首頁 >
				文章中心 >
				信息安全調研報告
			
          
		
          
		
		
          
			
          
				
				
          
					
          
						
          信息安全調研報告
          
						
          
					
          					
					 
           
          前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇信息安全調研報告范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
           
          信息安全調研報告范文第1篇
           
           結合當前工作需要,的會員“財神的跟班”為你整理了這篇食品安全檢驗檢測體系科技創新狀況調研報告范文,希望能給你的學習、工作帶來參考借鑒作用。
           
           【正文】
           
           食品安全檢驗檢測是食品質量安全監管重要的技術支撐手段,是準確評估食品質量安全、規范食品生產經營者生產經營行為、提升生產經營者的自律意識和安全意識、保證食品在進入市場或經營流通環節后質量安全的有力抓手。在新形勢下,走科技創新引領檢驗檢測機構之路,提高檢測技術水平,更新檢測管理體系,加強檢驗檢測機構技術引進、推動科技創新,進一步提升檢驗檢測機構的綜合檢測能力是非常迫切和必要的。
           
           一、檢驗檢測機構現狀
           
           杭錦旗食品藥品檢驗檢測中心成立于2013年8月(杭機編發【2013】38號),股級建制,市場監督管理局二級事業單位,核定事業編制2名。主要職責是負責全旗的食品、藥品、化妝品和保健食品抽查檢驗、委托檢驗和復核工作。于2018年2月通過質量技術監督局資質認定(證書編號:180500140098),具備國家有關法律、行政法規規定的基本條件和能力,可以向社會出具具有證明作用的數據和結果。2019年為有效解決檢驗檢測領域職能相近、職責分散、條塊分割、重復檢測、重復建設等問題,將旗農牧局、糧食局相關檢驗檢測職能整合,成立杭錦旗檢驗檢測中心(杭黨編發[2019]35號),掛杭錦旗食品藥品檢驗檢測中心、杭錦旗農畜產品質量安全檢測站、杭錦旗糧油質量檢驗檢測站牌子,主要負責全旗食品藥品安全檢驗檢測、化妝品、保健食品有關衛生和理化指標檢驗檢測、農畜產品質量安全檢驗檢測、糧食質量檢驗檢測及上述產品的委托檢驗檢測工作。
           
           十二五期間因檢驗檢測工作未開展,僅做日常業務工作,配備工作人員2人,其中碩士研究生1 人,本科學歷1人。初級職稱2人。十三五期間通過實驗室建設認證,檢驗檢測職能逐步完善,技術力量逐步充實。現有工作人員12人,在職事業編制內專業技術人員8人,在崗事業編制外聘用工作人員4名。其中副高級人員2 名,占專業技術人員比例17%,中級專業技術人員3人,占專業技術人員比例25%,初級專業技術人員7人,占專業技術人員比例為58%。在崗專業技術人員中碩士研究生1人,本科學歷7人,專科4人。70后3人,80后6人,90后3人,逐步實現了專業技術人員年輕化、知識化。
           
           二、 檢驗檢測機構發展中面臨的主要問題
           
           (一)人員的專業技能參差不齊, 不能滿足檢驗檢測機構發展的需要
           
           現有檢驗檢測機構12名工作人員中,僅有6人是食品檢驗檢測相關專業學歷, 檢測人員的專業知識和技能較匱乏, 對檢測儀器設備的工作原理和相關指標參數理解不透徹, 只能對一些簡單的產品進行檢測。在進行檢測時, 難以掌握不同產品的檢測方法, 對檢測過程中出現的問題不能做到全面系統的分析研判。
           
           (二) 監督管理體系不健全
           
           檢驗檢測機構雖然制定了一套完整的監督管理體系, 但沒有嚴格執行,從而無法保證工作效率和工作質量。
           
           (三)儀器設備老化, 滿足不了檢驗檢測技術全面發展的要求
           
           檢驗檢測機構現有儀器設備于2016年通過招投標采購,部分儀器已出現老化故障,當用老舊的檢驗設備進行檢測時, 會導致檢測結果不準確、 誤差增大。 還有一些檢驗儀器設備雖然比較新, 不存在老化的問題, 但是功能比較單一的, 只能檢測一部分項目, 對有的檢驗項目精度不夠, 達不到要求。現在食品檢驗標準、 要求不斷更新提高, 設備精度要求越來越高, 檢驗儀器設備投入較大, 效益較低, 這樣就會出現設備更新慢, 滿足不了檢驗檢測技術全面發展的要求。
           
           (四)對標學習、交流培訓機會少
           
           檢驗檢測技術、執行標準不斷更新,抽樣工作進一步得到規范,需要更多的學習培訓機會。現有工作人員僅在實驗過程中互幫互學,摸索經驗,畢竟技術水平有限,雖然按照正常的操作進行檢測,但因缺乏更深層次的專業檢測技能, 致使檢測數據出現問題不能得到及時解決。抽檢人員在抽取樣品過程中操作是否規范是否具有代表性也在很大程度上影響檢測結果的準確性。
           
           (五)外聘人員待遇低,檢測隊伍不穩定。
           
           檢測中心十三期間先后聘用在崗事業編制外人員8人,均是食品安全檢驗檢測相關專業的大學畢業生,經過一段時間的實踐操作,都已成長為檢驗檢測中心的中堅技術力量,但由于薪酬待遇低,不斷有人離職,到2020年僅有4人在崗。熟練技術人員的離職,無疑給檢測中心帶來巨大的技術力量的損失。
           
           三、 檢驗檢測機構發展的對策與趨勢
           
           (一)加強培訓,提升檢驗檢測人員的隊伍素質
           
           檢驗檢測技術人員是檢驗檢測機構開展工作的核心, 檢測機構應該定期和不定期地組織檢驗人員參加培訓, 使檢驗人員對檢測專業知識、檢測的科學方法有深入的了解。通過參加培訓可以完善自己的檢測知識結構體系, 提高自己的檢測技能。 檢測機構還應該定期對人員進行多方面考核, 不同實驗室結果比對, 檢測人員檢測結果比對, 從而提高檢測人員的檢測能力。還可以聘請一些優秀的檢測方面的專家來開展講座, 檢測機構人員可以在聽講座的過程中學習到最前沿的檢測專業知識。檢測機構做好這些工作, 才能不斷提高工作人員的素質, 使其更加專業。
           
           (二)強化監督管理體系建設,做到權責利相結合
           
           檢測機構只有健全和完善監督管理制度, 才能約束工作人員在檢測工作中的行為, 保證工作的規范化, 檢測數據的準確度。 要想做好檢驗檢測工作, 不斷發展壯大, 應該做到權責利相結合。 對檢驗檢測人員一是在檢測過程中, 應該明確檢測項目和檢測標準方法, 熟練掌握檢測技能; 二是檢測人員應該為檢測結果的真實性和準確性負責;三是在對產品檢測完成后, 應該及時上傳系統,打印檢測報告反饋檢測結果。 四是強化檢測人員的專業技能分析水平,不斷總結在檢測中解決問題的經驗, 通過對問題進行分析和判斷, 探索出解決問題的策略, 提高檢測服務工作的效率和質量。
           
           (三)及時更新老舊設備,保證檢測結果的準確性
           
           要不斷更新老舊設備, 適應發展的要求, 及時解決因檢測儀器設備精度不夠導致檢測結果不準確、 誤差增大造成的影響。逐步完善實驗室基礎設施建設,進一步拓寬檢驗檢測工作的覆蓋面。
           
           (四)提高檢測人員待遇,大力發展人才戰略
           
           檢驗檢測技術人員在實驗過程中,經常性的接觸大量的有毒有害藥劑和氣體,建議政府對長期從事直接檢驗檢測人員設置有毒有害保健津補貼。采用政府購買等方式或引進高層次人才進一步充實檢驗檢測人員隊伍,提高外聘人員的薪酬待遇,調動檢測人員的工作積極性,保障檢測隊伍的穩定性。
           
           四、提升科技創新能力的思路和措施
           
           杭錦旗檢驗檢測中心作為食品安全監管的技術支撐機構,面臨新形勢和機遇,在十四五期間應注重從人員、機構、資金、技術方面加強建設,逐步壯大檢驗檢測機構,完善基礎設施建設,加強檢驗檢測技術力量。
           
           (一)加強人才隊伍建設。一是深化完善技術機構的整合與布局,努力打造一支“忠于職守、技術一流、嚴格把關、保國安民”的質檢人才隊伍。二是通過不斷學習培訓提高掌握新裝備新技術的能力,進一步加強實驗室的技術能力建設和規劃,真正發揮出實驗室的最佳效能。三是積極引導技術人員提高自主創新能力,使檢驗檢測工作在建設創新型國家中發揮更加突出的作用。四是通過引進高層次人才或技術熟練人員壯大檢驗檢測隊伍。
           
           (二)完善實驗室建設,加強檢驗檢測人員的專業技能培訓力度,全面提升檢驗檢測能力。一是加大資金投入力度,加強實驗室建設,根據檢測工作要求,及時更新老舊儀器設備,購置新型儀器,逐步擴大檢驗檢測工作的參數和覆蓋面。二是加強實驗室能力比對,積極開展不同實驗室之間的比對工作,促進技術交流,全面提高檢驗檢測能力。三是強化檢驗檢測機構服務質量保證體系,督促檢驗檢測機構嚴格執行檢驗檢測相關法律、條款,實施檢驗檢測報告責任追溯等制度,切實做到檢驗檢測行為制度化、 規范化。依法查處無資質檢驗檢測、 超范圍檢驗檢測、 出具虛假檢驗檢測報告以及其他欺詐委托方等行為。
           
           (三)加大財政資金對檢測公共技術服務平臺的支持力度。
           
           加大對檢驗檢測機構的資金投入力度,努力打造高品質、高效率、高水準的實驗室。積極參加上級有關部門組織的能力驗證,加強實驗室之間的技術交流,全面提升檢驗檢測技術水平。
           
          信息安全調研報告范文第2篇
           
           __年,市交通運輸局信息化建設工作在市委、市政府的正確領導下,在局黨組的高度重視與大力支持下,緊密圍繞目標任務,結合市交通運輸信息化建設的特點,繼續以“重調研、定規劃”的指導思想,穩步推進__公路運輸樞紐組織管理中心信息系統(一期)項目建設,加快交通科技推廣應用,加大專業技術人才引進,較好地推動了市交通運輸行業信息化的發展,現將主要工作總結如下:
           
           一、本行業信息化現狀
           
           近年來,市交通運輸行業對加快信息化發展,以信息化促進交通運輸的發展理念已取得共識。市交通運輸局進一步加大信息化建設投入,加強信息化項目的開發和應用,積極推進系統整合,采用信息化手段推進管理和服務的創新,我市交通運輸信息化建設和應用水平進一步加快,為提高交通運輸行業管理和服務水平,促進現代交通運輸業的發展發揮了積極作用。雖然我市的交通運輸信息化建設取得了顯著的成績,但與交通運輸發展的需求、公眾出行的要求和信息化發展需要相比還存在差距。一是信息資源缺乏有效共享,二是綜合管理信息化水平有待提高,三是應急指揮和決策支持有待加強,四是保障體系建設滯后。
           
           二、信息化工作開展情況及取得的成效
           
           __年,市交通運輸局的信息化建設在統一網絡、整合資源、構建平臺、開發應用等方面取得了重大進展,基礎設施建設不斷完善,政務信息數據庫強力推進,應用系統的開發與推廣成效明顯,管理效能普遍提升。
           
           (一)我市公路運輸樞紐組織管理中心信息系統一期工程項目建設穩步推進
           
           __公路運輸樞紐組織管理中心信息系統一期工程項目是市交通運輸局__年重點建設項目,也是今年信息化建設工作重點。__公路運輸樞紐組織管理中心信息系統一期工程項目的信息化單項投資__萬元。目前,項目已完成招投標程序,全面進入建設階段,項目預計__年初竣工。
           
           (二)市民卡工程(交通一卡通系統)前期工作開局良好
           
           為了有效開展市“交通一卡通”項目的建設工作,確保項目順利進行和實施。我市交通運輸局邀請市相關單位組成“__市交通一卡通系統”聯合開展調研工作,已完成了高質量、可操作性強的調研報告,為“__市交通一卡通”項目的建設夯實基礎。
           
           (三)城市出租汽車服務管理信息系統試點工程申報籌備工作有條不紊
           
           __年__月,我市被確定為全國城市出租汽車服務管理信息系統第二批試點申請城市之后,南寧市交通運輸局全力做好南寧市城市出租汽車服務管理信息系統試點工程申請。目前,項目的《工程可行性研究分析報告》已基本通過交通運輸部審核。項目初步設計方案預計于年底上報自治區交通運輸廳審核。
           
           (四)政府信息公開與聯絡溝通能力有效提升
           
           為進一步改進工作方式,提高辦事效率,增進南寧市交通運輸局與各級部門和公眾的聯絡與溝通,一是繼續加強與市城鄉數字化建設辦公室的溝通,積極配合上級和業務指導部門開/!/展各項工作,按時、按質、按量的完成市政府下達的各項工作指標。二是積極做好政務信息網的政務公開與信息服務,按時完成網站的信息錄入和更新等日常工作。三是認真做好政務共享信息的采集、編輯和工作。截至__年,在三個平臺上傳稿件:局政務門戶網站432篇、市政府信息公開目錄__篇、區政府信息公開統一平臺158篇,圓滿完成了自治區政府與市政府下達的共享政務信息任務。
           
           (五)行業監管系統逐步深入
           
           在行業監控信息化建設工作中,我市交通運輸局重點著手交通運輸視頻遠程監控平臺與市運營車輛安全監控與調度系統的建設、及智能交通先進技術的推廣應用。目前,以上系統均已啟動運行,成效明顯。
           
           1.視頻遠程監控平臺的建設是南寧市交通運輸局今年的亮點工程之一。除了繼續完善為民辦事實項目:“在公交車上安裝車載監控系統”接入平臺的同時,更是充分利用客運站場站內的監控視頻資源,設計整合已構建完成的五大客運站與檢測站視頻監控系統的視頻數據,為整個南寧市城市客運視頻遠程監控大平臺的建設夯實基礎。
           
           2.客運車輛安全監控與調度系統總平臺構建完成。此平臺可實現公交車、出租車輛、危險品車輛、客運車輛、旅游客運車輛及貨運車輛安全的監控與調度,可實現從源頭上和動態中對南寧市入網機動車輛進行全天候、連續、實時的定位及聯動應急處置。截止20__年10月,南寧市已有2770臺公交車、5680臺出租車、120__多臺貨車,4000多臺客車,1000多臺危險品貨車安裝了GPS終端。目前,整個交通營運車輛安全生產管理體系基礎框架已構建完畢,運行效果顯著。
           
           (六)交通運輸科研力度進一步加大
           
           市交通運輸局結合行業特點,積極嘗試和推廣應用智能交通信息技術,改造傳統的交通運輸生產運營的各個環節,對網絡、網絡互聯、互聯網絡環境下 的信息、查詢、監控及調度等信息技術進行深入研究,對全市交通運輸信息化的管理和信息資源的開發進行理論研究與實踐應用。今年,南寧市交通運輸局先后完成《__城市客運發展年度報告》、《市城市客運綜合信息管理系統的研究與應用》等課題報告的編制與調研工作,圓滿完成廣西交通科技重點課題《__市交通一卡通系統的應用研究》的申報與技術答辯工作。
           
           (七)信息化人才保障進一步加強
           
           今年,__市交通運輸局在加強信息化人才保障工作從兩個層面著手:一是通過公開考試新招聘了六名本科以上學歷的信息化專業技術人員,有效地補充了南寧市交通運輸局信息化建設力量;二是對現有交通運輸行業技術人員進行多種形式的繼續教育,組建一支技術水平高,業務素質好,能承擔本行業信息化科研和建設的專業技術隊伍。
           
           三、主要信息化項目建設與應用情況
           
           __年,我市交通運輸局主要的信息化項目建設是公路運輸樞紐組織管理中心信息系統一期工程項目。
           
           (一)項目規模
           
           根據市發改委批復,市交通運輸局安排建設資金1639.54萬元,其中土建和裝修300萬元,信息化單項__萬元,其他費用__萬元,預備費40萬元。
           
           (二)主要建設內容
           
           建設1個__公路運輸樞紐組織管理中心信息系統指揮控制中心平臺,處置6個業務系統;改造南寧公路運輸樞紐組織管理中心信息系統網絡平臺;升級改造南寧市電子政務內網接入網絡平臺、南寧市交通運輸局業務內網平臺及新建南寧市交通運輸局業務外網平臺;建設南寧公路運輸樞紐組織管理中心信息系統數據交換與共享平臺的基礎設施;建設南寧公路運輸樞紐組織管理中心辦公樓出入口管理系統;建設南寧公路運輸樞紐組織管理中心安防監控系統;建設南寧公路運輸樞紐組織管理中心周界防范系統;對南寧公路運輸樞紐組織管理中心綜合布線、機房、空調系統進行改造。建設滿足4個網段需求的辦公樓綜合布線系統;在新附屬用房新建數據中心主機房、網絡交換機房、電力機房共3間機房;為新建指揮控制中心、附屬用房配置空調系統;建設南寧公路運輸樞紐組織管理中心數據分中心,包括南寧市公路管理處數據分中心、南寧市交通運輸管理處數據分中心、南寧市港航管理處數據分中心共3個數據分中心。
           
           (三)項目建設情況:
           
           目前,項目已完成招投標程序,全面進入建設階段,項目預計__年初竣工。
           
           四、信息安全建設情況
           
           __年,我市交通運輸局的信息安全組織機構進一步得到健全,日常信息安全管理情況和信息安全防護管理情況良好,并進一步完善了信息安全管理方面的規章制度和信息安全應急預案,定期進行信息安全應急演練,不定期派專人參加了市政府組織的網絡系統安全知識培訓。至今,南寧市交通運輸局未發生一起信息安全事故,信息安全狀況良好。
           
           (一)組織保障方面
           
           在組織保障方面,市交通運輸局指定了分管信息安全工作的領導,并且明確了信息安全管理機構與信息安全專職工作機構。由__市交通運輸信息管理中心負責單位信息安全管理工作和信息安全專職工作,共任命了3名專職信息安全員,并與重要崗位人員簽訂了信息安全和保密協議。
           
           (二)資金保障方面
           
           針對__年我市交通運輸局自查工作當中存在的問題,以及信息技術飛快發展的特點,市交通運輸局今年進一步加大網絡與信息安全設備及軟件投入及更新力度。__年,市交通運輸局在網絡平臺改造方面投入了__萬元,在數據安全方面投入了__萬元,全面提升網絡邊界防護、安全審計、入侵防范、數據災備等能力。
           
           (三)人員保障方面
           
           在人員保障方面,市交通運輸局繼續增加專職信息安全員數量,著重信息安全員素質與能力的培養。__年,市交通運輸局不定期地指派專職技術人員參與市政府組織的網絡系統安全知識培訓,以及行業信息安全技術認證的培訓,定期對其進行安全教育培訓與信息安全技術培訓。目前,市交通運輸局有高級網絡工程師一名,網絡安全工程師一名。
           
           (四)制度保障方面
           
           目前,市交通運輸局針對信息安全工作,制定了崗位信息安全責任制度、人員離崗離職安全管理規定及外部人員訪問審批制度、計算機及網絡安全管理制度、信息安全保密管理制度、資產管理制度、設備維修維護和報廢管理制度、移動存儲介質保密管理制度、計算機及移動存儲介質的維修、更換與報廢保密管理制度以及運行維護管理制度,確保各項信息安全正常進行。
           
           (五)等級保護方面
           
           為了做好等級保護工作,確保市交通運輸局__年重點項目“__公路運輸樞紐組織管理中心信息系統一期工程”的順利實施,市交通運輸局根據相關政策法規要求編制了“__公路運輸樞紐組織管理中心信息系統一期工程項目信息安全等級設計方案”,并邀請市公安局網絡警察支隊、市城鄉數字化建設辦公室、南寧市保密局、南寧市密碼管理局及廣西網信信息安全等級保護測評有限公司對設計方案進行評審,對“__公路運輸樞紐組織管理中心信息系統一期工程”數據信息,以及存儲、傳輸、處理這些數據信息的信息系統分等級實行安全保護。
           
           (六)技術保障方面
           
           市交通運輸局目前的網絡分為內外網,內網主要上聯市政務內網(20網段),外網主要上聯市政務外網(172網段),內外網均劃分了不同的VLAN。針對 內網,市交通運輸局各接入端及網絡平臺均與互聯網邏輯隔離,內網的重要網絡設備及安全設備采用市城鄉數字辦配置設備防護策略,沒有開放多余端口及多余服務。針對外網,應用系統及門戶網站(市交通運輸局的門戶網站為政務信息網的二級網站)所在網絡具有訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范等安全措施。系統與互聯網邏輯隔離,服務器區與用戶區之間通過安全策略實現網絡內部不同重要區域之間的邏輯隔離。系統內重要數據在數據庫中采用加密存儲,對系統內的重要數據進行了災難備份。
           
           (七)應急保障方面
           
           在應急保障方面,市交通運輸局制定了網絡與信息安全應急處置預案和信息安全應急響應及事故管理制度、技術預案,并對預案進行了評估,本年度對預案開展應急演練2次。單位內的信息系統均對數據采用了災難備份機制;應急支援隊伍由南寧市交通運輸局專業技術人員承擔,網絡內配備了設備備機備件,單位網絡內重要資產采用雙機熱備機制。
           
          信息安全調研報告范文第3篇
           
           本報訊(記者 楊霞清)2008年,金融危機席卷全球,中國經濟雖難獨善其身,但創投市場表現依然搶眼。根據清科集團近日出爐的《2008年中國創業投資年度研究報告》,2008年中國創業投資市場新募基金達116支,其中人民幣基金占了近八成;創投投資的增長勢頭放緩,人民幣投資占比近半;投資格局有所調整,廣義IT、生技/健康行業降溫,傳統、清潔技術行業占比上升,擴張期企業獨領;退出活動明顯收縮,IPO退出大幅減少。
           
           據清科研究中心統計, 2008年中國創投市場新募基金數和募資金額又創歷史新高,81家中外創投機構新募集116支基金,其中新增可投資于中國內地的資金額達73.10億美元;新募基金數較2007年增加了一倍,新募資金較2007年增加了33.3%。在金融危機席卷全球的2008年,中國創投市場仍保持了極高的活躍度和吸引力,表明持續穩定、高速增長的中國市場仍為廣大投資者所看好。從投資方面來看,有607家企業得到創投機構的資金支持,已披露金額共計42.10億美元;從退出來看,2008年共發生135筆退出。
           
           中國小型企業SaaS服務需求不斷增長
           
           微軟公司日前了一份全球調研報告,調查顯示,盡管全球企業都在因為經濟衰退而憂心忡忡,但是這份報告卻顯示,大多數小型企業認為他們在過去一年中業績良好。在全球范圍內,39%的企業實現了業務快速或是穩定增長,在中國這個數字是70%。從這份報告中可以看出,IT托管解決方案似乎可以幫助那些接受調查的小企業解決部分問題。企業通過訂購的方式購買軟件,不但能減少他們對于IT技術的依賴,也為他們提供了企業級的安全保護,還可以使得他們集中更多的精力關注其重要的商業項目。
           
           這份報告還指出,某些新興市場由于采用了新技術從而在IT應用方面甚至超過了西方國家。在中國,67%的小型企業把社交網絡視為與現有客戶溝通的高效方式,并且57%的受訪者通過這種方式向潛在的客戶進行推銷。同時,在中國,接受調查的70%的中小企業者表示知道托管業務,這個比例超過了包括美國、德國、英國等在內的所有國家。78%的中國受訪者表示愿意考慮使用由服務提供商提供的IT托管服務,相比之下,這一比例在美國只有59%,在日本僅有54%,雖然這兩個市場看起來更加成熟。
           
           IDC調查顯示:中國容災市場充滿商機
           
           本報訊 (記者 李響)IDC報告《中國業務連續性與災難恢復市場2008~2012年預測與分析》顯示,2008年中國容災解決方案市場(軟件及服務)規模達到了4.8億美元,比2007年增長29.9%。
           
          信息安全調研報告范文第4篇
           
           【關鍵詞】 信息系統; 審計; 審計目標
           
           2007年2月國務院國有資產監督管理委員會和國務院信息化工作辦聯合印發了《關于加強中央企業信息化工作的指導意見》,加快了國有企業信息化建設的步伐。國有企業審計是中國特色社會主義國家審計的重要組成部分。由于企業與公共部門在內部控制、管理和治理方面的差異,導致了企業信息系統審計與公共部門信息系統審計的不同特點。
           
           一、增強國有企業信息系統的可信性
           
           審計機關的審計目標取決于法定要求。根據《中華人民共和國審計法》的規定,審計機關對國有企業財務收支的真實、合法、效益,依法進行審計監督。顯然,真實性是國有企業審計的目標之一。信息系統審計是國有企業審計的重要組成部分。國有企業審計的總體目標,決定了國有企業信息系統審計的目標。國有企業審計的真實性目標,必然要求國有企業信息系統提供真實性的信息,這意味著,審計機關的國有企業信息系統審計必須把真實性作為審計目標之一。
           
           根據相關法律的規定,注冊會計師也可以對國有企業進行審計。根據我國公司法第165條的規定,“公司應當在每一會計年度終了時編制財務會計報告,并依法經會計師事務所審計。”而且,2008年10月通過的《中華人民共和國企業國有資產法》第六十七條明確規定,“履行出資人職責的機構根據需要,可以委托會計師事務所對國有獨資企業、國有獨資公司的年度財務會計報告進行審計,或者通過國有資本控股公司的股東會、股東大會決議,由國有資本控股公司聘請會計師事務所對公司的年度財務會計報告進行審計,維護出資人權益。”大家知道,依據注冊會計師執業審計準則的規定,會計師事務所對企業財務報表審計的目的是“提高財務報表預期使用者對財務報表的信賴程度。”①這說明,注冊會計師國有企業審計的目標是要求財務報表提供的信息具有可信性。注冊會計師所審計的國有企業財務報表中的信息是由國有企業的信息系統產生形成的,因而必須對信息系統進行審計。注冊會計師對國有企業財務報表審計的可信性目標,決定了注冊會計師對國有企業信息系統審計的可信性目標。
           
           同樣的審計對象,不同的審計主體,導致了兩種不同的國有企業信息系統審計目標。從上述分析不難發現,無論是審計機關還是注冊會計師對國有企業進行審計,其中對企業信息系統的審計都是不可或缺的重要組成部分。根據審計法的規定,審計機關對國有企業信息系統審計的目標是真實性。而根據注冊會計師執業審計準則,對國有企業信息系統審計的目標是可信性。那么,什么是真實性?什么是可信性?這兩種目標之間有什么樣的聯系和區別?為什么說審計機關應當把增強國有企業信息系統可信性作為審計目標呢?
           
           (一)真實性與可信性的基本涵義
           
           我國審計法強調真實性,根據2010年9月頒布的中華人民共和國國家審計準則(以下簡稱國家審計準則)的規定,“真實性是指反映財政收支、財務收支以及有關經濟活動的信息與實際情況相符合的程度。”那么,什么是真實性呢?真實性只是對財政財務收支及有關經濟活動信息質量的最低要求。如果會計信息是真實的,但是不夠完整或者披露不及時,仍然不能滿足信息使用者的需要,甚至會導致錯誤的投資決策。事實上,就真實性本身而言,由于會計估計、核算方法等因素的影響,會計信息的真實性也只是相對的,而不是絕對的。所以,把真實性作為審計目標,具有一定的局限性。所謂可信性,從國際審計準則第200號(ISA200)可以看出,當編制的財務報表公允表達(presented fairly)或真實公允(true and fair)時,它才是可信性的。從字面上講,公允(fair)或公平的要求,強調了財務報表各種使用者之間的利益平衡。從理論上講,公允表達或真實公允的概念比真實性概念具有更多的內涵,涉及會計適當性、適當披露及審計責任等概念。在國際審計準則第200號(ISA200)中,公允表達是指財務報表是否在所有重大方面按照適用的財務報告框架編制,“公允”還意味著超出財務報告框架所要求披露范圍的必要性,以及在極端情況下必須偏離財務報告框架的可能性。適用的財務報告框架,主要是指適用的會計法律法規、會計準則、會計制度等。大家知道,我國會計法強調“保證會計資料真實、完整”。根據會計法的要求,我國的財務報表不僅要具有真實性,而且還要具有完整性。總的來說,可信性并不否認真實性,真實性是可信性的必要前提之一,但真實的并不一定是可信的,可信性的內涵更加豐富,真實性是對財務信息質量的最低要求,可信性反映了對財務信息質量更高的要求。
           
           (二)可信性目標反映了注冊會計師審計發展的新階段
           
           一般認為,受社會需求變化、自身技術手段及審計風險等因素的影響,注冊會計師審計目標的發展演變至今經歷了四個階段,即20世紀30年代之前的查錯糾弊階段、30年代中期至80年代驗證會計報表真實公允階段、80年代至90年代中期真實公允與查錯糾弊并重階段,及90年代后期以來的增強信息可信性階段。雖然同為注冊會計師審計的目標,然而從歷史發展演變的角度看,真實性只是注冊會計師審計的早期目標,當前注冊會計師審計準則中的可信性目標反映了注冊會計師審計的最新發展,是更高級發展階段的目標。
           
           (三)可信性目標比“真實公允”具有更加廣泛的適用性
           
           20世紀90年代后期,傳統的財務報表審計成為更為廣義的概念――“保證業務”(Assurance Service)的一個組成部分。我國注冊會計師協會譯為“鑒證業務”②。2004年國際會計師聯合會了《國際保證業務框架》,2005年1月1日生效。2006年我國制定了《中國注冊會計師鑒證業務基本準則》,2007年1月1日起施行。鑒證業務是指注冊會計師對鑒證對象信息提出結論,以增強除責任方之外的預期使用者對鑒證對象信息信任程度的業務。鑒證對象與鑒證對象信息具有多種形式,主要包括:當鑒證對象為財務業績或狀況時(如歷史或預測的財務狀況、經營成果和現金流量),鑒證對象信息是財務報表;當鑒證對象為非財務業績或狀況時(如企業的運營情況),鑒證對象信息可能是反映效率或效果的關鍵指標;當鑒證對象為物理特征時(如設備的生產能力),鑒證對象信息可能是有關鑒證對象物理特征的說明文件;當鑒證對象為某種系統和過程時(如企業的內部控制或信息技術系統),鑒證對象信息可能是關于其有效性的認定;當鑒證對象為一種行為時(如遵守法律法規的情況),鑒證對象信息可能是對法律法規遵守情況或執行效果的聲明。不難看出,傳統的財務報表審計只是鑒證業務中的一種。鑒證標準隨著鑒證對象的不同,也從財務報表審計中按照適用的財務報表編制框架,如編制財務報表所使用的會計準則和相關會計制度,擴展到單位內部制定的行為準則、績效水平等方面。從其定義看,鑒證業務的目的在于增強除責任方之外的預期使用者對鑒證對象信息的信任程度。真實公允目標是針對財務報表審計的審計目標,可信性目標在概念外延上具有更加廣泛的適用性。可信性目標不僅適用于對財務信息的可信性,而且還適用于非財務信息(績效信息)的可信性。對財務報表來說,如果它是真實公允的,即在所有重大方面是按照適用的財務報表框架編制的,它就是可信性;對于其他鑒證信息來說,如果它是符合適用的鑒證標準,就是可信性的。企業內部的信息系統,現在已不僅僅是財務信息系統,還包括各種業務和管理信息系統。與此同時,為滿足企業的業務需求,信息系統所提供的信息也不局限于財務信息,而且還包括許多非財務信息。所以,在國有企業信息系統審計中,把可信性作為國有企業信息系統審計的目標比真實性目標更加符合企業信息化發展的客觀要求。
           
           (四)可信性目標反映了審計理論的深化和發展
           
           可信性不是一個孤立的術語,它是新審計理論(或一組新的相互聯系的審計概念)中的一個關鍵性概念。隨著注冊會計師的業務從傳統的財務報表審計發展到鑒證業務,傳統的審計理論也得到了深化和發展。大家知道,審計三方關系是指審計人、被審計人、審計授權或委托人之間的關系。傳統的受托責任論,即審計動因論,是建立在傳統的審計三方關系之上的。然而,在我國現行的《注冊會計師鑒證業務基本準則》中給出了一種新的審計三方關系,即注冊會計師、責任方和預期使用者。在新的審計三方關系中,被審計人與審計授權或委托人之間責任關系的含義更加豐富,除傳統的受托責任關系外還有其他種類不帶委托性質的責任關系③。在新的審計三方關系中,預期使用者應包括企業所有的利益相關者,除了傳統受托責任關系中的股東外,還應包括經營者、員工、顧客、供應商、債權人、潛在的投資者、監管層、競爭者等。聘請注冊會計師的通常是預期使用者或其代表,但也可能是責任方。責任方、預期使用者和注冊會計師三方之間的關系,可以看作是信息提供者、信息使用者和信息可信性的保證者之間的關系④。增強信息的可信性,實際上是減少了信息提供者與預期使用者之間的信息不對稱,鑒于預期使用者的廣泛性,在市場經濟條件下,將有利于完善市場機制,提高市場資源配置效率,從而拓展了審計的社會功能。可信性不是一個空洞的概念,鑒證對象信息是否具有可信性,需要執行一定的業務程序。審計師在收集證據的基礎上,依據一定的標準,檢查責任方的鑒證對象信息在所有重大方面是否符合適當的標準后,才能為鑒證對象信息的可信性提供一定程度的保證,從而提供給預期使用者。鑒證業務的保證程度被細分為合理保證和有限保證,鑒證對象信息被劃分為財務信息和非財務信息,其中財務信息被進一步細分為歷史財務信息和預測性財務信息。可信性概念是這些新審計理論中的關鍵性概念之一,相比之下,真實性概念在新的審計理論中卻沒有相應的理論地位。
           
           (五)可信性目標反映了國家審計的發展趨勢
           
           在世界審計組織(INTOSAI)的道德準則(Code of Ethics)中,強調了信賴(trust)、信任(confidence)、信譽(credibility)對于審計機關的至關重要性。在南非審計署1911至2011年百年紀念的紀念品和網站首頁上有一句格言:“Auditing to build public confidence”,即“審計旨在建立公共信任”。我國審計署2011年7月15日印發的《審計署關于深化經濟責任審計工作的指導意見》中提出,要確保經濟責任審計結果的可信、可靠和可用。劉家義審計長提出,國家審計是國家治理的一個組成部分。孔子曰:“足食,足兵,民信之矣”,“民無信不立”,說明了信任、守信在國家治理中的重要性。我們知道,“誠信友愛”是構建社會主義和諧社會的基本要求之一。國家審計可以增強政府的公信力,增強整個社會的誠信。從國家治理的角度看,可信性目標比真實性目標更好地體現了國家審計在國家治理中的作用。
           
           經過上述真實性和可信性兩種審計目標含義的對比,不難發現,雖然真實性目標是國有企業審計的傳統目標之一,但是可信性比真實性的涵義更為豐富,可信性目標中不但包含了真實性目標,而且可信性目標要求信息系統提供更高質量的信息。兩種目標都對信息系統提供的信息質量提出了要求,國家審計對信息質量的要求不應低于注冊會計師審計。因此,筆者認為,盡管現行的審計法規定了國有企業信息系統審計的真實性目標,但是,從理論上講以及從未來發展趨勢看,審計機關應當選擇可信性作為國有企業信息系統審計的目標,即國有企業信息系統審計應當促進企業信息系統提供可信的信息。
           
           二、促進國有企業信息系統的遵循性
           
           最高審計機關國際組織(INTOSAI)在審計基本原則(ISSAI-100)中,把政府審計業務分為兩大類,即合規審計(regularity audit)和績效審計(performance audit),并制定了相應的審計執行指南,即財務審計執行指南(Implementation Guidelines on Financial Audit)、遵循審計執行指南(implementation guidelines on compliance audit)和績效審計執行指南(Implementation Guidelines on Performance Audit)。在這個準則指南框架中,合規性審計包括了財務審計和遵循性審計。遵循性審計是指對公共部門實體的活動是否與相關法律法規及授權要求相一致的審計。在《國際審計準則第250號――財務報表審計中對法律法規的考慮》(ISA250)中,非遵循(non-compliance),是指被審計單位不履行法律法規責任或者違反法律法規的犯罪,故意地或者非故意地,與執行的法律或法規對立的行為。在COSO內部控制框架中,遵循性(compliance)作為內部控制的目標之一,是指符合適用的法律法規。由此看來,在上述準則指南中,遵循性,就是我國國家審計中的合法性。但是,在本文中,作為國有企業信息系統審計的目標之一,遵循性與合法性不同。
           
           為滿足業務需求,對信息系統提供的信息有一般性的要求,在IT治理框架COBIT4.1中,這些要求也被稱之為信息標準(information criteria)。遵循性(compliance)作為其中的標準之一,是指“涉及業務流程與所需遵守的法律、法規及合同約定之間的符合程度的屬性,即外部的強制要求和內部政策的遵循性。”⑤在本文中,遵循性作為國有企業信息系統審計的目標之一,采用COBIT4.1中遵循性的概念,即國有企業信息系統的設計、建設、運行和監控不僅要符合來自企業外部的強制性要求(合法性),而且還應符合國有企業內部制定的各種規定的要求。
           
           我國審計機關對國有企業的財務收支的真實、合法和效益,依法進行審計監督。合法性是國有企業審計的審計目標之一。作為國有企業審計的重要內容,信息系統審計應當促進國有企業信息系統的合法性。那么,為什么我們要把國有企業內部制定的各種規定同時也納入國有企業信息系統審計的目標呢?企業內部如何制定關于其信息系統的規定是企業自己的事情,似乎審計機關不應干預,但是,效益性也是國有企業審計的審計目標之一。當信息系統不符合國有企業某些內部規定的要求時就會影響到企業效益,這些內部規定,如內部控制、管理和治理等,也應納入國有企業信息系統審計的遵循性目標范圍。
           
           三、改善國有企業信息系統的績效性
           
           績效性目標是企業信息化不斷發展的產物。我國企業信息化建設已經發展到了關注績效性的階段。績效性目標也是IT管理和IT治理的重要內容。IT管理和IT治理的國際標準或良好實務,為開展信息系統績效審計提供了審計標準。
           
           (一)企業信息系統績效性的概念
           
           當企業信息化發展水平達到一定程度后,信息系統的績效問題逐漸引起了人們的關注。在企業信息化的早期階段,信息系統主要應用于企業的財務會計領域,這時人們對信息系統關注的焦點主要是信息系統的可信性和遵循性問題,相應的措施主要集中在內部控制方面,強調信息系統的一般控制和應用控制。隨著企業信息化水平的不斷提高,信息系統在企業中的應用范圍逐漸從財務會計領域擴展到整個業務領域和管理領域,與此同時,信息系統的建設投入和運行成本顯著提高。這時人們發現,大量的信息化投入并不一定能夠帶來預期的收益,而且還帶來巨大的潛在風險,個別企業甚至因高投入造成利潤下降或財務危機,有的企業因業務流程改造滯后,還會導致管理混亂。在這種情況下,人們對信息系統關注的焦點,逐漸從“投入”轉向“產出”,從技術和內部控制問題轉向管理和治理問題,在企業內部出現了專門的IT管理部門,IT管理和IT治理逐漸從企業的一般管理和治理中獨立出來,而“績效”是描述信息系統投入產出、管理和治理的核心概念。
           
           信息系統的績效性是指利用IT資源提供企業信息服務的經濟性、效率性和效果性。為它的利益相關者提供價值是企業存在的基本前提。企業信息系統的目的在于利用IT資源,通過IT流程,提供企業信息服務,以滿足業務需求。信息系統要實現的績效目標必須與企業的業務需求或業務目標相一致。
           
           (二)績效性目標的可行性
           
           從我國企業信息化發展階段看,目前信息系統的績效問題已經成為關注的焦點。2011年2月,工信部電子一所和用友軟件股份有限公司聯合了《2010年中國企業信息化指數調研報告》。該報告將中國企業的信息技術應用分為四個階段,分別為基礎應用階段、關鍵應用階段、擴展整合及優化升級應用階段以及戰略應用階段,如圖1所示。
           
           該報告認為,目前我國企業信息化總體上處于由基礎應用和關鍵應用向擴展整合與優化升級過渡階段。報告的主要結論之一是,2010年“信息技術應用范圍的變化主要體現在應用廣度和深度兩方面,企業基本完成了信息技術在各業務領域的應用覆蓋,已逐漸開始深度關注企業業務發展需求,著力提升信息技術的應用價值。”提高信息系統的績效,也已經成為我國企業信息化深度發展的方向。把績效性作為國有企業信息系統審計的目標,符合我國企業信息化發展的現狀,在現實中具有可行性。
           
           (三)績效性是IT管理和IT治理的重要內容
           
           IT管理目的在于如何降低成本,以更好的彈性及更快的響應速度,向組織內外部顧客提供高質量的IT服務,提供顧客的滿意度。IT管理的目標就是要追求信息系統的績效性,即經濟性、效率性和效果性。
           
           信息系統的績效性也是IT治理追求的目標之一。在IT治理國際標準ISO/IEC38500(組織的信息技術治理)中規定了“績效”原則,即IT應適合于支持組織的目的并提供服務,服務等級和服務質量應滿足當前和將來的業務要求。IT治理框架COBIT4.1有四個基本特征:以業務為中心、以流程為導向、以控制為基礎、以績效測評為驅動。在該框架中,績效測評是IT治理的關鍵,并且指出,“多項調研已經表明,IT成本、價值和風險管理缺乏透明是驅動IT治理最重要的一個因素。相對于其他關注的領域,提高透明度主要通過績效測評來實現。”⑥
           
           (四)績效審計的參照標準
           
           IT管理和IT治理從企業管理和治理中獨立出來,為開展單獨立項的信息系統績效審計創造了條件。就像企業審計要關注被審計單位的管理和治理那樣,企業信息系統審計要關注被審計單位的IT管理和IT治理情況。IT管理和IT治理的國際標準或良好實務,則為開展信息系統績效審計提供了審計標準,也可以作為向被審計單位提出改進建議的參照標準。常見的IT管理和IT治理國際標準有:ISO/1EC20000(信息技術――服務管理)、ITIL(信息技術基礎庫)、ISO/IEC38500(組織的信息技術治理)、COBIT4.1(信息及其相關技術控制目標)等。
           
           四、維護國有企業信息系統的安全性
           
           維護國有企業信息系統的安全,對于維護國家經濟安全至關重要。隨著信息技術的發展和應用,人們對信息系統安全性的認識也不斷深化。正確理解信息安全的涵義,對于開展信息系統安全性審計具有重要的意義。
           
           (一)安全性目標的重要性
           
           根據1994年我國頒布的《中華人民共和國計算機信息系統安全保護條例》,維護計算機信息系統的安全性,就是要保障計算機及其相關的和配套的設備、設施(含網絡)的安全,運行環境的安全,保障信息的安全,保障計算機功能的正常發揮,以維護計算機信息系統的安全運行⑦。從這里可以看出,信息系統的安全包括:信息本身的安全、系統設施設備的安全和系統運行環境的安全三個層面。就三個層面的關系而言,信息是核心,系統設施設備及其運行環境是保障,信息本身的安全是目的,系統設施設備的安全及其運行環境的安全是手段。
           
           國有企業信息系統安全是國家信息安全和經濟安全的重要組成部分。為了保護中央企業信息系統的安全穩定運行,2010年12月,公安部和國務院國有資產監督管理委員會聯合頒布了《關于進一步推進中央企業信息安全等級保護工作的通知》。據統計,截至2010年5月,已有89.6%的中央企業開展了信息安全等級保護工作,中央企業總計建成投入使用的信息系統有16 092個,已定級14 539個,占比90.3%;應向公安機關備案的系統(二級及以上)有11 370個,已備案8 113個,占應備案系統的71.4%;列入2010年定級計劃的有1 598個。中央企業在公安機關備案的信息系統總數約占全國信息系統備案總數的21%,第三、四級重要系統約占全國重要信息系統備案總數的30%⑧。這些數據表明,國有企業信息系統已成為國家信息安全的重要組成部分。《中華人民共和國企業國有資產法》第七條規定,“國家采取措施,推動國有資本向關系國民經濟命脈和國家安全的重要行業和關鍵領域集中,優化國有經濟布局和結構,推進國有企業的改革和發展,提高國有經濟的整體素質,增強國有經濟的控制力、影響力。”由于國有企業集中在國民經濟命脈和國家安全的重要行業和關鍵領域,如電信、電力、石油、石化等重要行業,其重要信息系統已成為國家關鍵基礎設施,是國民經濟命脈之命脈,保護國有企業信息系統的安全穩定運行,對于維護國家經濟安全和社會穩定具有重要的意義。
           
           (二)信息安全概念的演變
           
           根據我國計算機信息系統安全保護條例中的定義,計算機信息系統的安全性,包括信息本身的安全、系統設施設備的安全和支撐環境的安全。其中,信息本身的安全,即信息安全,是信息系統安全的核心和目的。那么,究竟什么是信息安全呢?
           
           人們對信息系統安全性的認識經歷了一個不斷深化的發展過程。20世紀80年代美國國防部制定的《可信計算機系統評估準則TCSEC》把保密性當作信息安全的重點。20世紀90年代初由英、法、德、荷四國制定的《信息技術安全評估準則ITSEC》開始把完整性、可用性與保密性作為同等重要的因素。自此,信息安全的概念,即信息的保密性、完整性和可用性,逐漸被普遍接受。在2002年的國際標準ISO/IEC17799:2000《信息技術――信息安全管理業務規范》中明確規定,信息安全,是指保護:“保密性(confidentiality),即確保信息只能夠由獲得授權的人訪問;完整性(integrity),即保護信息的正確性和完整性以及信息處理方法;可用性(availability),即保證經授權的用戶可以訪問到信息,如果需要的話,還能夠訪問相關資產。”然而,在2005年的該國際標準修訂版即ISO/IEC17799:2005中,信息安全的定義,包括了七種安全特性:信息的保密性(confidentiality)、完整性(integrity)、可用性(availability)及其他屬性,如真實性(authenticity)、責任性(accountability)、不可抵賴性(non-repudiation)、可靠性(reliability)等,而且,這種修訂后的信息安全定義,被2007年的國際標準ISO/IEC27001(《信息安全管理體系――規范與使用指南》)引用。在學術界,有人認為,信息安全的特性還應進一步包括可控性(controllability)、可預測性(predictability)、可審計性(auditability)、遵循性(compliance)等。
           
           隨著信息技術的發展與應用,信息安全的內涵越來越豐富,從最初的信息保密性發展到保密性、完整性和可用性,進而又發展到相關的真實性、責任性、抗抵賴性、可靠性等。相應地,對企業信息安全的考慮,也從最初關注企業信息安全技術層面,發展到關注企業信息安全控制、管理和治理等層面。
           
           (三)正確理解信息安全涵義需要注意的幾個問題
           
           1.信息安全與信息保密不同。從信息安全概念的涵義可以看出,信息保密與信息安全是兩個不同的概念,信息安全比信息保密的涵義更加豐富。盡管我國新修訂的保密法對信息系統的保密問題作出了規定,但是保密法不能代替信息安全法。目前,我國對信息安全的立法仍然比較滯后,尚無專門的信息安全法。信息安全法是國家信息安全保障體系不可或缺的組成部分。
           
           2.微觀信息安全與宏觀信息安全的聯系。企業信息系統的安全離不開系統運行環境的支撐,系統環境包括物理環境和社會環境。從社會環境看,主要是指有關信息安全法律法規、安全意識、人才培養等。這就是說,微觀層面單個組織的信息系統安全,還離不開宏觀層面國家信息安全保障體系的構建。與此同時,微觀層面的信息安全是基礎,沒有微觀層面的信息安全,也就沒有宏觀層面的信息安全。
           
           3.授權管理的重要性。信息安全的概念有三個核心涵義:保密性、完整性和可用性。這三個核心涵義都涉及一個共同的要素,即“授權”。保密性意味著只有獲得授權才能訪問;完整性意味著沒有授權不得對信息進行刪除或修改;可用性意味著擁有授權者隨時可以使用。這表明,授權管理是信息安全管理的一項關鍵內容。信息系統是一種人機系統,授權管理主要涉及對人員行為的安全管理。
           
           4.安全性目標與遵循性、績效性、可信性目標的聯系。從信息安全的涵義可以看出,信息系統的安全性目標不同于其遵循性、績效性和可信性目標,但是,安全性與它們之間又是相互聯系的。首先,安全性必須滿足遵循性的要求,信息系統的設計、運行、使用和管理可能要置于法律規定的和合同約定的安全要求的約束之下,特別是各種信息安全法律法規、保密法,以及知識產權、個人隱私權方面的法律法規;其次,信息安全沒有絕對的安全,所有的信息安全都是風險可接受條件下的安全,高水平的安全保護需要大量的投入成本,因而需要在成本、收益、風險和安全之間進行權衡,即安全性與績效性的聯系;最后,在信息安全技術層面,可信計算技術是信息安全技術的一個重要研究領域,從而表明安全性與可信性之間也有內在的聯系。
           
           筆者認為,目前國際上制定的有關信息安全等級評估、信息安全風險評估、信息安全管理體系等方面的國際標準,無論是在理論概念還是在操作實務方面,對于我國審計機關開展信息系統審計都具有重要的借鑒價值。這些國際標準或良好實務可以作為審計的參照標準,同時也可以作為審計機關向被審計單位提出改進信息系統安全性建議的依據。同時,在對國有企業信息系統的安全性進行審計時,還要立足我國實際,由于我國國有企業信息系統是國民經濟命脈之命脈,事關國家經濟安全和社會穩定,在重視企業本身信息系統安全的同時,還應當從宏觀上揭示國有企業信息系統的安全風險,維護國家經濟安全。
           
           最后應當指出的是,在審計實踐中,根據具體情況,單個審計項目可以選取上述可信性、績效性和安全性目標中的一個或多個作為審計目標。
           
          信息安全調研報告范文第5篇
           
           關鍵詞:雙導師雙主體;引導式;職業技能大賽
           
           中圖分類號:G424 文獻標識碼:A 文章編號:1009-3044(2017)02-0122-02
           
           雙導師制是一種目前在工程碩士的培養當中普遍采取的培養模式,但是在高職院校當中應用的相對還是較少。高職院校引入企業導師參與教學實踐,目前采取較多的方式是將企業導師作為校內教師的一種補充,完成各種課程,尤其是實踐性課程的教學任務。在長期的使用當中,企業導師的使用出現了較多的問題,比較突出的包括以下幾點:
           
           1) 教學技能和教學理念的缺失,部分企業導師因為缺少教學培訓,雖然技能很強,但是無法以合理的方式傳授給學生,也缺少課堂的組織能力,導致課堂當中學生玩手機、玩游戲等情況較為嚴重。
           
           2) 上課時間無法保障,企業導師由于在企業另有崗位,在本校上課僅僅是兼職活動,因為單位的各種正常工作安排時有發生,導致因公因私的調課率遠高于校內教師。
           
           3) 備課時間無法保障,部分企業導師由于工作繁忙,無法保障備課任務,導致上課時照本宣科,影響了學生的學習效果。
           
           根據企業導師的使用當中出現的問題,發現企業導師并不是很適合作為單獨的教師使用,最好是搭配校內教師和校外教師互相配合。由校內導師負責知識、技能的傳授指導,校外教師負責技能的方向性指導和在企業的頂崗實習指導。
           
           將學生根據職業定位和學習特點分成不同的學習小組,每一個小組搭配企業和學院雙導師。在對內的教學組織當中實施雙主體模式,教師作為教學引導的主體,負責引導學生進行自主學習;學生作為學習的主體,在教師的引導和組織下開始學習。這樣的一種培養模式,本研究暫時稱之為:雙導師、雙主體培養模式。
           
           信息安全技術專業2014級學生總人數57人,專任教師總人數5人,行業兼職教師2人,校內兼課教師3人。生師比接近10:1,學生數量不大,教師數量基本夠用,能滿足試點時的人力富裕要求。為了實踐這一培養模式的可行性,在對學生和教師進行綜合考量下,選擇在本院信息安全技術專業當中進行試點應用。
           
           1 調研學生的職業定位
           
           信息安全專業人數較少,但是學生在報考本專業的時候,有一定的盲目性,所以首先在2014級信息安全專業當中進行了一次全面的調研,確認每個學生的職業定位和學習方向。通過調研發現,發出調研報告57份,回收50份,其中學生的專業定位數據如表1所示。
           
           2 對學生進行分組
           
           根據表格1數據,同時考慮到本專業教師數量因素,第一期先從中選取參與方向人數最多,并且跟專業的關聯度最高,與職業技能大賽結合最緊密的兩個方向:滲透測試和網絡安全管理方向:這兩個方向分別針對了兩個職業技能大賽,網絡安全攻防大賽和計算C網絡應用大賽,所對應的企業崗位分別是web滲透測試和網絡安全工程師崗位。而根據歷年的畢業生跟蹤數據顯示,這也是學生入門工資較高的兩個職業崗位。
           
           3 選取參與教師,聘任企業導師
           
           導師的選擇是項目進行的重點,也是難點之一,不僅僅要選擇職業技能最為突出的教師參與,而且要克服經費不足問題,教師要具有較高的奉獻精神,尤其是在項目運行當中,有著嚴格的項目考核機制,如果考核不合格,將不予撥付經費,所以教師的選擇尤其困難。
           
           在具體的選拔過程當中,校內教師選擇指導大賽經驗較為豐富,指導過多次職業技能大賽的兩位專業負責人作為校內指導教師,以專業負責人崗位津貼作為教師的項目啟動經費。
           
           企業導師的選擇選取了與本校合作較多,有較多實驗室和校園網建設合作的教師作為企業導師,并且聘任了兩位往屆優秀畢業生作為企業導師;因為對于部分長期合作的企業,本專業三年以來,累積輸送了十人以上作為企業的實習生和員工,企業的合作培養參與度較高,企業領導也較為重視,批準了企業員工參與項目建設。而本專業往屆學生參與指導時也較少考慮經費因素,比較有利于在經費較為緊缺的情況下開展項目。
           
           4 確認雙方職能,激勵學生參與
           
           在整個項目的運行當中,突出雙導師指導下的雙主體模式,跟以往單純針對職業技能大賽的短時間培訓不同,本項目運行特別突出學生的主體作用,學生才是整個項目的學習主體,教師只是作為引導的主體參與活動。
           
           為了能更有效的激勵學生的參與度,安排學生走訪了海南省澄邁軟件園,實地調研了其中的多家企業,同時邀請了職業技能培訓機構對學生進行了就業形式分析;在完成了第一期調研的基礎上,邀請往屆優秀學生分成創業組和技能組分別和項目組學生進行交流和座談,引導學生進一步明確自身的職業方向。
           
           企業導師的職業技能很強,但是工作繁忙,指導時間不可能很長,所以在整個項目的運行當中,主要提供方向性的指導,讓學生明確職業工作當中需要哪些技能,有哪些需要注意的關鍵點;而具體的技能傳授和學習引導由學校內部教師進行,校內教師作為學生和企業導師的橋梁,幫助企業導師將技能需求明晰化、項目化之后傳達給學生;將學生遇到的無法解決的問題、對企業實踐經驗的需求明確化、提煉之后轉達給企業導師。
           
           學生是整個項目運行的重中之重,為了更加有力的提高學生的自身參與度,增強學生的自學能力,最后實現自我學習的目標。在整個的項目運行當中,遵循建構主義的學習思路,將內容變問題,將講授變研討,將答案變行動;不再簡單地將知識、技能傳授給學生(基礎技能在課內教育當中已經基本實現),而是在已有知識技能基礎上,以項目化推進的形式,引導學生主動深化知識,在內部的交流合作當中,發現新問題,解決新問題,提出新思路,實現新目標;
           
           在具體的培養當中,網絡安全管理方向的學生緊緊圍繞H3C網絡工程師的考核需求,以逐步參與校園網管理的方式增強學生的職業代入感和責任感;web入侵滲透測試方向的學生緊緊圍繞CTF大賽的模式,在逐步進行的過關競賽當中積累技能和信心,寓教于樂。
           
           5 考核管理機制
           
           質量是檢驗一切的真理,學生的培養當中,是否真的切實學習到了所需要的知識技能,是否真的提升了學生的自我學習能力,是否真的增強了學生的就業競爭力,都需要一個考核認證機制,否則在項目的實施當中,就很容易流于形式,從而影響了項目的成效。
           
           在首先確立了學生職業技能需求的基礎上,整個目標管理機制分為過程性檢驗機制和終結性檢驗機制。
           
           過程性檢驗機制包括在線資源記錄(圖1)、音頻視頻資料(圖2)、在線交流記錄(圖3)、面對面指導記錄;在整個過程中引入CRP平臺的導師平臺,由學生和教師雙向確認輔導記錄(圖4),確保整個輔導過程可控、可靠、有效。
           
           形成性檢驗機制只能保證項目的進行是可控可靠的,但是無法從根本上保障質量的落實,所以終結性考核的作用就顯得尤為重要,本項目兩個實踐組的目標非常的明確:大賽和就業,所以在最后的考核當中就包含上述兩個方面。
           
           在運行了一個學期之后,目前本項目組成員在海南省各項技能大賽當中收獲喜人,獲得海南省職業技能競賽計算機網絡應用賽項二等獎一項;中國大學生計算機設計大賽海南賽區一等獎一項,二等獎一項,三等獎一項;軟件開發大賽JAVA賽項高職組海南省一等獎一項,二等獎一項,三等獎兩項;海南省第一屆網絡安全大賽,本組成員參與獲得初賽排名第七,成功晉級決賽。
           
           6 總結分析
           
           雙導師、雙主體制培養模式的實施當中,還碰到了很多的問題,學生的參與面不夠廣,目前本專業教師的數量還不足以滿足全部學生的參與,生均培養成本較高,如果項目全面鋪開,將帶來更大的成本投入;企業導師的參與積極性不高,由于企業教師的工作較為繁忙,并不熱衷于⒂牖疃,在項目運行中,企業導師只能滿足最多不超過一周一次的活動參與,給學生的指導力度不足,提供的實習崗位有限,限制了學生的實踐動手機會;學生的自我學習能力較差,在以問題引導,項目引導的方式開展學習時,學生的知識儲備不足,自我學習能力和自我管理能力還有所欠缺,目前主要通過微課、慕課、在線實訓平臺的方式進行彌補,但是效果還有待進一步加強。
           
           雖然存在諸多的問題,但是在運行了一個學期之后,部分拔優學生的技能水平和自我學習能力已經有了明顯的提高,在項目的下一步試點中,準備進一步鋪開其他項目之后,應該可以吸引更多的學生參與,給合作企業提供更優質的實習生,給項目導師提供更高的經費支持,從而推動企業的參與積極性,取得更好的實踐效果。
           
           參考文獻:
           
           [1] 鄧艷,林軍. 全日制專業學位研究生“雙導師”制度實施優化方略――以南京郵電大學為例[J]. 重慶科技學院學報:社會科學版,2012(17).
           
           [2] 黃振中.“雙導師制”在法律碩士教學與培養中的完善與推廣[J]. 中國大學教學, 2012(2).
           
           [3] 耿有權,彭維娜,彭志越,等.全日制專業學位研究生培養模式運行狀況的調查研究――基于全國14所重點高校問卷數據[J]. 現代教育管理, 2012(1).