前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇电子政务网络安全自查报告范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
电子政务网络安全自查报告范文第1篇
提升网络安全保护水平
《中华人民共和国网络安全法》(以下简称《网络安全法》)已于2017年6月1日起施行。《网络安全法》明确了网络安全保护和监管的工作原则、管理体制和管理制度,为维护我国网络空间主权、国家安全和社会公共利益提供了有力的法律保障,为公安网安部门履行网络安全监管职责提供了有力的法律武器,为公安机关维护社会大局稳定、促进社会公平正义、保障人民群众安居乐业提供了有力的支持。公安机关尤其是公安网安部门必须深入学习《网络安全法》,主动应对其带来的各种变化,依法履行网络安全监管职能,大力推动《网络安全法》执法实践。本文从深入理解领会、把握职能定位和厘清竞合适用三个维度探讨公安机关如何贯彻落实《网络安全法》,重点解读《网络安全法》与相关网络安全管理法律、行政法规和规章在七项管理制度上的交叉理解和竞合适用问题。
1
深入理解领会
作为我国第一部网络安全的基础性法律,《网络安全法》贯穿了网络空间主权维护、网络安全与信息化发展并重、网络安全综合治理、网络安全重点保护四项原则,体现了我国对网络安全规律认识的逐步深化;规定了国家网信部门统筹协调,电信、公安依法履行安全保护和监督管理的管理体制,有助于进一步强化各部门的资源整合和行动协同;确立或重申了网络安全等级保护、网络产品和服务管理、网络实名、个人信息保护、网络信息和应用管理、关键信息基础设施保护(含国家安全审查、个人信息和重要数据境内存储)、监测预警和应急处置等七大制度,规定了执法协助、危害行为规制、责任追究等三大项行政立法的通用要求(见下图);总体来看,《网络安全法》形成了网络自身保护与网络服务保护相结合,网络技术安全与内容安全相结合,网络生命周期管控与网络供应链条管控相结合,教育、查处和信用惩戒相结合的制度体系。
《网络安全法》的体系架构图
2
把握职能定位
在网络安全监督管理体制方面,《网络安全法》第八条规定国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。目前其他规定网络安全职责问题的“法律、行政法规”主要有《中华人民共和国警察法》、《互联网信息服务管理办法》、《中华人民共和国计算机信息系统安全保护条例》(以下简称《条例》)、《计算机信息网络国际联网安全保护管理办法》(以下简称《办法》)等。《中华人民共和国警察法》、《条例》和《办法》分别明确了公安机关的人民警察主管计算机信息系统安全监察工作、公安部主管全国计算机信息系统安全保护工作、公安部计算机管理监察机构负责计算机信息网络国际联网的安全保护管理工作。综上所述,国家网信部门是网络安全的统筹协调部门,而公安机关是网络安全的法定主管部门,因而《网络安全法》中,除了明确规定由公安机关负责的事项,对于未列明监管部门或者宽泛规定由“有关主管部门”负责的事项,公安机关均应承担监管职责。公安机关应准确把握职能定位,推动各级公安网安部门积极开展《网络安全法》的执法工作。
3
厘清竞合适用
《网络安全法》不少制度、条款、术语与其他网络安全管理相关法律、行政法规、规章存在交叉和不一致,网络安全等级保护、网络实名、个人信息保护、网络信息和应用软件管理、关键信息基础设施保护、执法协助、危害行为规制等七项管理制度须重点进行关联解读和适用理解。
1)网络安全等级保护
《网络安全法》第二十一条、第二十五条规定了等级保护目的在于“保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”,从管理制度、操作规程、安全负责人、防病毒、攻击、侵入、数据保护以及应急处置等方面强化网络安全等级保护义务,并明确了还需落实“法律、行政法规规定的其他义务”,违者根据第五十九条处罚。目前,明确对网络安全等级保护做出规定的行政法规有《条例》第九条“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”并在第二十条规定违反等级保护制度可以警告或者停机整顿的行政处罚。为落实《条例》,公安部会同国家保密局、国家密码管理局、国家信息化领导小组办公室于2007年出台了《信息安全等级保护管理办法》,规定了等级保护的定级、备案、建设、整改、测评等流程以及三级以上信息系统选用安全专用产品和测评机构的要求,在具体的安全管理制度和技术措施方面则指向了推荐性的行业标准。因此,违反《信息安全等级保护管理办法》关于流程方面的强制性规定,则违反了《条例》第九条,可以按照《条例》第二十条处罚。而根据《网络安全法》的规定,《条例》及《信息安全等级保护管理办法》规定的等级保护有关义务属于《网络安全法》第二十一条规定的“法律、行政法规规定的其他义务”,因此,应适用《网络安全法》第五十九条处罚。此外,还有《办法》中规定的安全义务,虽然未列明属于等级保护,但如其属于实体安全、运行安全、数据安全范畴,目的在于“保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”的,也应适用《网络安全法》第五十九条处罚。而根据《办法》制订的《互联网安全保护技术措施规定》(以下简称《规定》)规定的运行安全、数据安全义务,在处罚时应引用《办法》,将《规定》规定的细化要求视为《办法》中有关安全义务的解释,在此基础上运用《网络安全法》实施处罚。
2)网络实名
《网络安全法》第二十四条规定了“网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务”等服务,“应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。”第六十一条规定了处罚。而《中华人民共和国反恐怖主义法》(以下简称《反恐法》)第二十一条规定,“电信、互联网、金融、住宿、长途客运、机动车租赁等业务经营者、服务提供者,应当对客户身份进行查验。对身份不明或者拒绝身份查验的,不得提供服务”,并在第八十六条规定了处罚。《规定》第八条、第九条、第十条则规定了接入服务、互联网数据中心服务单位和联网单位要记录并留存用户注册信息,开办电子公告服务的,具有用户注册信息和发布信息审计功能。综上所述,网络实名的完整要求包括了要求用户提供真实身份信息、真实身份信息的核验、对真实身份信息的留存、不提供则不服务四个方面,分别在《网络安全法》、《反恐法》、《规定》作了要求,对违反者应分别适用相应依据处罚。
3)个人信息保护
《网络安全法》第四十二条规定网络运营者“未经被收集者同意,不得向他人提供个人信息”,而第四十四条规定“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息”,相应的法律责任分别由第六十四条第一款和第二款作了规定,存在竞合之处,前者规定的是特殊主体“网络运营者”,后者是一般主体“任何个人和组织”。对网络运营者的违法行为应依照第六十四条第一款处罚,对其他主体(包括网络运营者内部员工的个人违法行为)则依据依照第六十四条第二款处罚。
4)网络信息和应用软件管理
《网络安全法》第四十七条规定,“网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告”。但在第六十八条第一款仅规定“违反本法第四十七条规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的”给予处罚,并将“向有关主管部门报告”纳入在内。而对违法信息未停止传输、采取消除等措施既包括了未“加强对用户发布的信息的管理”,还包括了“发现”违法信息但未采取措施。此外,《规定》中第九条、第十条明确了互联网信息服务、互联网数据中心服务提供者和联网单位要“在公共信息服务中发现、停止传输违法信息,并保留相关记录”,与《网络安全法》的规定竞合,应适用《网络安全法》。
另外,《网络安全法》第四十八条规定,“电子信息发送服务提供者和应用软件下载服务提供者,应当履行安全管理义务,知道其用户有前款规定行为的,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。”并在第六十八条第二款明确了法律责任,其适用对象是电子信息发送服务提供者(似乎指的是通信网络的短信息)和应用软件下载提供者,将安全义务、处置义务、报告义务全面纳入,适用的行为是发送信息及提供应用软件,而不仅仅是发布信息。
5)关键信息基础设施保护
《网络安全法》第三十八条规定,“除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务”,并在第五十九条第二款规定了处罚。因此,第三十八条对关键信息基础设施运营者的安全义务的规定包含了第三十八条的内容,关键信息基础设施的运营者不履行第三十八条的义务,应按照第五十九条第二款处罚。第三十八条规定“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。”其“检测评估”与《信息安全等级保护管理办法》规定的“等级测评”存在交叉。由于关键信息基础设施保护是“在网络安全等级保护制度的基础上,实行重点保护”,因此,关键信息基础设施的等级测评仍应开展。
6)执法协助
《网络安全法》规定了情况报告机制、技术支持协助、配合监督检查、配合信息处置等执法协助义务,与《反恐法》、《条例》、《办法》存在复杂的竞合关系,须正确理解适用。
(1)情况报告。《网络安全法》第十四条、第二十二条、第二十五条、第四十二条、第四十七条、第四十八条规定了危害网络安全行为举报、网络产品和服务风险报告、网络安全事件报告、个人信息事件报告、违法信息报告、恶意程序报告等制度。第十四条规定,“任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报”。第二十二条规定网络产品、服务“发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”。第二十五条规定网络运营者“在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告”。第四十二条规定网络运营者“在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”。第四十七条规定网络运营者“发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告”。第四十八条规定电子信息发送服务提供者和应用软件下载服务提供者发现其用户发送的电子信息、提供的应用软件,设置恶意程序,或者含有法律、行政法规禁止发布或者传输的信息应“并向有关主管部门报告。”《网络安全法》第五十九条、第六十条、第六十四条、第六十八条规定违反网络产品和服务风险报告、网络安全事件报告、个人信息事件报告、电子信息发送服务提供者和应用软件下载服务提供者对违法信息和恶意程序的报告由有关主管部门处罚。而《条例》第十四条也规定“对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告”,并在第二十条中规定了处罚。因此,对于违反《网络安全法》规定的网络产品和服务风险报告、网络安全事件报告、个人信息事件报告,以及电子信息发送服务提供者和应用软件下载服务提供者的恶意程序和违法信息报告等责任,未向公安机关履行报告义务的,公安机关可以根据《网络安全法》相关条款处罚,对于其他案件包括违法信息的报告,其法律责任仍适用《条例》第二十条。
(2)技术支持协助。《网络安全法》第二十八条规定“网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助”,并在法律责任中规定了由有关主管部门处罚。该条系借鉴《反恐法》第十八条所作的规定。但未明确提到十八条规定的“接术接口和解密”。《反恐法》规定了由主管部门处罚,情节严重的并可以由公安机关处以行政拘留。而《办法》第八条则规定“从事国际联网业务的单位和个人应当接受公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为”,并规定了公安机关对拒不如实提供有关安全保护的信息、资料及数据文件行为的处罚。《规定》第十六条规定“互联网服务提供者依照本规定采取的互联网安全保护技术措施应当具有符合公共安全行业技术标准的联网接口”,并规定了违者适用《办法》予以处罚。具体适用上,如属于防范、调查恐怖活动的情形,适用《反恐法》,如属于其他维护国家安全和侦查犯罪的情形,适用《网络安全法》。如果不属于维护国家安全、侦查犯罪以及防范和调查恐怖活动的情形,未如实提供有关安全保护的信息、资料及数据文件,互联网服务提供者互联网安全保护技术措施未具有符合公共安全行业技术标准的联网接口,则适用《办法》。
(3)配合监督检查。《网络安全法》第六十九条规定了对“拒绝、阻碍有关部门依法实施的监督检查”的行为实施处罚。而《中华人民共和国治安管理处罚法》(以下简称《治安管理处罚法》)第五十条规定了对“阻碍人民警察依法执行职务”的处罚。因此,拒绝公安机关依法实施的网络安全监督检查的,根据《网络安全法》第六十九条第(二)项处罚。阻碍公安机关依法实施的网络安全监督检查的,对“单位”根据《网络安全法》第六十九条第(二)项处罚,对“其直接负责的主管人员和其他直接责任人员”依据《治安管理处罚法》第五十条予以处罚。
(4)配合信息处置。《网络安全法》第五十条规定,“国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录;对来源于中华人民共和国境外的上述信息,应当通知有关机构采取技术措施和其他必要措施阻断传播。”并在第六十九条规定了处罚。而《办法》第十八条规定“公安机关计算机管理监察机构发现含有本办法第五条所列内容的地址、目录或者服务器时,应当通知有关单位关闭或者删除”。《反恐法》第十九条第二款规定“网信、电信、公安、国家安全等主管部门对含有恐怖主义、极端主义内容的信息,应当按照职责分工,及时责令有关单位停止传输、删除相关信息,或者关闭相关网站、关停相关服务。有关单位应当立即执行,并保存相关记录,协助进行调查。对互联网上跨境传输的含有恐怖主义、极端主义内容的信息,电信主管部门应当采取技术措施,阻断传播。”并在第八十四条规定了处罚。因此,不按照公安机关的要求对法律、行政法规禁止发布或者传输的信息,采取停止传输、消除等处置措施的,公安机关可以依照《网络安全法》第六十九条给予处罚。电信业务经营者、互联网服务提供者未落实安全、信息内容监督制度和安全技术防范措施,造成含有恐怖主义、极端主义内容的信息传播,由公安机关依照《反恐法》处罚。至于处置措施,除了停止传输、消除外,还可使用《反恐法》所提到的关闭相关网站、关停相关服务,还有《办法》提到的关闭地址、目录、服务器。
7)危害行为规制
《网络安全法》第二十七条规定了“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具”,并在第六十三条规定了违反第二十七条的行政处罚,其目的是与《刑法》第二百八十五条、第二百八十六条相衔接,但在细节上有所不同,在危害网络安全活动的程序、工具方面,《刑法》列明是“用于侵入、非法控制”。而《网络安全法》列明“用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动”,隐含了“非法控制”这一类。
电子政务网络安全自查报告范文第2篇
一、网站认证的由来
(一)产生背景
1997年,美国政府正式提出了电子商务框架(E-business framework)的概念。Business to Business(BtoB),Business to Customer(BtoC)的电子商务形式,以及Internet Service Provider(ISP),Application Service Provider(ASP)和Certificated Authorities(CA)等服务随之丰富和繁荣起来。同一年,AICPA与CICA联合提出了一项旨在帮助网站浏览者增强对网站的信任,帮助保障隐私,认证网站安全和减低网络商业诈骗风险的新的互联网网站鉴证服务—Webtrust。这项鉴证服务是由持有特许专业执照的注册会计师,按照AICPA和CICA公布的“网站认证”准则与规范(Principles and Criterias)对被审查网站的在线隐私(Online Privacy)、安全性(Security)、有效性(Availability)、商业模式与交易信誉(Business Practices/Transaction Integrity)、认可(Non-repudiation)、保密性(Confidentiality)、CA服务等七方面进行审查和鉴证,对于符合准则与规范的网站,允许其将AICPA或CICA委托Verisign公司管理的“网站认证”徽记以超链接(Hyperlink)方式放置在该网站的主页(首页)上,供浏览网站的顾客点击后,以安全方式查看位于Verisign网站的注册会计师鉴证报告。
网络安全、隐私权和浏览者信任等问题一直是严重阻碍网络经济发展的主要问题。一方面,各网站公司、安全技术机构和微软等的研发中心都在不断的更新完善加密技术,推出一些认证方式,维护网络安全;但另一方面,在开放型的网络世界中,人们不断听到、看到和受到各种网络安全的威胁,因此对于网上交易戒心重重。此外,虚拟的网站使顾客只能通过网页的内容来了解公司而无法知晓公司的规模、诚信、产品和服务的实际状况,更无法确认网站承诺的安全保密条款会否得到不折不扣地执行,而且越是有名的安全技术性认证,越容易引起黑客的攻击兴趣。AICPA和CICA正是看到了这一新兴的市场,利用自身独立、客观、公正的良好第三者形象和专业的技能知识开始介入这一市场,使“网站认证”服务应运而生。
(二)准则内容
也许是受到计算机行业惯例的影响,AICPA在推出其“网站认证准则与规范”时使用了X.0版的模式。其最新的3.0版准则与前期的2.0版和1.0版比较,有了很大的进步,将网站认证的范围扩大到了BtoB、ISP、CA等范围。3.0版准则提供给网站更多的认证选择,以满足其具体的需要。例如提供BtoC服务的网站会对“在线隐私”和“商业模式与交易完整”认证更感兴趣;提供BtoB服务的网站会对“安全”和“认可”认证更感兴趣。以下是3.0版准则的简要介绍:
1.在线隐私。2000年11月30日AICPA制定了“在线隐私”准则与规范3.0版:“网站应该充分地揭示其对在线商务隐私的运作程序,并遵守这些程序,保持对这些程序的有效控制,对在电子商务中产生的私人信息的安全提供合理的保证”。该准则适用于BtoC、ISP和ASP服务。
2.安全性。2001年1月1日,AICPA制定了“安全性”准则与规范3.0版:“网站应揭示、执行和保持其安全保护政策,并对所有接近电子商务系统和数据的人都是通过了安全政策下的授权提供合理的保证”。该项准则适用于BtoB、BtoC、ISP和ASP服务。
3.商业模式与交易信誉。2001年1月1日,AICPA制定了“商业模式与交易完整”准则与规范3.0版:“网站应揭示、执行和保持其既定的商业运作政策,并为商务运作完整、准确和一致的遵循其政策提供合理的保证”。该项准则适用于BtoB、BtoC、ISP和ASP服务。
4.有效性。2001年1月1日,AICPA制定了“有效性”准则与规范3.0版:“网站应揭示、执行和保持其既定的有效性政策,并为电子商务交易的有效性提供合理的保证”。该项准则适用于BtoB、BtoC、ISP和ASP服务。
除上述准则外,“网站认证”的其他准则与规范与以前旧版模式内容没有太大变化。
(三)发展现状
根据AICPA网站2001年5月的消息,目前共有17个国家和地区的注册会计师协会获准其会员提供网站认证鉴证服务,其中包括香港会计师公会(HKSA)。但是,获得网站认证徽记的网站不足40家。台湾学者的相关研究认为,网站认证发展受阻的主要原因是:1.公众对注册会计师的网站认证鉴证服务还很不熟悉。2.网站认证的收费较高,对于很多网站来说不具成本效益。3.消费者是因为对网站感兴趣才进入该网站。4.注册会计师不善于进行网站认证营销。可见,网站认证还处于起步阶段,需要注册会计师们的大力推广,不断更新。
二、网站认证的特点
由于网络的虚拟特性,信息、证据的痕迹不能直接观察,网络技术环境更新迅速以及网站信誉鉴证有特殊目的等原因,使得这一鉴证服务有别于传统审计业务,具有许多新的特点。
(一)目标和审点。
网站认证不是以网站的财务状况、经营业绩为审查的中心目标,而是以网站的安全性、信息的管理保护等为审查对象,以评价这些内容是否符合有关准则与规范为目标进行的鉴证服务。这一目标的变化,直接导致了鉴证的各要素和鉴证方法的变化。因此,可以说网站认证是一种全新的审计概念。
我们认为,网站认证仍然是一种审计活动,而不是其他的管理咨询等非审计业务。美国会计学会(AAA)对审计的定义是“为确定关于经济行为及经济现象的结论和所制定的标准之间的一致程度,而对这种结论有关的证据进行收集、评定,并将结果传达给利害关系人的有组织的过程。”可见,现代审计的概念早已经拓宽到管理审计、经济效益审计等多方面。“网站认证”作为现代审计的新分支,是网络经济的产物,是在注 册会计师对网站进行审计时,结合客观现实的需要应运而生的。从审计的本质上讲,网站认证是对虚拟网站向客户提供BtoB、BtoC商务模式以及ISP、ASP、CA等经济活动是否符合有关规范所进行的评价与鉴证。
(二)审计职能
一般认为,审计具有监督、评价、鉴证职能。网站认证的评价职能是显而易见的,注册会计师对网站的营运方式分析、系统的安全测试、数据资料的管理维护抽样调查等都是为了要评价网站的安全性、有效性、合规性。虽然说评价的内容有所变化,但评价职能本身是没有改变的。网站认证的鉴证职能是其本身目标的直接体现,正是因为有了鉴证职能,网站浏览者和客户才会加强对网站的信任感,才能实现电子商务剂的功能。“网站认证”由于是注册会计师接受网站本身的委托对其进行的审查活动,除对网站内部人员有一定监督作用外,监督职能因此并不突出。
(三)审计的主体、客体和对象
虽然网站认证依然是由注册会计师进行的,但是它对注册会计师提出了更高的要求。首先,注册会计师必须有特殊的专业执照才能进行这项业务,这不同于管理审计、管理咨询等业务。其次,注册会计师必须充分考虑是否需要其他专家的协助,而这往往是必不可少的,就犹如人寿保险审计,需要有精算师的配合与协助一样。最后,网站认证徽记是由Verisign网站提供和管理。所以网站认证审计的主体已经不再像传统审计那样单纯了。
网站认证的客体是网站。由于这一客体与传统的公司、组织有显著不同,因此“网站认证”审计也显得与众不同。网站公司往往实体业务很简单,更多更主要的经济活动是发生在虚拟的网络世界中,对这样的客体进行审计必须选择与之相适应的手段和方法。
网站认证的对象是网站的系统安全模式、网站的经济活动程序等等,这与传统的审计大不一样。
(四)审计风险
一方面,网站认证报告的对象是不确定的所有网站服务使用者,不局限于审计委托人;另一方面,网络的变化迅速,使用“网站认证”鉴证报告的浏览者得到的是根据以前信息做出的安全认证,这对于网络世界来说是明显滞后的。所以,注册会计师的风险很大,必须在认证报告中加入适当的说明,以明确责任。
(五)审计方法、手段和报告方式
综上所述,我们知道网站认证的目标、客体和对象与传统审计相比较有了很大变化,因此在审计手段和方法上也有相应的变化。
首先,网站认证的审计程序是:评价委托风险?接受委托并获得管理当局声明书?系统管理控制评价?符合测试、实质测试?完成审计工作,提出管理建议书,要求进行改进以达到标准?出具报告,申请给与网站认证徽记每3个月进行复核测试。其中的最后一个步骤就是传统审计所没有的,是适应网络经济飞速发展的客观需要而采取的一项重要内容。而且,网站认证中管理当局声明书的内容较传统审计有很大不同,管理当局被要求对其管理网站的各项安全保密政策以及其他要求注册会计师审计的方面的政策和执行情况进行揭示与责任说明。网站认证中的管理当局声明书相当于传统审计中的会计报表加管理当局声明书,这与传统审计有所区别。
其次,许多审计测试都必须通过计算机进行,不存在绕过计算机审计的方法。例如,在进行客户登录是否有安全保护,是否只能进入授权级别的内容,交易是否是在安全模式下进行等测试只能在网络上进行,相关的审计证据也是以电子方式存在,这是网站认证审计的一大特点。
第三,网站认证的委托人(审计报告的对象)与传统的报表审计不同。一般来说,“网站认证”是由网站管理当局委托注册会计师进行的,审计报告的对象是网站的管理当局,这是与目前的网站认证报告的使用目的相关的。网站所有者并不需要网站认证来证明网站的安全,因为这只是经营者提高业绩而进行的努力,所以网站认证的委托人大都是网站的管理当局。
最后,网站认证的报告方式别具一格。网站认证报告是通过被审计网站主页上的一个超链接图标与Verisign网站的相关报告链接,浏览者点击该图标就可以看到注册会计师的审计报告。这种审计报告是网站通过了何种认证标准的报告,不存在传统概念下的保留意见、否定意见或拒绝表示意见报告。以下是一份根据网站认证3.0版“安全性”准则与规范书写的报告范例:
独立审计师报告
兴隆公司管理当局:
我们已经审查了贵公司2000年1月1日到2000年12月31日的管理声明书(链接到管理声明书),声明包括揭示了所有重要的电子商务安全政策,并遵循了这些政策,且对只有获得授权的人才能在上述安全政策下接近电子商务系统和数据保持了有效的控制。我们的审查是根据美国注册会计师协会“网站认证”安全性准则进行的(可链接到安全性准则)。执行程序、揭示政策、遵循和控制是兴隆公司管理当局的责任。我们的责任是根据我们的审查发表审计意见。
我们的审计程序是按照美国注册会计师协会的标准执行的,这些审计程序包括:(1)获得和了解兴隆公司揭示的安全政策和相关安全控制程序,(2)测试这些安全政策的执行遵守情况,(3)测试和评价安全控制执行的有效性,(4)其它我们认为必要的审计程序。我们认为我们的审查为我们的审计意见提供了合理的基础。
我们认为,兴隆公司的上述管理声明书,依据美国注册会计师协会“网站认证”安全标准,在所有重要方面都进行了公允地表达。
由于控制内在的限制,一些错误和舞弊可能存在而没有被检查出来。并且,基于我们的发现而得出的结论,在未来的期间,存在这些结论不适用的风险,因为:(1)安全系统和控制可能改变,(2)执行环境的变化,(3)时间流逝带来的变化,(4)对安全政策和程序的遵循可能懈怠。
在兴隆公司网站上的网站认证徽记是本报告内容的一种符号表示,它不是对本报告的更新,也不代表任何更进一步的保证。
埃得华会计师事务所
弗内斯特·埃得华 注册会计师
华盛顿特区
2001年2月1日
三、中国注册会计师应如何面对网站认证
网站认证审计在我国还是个新鲜的事物。如何发展我国注册会计师的网站认证业务呢?笔者认为,我国注册会计师行业的建设随着时间与经验的积累,水平在逐渐提高。但由于种种原因,社会大众对我们注册会计师这个行业的信任度还不是很高。这是我国注册会计师拓展网络鉴证服务市场的主要阻碍。要克服这些障碍,我们仍有许多方面的工作必须加以努力。具体来讲:
1.有必要建立一部管理电子商务的基本法。没有法律的保护,任何行业的自律,任何第三方的证明,都不能使消费者和客户真正的放心。如果消费者权益没有明确的法律保护,那么电子商务将是一件风险很高的商业行为,更何况是网站认证。
2.中国注册会计师协会应该为网站认证或网站审计制定标准,提供资格认证。每一个行业都有自身的特点,虽然我们没必要为每一个行业制定特殊的审计准则,但是对于个别重要或特殊的行业还是应该根据实际情况,进行相应的处理。我们完全可以参考金融保险 企业审计那样,为网站认证或网站审计规定新的游戏规则。
电子政务网络安全自查报告范文第3篇
根据区委、区政府及区纪委关于电子政务和电子监察工作的要求,依托现有电子政务基础设施,结合工作实际,构建功能相对完善、安全可靠的电子政务和电子监察基础平台;完善外网门户网站在线服务和互动功能,基本建立信息资源共享和政务信息公开机制。
二、主要工作任务
(一)大力推进政务信息公开,进一步提高办公效率。
一是继续加强网站建设,进一步规范栏目,简化办事程序,开辟项目申报的快捷通道。注重网站信息的及时更新,做到信息服务更加及时丰富有效;二是及时查看公文信息交换系统,确保网上公文交换正常和公文签收及时;三是积极探索网上专业应用工作。进一步加强本系统内部办公系统建设。
(二)加强行政权利网上公开,促进网上监察工作有序开展
严格执行区政府《政府信息公开条例》,加强对本单位的行政权力公开,对机关工作,服务态度,廉政信息、行政执法等工作实施信息监察,并定期进行自查,采取相关措施改进有关工作。做好各类主动公开信息的加载及各类依申请公开信息的答复工作,做到及时、准确、便民。
(三)、加强安全保密工作,确保计算机信息安全。
一是严格遵守《计算机信息系统保密管理暂行规定》,继续完善网络与信息安全保密责任制;二是继续完善上网信息审查、监管、责任制,严格控制信息传输范围,不允许信息在网络传播;三是落实网络病毒防范措施,对已安装的隔离卡进行定期检查维护;四是要定期清杀计算机病毒,进行网络维护;五是进一步健全安全责任事件报告制。
(四)、加强宣传工作,提高网络运用水平
一是加强宣传工作,充分发挥网络宣传功能,并通过文件交换系统这一渠道积极向上级和有关部门报送信息180条以上;二是对全体工作人员开展一次网络技术及安全保密教育活动,提高网络运用水平;三是积极参加网管部门组织的培训,提高网络技术水平,从人才上保证网络建设健康发展。
三、保障措施
(一)加强领导,完善机制。
根据区委区政府及区纪委关于电子政务和电子监察工作的有关要求,成立以同志为组长,同志为副组长,等为成员的电子政务和电子监察工作领导小组,明确分管领导和责任处室,落实工作人员,统筹规划、统一部署、协调推进,保障电子政务工作健康稳定的发展。
(二)抓好落实、推进工作。
重点抓好制度的落实和完善工作,制定网络安全、计算机使用等管理制度,通过抓制度的落实和完善,促进工作制度化、规范化,形成健全的电子政务管理机制。
电子政务网络安全自查报告范文第4篇
电子商务措手不及
3月2日,美国商业部发布了第一份官方关于国内电子商务的报告。报告显示仅99年第四季度,美国的网上零售额达到53亿美元,占第四季全部零售额的0.6%。这是美国政府的第一份网络零售报告,显示了美国政府终于认识到并承认了电子商务的重要性,也由此可见电子商务对美国经济已经产生了不可估量的影响。很多经济学家预测在未来几年,电子商务将成为美国经济的排头兵。
快捷方便的国际网络迅速改变了美国人的正常生活,特别在购物和投资等和商务有关的方面。但是黑客的横行已经成为电子商务的隐患。事实上,在2月份之前,很多网站都遭不同程度的入侵,只是因怕影响消费者的信心而不敢声张。2月份被袭击的都是已成规模的世界知名网站,所以才引起了大规范围的重视。
网络安全专家认为很多快速成长的商业网站把过多的精力集中到如何发展上,而忽视了足够的安全保护措施,使得网站没有充分准备好对付类似的进攻,所以一旦被袭便不堪一击。这次网站被袭的强度和密度是少见的,它已造成国际网络历史上最大规模的系统崩溃。人们意识到,如果黑客能够把价值930亿美元的雅虎这个号称世界上最大的同时也可算是最成熟的电子商店关掉数小时,那么没有一个网站是安全的。
攻击事件使商业网站蒙受巨大损失。这些在远程发起的攻击行动有效地瘫痪了那些原本看上去朝气蓬勃的虚拟店面。网站持续多小时无法进入,不仅妨碍了顾客购物,影响了销售量,而且也影响了网站的广告收入,因为网站点击率大幅度降低了。据初步统计,雅虎在关闭的三个小时中在广告和销售方面损失了50万美元。
一旦网站被袭,不管时间长短,公司少则损失数十万,多则高达百万。比如去年夏天,电子湾遭入侵而被迫关闭了22小时,公司在销售上损失了500万美元,同时股票损失了40亿。根据99年的统计资料,全世界在一年中因黑客入侵而造成的损失达200亿美元。
2月份持续几天的攻击也造成了各大网站120亿美元的损失。股票市场也因此起伏不定,比如2月9日中午的纳斯达(也叫自动报价)指数,亚马逊、电子湾和雅虎分别下跌了1.88%、6.5%和12.5%。炙手可热的电子商务被彻底地迎面浇了一盆凉水。
消费者信心大减
电子商务虽然正成为美国乃至全世界新经济的新动力,但此次的网站被袭却显示了其结构的脆弱无比。尽管这次没有涉及到数据资料的泄露,但人们发现他们原以为保密度很高的网络其实只是徒有虚名。任何商业机密、市场数据、顾客个人材料对黑客们来说都如囊中探物一样容易获得。
美国的网络购物之所以发展得如此红红火火,其中原因虽然包括众网络商家提供各种传统零售业没有的优惠措施,但最主要的还是因为网络购物的简单方便省事。人们只需舒心地坐在电脑前,打开各种商业站点,选中满意物品之后,填上自己的信用卡资料和家中地址便可坐等邮差把东西送上门来。在美国,任何人只要得到别人的信用卡号码和信用卡到期的日期,即使没有持卡,也可以用信用卡进行消费。最近几年来盗用别人信用卡号码消费的事情屡见不鲜。所以此次商业网站被袭令那些经常上网购物的消费者倒吸了一口冷气。转贴于
根据美国盖洛普调查公司的最新调查发现,10个接受调查人中有七个表示他们非常关注网站被袭事件,三分之一经常上网购物的消费者因而对网络购物失去了信心,表示以后会较少采用网上购物。网站被袭不仅对电子商务敲响了警钟,也使消费者对网络安全问题的认识提高到了一个新层次。原来人们关心的网络问题比如对孩子的上网监控、贫富之间产生的“网络隔阂”现在都已经被网络安全所取代,认为网络安全在网络问题中占首要位置。
网站被袭不仅有损公司声誉,而且不可避免将失掉很多潜在的顾客,如果再造成商业资料和顾客资料遭窃,那对新兴的电子商务将是致命的打击。正是为了避免已成气候的电子商务市场产生混乱,也正是害怕支撑美国经济的股票市场摇晃得太厉害,美国政府这次已下定决心要追查到底。
政府可能采取严厉措施
这些高科技犯罪都是群体性的,而且扩张到国际性范围内,其性质跟国际恐怖主义类似。美国政府已把这种行为定位为非常严重的犯罪行为。克林顿于2月15日召见业界主管和技术专家,共商网络安全战略,并提议设立全国电脑安全中心,让网络业者和电子商务公司携手合作,共同防范未来可能的攻击行动。
有消息说美国政府要制定更严厉的法律来对付网络犯罪。设想一下,如果有人胆敢连续几天袭击商业区中的数家商店,他早已锒铛入狱。而同类事件发生在网络上,肇事者不仅至今逍遥法外,就算抓住了,现有法律也只能轻判。
电子政务网络安全自查报告范文第5篇
我国电子商务相比于美国等发达国家起步较晚,但随着电子商务的逐步发展和各项有利措施的不断出台,我国网上交易已经快速发展壮大起来。虽然电子商务在我国的发展前景乐观,但目前其发展还不够完善和成熟。相比于美国等发达国家,我国的电子商务还存在一些亟待解决的问题,诸如安全、政策法规、观念、服务竞争、交易成本等。本文就这些问题提出了一些相应对策,对这些问题的逐步解决和我国电子商务必将走上健康的发展之路有着重要的现实意义。
目前看来,有关电子商务(electroniccommerce,简称ec)的物理网络和其他基础设施已基本具备,在中国发展电子商务的时机正在到来。可以预期,已经延续了几千年的传统的贸易方式和经济活动方式,都将在21世纪最初10年发生革命性的改变。
中国发展电子商务的7大障碍
目前,中国的网上书店、网上商城已开始营运,但要大规模地推行电子商务,至少在以下7个方面还存在障碍。
1、购物观念和方式陈旧
在中国,传统的购物习惯使“眼看、手摸、耳听、口尝”,公众普遍感到网上购物不直观、不安全。据最新调查,86%的人表示不会以任何形式进行网上金融交易,88%的人表示不打算在网上购物。
2、缺乏电子商务的商业大环境
目前,中国的商业活动基本上仍是手工作业,公众对商家的交易频率高但每笔交易额都很小,好像没有必要在网上交易。
3、网络基础设施不够完备
电子商务的基础是商业电子化和金融电子化。目前,全国性的金融网还未形成,金融业自身的电子化还未实现,商业电子化又落后于金融电子化,制约了电子商务的生存、发展空间。
4、互联网的质量有待提高
推广电子商务的技术障碍主要表现于网络传输速度和可靠性上。现行的中国互联网的传输速度很低,常常出现网络拥塞现象,同时还存在多种不可靠因素,包括软件、线路、系统的不可靠。
5、网上安全和保密亟待完善
在网上进行电子商务的询价、成交、签约,涉及许多商业秘密和公众隐私。1998年初,有人利用在新闻组中查找到的普通技术手段,轻易地从多个商业站点窃取到了80000多个信用卡账号和密码。
6、管理体制和运行机制不顺
现行的信息产业管理体制存在着严重的计划经济烙印,过度集中和垄断制约了市场竞争,有碍电子商务在全社会的推广应用。资费过高仍然是广大公众享有电子商务的拦路虎。
开题报告范文 ·英语开题报告范文 ·论文开题报告格式 ·会计开题报告
7、公众缺乏电子商务的知识和技能
我国是发展中国家,多数公众文化素质不高。现代通信和网络技术日新月异,多数公众难以跟上知识和技术的发展步伐。
中国政府可采取的7项对策
政府在推动电子商务中扮演着重要的、不可替代的角色。当前,我国政府应正确引导电子商务的发展,在指导思想上不要“一窝蜂”、“一刀切”,而要因地制宜、因事制宜、因时制宜,发达地区可以先行一步,欠发达地区则适时跟进。要注重实效,避免大起大落,造成国家和社会资源的浪费。
为此,建议在以下7个方面采取对策:
1、建立“中国ec促进委员会”
为了引导全社会的电子商务活动健康、有序地发展,需要一个有代表性、有权威性的协调机构,建立有主管副总理直接领导的包括政府、企业、消费者社团各方面人士组成的“中国ec促进委员会”及其办事机构,负责电子商务的业务、技术、政策、法律和国际合作等总体框架的协调和规划的制定。
2、创造良好的电子商务支撑环境
以企业信息化和金融电子化为突破口,让有条件的企业和专业银行在国家经贸委和人民银行的支持下,完善内部的支撑条件。在国家宏观层次上,信息产业部和国家信息化办公室要继续建设电子商务的政策、法规、法律、标准、规范等法治环境,特别是要保证网上交易的安全性和可靠性。
3、运行网上安全认证体系
实施电子商务必须以网上安全支付为前提,建立安全认证(ca)机制及系统十分必要。ca应包括加密、验证、授权、抗否认、自动撤消检查等基本功能,保障在网络中交易的各方具有平等的安全地位。ca应由国家授权的权威机构担任,推动电子商务在法治化的安全、有序环境中运行。
4、有重点地开展电子商务试点工作
目前,中国的发达地区对推动电子商务的积极性很高,北京、广东、上海等信息化先导省市已经迈出了电子商务的第一步。主管部门要经常跟踪这些地区的电子商务活动,努力发掘经验,以供后走一步的城市和地区参考和借鉴。
5、有选择性地开展电子商务的科技预测和攻关
电子商务在全球的发展方兴未艾,许多新构想、新技术、新装备和新方案层出不穷。中国有限的科技力量和财力资源必须在充分论证和预测的基础上,选择有限目标,集中优势,组织科技攻关。国家863计划及国家创新计划应明确列入相应的课题,努力把电子商务的基础技术、关键技术掌握在本国科技人员手中,形成自主知识产权。
6、鼓励在电子商务领域开展国际合作
美国、欧洲等发达国家在电子商务活动中,已在btob(企业对企业)和btoc(企业对消费者)电子商务方面有一些比较成功的案例,可供借鉴。中国企业的电子商务尚处于起步阶段,政府可鼓励国内企业与有诚意的国际机构和跨国公司开展互利的双边或多边合作。