計軟件�����,降低抽樣風險�����,提高審計效率等多種措施��,不斷降低審計過程中的檢查風險,提高審計質量。
【參考文獻】
[1] Ron A.Weber����,Information Systems Control and Audit,1st ed,NJ:Prentice Hall��,1998.
[2] S. Anantha Sayana:The IS Audit Process[J].The ISACA Journal,2002(1).
[3] Craig S. Wright:The IT Regulatory and Standards Compliance Handbook:How to Survive Information Systems Audit and Assessments,1st ed�,MA:Syngress, 2008.
[4] Robert E. Davis:Information Systems Auditing:The IS Audit Planning Process,3rd ed�����,2010.
[5] Jack J. Champlain:Auditing Information Systems[J].2nd ed��,NJ:John Wiley&Sons�,2003.
[6] 盧紅柱:計算機信息系統審計的探索之路[J].審計研究,2006(增刊).
[7] 王進波、常衛:信息系統審計的發展與現狀[J].財政監督�,2008(4).
[8] 陳繼初:信息系統審計在我國的現狀及存在的問題[J].消費導刊,2008(12).
[9] 吳沁紅:信息系統審計內容分析[J].財會研究���,2008(10).
[10] 胡曉明:信息系統審計理論體系的構建[J].中國注冊會計師���,2006(6).
[11] 王艷���、周劍:信息系統審計辨析[J].圖書情報工作����,2004(48).
[12] 田佳林:信息系統審計簡述[J].財政監督��,2008(4).
[13] 陳婉玲���、楊文杰:COBIT及其在信息系統控制與審計中的應用[J].審計研究��,2006(增刊).
[14] 趙靜:COBIT框架在IT審計中的應用[J].中國內部審計����,2009(12).
[15] 張妍:信息系統審計方法研究[J].審計月刊�,2010(11).
[16] 劉杰�����、羅繼榮:信息系統審計質量控制準則研究[J].財會通訊���,2011(5).
[17] 王振武�、張子瑾:信息系統審計理論結構框架研究[J].會計之友,2011(7).
