審計在云端面對的挑戰主要集中在以下三個方面即數據安全的挑戰、持續高效提供云服務的挑戰以及人員勝任能力的挑戰。
  (一)數據安全挑戰及對策。云計算自誕生以來其安全問題就廣受關注,而數據作為大數據時代具有產權乃至主權屬性的特殊資源,其安全性更是受到廣泛的關注。在云安全聯盟(CSA)發布的《2013云計算9大威脅》報告中,除了提到數據破壞和數據丟失這兩個典型的數據安全問題外,還提到賬戶劫持、不安全的API、惡意的內部人員、濫用與惡意使用和審查不足等5種會對數據安全造成威脅的方式[3]。事實上,集合海量數據的大型數據中心對黑客頗具誘惑性,早已成為其發動攻擊的新目標。2011年3月,谷歌郵箱就爆發大規模的用戶數據泄漏事件,大約有15萬Gmail用戶受到影響。審計機關因其工作特性會掌握部分被審企業的財務業務數據及國家政府機構數據,這些數據往往具有敏感性甚至是涉密數據,因此審計在云端要特別重視數據安全。
  如果數據是存放在私有云之外的云端,那么就無從知曉數據的現存地點(服務器或存儲設備)和曾經存放的地點[4],而這既不利于數據管理更不利于數據安全,為此審計機關更適宜于建設審計私有云。建設使用云平臺的審計機關在維護數據安全方面應做到:制定云計算使用政策,明確界定可適用于云計算解決方案的業務流程和數據分類標準(按照法律要求根據數據密級及敏感性進行分類);制定嚴格的授權政策和數據傳輸規定,根據授權級別明確授權人能夠使用的數據范圍、能夠得到的云服務,明確數據傳輸方式和使用人的責任義務;在云平臺數據中心部署信息安全硬件設備和軟件,在客戶端使用基于真隨機數等方式的身份認證裝置;制定緊急情況應急響應方案并定期進行數據備份,在發生數據破壞或數據丟失的情況時將危害降低到最低程度;定期對云平臺的系統安全性進行檢查;當云服務外包建設運維時,還應明確服務商與審計機關之間的責任和義務,并建立云計算安全審計制度,以便對服務商進行安全評估。
  (二)持續高效提供云服務的挑戰及對策。能否持續高效的提供云服務取決于兩個方面,即能否保證云平臺的穩定運行和能否借助高帶寬通信網絡進行有效地數據傳輸。后者主要取決于我國的網絡環境,目前而言我國的平均接入網速差強人意。Akamai Technologies公司發布的《2012年3季度全球互聯網流量報告》 顯示我國網絡平均接入速度1.6Mbps,低于全球2.8Mbps的平均水平,排名第94位。在這方面,審計機關除加大投入租用電信運營商高帶寬線路外,只能寄希望于我國網絡環境的改善。
  云服務中止早已不是新鮮事,2011年4月,由于EC2業務的漏洞和缺陷,亞馬遜公司爆出了云計算數據中心宕機事件。今年,蘋果公司iCloud也再次爆出故障問題,給全球范圍的用戶造成影響。事實上,故障是一種可能發生于任何計算環境下的風險事件,要保持云平臺的穩定運行降低故障造成的影響應從以下方面入手:一是建立后備云服務并制定故障切換策略,以便發生意外之后能夠將備份數據迅速地部署到后備云服務上。二是對系統可用狀態(數據中心環境、服務器內存使用、網絡入侵、病毒等)進行實時監控,確保能夠及時發現問題。三是確保緊急情況應急響應方案的有效性,當發生網絡攻擊、宕機等突發事件時能做出及時、充分的響應。
  (三)人員勝任能力的挑戰及對策。審計在云端對審計人員提出了新的要求。一是在技術層面對從事信息化技術工作的審計人員提出了新的挑戰,表現為要求相應人員熟悉了解云計算的基本知識、熟悉了解云服務的內容和方式,既能夠利用審計云服務開展審計工作又能對被審計單位的云數據和云服務開展審計。對于獨自建設云平臺的審計機關技術人員來說還必須了解云計算的核心技術,包括集群與負載均衡技術、虛擬化技術、分布式數據存儲技術、分布式計算技術、服務管理技術和云計算數據中心建設方案等。二是在管理層面對從事信息化管理工作的審計人員提出了新的挑戰,相關人員要擬定并執行云計算使用政策、授權政策、數據分類原則、云審計方案等制度。對于將審計云服務外包的審計機關信息化管理人員來說,還必須參與擬訂與云服務提供商之間的服務協議以明確彼此間的權責,并在云服務運行的過程中保持對云服務供應商的有效管理以保證云服務的持續有效運行。三是對審計人員和運維人員職業道德提出的挑戰。審計在云端,意味著審計人員和運維人員可以掌握更多的數據資源,當數據資源可以為個人帶來利益的時候就可能引發數據的濫用或惡意使用,無論是借此牟利還是擅自向外披露敏感數據都會給審計機關帶來嚴重負面影響。為有效提高人員勝任能力一方面應加強對現有人員的技術能力培訓、管理技能培訓和職業道德教育,并為他們提供技術交流的機會和平臺;另一方面應加強云計算相關技術人才和管理人才的引進力度。

掃一掃微信,*9時間獲取2014年國際內審師考試報名時間和考試時間提醒
 高頓網校特別提醒:已經報名2014年國際內審師考試的考生可按照復習計劃有效進行!另外,高頓網校2014年內部審計師課程通過針對性地講解、訓練、答疑、模考,對學習過程進行全程跟蹤、分析、指導,可以幫助考生全面提升備考效果。
 
  報考指南: 2014年內部審計師考試報考指南 
  考前沖刺:內部審計師考試試題   考試輔導