新手游下载量破百万了,身为开发者的小A却一点兴奋不起来......
游戏上线后,小A眼瞅着业务平台数据一路飙升。如此海量用户转化个80%的充值玩家不和玩似得?结果半年过去了,小A不光没靠着优势挣到钱,还反亏一大笔。
难道数据有问题?小A资讯了业务平台客服,结果真是如此,他得知自己使用的业务平台存在数据篡改的情况,下载量都是刷单平台堆上去的假数据。
看来,业务平台不靠谱真是后患无穷。上述仅是本宅YY的故事,但与之类似的事件在其他行业频发。那么,怎样才能制止这种坑爹的情况再度发生呢?
在2019年4月26日,以“共享数据价值·共担安全责任”为主题的第三届中国数据安全治理高峰论坛在北京落幕。在26日下午的数据安全治理金融分论坛上,大信会计师事务所合伙人郭颖涛就金融业案例向我们分享了IT审计数据安全的重要性及其保障方案。
金融业数据安全问题频现
IT审计是审计准则里面规定的一个专业术语。信息系统是企业生产活动、经营活动不可或缺的部分。IT审计是作为信息科技风险的第三道防线,是对以计算机为核心的信息系统进行的审计,具体而言就是指IT审计人员从独立的第三方的角度,对信息系统从规划、开发、测试、实施到运行维护的过程进行审查与评价的活动。
与上述案例类似,金融行业审计,数据的特点表现为数据量巨大,数据分支之间形成复杂的内部体系。一般情况下,事务所为了确保财务数据的准确性需要通过业务数据系统和财务数据系统进行比对。
该过程中,难免会出现数据安全问题。典型案例整理如下:
“想要审计数据精准无误,对其过程进行安全把控显得尤为重要——审计过程中的权限问题、数据篡改问题、限制设置合理性问题等等,均会影响最终财务月报的准确性。”
把关安全:IT审计
要想获取准确的财务数据,就要检查整个信息系统是否可靠,就要进行IT审计。 “随着IT技术的快速发展以及在金融行业的深入运用,越来越多的业务经营和管理经营活动都依赖于信息系统进行高速智能化的处理。为了降低审计风险,我们要越发关注高风险领域,同时也要在审计效果和效率之间找一个平衡,基于金融行业这个特点,我们要对财务报表的数据来源-信息系统进行审计。”
郭颖涛觉得,不光是金融行业,几乎所有财务核心数据来源于信息系统的行业,审计工作重点都在于确认IT数据的准确性。
从她的角度来看,建立完善、高效、安全的信息系统应取得决策层的支持,制定数据安全管理规范,构建数据保护技术支撑体系,至少应包含建立权限、重要数据备份、指定程序生成文档、对重要数据进行加密、离线文档进行管理、外发文档的管理这六大要素。
针对IT审计,郭颖涛认为主要内容分为ITGC和ITAC两块,并逐一进行了介绍。
ITGC
ITGC是指信息系统一般控制审计,一般来说,ITGC又分为IT治理和IT基础层面的控制。
首先是IT治理:
1、组织架构
公司的组织架构健全,才有利于健全信息系统的顺利落地。信息系统管理是公司内部控制的一部分,判断内部控制制度的有效性通常会从是否具备有效制度、是否有效执行两方面入手,公司制度若想有效执行,必须具有健全的组织架构。
同理,判断信息系统是否有效,我们也需要考虑是否有健全的组织架构,没有健全的组织架构确保系统的有效安全运行,很难有效保障信息系统数据精准性。
2、制度体系—运维制度
在制度体系里,运维制度的完整性也会影响健全信息系统的执行。运维制度中比较关注的包括机房管理、网络信息系统管理、数据和介质管理、安全管理,这五点综合起来作为衡量整个运维体系完整性的标尺。公司应根据发展战略,制定信息化发展规划,同时满足业务发展和信息安全的需要。
3、岗位职责
在制度体系完备的情况下,还要制定具体的岗位分工和岗位职责。岗位职责中的关注点在于岗位分离,如果信息系统缺失了分离制度或者相关权限分配,也就失去了制约性。如果参与系统使用的员工可获取任意的调用权限,也就意味着整个体系面临着被随时篡改的可能性。
4、资源
公司要有足够的资源,保证信息系统有效运行。前期主要是指一般性的资源整理,而在一个健全的责任分工下,公司资源要足够该制度正常运转,这是任何健全信息系统要满足的前提条件。
其次是IT基础控制:
1、操作系统安全管理:口令定期更新、访问控制、安全策略、默认用户、默认口令、冗余账户、共享账户等;
2、数据库系统安全管理:口令定期更新、访问控制、安全策略、默认用户、默认口令、冗余账户、共享账户等;
3、应用系统安全管理:登录控制、身份识别;
4、安全管理制度:安全管理制度、执行、评估报告等;
5、还包括网络安全管理、机房管理、数据备份管理、数据恢复管理等。
ITAC
ITAC(应用层面控制审计),属于具体业务流程测试,需根据客户业务特点制定具体的IT审计策略,针对性较强。
一般的测试内容为财务系统本身的授权、控制(岗位分离)、备份等是否得到有效把控;业务系统至财务系统的数据在传输过程中是否存在遗漏或被篡改的情况;自动化记账过程是否被人为干预。
值得一提的是,并非所有的公司审计都需要对其信息系统进行审计,对于一般的公司(Statutory Audit) 而言,是否对其信息系统进行审计,这取决于信息系统对该公司年度财务报表的影响程度,审计师会根据影响程度,制定相应的审计策略 (Audit Strategy) 。
审计困境:数据安全强随机性
郭颖涛称,在查询2018年银监会对相关银行处罚的记录后,我发现,2018年尚有部分金融机构因客户信息安全管理不到位,部分重要信息系统灾难恢复等级未达到第5级(含)以上等数据安全问题被处罚;我觉得目前部分金融机构的数据安全监管机构体系级别还不够,其对于信息系统数据安全把控尚未满足监管要求。
原来,对于外部审计机构来说,业务流程最终反映到财务报表中需要一个有效结合过程。为了将业务流程和财务数据进行相关结合,通常对业务系统和财务系统形成相互比对,进而达成数据之间的互通互联。
总结一句话,就是通过业务数据的可靠性来支持财务数据准确无误。
“将业务数据与财务数据相结合,就意味着以上几点必须有明确的分工。为了在审计过程中让相关人员有据可循,IT审计系统需要建立相互查询控制的机制。如果在这个过程中我们人员角色或者其他定位没有定义好,就有可能造成财务数据被篡改,最终影响审计结果。”
实际上,这种被篡改数据的情况总会出现。郭颖涛坦白道,每年做IT审计,由于人员分配问题,或者其他的特殊情况导致的一些公司业务数据与财务数据对不上的事情时常发生。起因大都因为一些公司对于上述的几点信息系统安全保障做的不够好,这有可能造成财务系统和业务系统在对接过程中是存在漏洞的。
另外一点,即便是小型银行也会使用自动化记账本,记账过程无需人为干预。虽然自动化记账本要求业务数据和财务数据实现完全的自动生成,但实际上执行过程中业务数据和财务数据总会出现匹配度不一样的情况。
当然,也有可能有些数据原本就是人工参与生成的,其匹配难度也就更大,这会影响对IT信息系统的判断。
那么,怎么验证财务数据准确性呢?
郭颖涛称,对于财务系统本身来讲,业务数据保障是整个IT审计业务模块里面的一部分。在整个财务系统中,我们也必须建立有效的控制机制,其中包括本身授权、岗位职责分离、财务备份等较为健全的制度。与此同时,数据真实性欠缺的情况应该引发IT审计从业者对整个财务报表数据的公允性考虑。
此外,会上安华金和CEO刘晓韬也分享到,数据安全治理不仅仅是一套用工具组合的产品级解决方案,而是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条。
组织内的各个层级之间需要相互协作,对数据安全治理的目标和宗旨达成共识,并从能力、执行、场景三个维度建设数据安全治理体系,以最有效的方式保护信息资源。
数据安全治理体系框架
能力维度:完善的组织机构、有针对性和可行的管理制度和规范、全面和先进的数据安全技术,是构建数据安全治理体系的基础。
执行维度:针对数据使用的各个场景,需要通过梳理来了解数据资产状况和风险;配合制度规范要求,采用不同的安全技术手段进行数据使用过程中的管控,同时要监控使用过程,对访问行为进行稽核,并不断完善。
场景维度:数据安全治理涵盖数据在日常使用过程中面临的各种场景,具体包含开发测试、运维、共享、分析、应用访问、内部特权访问等场景。
基于以上观点,郭颖涛认为尽可能打造互联、互通的业务与财务数据通道将成为解决IT审计安全问题的根本性解决方案。“IT审计跨行业、跨部门的性质较强,其在发展安全保障体系的同时,合规性应该首先考虑将业务和财务数据整体关联,以此换取财务数据的相对公允。”
金融行业数据安全相关法规
随着数据被金融行业高度采用,数据安全问题亦频繁出现,引发的信息科技乃至业务风险逐年增高。而为了杜绝“数据安全强随机性”的出现,国家相关规定陆续出台。
2015年8月29日人大获通过的《刑法修正案(九)》明确了导致个人隐私泄漏的情形、责任、及导致泄漏的责任主体及法律责任:
第二百八十六条:网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
2017年6月1日,《中华人民共和国网络安全法》正式实施,根据规定金融行业重要的信息系统是国家信息安全重点保护对象,因此金融行业是落实和实施信息安全等级保护的重点行业之一。
第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第三十一条:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
第三十四条 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。
演讲的最后,郭颖涛总结道,通过对IT审计安全保障体系的回顾,我们发现,随着社会信息系统安全意识的不断加强,信息系统数据安全建设投入不断增加,社会越来越需要对信息安全保障系统提供强有力支持的公司。雷锋网雷锋网雷锋网