信息化觀察網(wǎng)

隨著科技技術(shù)的發(fā)展和創(chuàng)新，云計算服務(wù)對于大多數(shù)行業(yè)，已經(jīng)不是一個初次見面的詞匯，使用云服務(wù)已成為了資本市場的主要戰(zhàn)略，搭載云平臺進(jìn)行業(yè)務(wù)完善和內(nèi)部管理也成為了各企業(yè)的優(yōu)先發(fā)展事項。近幾年，各大互聯(lián)網(wǎng)廠商紛紛躋身進(jìn)入了云服務(wù)市場，領(lǐng)域間的競爭逐漸升溫，云上的服務(wù)形式也逐日完善。與此同時，依托于“互聯(lián)網(wǎng)+”的時代背景以及國家大數(shù)據(jù)戰(zhàn)略的敲定，大數(shù)據(jù)生態(tài)體系的日益形成，也為云市場的發(fā)展奠定的基礎(chǔ)。

我們經(jīng)常說的云計算，是一種基于因特網(wǎng)的超級計算模式，在遠(yuǎn)程數(shù)據(jù)中，成千上萬的電腦和服務(wù)器組建成了用戶所見到的“云”。也是基于極高的硬件配置，云計算服務(wù)可以通過網(wǎng)絡(luò)，為用戶提供按需、易擴(kuò)展的資源，讓用戶體會到每秒十萬億次的運(yùn)算能力。從用戶的角度出發(fā)，云上的資源是可以無限拓展的，并且可以隨時隨地的獲取。

云計算技術(shù)因其低成本，可擴(kuò)展性和高可用性而流行起來，這將數(shù)據(jù)的存儲及處理從所有者轉(zhuǎn)移到云服務(wù)供應(yīng)商，而如何審計云服務(wù)供應(yīng)商的安全管理是否滿足公司內(nèi)控及合規(guī)監(jiān)管的要求給企業(yè)的信息系統(tǒng)內(nèi)部審計工作帶來了新的挑戰(zhàn)，客戶及數(shù)據(jù)所有者的安全性和數(shù)據(jù)隱私保護(hù)的需求尤為迫切。本文闡述了基于云計算的信息系統(tǒng)審計的實施框架及實施流程分析。

1、云計算服務(wù)模式的基礎(chǔ)架構(gòu)

云計算的架構(gòu)分為三層即基礎(chǔ)設(shè)施架構(gòu)，平臺以及軟件層。因此，云計算以三種不同的服務(wù)模型提供，每種模型都滿足一組獨特的業(yè)務(wù)需求。這三種模型分別稱為軟件即服務(wù)（SaaS，Software as a Service），平臺即服務(wù)（PaaS，Platform as a Service）和基礎(chǔ)架構(gòu)即服務(wù)（IaaS，Infrastructure as a Service）。顧名思義，軟件及服務(wù)是將應(yīng)用作為服務(wù)提供給客戶；平臺即服務(wù)是將開發(fā)平臺作為服務(wù)提供給客戶；基礎(chǔ)設(shè)施即服務(wù)，是將虛擬機(jī)或其他資源作為服務(wù)提供給客戶。

1、軟件即服務(wù)(SaaS)

在這種云服務(wù)模型中，云提供商負(fù)責(zé)管理應(yīng)用程序環(huán)境的所有方面，如虛擬機(jī)、網(wǎng)絡(luò)資源、數(shù)據(jù)存儲和應(yīng)用程序。云租戶只需向由云提供商管理的應(yīng)用程序提供數(shù)據(jù)。用戶只要接上網(wǎng)絡(luò)，即可以通過瀏覽器，直接使用云端運(yùn)行的應(yīng)用，而不需要考慮安裝等問題。例如，Office 365提供在云中運(yùn)行的Office的完全可用版本。你只需創(chuàng)建內(nèi)容，Office 365會處理其他所有事項。SaaS供應(yīng)商需要提供一定的安全機(jī)制，來保護(hù)用戶儲存于云端以及使用客戶端所產(chǎn)生的數(shù)據(jù)。

2、平臺即服務(wù)(PaaS)

這種云服務(wù)模型是一種托管主機(jī)環(huán)境。云提供商負(fù)責(zé)管理虛擬機(jī)和網(wǎng)絡(luò)資源，云租戶將其應(yīng)用程序部署到托管主機(jī)環(huán)境中。例如，Azure應(yīng)用服務(wù)提供托管的主機(jī)環(huán)境，開發(fā)人員可在其中上傳其Web應(yīng)用程序而無需擔(dān)心物理硬件和軟件要求。通過Pass的服務(wù)模式，無論是在部署或者運(yùn)行的時候，用戶都無需為服務(wù)器，操作系統(tǒng)，網(wǎng)絡(luò)以及存儲等資源管理操心，PaaS供應(yīng)商都會為其處理這些瑣碎事項。

3、基礎(chǔ)結(jié)構(gòu)即服務(wù)(IaaS)

這種云服務(wù)模型最接近于管理物理服務(wù)器。云提供商將保持硬件是最新的，而操作系統(tǒng)維護(hù)和網(wǎng)絡(luò)配置則需要云租戶完成。例如，Azure虛擬機(jī)是在Microsoft數(shù)據(jù)中心中運(yùn)行的完全可操作的虛擬計算設(shè)備。這種云服務(wù)模型的優(yōu)點是快速部署新的計算設(shè)備。設(shè)置新虛擬機(jī)比采購、安裝和配置物理服務(wù)器快得多?；A(chǔ)設(shè)備的滾利由IaaS供應(yīng)商來管理，會讓用戶有更多的時間精力以及更小的成本來進(jìn)行基礎(chǔ)設(shè)施運(yùn)營。

雖在云計算層面上，這三種服務(wù)呈現(xiàn)一種繼承式的分布，但實則在技術(shù)上與繼承關(guān)系還是有極大不同的，簡而言之，SaaS可以架構(gòu)于PaaS服務(wù)之上，或直接架構(gòu)于IaaS上；同樣，PaaS可以直接建立于IaaS上，也可以直接架構(gòu)于用戶自身的物理資源之上。

4、公有云，私有云及混合云

在談?wù)撏耆N不同的云計算服務(wù)后，此部分將對云計算的形式進(jìn)行一些簡單的說明。云計算的形式主要分為三種，公有云，私有云和混合云。其中，公有云是為廣大用戶，個人及企業(yè)提供的云基礎(chǔ)設(shè)施，用戶可以通過購買云服務(wù)器，數(shù)據(jù)儲存和其他云相關(guān)的服務(wù)等公有云服務(wù)來訪問這些服務(wù)器。而私有云則為企業(yè)或組織提供專用的云環(huán)境，可以由企業(yè)或組織內(nèi)部的IT團(tuán)隊在該組織的防火墻后進(jìn)行內(nèi)部操作，定義資源，進(jìn)行網(wǎng)絡(luò)維護(hù)。而混合云也是一種新型的云計算模型，集合了一個或者多個公有云及私有云環(huán)境，將本地基礎(chǔ)架構(gòu)和私有云及公有云相結(jié)合，利用兩者的優(yōu)勢，提供靈活性及多樣化部署的能力。

用戶可以根據(jù)其不同的需求，選擇不同的云計算服務(wù)，解決企業(yè)面臨的問題并滿足需求。

2、基于云計算的信息系統(tǒng)審計實施框架的構(gòu)建及實施流程分析

正如上文所說，云計算成為了金融市場中不可或缺的條件，審計也應(yīng)當(dāng)順應(yīng)時代的趨勢，采取先進(jìn)的信息技術(shù)手段，有效地實現(xiàn)審計資源的合理化配置和使用，針對云計算服務(wù)建立信息系統(tǒng)審計框架，以實現(xiàn)審計目標(biāo)。

從內(nèi)審的角度，云服務(wù)從采購到服務(wù)退出都應(yīng)納入審計范圍內(nèi)，其中整個流程涵蓋了云服務(wù)采購過程，云平臺開發(fā)測試與交付，云計算平臺的遷移與部署，云平臺的安全管理及安全運(yùn)維，云服務(wù)的退出及數(shù)據(jù)移除這五個步驟。

1）云服務(wù)采購過程

采購過程在內(nèi)審的角度出發(fā)，主要分為兩類，需求評估及供應(yīng)商的選擇。

在需求評估階段，企業(yè)應(yīng)根據(jù)公司業(yè)務(wù)需求或組織架構(gòu)需求，并考慮到公司本身長遠(yuǎn)戰(zhàn)略規(guī)劃，對需求進(jìn)行記錄并評估需求。在供應(yīng)商選擇過程中，應(yīng)考慮到質(zhì)量，成本，交付與服務(wù)并重的原則。

具體實施流程如下：

云服務(wù)的需求評估范圍應(yīng)囊括對于成本評估，功能性需求評估，安全性評估，適用性評估。其中成本評估應(yīng)建立在公司成本及云服務(wù)平臺產(chǎn)生效益出發(fā)，結(jié)合市面上的云平臺的大致價格及效益，進(jìn)行需求描述；功能性評估應(yīng)從企業(yè)自身對云服務(wù)的需求進(jìn)行描述及評估，如大量數(shù)據(jù)儲存，及時預(yù)警，OA模塊等實用性因素，對各功能進(jìn)行優(yōu)先級排序；安全性評估應(yīng)結(jié)合公司內(nèi)部網(wǎng)絡(luò)安全及數(shù)據(jù)安全要求，對此類需求進(jìn)行定性，并對可能存在的各類安全風(fēng)險進(jìn)行評估；最后的適用性評估則應(yīng)結(jié)合公司內(nèi)部各項系統(tǒng)及基礎(chǔ)架構(gòu)，對主要系統(tǒng)或目標(biāo)系統(tǒng)進(jìn)行“上什么云”的適用性需求評估，如是否有系統(tǒng)是否過于老舊，無法進(jìn)行上云，或某些系統(tǒng)非自開發(fā)系統(tǒng)，對上云有一些定制化要求。

在上文所提到的，供應(yīng)商選擇的四要素（質(zhì)量，成本，交付與服務(wù)）中，質(zhì)量因素是最重要的，首確認(rèn)供應(yīng)商是否具有提供符合公司需求內(nèi)容的產(chǎn)品，并且產(chǎn)品經(jīng)過了較為嚴(yán)格的云服務(wù)質(zhì)量檢測。其次是成本與價格，應(yīng)匹配公司的預(yù)算，公司應(yīng)對所涉及的產(chǎn)品進(jìn)行成本分析，并通過雙贏的價格談判實現(xiàn)成本節(jié)約。在交付方面，要確定供應(yīng)商是否擁有足夠的生產(chǎn)能力，人力資源是否充足，以實現(xiàn)交付的按時按需。后一點，也是非常重要的，即為供應(yīng)商的售后能力。因云計算服務(wù)歸根究底，為一項服務(wù)，只有當(dāng)供應(yīng)商有能力提供優(yōu)質(zhì)服務(wù)，才能保證公司可以正常以及高效地使用其云計算平臺服務(wù)。

在需求評估階段應(yīng)有相應(yīng)的溝通記錄及審批記錄，以在后期檢驗時，有跡可循。同時應(yīng)注意，在簽訂合同時，應(yīng)簽署服務(wù)水平協(xié)議，安全協(xié)議以及保密協(xié)議這些至關(guān)重要的合同文件。

2）云平臺開發(fā)測試與交付

如公司在已經(jīng)采買的云計算平臺（如購買了PaaS或IaaS服務(wù)）并對平臺進(jìn)行二次開發(fā)，開發(fā)過程應(yīng)該遵循公司政策要求。其中應(yīng)考慮到開發(fā)的安全性，開發(fā)后的穩(wěn)定性以及產(chǎn)品開發(fā)周期。整個開發(fā)生命周期應(yīng)建立完善的開發(fā)，測試和驗收的管理流程，從而確保在云服務(wù)平臺交付后得以穩(wěn)定運(yùn)行。

具體實施流程如下：

云平臺的開發(fā)測試與交付，審計應(yīng)涵括以下幾點分別為，開發(fā)設(shè)計，開發(fā)及測試過程管理及后續(xù)培訓(xùn)。

云平臺的開發(fā)設(shè)計與其他系統(tǒng)開發(fā)類似，但應(yīng)考慮到整個云平臺的體系建設(shè)。對于云開發(fā)，公司應(yīng)制定相應(yīng)的云開發(fā)流程管理，質(zhì)量管理及變更管理文件。

開發(fā)過程管理指公司應(yīng)對開發(fā)過程，其中包括源代碼或開發(fā)工具的使用情況以及是否采買了供應(yīng)商其他工具進(jìn)行記錄，并在過程中對于開發(fā)風(fēng)險進(jìn)行階段性管理，以確認(rèn)開發(fā)風(fēng)險得到了相應(yīng)的解決。測試過程應(yīng)進(jìn)行全程記錄，并記錄問題，及時與供應(yīng)商或企業(yè)內(nèi)部相應(yīng)人員進(jìn)行溝通，以確保測試過程中問題，在上線前進(jìn)行解決。

相對于其他系統(tǒng)，云計算服務(wù)的培訓(xùn)較為關(guān)鍵?？紤]到平臺由供應(yīng)商維護(hù)且存在定時更新，企業(yè)應(yīng)制定針對開發(fā)，測試，運(yùn)維以及日常使用的云服務(wù)平臺培訓(xùn)，以確保公司使用云平臺的效益可以最大化。

3）云計算平臺的遷移與部署

在云計算平臺或系統(tǒng)上線前，公司可能存在數(shù)據(jù)向云平臺遷移的需求。公司或組織應(yīng)該根據(jù)公司對于云計算的數(shù)據(jù)安全要求及云下系統(tǒng)操作性要求，制定云計算服務(wù)遷移及部署計劃并加以實施，確保數(shù)據(jù)和業(yè)務(wù)可以安全地向云計算平臺遷移。

具體實施流程如下：

針對云平臺上的數(shù)據(jù)遷移，公司應(yīng)制定完備的遷移計劃，其中應(yīng)包括實施方案和進(jìn)度計劃表，時間表，以及人員配置。遷移過程中，公司可以保存里程碑文件，以確保不會出現(xiàn)數(shù)據(jù)斷點或其他因人為錯誤及其他可能錯誤導(dǎo)致數(shù)據(jù)錯誤不可溯源，不可回退。在遷移結(jié)束之后，公司應(yīng)對遷移后數(shù)據(jù)進(jìn)行驗收，其中如使用技術(shù)手段，應(yīng)記錄工具及測試方法。

遷移后，云平臺的部署至關(guān)重要。其不僅包括了對數(shù)據(jù)可用性的檢查，也包括對于云計算服務(wù)可用性的驗收。驗收方應(yīng)對平臺的性能及安全性進(jìn)行測試，并對安全隱患進(jìn)行檢查。

4）云平臺的安全管理及安全運(yùn)維

云平臺的安全管理及安全運(yùn)維，更應(yīng)納入企業(yè)日常內(nèi)部審計的范疇內(nèi)。因其包含了整個云平臺系統(tǒng)的配置及管理，應(yīng)在企業(yè)內(nèi)部獲取更高的關(guān)注。其中云平臺的合規(guī)性，信息安全等級保護(hù)檢查應(yīng)遵循行業(yè)及組織規(guī)定，同時對于已經(jīng)采購的云計算服務(wù)運(yùn)維進(jìn)行良好的管理。

具體實施流程如下：

正如前文所說，云平臺的安全管理及運(yùn)維應(yīng)納入企業(yè)日常內(nèi)審的范圍中?？紤]到現(xiàn)在國家政策在數(shù)據(jù)領(lǐng)域逐漸建立起了完備的法律體系，云平臺的安全及合規(guī)性管理也應(yīng)受到企業(yè)內(nèi)部的重視。在此項過程中，企業(yè)應(yīng)制定相應(yīng)合規(guī)制度，設(shè)立安全管理角色，并對云平臺及其上數(shù)據(jù)的合格性進(jìn)行監(jiān)控。如政策環(huán)境出現(xiàn)了變化，企業(yè)可以及時識別安全風(fēng)險并調(diào)整。

安全運(yùn)維主要涵蓋以下幾點，及網(wǎng)絡(luò)及代碼安全，日常訪問控制，應(yīng)用安全，數(shù)據(jù)安全，日常監(jiān)控及審計。針對以上幾個審計點，公司內(nèi)部應(yīng)采取有效措施或制定相應(yīng)制度，以及展開定時檢查。只有在日常工作流程中，設(shè)立了有效控制點，才能保證云平臺的運(yùn)維安全，最終使得平臺的運(yùn)轉(zhuǎn)更為有效。

5）云服務(wù)的退出及數(shù)據(jù)移除

在公司決定停止使用某項云服務(wù)后，應(yīng)啟動數(shù)據(jù)銷毀或遷移的進(jìn)程，并制定關(guān)閉云平臺服務(wù)或賬號的流程。此流程應(yīng)嚴(yán)格遵循，確保公司可以完整的推出云服務(wù)的合同，并也應(yīng)根據(jù)最初的供應(yīng)商合同，檢查供應(yīng)商是否履行了其責(zé)任和義務(wù)。

具體實施流程如下：

云服務(wù)的退出與數(shù)據(jù)移除雖為整個環(huán)節(jié)的最后一個步驟，但公司也應(yīng)制定云平臺退出及其數(shù)據(jù)遷移/移除的計劃。其中計劃應(yīng)對不同的數(shù)據(jù)性質(zhì)進(jìn)行細(xì)分，并制定相應(yīng)的流程，并建立回退計劃及應(yīng)急預(yù)案，以防數(shù)據(jù)損壞。在過程中，云平臺用戶應(yīng)采取手段，對過程的完整性加以保障。

3、結(jié)尾語

云計算和大數(shù)據(jù)的崛起，為審計工作帶來了前所未有的挑戰(zhàn)和機(jī)遇。如何針對此類新型科技，幫助企業(yè)更好的提供內(nèi)審服務(wù)，促進(jìn)企業(yè)的管理和發(fā)展，對于整個審計行業(yè)都是具有重大意義的。目前在審計大環(huán)境中，針對云平臺的審計模式及方式還在逐漸完善。如何實現(xiàn)可持續(xù)性審計，并降低云計算服務(wù)的風(fēng)險將持續(xù)成為行業(yè)內(nèi)的聚焦點。