現(xiàn)階段我國審計機關(guān)正在實施的“金審工程”是國家審計進一步推進信息化建設(shè)的核心工作，也是實現(xiàn)計算機審計工作的一個重要平臺。在此平臺上，審計人員可以采用計算機手段更加高效地完成日常工作。但如何保障“金審工程”順利、有效地開展，保證審計信息安全，我們有必要學(xué)習(xí)一些發(fā)達國家在電子政務(wù)安全建設(shè)方面的寶貴經(jīng)驗。筆者認為，英國政府采取的一系列措施值得我國“金審工程”建設(shè)借鑒。

　　1999年11月，英國政府正式?jīng)Q定采用國際標(biāo)準(zhǔn)化組織ISO提出的《信息技術(shù)——信息安全管理業(yè)務(wù)規(guī)范》，即ISO/IEC17799標(biāo)準(zhǔn)，同時要求政府各個部門都要在執(zhí)行他們關(guān)鍵的信息操作過程中嚴(yán)格遵循該標(biāo)準(zhǔn)。英國國家審計署在開展績效審計過程中，對于信息系統(tǒng)安全方面提出了很多的管理措施。這些措施主要體現(xiàn)在審計過程中，審計人員不但要嚴(yán)格遵循ISO/IEC17799標(biāo)準(zhǔn)的規(guī)定，對于自身所使用的審計系統(tǒng)以及計算機審計工具都要進行檢查以符合ISO/IEC17799標(biāo)準(zhǔn)。更要對審計對象在使用信息系統(tǒng)過程中是否遵循ISO/IEC17799標(biāo)準(zhǔn)的情況進行嚴(yán)格的審計，特別是英國政府提出的電子政務(wù)標(biāo)準(zhǔn)及必須采取的安全措施，更要對此加以審計。

　　ISO/IEC17799標(biāo)準(zhǔn)最初于1993年由英國貿(mào)易工業(yè)部立項，由標(biāo)準(zhǔn)化協(xié)會籌備起草并作為英國的標(biāo)準(zhǔn)。1995年，首次發(fā)布BS 7799-1：1995《信息安全管理業(yè)務(wù)規(guī)范》，它提供了一套綜合的、由信息安全最佳慣例組成的實施規(guī)則，其目的是作為確定各類信息系統(tǒng)通用控制范圍的唯一參考基準(zhǔn)，并且適用于大、中、小組織以及政府部門；1998年，標(biāo)準(zhǔn)化協(xié)會發(fā)表標(biāo)準(zhǔn)的第二部分BS 7799-2《信息安全管理體系規(guī)范》，它規(guī)定信息安全管理體系與信息安全控制要求，是一個組織的全面或部分信息安全管理體系評估的基礎(chǔ)，它還可以作為一個正式認證方案的根據(jù)；BS 7799-1與BS 7799-2經(jīng)過修訂于1999年重新予以發(fā)布，此次考慮了信息處理技術(shù)，尤其是考慮了在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的最新發(fā)展情況；2000年12月，BS 7799-1：1999《信息安全管理業(yè)務(wù)規(guī)范》通過了國際標(biāo)準(zhǔn)化組織ISO的認可，正式成為國際標(biāo)準(zhǔn)，即ISO/IEC17799-1：2000《信息技術(shù)——信息安全管理業(yè)務(wù)規(guī)范》標(biāo)準(zhǔn)。

　　在具體的實施過程中，ISO/IEC17799主要是為了實現(xiàn)對以書面的或計算機存儲的信息的安全性、保密性和完整性進行保護，即構(gòu)成信息安全中最重要的安全三角。在保密性方面，確保信息只能夠由得到授權(quán)的人訪問；在完整性方面，保護信息的正確性和完整性以及信息處理方法；在有效性方面，保證經(jīng)授權(quán)的用戶可以訪問到信息。如果需要的話，還能夠訪問相關(guān)資產(chǎn)設(shè)備。信息安全最終通過實施這一整套的控制才能達到，這些控制措施可能是策略、做法、程序、組織結(jié)構(gòu)或者軟件功能，以確保實現(xiàn)該機構(gòu)特殊的安全目標(biāo)。

　　信息安全問題畢竟是十分復(fù)雜的新問題，即使英國這樣的信息化大國，在信息安全防護方面占盡優(yōu)勢也不能說完全能解決信息安全問題。近年不斷出現(xiàn)的黑客攻擊和病毒肆虐就讓英國損失不少。特別是已經(jīng)有六個方面共性的問題引起了政府的高度重視。即政府高層管理的信息安全意識有待提高，目前的安全措施有待加強，安全教育和培訓(xùn)力度有待加大，針對信息安全的投資有待增多，針對安全服務(wù)商的要求有待明確，有關(guān)安全漏洞、弱點的信息有待共享等。究其原因，其中很重要的一點是對于安全管理，政府往往陷入了過分追求技術(shù)優(yōu)勢的誤區(qū)，常常是花費巨額資金在硬件及系統(tǒng)方面完成信息安全的防護而忽視了對其整體的管理。因此，學(xué)習(xí)發(fā)達國家在信息安全方面的政策和舉措，對于我國的信息化進程是很有意義的，特別是政府的信息安全工作應(yīng)如何開展，電子政務(wù)的安全應(yīng)如何保障，網(wǎng)上不良信息應(yīng)如何有效控制，信息產(chǎn)業(yè)應(yīng)如何推動和發(fā)展等多方面都值得我們認真思考。

　　我國審計機關(guān)可以參照信息安全管理模型，按照先進的信息安全管理標(biāo)——ISO/IEC17799建立完整的信息安全管理體系并實施與保持，達到動態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預(yù)防為主的信息安全管理方式，用最低的成本達到可接受的信息安全水平，從根本上保證業(yè)務(wù)的持續(xù)性。