• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      在云環(huán)境下開展審計(jì)工作的新思考

      2021-04-02 16:04:51楊碩
      審計(jì)與理財(cái) 2021年1期
      關(guān)鍵詞:云服務(wù)人民銀行

      楊碩

      【摘 要】文章概述了云服務(wù),從審計(jì)視角列出組織在云服務(wù)規(guī)劃、實(shí)施和管理階段需要考慮和解決的問題。本文立足于人民銀行“數(shù)字央行”發(fā)展規(guī)劃,從云服務(wù)路徑選擇方向出發(fā),提出對(duì)人民銀行信息技術(shù)審計(jì)的啟示建議。

      【關(guān)鍵詞】云服務(wù);人民銀行;信息技術(shù)審計(jì)

      一、引言

      云服務(wù)是指使用互聯(lián)網(wǎng)訪問組織場所外部存儲(chǔ)的系統(tǒng)和數(shù)據(jù),可以將其視為IT服務(wù)外包的發(fā)展方向。不同于傳統(tǒng)信息系統(tǒng)主要依賴組織內(nèi)部的軟、硬件設(shè)施,云服務(wù)主要提供虛擬化的資源,在效率、靈活性和安全性等方面的顯著優(yōu)勢可以通過云供應(yīng)商的規(guī)模經(jīng)濟(jì)和專業(yè)知識(shí)實(shí)現(xiàn)。

      1.云服務(wù)模式。

      目前,主要以IAAS、PAAS、SAAS三種方式提供服務(wù),來滿足不同的需求和應(yīng)用場景。

      (1)基礎(chǔ)設(shè)施即服務(wù)(IAAS)。提供的服務(wù)是對(duì)所有基礎(chǔ)設(shè)施的使用,如:CPU、內(nèi)存、存儲(chǔ)、網(wǎng)絡(luò)、防火墻等資源。支持任意操作系統(tǒng)和應(yīng)用軟件,最不可能導(dǎo)致供應(yīng)商鎖定,但是隨著業(yè)務(wù)數(shù)據(jù)累計(jì)增加需要花費(fèi)更高的費(fèi)用去升級(jí)服務(wù)器或者擴(kuò)容存儲(chǔ)空間。

      (2)平臺(tái)即服務(wù)(PAAS)。提供的服務(wù)是應(yīng)用程序開發(fā)、測試和部署平臺(tái),用戶需要具備較高的IT技術(shù)水平。

      (3)軟件即服務(wù)(SAAS)。用戶直接通過網(wǎng)絡(luò)租用供應(yīng)商提供的應(yīng)用軟件服務(wù),不需要安裝或維護(hù)軟件或擁有自己的硬件。但對(duì)更新的控制最少,會(huì)面臨軟件許可、軟件維護(hù)和技術(shù)支持等隱性成本不斷增加,也很難遷移到其他云服務(wù)平臺(tái)。圖1將本地系統(tǒng)架構(gòu)與三種服務(wù)模式進(jìn)行了對(duì)比。

      2.“云”的類型。

      上述云服務(wù)可以在以下類型的云上提供:

      (1)公共云:多個(gè)客戶可共享相同的硬件、存儲(chǔ)和網(wǎng)絡(luò)設(shè)備等資源,不用架設(shè)任何設(shè)備或配備管理人員,便可享有專業(yè)的IT服務(wù)。

      (2)私有云:云供應(yīng)商為單個(gè)客戶提供特定云系統(tǒng)的專用使用,在人員和設(shè)備方面所需投資最大。

      (3)社區(qū)云:在有限的組織之間共享專用服務(wù),這些組織對(duì)安全性、隱私、性能和合規(guī)性有共同要求。

      (4)混合云:這是上述內(nèi)容的組合,其中某些應(yīng)用程序和服務(wù)在公共云中運(yùn)行,而其他應(yīng)用程序和服務(wù)在私有云中運(yùn)行。

      二、云服務(wù)的評(píng)估

      在選擇云解決方案之前,組織需要評(píng)估云是否適合他們的需求和目標(biāo),清楚了解各種云服務(wù)的相對(duì)優(yōu)點(diǎn)和潛在缺陷。而管理層則需要制定明確的需求目標(biāo)并對(duì)備選方案作出恰當(dāng)評(píng)估,綜合考慮成本效益,從而選擇最適合的供應(yīng)商。

      1.數(shù)字策略。

      組織在部署“云戰(zhàn)略”時(shí),應(yīng)制定明確的數(shù)字戰(zhàn)略和清晰的技術(shù)要求,避免過度依賴于特定技術(shù)方案。審計(jì)應(yīng)當(dāng)關(guān)注:

      (1)組織是否考慮過選用哪種類型的云解決方案?能否確保所有用戶都能訪問互聯(lián)網(wǎng)?

      (2)是否了解本地系統(tǒng)向云平臺(tái)遷移的復(fù)雜性和相關(guān)配置?數(shù)字化策略是否對(duì)系統(tǒng)遷移進(jìn)行風(fēng)險(xiǎn)評(píng)估?

      (3)在安全方面是否遵循最佳做法?在承諾使用云服務(wù)之前,組織是否遵循了國家規(guī)定的云安全原則?對(duì)于云服務(wù)如何與現(xiàn)有的服務(wù)、系統(tǒng)和進(jìn)程兼容是否有一個(gè)長遠(yuǎn)的規(guī)劃?

      2.盡職調(diào)查。

      供應(yīng)商可以提供一個(gè)安全的技術(shù)環(huán)境,但識(shí)別和處理數(shù)據(jù)泄露、黑客入侵等行為仍然是組織的責(zé)任。確定選擇標(biāo)準(zhǔn)前應(yīng)明確組織的特定需求。組織應(yīng)對(duì)備選供應(yīng)商進(jìn)行盡職調(diào)查,確保他們是否符合所有安全規(guī)定、相關(guān)標(biāo)準(zhǔn)及業(yè)務(wù)特定需要。審計(jì)應(yīng)當(dāng)關(guān)注:

      (1)組織和云供應(yīng)商之間是否有明確的責(zé)任關(guān)系?組織對(duì)云供應(yīng)商有什么監(jiān)督機(jī)制?云供應(yīng)商是否簽訂分包合同,如何管理風(fēng)險(xiǎn)?

      (2)服務(wù)條款是什么?云供應(yīng)商保證的存儲(chǔ)空間和服務(wù)功能是否足以滿足組織的需求?業(yè)務(wù)連續(xù)性安排是什么?供應(yīng)商的責(zé)任上限是否足以彌補(bǔ)組織遭受的任何損失?

      (3)供應(yīng)商的基礎(chǔ)設(shè)施部署在哪里,數(shù)據(jù)在哪個(gè)司法管轄區(qū)保存?對(duì)數(shù)據(jù)境內(nèi)存放和跨境行為是否有法律法規(guī)保護(hù)?

      (4)組織是否考慮過利用市場競爭優(yōu)勢選擇其他供應(yīng)商而終止當(dāng)前合同的成本?合同終止過程是否有完整的文件記錄,當(dāng)前合同中云供應(yīng)商是否有協(xié)助傳輸和刪除數(shù)據(jù)的法律承諾?

      三、云服務(wù)的實(shí)施

      相較于傳統(tǒng)系統(tǒng)而言,云服務(wù)配置可能更為復(fù)雜。管理層需要確信他們已經(jīng)充分了解并能夠接受云服務(wù)實(shí)現(xiàn)涉及到的相關(guān)風(fēng)險(xiǎn)。

      1.系統(tǒng)配置。

      云環(huán)境中的潛在變化和創(chuàng)新可能使配置比本地網(wǎng)絡(luò)更具挑戰(zhàn)性。正確的配置可以確保云服務(wù)系統(tǒng)和原有系統(tǒng)進(jìn)行高效、安全地通信和互操作。審計(jì)應(yīng)當(dāng)關(guān)注:

      (1)組織是否制定了項(xiàng)目管理計(jì)劃?供應(yīng)商對(duì)系統(tǒng)配置方面的承諾是什么?

      (2)是否為遷移準(zhǔn)備了基礎(chǔ)設(shè)施、應(yīng)用程序和數(shù)據(jù)?如果舊數(shù)據(jù)質(zhì)量較差,是否應(yīng)將其以現(xiàn)有狀態(tài)傳輸?shù)叫孪到y(tǒng)中?

      (3)組織是否過度依賴第三方資源?實(shí)施完成后內(nèi)部團(tuán)隊(duì)是否全面了解系統(tǒng)的配置方式?

      2.風(fēng)險(xiǎn)和安全。

      云服務(wù)并不一定比現(xiàn)有的技術(shù)架構(gòu)更安全,它們所面臨的安全風(fēng)險(xiǎn)大致相似。云解決方案雖然具有強(qiáng)大的網(wǎng)絡(luò)防御能力和多層安全性,但同樣存在大量默認(rèn)配置的問題。審計(jì)應(yīng)當(dāng)關(guān)注:

      (1)組織是否明確技術(shù)風(fēng)險(xiǎn)的責(zé)任歸屬和應(yīng)對(duì)措施?是否對(duì)系統(tǒng)資源枯竭、數(shù)據(jù)泄漏、誤操作等風(fēng)險(xiǎn)制定應(yīng)對(duì)方案?

      (2)組織是否更新了業(yè)務(wù)連續(xù)性計(jì)劃?系統(tǒng)備份如何實(shí)現(xiàn)?

      3.實(shí)施。

      云服務(wù)的實(shí)施過程中,除了技術(shù)管理外,還必須關(guān)注變更管理對(duì)所有利益相關(guān)者和用戶的重要性。審計(jì)應(yīng)當(dāng)關(guān)注:

      (1)主要利益相關(guān)者是否通過全面的變更管理策略參與實(shí)施?組織是否根據(jù)所選服務(wù)為用戶提供培訓(xùn)和指導(dǎo)?

      (2)是否有應(yīng)急計(jì)劃?

      (3)是否制定了測試規(guī)范?

      四、云服務(wù)管理

      云服務(wù)會(huì)減少組織維護(hù)內(nèi)部管理系統(tǒng)所需的人力物力,云服務(wù)供應(yīng)商可以負(fù)責(zé)管理和維護(hù)基礎(chǔ)設(shè)施,以及軟件更新。但組織不能將數(shù)據(jù)管理和業(yè)務(wù)流程控制的責(zé)任外包出去。

      1.變更。

      云服務(wù)上線后,可能會(huì)面臨一個(gè)短暫的問題高發(fā)期,在此過程中,持續(xù)的變更管理對(duì)于消除用戶疑慮、匹配系統(tǒng)接口或更新配置都非常重要。與內(nèi)部部署環(huán)境相比,云環(huán)境更具動(dòng)態(tài)性,更改和更新的頻率和數(shù)量會(huì)更大。審計(jì)應(yīng)當(dāng)關(guān)注:

      (1)對(duì)云供應(yīng)商的計(jì)劃是否有明確的監(jiān)督?云供應(yīng)商是否公開發(fā)布新功能和系統(tǒng)升級(jí)計(jì)劃?組織是否評(píng)估計(jì)劃變更對(duì)業(yè)務(wù)的影響?

      (2)系統(tǒng)變更和升級(jí)的責(zé)任是否明確?內(nèi)部團(tuán)隊(duì)是否具備管理變更的權(quán)限和知識(shí)?將更改發(fā)布到實(shí)施服務(wù)中之前,是否進(jìn)行模擬測試?

      (3)是否已打開審計(jì)功能以提供跟蹤信息?

      2.保障。

      云供應(yīng)商通常以服務(wù)組織控制報(bào)告形式向客戶提供保證。云供應(yīng)商委托獨(dú)立審計(jì)師編寫這些報(bào)告,以確保其流程安全合規(guī)。管理層需要掌握這些報(bào)告提供的保證以及可能存在控制缺陷或需要進(jìn)一步保證的領(lǐng)域。審計(jì)應(yīng)當(dāng)關(guān)注:

      (1)管理層是否了解不同服務(wù)組織控制報(bào)告的一般范圍和局限性?

      (2)服務(wù)組織控制報(bào)告的頻率是否足以跟上持續(xù)改進(jìn)的步伐?如果云供應(yīng)商對(duì)其系統(tǒng)進(jìn)行重大更改,是否有相關(guān)合同條款要求獲取最新報(bào)告?

      (3)管理層是否仔細(xì)審查服務(wù)組織控制報(bào)告的結(jié)果?

      五、對(duì)央行內(nèi)部審計(jì)工作的啟示

      隨著我國金融改革的不斷深入和信息技術(shù)的快速發(fā)展,人民銀行提出建設(shè)“數(shù)字央行”的發(fā)展戰(zhàn)略,充分利用大數(shù)據(jù)、云計(jì)算技術(shù),實(shí)施IT架構(gòu)轉(zhuǎn)型升級(jí),對(duì)內(nèi)部管理和各項(xiàng)業(yè)務(wù)進(jìn)行重構(gòu),實(shí)現(xiàn)金融服務(wù)與監(jiān)管職能“數(shù)字化”。云計(jì)算的不斷滲透,在以虛擬化為基礎(chǔ)的IAAS私有云之上,基于容器技術(shù)和分布式中間件構(gòu)建適用于人民銀行分支機(jī)構(gòu)的云服務(wù)平臺(tái),形成分布式服務(wù)型系統(tǒng)架構(gòu),已經(jīng)成為一種可行的解決路徑,很可能會(huì)成為未來人民銀行“數(shù)字化”進(jìn)程中的一種備選方案。

      在云服務(wù)不可逆轉(zhuǎn)的發(fā)展趨勢下,云環(huán)境的開放性和商業(yè)性、特有的數(shù)據(jù)和服務(wù)外包、虛擬化和跨業(yè)務(wù)領(lǐng)域共享等特征使其面臨的安全威脅相比傳統(tǒng)IT環(huán)境更復(fù)雜多樣,給信息技術(shù)審計(jì)帶來新的挑戰(zhàn)。云租戶對(duì)云環(huán)境資源的非法訪問、惡意云管理員的越權(quán)操作和誤操作、云端數(shù)據(jù)泄漏、被破壞或丟失、云基礎(chǔ)設(shè)施資源枯竭、配置不當(dāng)、網(wǎng)絡(luò)遭受攻擊等風(fēng)險(xiǎn)將會(huì)成為信息技術(shù)審計(jì)重點(diǎn)關(guān)注內(nèi)容。人民銀行各級(jí)內(nèi)審部門需要持續(xù)從關(guān)注風(fēng)險(xiǎn)的角度出發(fā),在推動(dòng)央行科技工作改革升級(jí)過程中,始終緊跟技術(shù)發(fā)展趨勢,圍繞信息系統(tǒng)重大風(fēng)險(xiǎn)、重要業(yè)務(wù)應(yīng)用系統(tǒng)和科技領(lǐng)域重點(diǎn)工作開展信息技術(shù)審計(jì),靠前一步,主動(dòng)學(xué)習(xí)了解云服務(wù)在金融行業(yè)領(lǐng)域的場景應(yīng)用和安全保障,主動(dòng)加強(qiáng)與科技和業(yè)務(wù)部門的溝通協(xié)調(diào),及時(shí)掌握業(yè)務(wù)需求變化和技術(shù)路徑選擇,做好知識(shí)儲(chǔ)備,更新審計(jì)技術(shù)和工具,為高質(zhì)量發(fā)揮審計(jì)監(jiān)督職能奠定堅(jiān)實(shí)的基礎(chǔ)。

      參考文獻(xiàn)

      [1]范煜.云環(huán)境下的數(shù)據(jù)審計(jì)技術(shù)研究[D].電子科技大學(xué),2020.

      [2]李慧芳.云計(jì)算環(huán)境下云審計(jì)的系統(tǒng)設(shè)計(jì)與實(shí)施[D].江西財(cái)經(jīng)大學(xué),2017.

      [3]陳希凡.基于“云計(jì)算”的政府金融審計(jì)方法與技術(shù)探索[D].南京審計(jì)大學(xué),2017.

      (作者單位:中國人民銀行銀川中心支行)

      猜你喜歡
      云服務(wù)人民銀行
      2020年河北省人民銀行系統(tǒng)機(jī)構(gòu)、人員情況一覽表
      2019年河北省人民銀行系統(tǒng)機(jī)構(gòu)、人員情況一覽表
      基于會(huì)計(jì)服務(wù)的SWOT分析
      廣電網(wǎng)絡(luò)前端業(yè)務(wù)融合云服務(wù)平臺(tái)設(shè)計(jì)
      互聯(lián)網(wǎng)背景下傳媒業(yè)的轉(zhuǎn)型
      云服務(wù)環(huán)境中低碳型教育信息化模式研究
      中國市場(2016年38期)2016-11-15 00:28:18
      云服務(wù)環(huán)境下的高校協(xié)同創(chuàng)新研究
      基于云服務(wù)的加密式門禁系統(tǒng)設(shè)計(jì)
      河北省人民銀行系統(tǒng)機(jī)構(gòu)、人員情況一覽表
      河北省人民銀行人民幣信貸收支表
      泰安市| 河北省| 开封市| 锦州市| 博客| 车致| 永和县| 阿鲁科尔沁旗| 垫江县| 平安县| 白玉县| 洛浦县| 台南市| 阿克陶县| 南乐县| 邵武市| 阿巴嘎旗| 吉林省| 原平市| 潞城市| 兰坪| 宜君县| 县级市| 靖西县| 定安县| 泌阳县| 晋江市| 兰西县| 富川| 江津市| 乐东| 凤城市| 柳州市| 汪清县| 察雅县| 济源市| 栾城县| 宜良县| 金坛市| 万源市| 隆化县|