阐述联网大数据审计:物联网建设制度保障选题
本站原创 【摘 要】 物联网建设的本质不是“互联互通”,而是远程智能控制,而能够沟通感知层、网络层与应用层,实现远程智能控制的只有大数据。因此,确保大数据的真实、可信与安全便成为物联网建设的重要任务。大数据审计是实现这个任务的重要工作之一。基于这个背景,文章介绍了大数据审计的目标、审计的依据、审计对象、企业三层审计制度等内容。
【关键词】 大数据审计; 物联网; 云计算
物联网建设的本质不是“互联互通”,而是远程智能控制,而能够沟通感知层、网络层与应用层,实现远程智能控制的只有大数据。因此,确保大数据的真实、可信与安全便成为物联网建设的核心任务。大数据审计是实现这个任务的重要工作之一。基于这个背景,本文介绍了大数据审计的目标、审计的依据、审计内容、企业三层审计制度等内容。
的直接控制,直接面临着用户与服务提供商的安全 问题。
因此,物联网和云计算的技术特征和商业模式决定了用户在使用云计算服务时,难以控制数据和业务的风险,必然导致对数据安全、隐私保护、合规水平等问题的担忧。因此,更合理的方式应该基于持续性专业监控和专业分析,对云计算应用作出客观、公正、综合的评价。大数据审计正是扮演这样一个角色。
大数据审计是传统信息审计的发展,它仍然是“收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标,同时最经济地使用资源。”随着物联网的建设,大数据大审计是企业内部控制、信息系统治理、安全风险控制等不可或缺的关键手段。财会专业
大数据审计定位为物联网建设中大数据风险的综合治理,它保持独立性,以第三方客观的立场对物联网建设中大数据进行检查和评价,不仅保护建立在“云”上物联网业务和“云”中大数据安全,而且对大数据处理过程中的效果、效率、可靠以及合规等风险隐患提出审计意见。
美国国家标准与技术学院(NIST)不仅发布了被广泛引用的《云计算定义》,还发布了《联邦信息系统和机构的信息安全持续监测》(ISCM)报告,通过持续监测,保持其对信息安全、漏洞和威胁的警觉。
美国云安全联盟CSA在2009年12月发布了《云安全指南》。它涵盖了“云计算重点13个区域的安全指导”,从云用户角度阐述了可能存在摘自:毕业论文工作总结http://www.328tibet.cn
的商业隐患、安全威胁以及推荐采取的安全措施。
ISACA是国际信息系统审计协会在2010年推出的云计算管理审计、保证程序(Cloud Computing Management Audit/Assurance Program),规定审计过程中使用的工具、模板以及流程。同时,ISACA还在程序中规定了审计过程中应该关注的审查点以及遵循的标准,从而保证审计师能够完整、真实地记录有关数据。主要关注云计算治理的影响、服务供应商以及客户之间的合同履约、云计算控制的具体问题等。如数据审计的审计目标是:为云计算服务提供商的客户提供对服务提供商内部控制的有效性和安全性评估;识别客户组织其他与服务提供商的接口是否存在内部控制缺陷;评估客户的质量和能力情况与服务提供商的内部控制项相关的证明。
其他的信息审计标准还有欧洲网络与信息安全局的《云计算风险评估方法论》、ISO27001等等。
在我国,由于物联网与云计算等信息化发展相对落后,至今尚未有大数据审计的标准,可以参考的主要有2008年五部委共同颁布的《企业内部控制规范》和2009年银监会颁布的《商业企业信息科技风险管理指引》。
大数据审计的目标是确保大数据质量的准确性、完整性、一致性、时效性、可信性以及可解释性。具体而言,当采集的源数据存在数值缺失、空值、冗余、错误、格式不一致、含义不清等问题时,审计人员应当进行数据整理、加工,剔除错误或偏离期望的值,以提高审计分析的准确性和效率;保证数据不缺属性,确保数据完整性;使数据之间不存在差异,相互可内洽,达到数据的一致性;数据的“新鲜感”——及时送达数据确保数据的时效性;在整个数据整合过程中,统计出有多少数据是用户依赖的,以测数据的可信性;最后,也是最重要的,是保证数据容易被理解,以达到其可解释性。
的泄漏,以避免侵害到数据拥有者和数据相关者的利益。大数据审计要审核企业是否可以通过日志文件或基于的工具对数据分析活动进行有效监控;企业是否制定数据安全的应用逻辑;企业是否制定基于数据管理解决方案的对象级控制制度;企业是否进行多份、异地备份方式进行数据备份,防止数据丢失、意外的数据覆盖和破坏,必须保证数据可用。
本文认为,按参与审计的主体分,大数据审计制度还应当建立业务人员自查、部门经理审查、审计部门审查的审查制度,步步推进,层层把关,确保大数据的安全、可靠、有效性。各个审计主体依据大数据审计标准,对大数据业务操作流程进行审计,确保大数据的安全性、可靠性与有效性。限于篇幅,不展开 讨论。●
【参考文献】
肖建一,等.中国云计算数据中心运营指南[M].清华大学出版社,2013.
【关键词】 大数据审计; 物联网; 云计算
物联网建设的本质不是“互联互通”,而是远程智能控制,而能够沟通感知层、网络层与应用层,实现远程智能控制的只有大数据。因此,确保大数据的真实、可信与安全便成为物联网建设的核心任务。大数据审计是实现这个任务的重要工作之一。基于这个背景,本文介绍了大数据审计的目标、审计的依据、审计内容、企业三层审计制度等内容。
一、大数据风险暴露:物联网建设数据风险规避的需要
物联网的发展使企业从“小数据时代”进入“大数据时代”,而这些巨量的非结构化为主的大数据的处理只有云计算技术(或平台)才能够实现。因此,当业务和数据从传统的信息系统环境转移到“云”上后,数据与业务的安全、操作合规、业务持续、数据真实、安全、可信等是企业信息化考虑过程中除了效率和成本之外的核心问题。虽然云服务提供商会考虑如何为用户提供安全、可信的云计算解决方案,但用户必须考虑如何确保自己的信息资源的可信与可控。大数据风险不仅具有传统网络环境下的风险,还具有云环境下的风险。(一)传统网络环境下的大数据风险
1.大数据暴露在“第三只眼”的风险会计职称论文范文
由于网络的虚拟化、无边界、流动性等特征,数据及其系统面临较多的安全问题。的入侵、恶意代码的攻击、拒绝服务攻击、网络钓鱼或敏感信息外泄等,如:网络中的病毒、木马、恶意软件对公司数据或系统的监测、攻击,导致公司的数据或系统不能够正常运转与应用;数据在网络、服务器、存储、平台到应用的过程经常遭到泄露和被第三方窃取的问题,特别是公司内部员工恶意利用实体的方式,接触备份敏感数据,或是利用在系统上的权限,存取第三数据,窃听重要会议机密,获取商业机密;系统内部自然、人为因素导致数据或系统不能够正常运作;由于火灾、地震等自然因素,或硬件与软件运行过程的正常与不正常因素,导致数据或系统不能够正常运作。2.数据质量问题导致数据的误用
“与有形产品不同,垃圾的数据只能产生垃圾的信息。”由于在大数据过程中经常出现数据不准确、不完整、不及时等数据质量的问题,因此,在数据分析处理的过程中必须确保大数据的质量。3.数据被人为操纵的风险
数据分析的目的是解决企业业务问题、提升业务决策。由于业务的理解因人而异,业务决策的目标也因人而异。数据分析所应用的数据和模型不同,分析的结果也将会不同。也就是说,数据分析如果不能够客观,将会产生被人为操纵的风险。因此,企业必须通过审计杜绝那种自私的操纵统计数据的做法,并增强注重客观性的企业文化。(二)大数据暴露于云计算平台下的风险
1.大数据暴露于服务供应商的风险
在物联网、云计算环境下,企业的数据置于企业边界之外的公共共享网络上,并且数据的所有权、管理权及使用权发生了分离——企业用户失去了对数据资源摘自:毕业论文范文格式http://www.328tibet.cn的直接控制,直接面临着用户与服务提供商的安全 问题。
2.数据暴露于共享平台上租户的风险
在物联网、云计算环境下,企业数据经常处在与其他客户共享的情况中,许多数据加密也未能防止数据泄露,且必须进行资源隔离,特别是对数据休眠期间的安全隔离。由于企业数据的信任边界审计,许多数据虚拟化技术未能确知托管于什么地方,这些动态变化的信任边界要求逻辑层的访问控制和授权管理得到审计与信任。3.数据暴露于企业业务变化的风险
企业数据会由于企业需求变化、投资变化、监管策略变化从一个云平台迁移到另外一个云平台,数据兼容性和互操作性、各个平台的统一合规标准等需要审计,确保数据的安全、可靠与可信。二、大数据审计:物联网建设的制度保证
企业传统信息化系统存在于企业内部,是相对封闭的信息系统,只有少量的Web应用、邮件系统等需要发布的业务系统暴露在外,企业只需要在出口部署安全设备、设置高颗粒度安全访问控制策略、内部规范管理、提供操作性较强的安全防护措施就能够确保企业的信息安全问题。然而,在物联网、云计算时代,企业数据从业务分布处理向可快速分发、快速迁移的计算资源整合,对网络安全方案提出更高的要求,包括高性能要求、性能弹性扩展、全面的可靠性保障、虚拟化和可视化要求、立体式的安全防护等。因此,物联网和云计算的技术特征和商业模式决定了用户在使用云计算服务时,难以控制数据和业务的风险,必然导致对数据安全、隐私保护、合规水平等问题的担忧。因此,更合理的方式应该基于持续性专业监控和专业分析,对云计算应用作出客观、公正、综合的评价。大数据审计正是扮演这样一个角色。
大数据审计是传统信息审计的发展,它仍然是“收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标,同时最经济地使用资源。”随着物联网的建设,大数据大审计是企业内部控制、信息系统治理、安全风险控制等不可或缺的关键手段。财会专业
大数据审计定位为物联网建设中大数据风险的综合治理,它保持独立性,以第三方客观的立场对物联网建设中大数据进行检查和评价,不仅保护建立在“云”上物联网业务和“云”中大数据安全,而且对大数据处理过程中的效果、效率、可靠以及合规等风险隐患提出审计意见。
三、大数据审计的标准规范会计学生毕业论文
与会计审计遵循《审计准则》一样,大数据审计需要有一套共同遵循的审计规范。物联网、云计算快速发展带来大数据审计的需要,各国政府、协会或民间组织也积极关注并推行大数据审计的规范。一般说来,大数据审计主要存在于信息审计或云计算的审计规范之中,当前国外主要信息审计的相关标准如下: 信息系统审计与控制基金会在1996年制定的IT治理模型(COBIT),是国际公认的、权威的安全与信息技术管理和控制的标准,也是国际上通用的信息系统审计的标准之一。它的宗旨是跨越业务和IT控制之间的鸿沟,建立一个面向业务目标的IT控制框架。特别是最新的COBIT5.0版本中,被称为“一个治理和管理企业IT的业务框架”。它是IT技术人员、用户、企业管理人员和IT审计师之间的桥梁。美国国家标准与技术学院(NIST)不仅发布了被广泛引用的《云计算定义》,还发布了《联邦信息系统和机构的信息安全持续监测》(ISCM)报告,通过持续监测,保持其对信息安全、漏洞和威胁的警觉。
美国云安全联盟CSA在2009年12月发布了《云安全指南》。它涵盖了“云计算重点13个区域的安全指导”,从云用户角度阐述了可能存在摘自:毕业论文工作总结http://www.328tibet.cn
的商业隐患、安全威胁以及推荐采取的安全措施。
ISACA是国际信息系统审计协会在2010年推出的云计算管理审计、保证程序(Cloud Computing Management Audit/Assurance Program),规定审计过程中使用的工具、模板以及流程。同时,ISACA还在程序中规定了审计过程中应该关注的审查点以及遵循的标准,从而保证审计师能够完整、真实地记录有关数据。主要关注云计算治理的影响、服务供应商以及客户之间的合同履约、云计算控制的具体问题等。如数据审计的审计目标是:为云计算服务提供商的客户提供对服务提供商内部控制的有效性和安全性评估;识别客户组织其他与服务提供商的接口是否存在内部控制缺陷;评估客户的质量和能力情况与服务提供商的内部控制项相关的证明。
其他的信息审计标准还有欧洲网络与信息安全局的《云计算风险评估方法论》、ISO27001等等。
在我国,由于物联网与云计算等信息化发展相对落后,至今尚未有大数据审计的标准,可以参考的主要有2008年五部委共同颁布的《企业内部控制规范》和2009年银监会颁布的《商业企业信息科技风险管理指引》。
四、大数据审计的框架体系
大数据审计与会计审计一样,也包括制定审计目标、确定风险领域、制定审计计划、设计审计程序、执行审计计划以及出具审计结果和管理建议。由于篇幅的限制,本文提出的大数据审计框架体系是由大审计目标维、审计制度维、控制对象维等构成的三维立体体系。具体如图1。在下文中主要介绍大数据审计的目标、审计制度维、审计对象维等具体的内容。财务会计相关论文(一)大数据审计的目标:大数据审计的目标维财务与会计论文
1.对大数据的安全性发表意见
物联网及云计算的运用下,网络的虚拟化、无边界、流动性等特征,数据及其系统面临较多的安全问题。例如:商业机密被第三方所利用、商业机密或个人隐私的数据被公司内部别有用心地“恶意”利用、自然灾害等意外情况的发生等。因此,大数据安全是大数据可靠、有效使用的前提。为了有效保护系统和数据安全,做好灾害预警等,数据审计对于数据安全和物联网的建设有着至关重要的意义。因此,大数据审计首推对大数据的安全性发表意见。它不仅要对提供大数据服务供应商的安全可信性发表意见,同时也包括对服务提供商本身的可信性发表意见,对企业内部的大数据收集、处理等过程的数据安全性发表意见。2.对大数据来源和数据质量的可靠性发表意见
大数据获取过程中对数据的处理,是为后续流程提供高质量数据的基础,因此,如何获取数据以及对数据如何处理,对后续高效高质量的数据分析起着至关重要的作用。大数据审计的目标是确保大数据质量的准确性、完整性、一致性、时效性、可信性以及可解释性。具体而言,当采集的源数据存在数值缺失、空值、冗余、错误、格式不一致、含义不清等问题时,审计人员应当进行数据整理、加工,剔除错误或偏离期望的值,以提高审计分析的准确性和效率;保证数据不缺属性,确保数据完整性;使数据之间不存在差异,相互可内洽,达到数据的一致性;数据的“新鲜感”——及时送达数据确保数据的时效性;在整个数据整合过程中,统计出有多少数据是用户依赖的,以测数据的可信性;最后,也是最重要的,是保证数据容易被理解,以达到其可解释性。
3.对大数据分析的有效性发表意见会计方面论文
通过数据产生、数据获取、数据存储、数据分析、数据可视化,最后到达数据结果,是业务部门数据操作的整套流程,也是检验数据是否合理、有效性的最重要一步。大数据往往被深埋在非常大型的数据库中,且往往包含多年的历史数据,同时数据量和搜索工作量都非常大。数据分析的有效性不仅取决于数据质量,也取决于数据分析的合理性。数据审计必须对数据分析的合规性是否达到数据分析效果进行审计。大数据审计人员通过开展数据分析,科学高效地确定项目、编制方案、实施审计、出具报告,从而确保数据的准确性和有效性。(二)数据分析过程:大数据审计的对象维
数据分析过程是数据审计架构的对象,是解决大数据审计的源头。根据大数据生命周期业务流程,大数据审计需要对如下大数据分析业务环节的数据安全性、可靠性、有效性进行审计:数据源分析、数据获取、数据存储、数据分析、数据共享、数据可视化等大数据分析过程。具体如图2。1.数据源分析
物联网、云计算中的数据源头为企业外部数据和企业内部数据。为确保企业数据安全性、可靠性及数据分析的有效性,必须对数据源进行分析安全性等审计。如:审计数据存储的可信度,审计数据的完整性、数据的可靠性、数据的一致性等分析;数据格式分析;数据更新方式分析等等。2.数据获取
数据获取过程是指物联网通过云计算平台获取数据的过程,主要包括数据整合、数据清洗、数据转换、数据加载等业务过程。由于云环境下数据平台上有多租户的出现,必须明确数据的权属。这个过程要确保数据安全、可靠,有效使用的制度主要有对数据分类并对数据进行标识、分配权限。同时,针对不同数据进行分级,制定数据加密等安全策略。3.数据存储
物联网和云计算环境下的数据必须保证所有的数据包括所有副本和备份,存储在合同、服务级别协议和法规允许的地理位置。建立数据访问控制;进行数据加密,建立内容发现制度,确保数据安全审计工作有效进行;要求对数据进行数据等级区分,分开存放;如果存在数据共享,应该对访问权限进行严格精细化控制,并可以实时监控和提供审计措施。4.数据分析会计专业毕业小结
大数据分析实务中避免数据遭到任何哪怕是轻微源于:论文写作http://www.328tibet.cn的泄漏,以避免侵害到数据拥有者和数据相关者的利益。大数据审计要审核企业是否可以通过日志文件或基于的工具对数据分析活动进行有效监控;企业是否制定数据安全的应用逻辑;企业是否制定基于数据管理解决方案的对象级控制制度;企业是否进行多份、异地备份方式进行数据备份,防止数据丢失、意外的数据覆盖和破坏,必须保证数据可用。
5.数据可视化
数据可视化是指计算机图形学、图像处理技术和office办公软件,将数据或数据分析结果转换成图形、图像、表格、文件等形式,并可进行交互处理。数据可视化是为了洞察分析数据表述的问题,找出问题的答案,发现关系性规则,进而发现在其他情况下不易发觉的事情,弥补现有科学分析方法的不足。大数据可视化审计是审查数据可视化是否表达事情的原来面目,是否扭曲了事物实际情况;审查数据可视化是否泄露了信息,是否有利于事情的表达等。会计信息披露6.数据共享
企业大数据主要通过云平台进行数据的共享。因此,大数据审计要审查企业是否设定安全的数据共享应用逻辑;是否制定数据分析解决方案的对象级控制制度;是否有基于数据内容的数据保护;涵盖如电子邮件、网络传输、数据库、文件和文件系统是否有加密解决方案。(三)三层审计制度:大数据审计的制度维
目前审计按审计内容可分为企业管理层面审计、流程控制审计和面向运营环境整体的三层审计。其中:企业管理层面控制审计主要关注整体的IT治理,合规、云战略和规划;流程控制审计主要关注云运营流程中内嵌的相关安全控制,以保证数据或系统的完整性、准确性、有效性和访问控制;运营环境整体控制主要关注与数据中心运营相关的管理控制,包括基础设施和流程、信息安全、业务持续性管理和灾难恢复、事件响应等方面。本文认为,按参与审计的主体分,大数据审计制度还应当建立业务人员自查、部门经理审查、审计部门审查的审查制度,步步推进,层层把关,确保大数据的安全、可靠、有效性。各个审计主体依据大数据审计标准,对大数据业务操作流程进行审计,确保大数据的安全性、可靠性与有效性。限于篇幅,不展开 讨论。●
【参考文献】
肖建一,等.中国云计算数据中心运营指南[M].清华大学出版社,2013.