關(guān)鍵詞:信息系統(tǒng)審計(jì)、農(nóng)商銀行、網(wǎng)絡(luò)信息安全、銀行審計(jì)、信息安全、審計(jì)師
摘要:本文主要講述我在北京時(shí)代新威信息技術(shù)有限公司試用期的工作總結(jié),經(jīng)過(guò)這段時(shí)間的學(xué)習(xí),獲益匪淺,成長(zhǎng)很多,不僅學(xué)到了很多信息系統(tǒng)審計(jì)的專業(yè)知識(shí),還感受到領(lǐng)導(dǎo)給予的關(guān)懷,同事們積極樂(lè)觀的態(tài)度。
時(shí)光飛逝,轉(zhuǎn)眼間我的工作試用期已接近尾聲。這是我人生中彌足珍貴的經(jīng)歷,也給我留下了精彩而美好的回憶。在這段時(shí)間里大家給予了我足夠的寬容、支持、鼓勵(lì)和幫助,讓我充分感受到了領(lǐng)導(dǎo)們堅(jiān)定的信念,和同事們積極樂(lè)觀的精神。在對(duì)大家肅然起敬的同時(shí),也為我有機(jī)會(huì)成為公司正式員工而感到光榮和興奮。
這兩個(gè)月的時(shí)間里,在領(lǐng)導(dǎo)和同事們的悉心關(guān)懷和指導(dǎo)下,通過(guò)自身的不懈努力,各方面均取得了一定的進(jìn)步。
一、工作情況
工作情況分為項(xiàng)目方面還有學(xué)習(xí)方面,通過(guò)項(xiàng)目實(shí)踐自己的知識(shí)點(diǎn),通過(guò)自主學(xué)習(xí)梳理自己項(xiàng)目工作點(diǎn)。
(一)項(xiàng)目方面
1.XX農(nóng)商銀行信息科技全面審計(jì)項(xiàng)目
XX農(nóng)商銀行相對(duì)大城市總行的要求肯定有很大差距,但是這也是我第一次去做審計(jì)這個(gè)工作。雖然時(shí)間短暫,但他讓我對(duì)《信息安全等級(jí)保護(hù)管理辦法》、《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》有了全新的認(rèn)識(shí)。我按照審計(jì)流程從了解銀行的業(yè)務(wù)情況開始,確認(rèn)審計(jì)目標(biāo),到建立詳細(xì)的審計(jì)流程,通過(guò)技術(shù)、問(wèn)詢等方式確定我們要審計(jì)的問(wèn)題,編寫審計(jì)底稿,與管理部門討論審計(jì)發(fā)現(xiàn)的問(wèn)題并確認(rèn),最終編寫審計(jì)報(bào)告。這些工作完成之后感覺(jué)自己有了很大的提升。
2.XX集團(tuán)信息安全規(guī)劃項(xiàng)目
XX集團(tuán)的項(xiàng)目我是在收尾階段才過(guò)來(lái)的,并沒(méi)有想象的枯燥乏味,因?yàn)榍闆r很像我在中科院的時(shí)候,安全人員缺乏、領(lǐng)導(dǎo)不支持,兩大致命問(wèn)題都在此出現(xiàn)了。但是來(lái)了發(fā)現(xiàn)這里有太多的工作要做,等保檢查符合率的匯總,編寫診斷報(bào)告,梳理交付物的文檔,都是些很用心的工作。而且這里不僅有常見的信息系統(tǒng),而且還有工控系統(tǒng),工控系統(tǒng)是我第一次聽說(shuō),面臨的問(wèn)題更加嚴(yán)重,而且工控系統(tǒng)的設(shè)備很難國(guó)產(chǎn)化,再加上安全方面的薄弱,工控系統(tǒng)完全是暴露在外的。
在項(xiàng)目過(guò)程中,還能經(jīng)常與XX集團(tuán)的人員一同拜訪一些有權(quán)威的單位,比如公安部三所,甚至是百度方面的技術(shù)交流,這些都是以前很難接觸到的,在管理咨詢方面也是有了極大的提高。
個(gè)人感覺(jué)文檔方面的提升非常大,因?yàn)檠肫蟆C(jī)關(guān)單位對(duì)文字的要求是十分苛刻的,而且對(duì)文字的表達(dá)也是需要反復(fù)揣摩的,不像以前的工作寫的文檔都是給技術(shù)方面的領(lǐng)導(dǎo)去看,他們對(duì)文字的要求并不太高,但是從規(guī)劃報(bào)告、診斷報(bào)告這些都是要給高層領(lǐng)導(dǎo)去看,這些報(bào)告的語(yǔ)言必須非常準(zhǔn)確,甚至超過(guò)了審計(jì)報(bào)告的程度。
(二)學(xué)習(xí)方面
自從從事了信息系統(tǒng)審計(jì)行業(yè),每天都需要不斷的充實(shí)自己,才能在工作中立足。
在工作之余不僅要對(duì)各個(gè)標(biāo)準(zhǔn)有所了解,比如ISO27000、等保要求、商業(yè)銀行風(fēng)險(xiǎn)管理指引等。
技術(shù)方面也要有一定程度的熟悉,物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)
據(jù)等方面都需要下功夫去了解,去學(xué)習(xí)。
個(gè)人計(jì)劃今年要考取CISSP,增加自己的知識(shí)儲(chǔ)備,強(qiáng)化自己的專業(yè)能力。
二、個(gè)人感悟
(一)對(duì)崗位的感悟
信息系統(tǒng)審計(jì)師是一個(gè)全面的崗位,要具備職業(yè)審慎原則、專業(yè)的技能知識(shí)、良好的語(yǔ)言組織能力、扎實(shí)的文字功底等。
1.職業(yè)審慎原則
CISA中明確要求了信息系統(tǒng)審計(jì)師應(yīng)具備職業(yè)審慎原則,意味著審計(jì)師做事之前一定要有所計(jì)劃,不能盲目執(zhí)行工作,盲目下結(jié)論,所有的結(jié)論都需要有大量的審計(jì)證據(jù)支撐。這在做審計(jì)項(xiàng)目時(shí)我已有所體會(huì),判斷出來(lái)的問(wèn)題都要結(jié)合銀行的行規(guī)、等保要求、銀行風(fēng)險(xiǎn)管理指引綜合之后做決定是否為風(fēng)險(xiǎn)問(wèn)題。職業(yè)審慎原則不僅代表了審計(jì)師的審計(jì)能力,也決定了審計(jì)團(tuán)隊(duì)的專業(yè)能力。
2.專業(yè)的技能知識(shí)
專業(yè)技能決定一切。在我看來(lái),作為審計(jì)師雖然不用對(duì)信息系統(tǒng)每一個(gè)點(diǎn)鉆研到極致,但至少要能達(dá)到別人不敢蒙你的程度。審計(jì)師就是裁判員,如果連比賽規(guī)則都不清楚的話,那這無(wú)疑是毀滅性的。所以,必須充實(shí)專業(yè)技能知識(shí),確保各方面都能技高一籌,才能審計(jì)出問(wèn)題。
3.良好的語(yǔ)言組織能力
在XX農(nóng)商銀行的審計(jì)工作時(shí),銀行的董事長(zhǎng)問(wèn)我們?yōu)槭裁匆徲?jì),我聽老員工的陳述表達(dá),頓時(shí)覺(jué)得這個(gè)非常重要,如果語(yǔ)言組織能力匱乏,對(duì)于銀行懂事長(zhǎng)的第一印象將會(huì)是失敗的,這將會(huì)對(duì)后續(xù)的審計(jì)造成巨大的麻煩。面對(duì)面交流中眼神、心態(tài)都必須自如,頂?shù)米「鞣降臑殡y,就如同諸葛亮舌戰(zhàn)群臣一樣,語(yǔ)言陳述準(zhǔn)確,理論依據(jù)充足,這將會(huì)提高審計(jì)流暢度,降低審計(jì)難度,最終實(shí)現(xiàn)審計(jì)成果。
4.扎實(shí)的文字功底
審計(jì)方面的審計(jì)底稿,審計(jì)報(bào)告,咨詢方面的風(fēng)險(xiǎn)評(píng)估報(bào)告,規(guī)劃報(bào)告,這些對(duì)于文字功底的要求很高,不僅看的對(duì)象是不一樣的,而且報(bào)告具有權(quán)威性,文字把控孱弱,報(bào)告架構(gòu)混亂,語(yǔ)言表達(dá)模糊,這樣的報(bào)告誰(shuí)看了都會(huì)表示質(zhì)疑,并且影響到審計(jì)團(tuán)隊(duì),影響到公司。這個(gè)在XX集團(tuán)我已經(jīng)體會(huì)到了,可以想象一屋子人研究一個(gè)詞的用法究竟合不合適,對(duì)領(lǐng)導(dǎo)會(huì)有什么影響的嚴(yán)重情況。
(二)對(duì)公司的感悟
執(zhí)事以盡心為有功。這是公司的企業(yè)文化,作為審計(jì),作為咨詢,對(duì)于事情的盡心而為是最重要的,尤其是在目前中國(guó)的大環(huán)境下,缺乏信仰,道德缺失,任何事情都想一步到位,造成了如今混亂的局面,能夠踏實(shí)下來(lái)做事的公司更少,審計(jì)這個(gè)行業(yè)如果也是這樣的話,那就徹底崩塌了。