★ ★ ★ ★ ★ 提升企业 IT 审计能力， 助力数字化转型 实战与展望 目 录 一、时代在发展 IT 审计必然要变革 三、大数据审计能力提升与展望 二、数字化审计转型的方法论 1 、移动互联、 大数据、 云计算、 人工智能 ( 企业的核心竞争力。 这必将给审计监督和管理带来机遇 , 更带来了挑战 , 审计信息化 势在必行 , 因为它不仅仅是审计技术和方法的变革，更是一种审计 思 维的革命。 回 一、时代在发展， IT 审计必然要变革 （一）信息技术发展催生审计工作的变革 一、时代在发展， IT 审计必然要变革 2. 信息技术影响到我们社会发展的各个层面 新基建 一、时代在发展， IT 审计必然要变革 3. 新基建也会带来审计内容和审计方式方法的变 革 数据量大 需要处理更大量的数据，中石化“十二五” 期 间经营类数据已达到 80T ，“十三五” 数据将增长更迅速。 数据范围广 需要来自相关各个系统的数据，为了 适应“业财”“业审”融合，既需要

最丰富的应用识别，更好地提升办公效率 .................................................................. 4 2.2 全面的内容控制和审计，有效防止信息外泄和协助法规遵从 .................................... 5 2.3 四重保护上网用户，恶意软件无所遁形 .................. 支持对流量进行连接数控制 ........................................................................... 13 3.4 行为和内容审计 .................................................................................................. 基于特征码的病毒检测技术 ........................................................................... 16 3.7 审计与报表 ...............................................................................................

互联网 办公 PC 办公 PC 办公 PC 办公终端区 专线 互联网 VPN 汇聚交换 汇聚交换 核心交换 汇聚交换 核心交换 华为防火墙 华为防火墙 数据安全层面 • 缺乏数据库审计、 DLP 防泄密、数字水印、数据库准入等； • 无数据分类、数据加密脱敏等安全防护 云安全层面 • 缺乏云平台安全、云东西向流量安全防护 某著名企业 \ 分支安全层面 • 针对 OA\ 财务共享 供应链等应用缺乏安全防护，分支接入安 全 主机安全层面 • 安全基线管理、服务器防病毒、电脑主机防入侵层面需加强 安全管理与运营层面 • 缺乏统一的资产、威胁管理、风险管理的平台； • 无集中的日志审计、网络审计，缺乏网络管理体系。 • 安全集中监控、管理层面薄弱；没安全运营中心，可视化展示。 安全技术体系需求 已有措施 • 结合当前网络结构和安全建设结构可以分析出，将会建设阿里 的私有云、直销 技术等 • 结合数字水印 技术 • 双向内容监测 与防护 改不了 • L2-L7 层攻击攻 击防护，网页 篡改防护与预 警 • 跳板攻击隔离 赖不掉 • 基于数字证书 的行为审计技 术 • 各类审计设备 • 基于 UEBA 的 行为分析技术 查得到 • 所以的访问行、 攻击事件为具 有记录，实时 可查，本地安 全大脑，联动 机制。 安全体系框架：网络安全解决方案逻辑架构图 等保二

组织管控和授权体系的内 容 I 根据战略要求，某地集团总部未来将定位为战略设计师角色，而具体业务 运营操作将由各区域自行承担 3 个可能的角色 1 财务控制管理者 战略设计 师 / 审计 师 财务控制 管理者 2 战略设计师 • 通过加强战略架构，促进运营机构的自我发展 • 检验商业计划的思路并着手实施 • 鼓励运营机构加强自身能力 • 促成交流合作 / 投资管理，收购、兼并 • 公关 • 人才培养 • 法律 • 审计 • 品牌 • R&D • 总部组织机构的管理 • 财务 / 资产 • 集团规划 / 区域战略 • 投资管理，收购、兼并 • 公关 • 人才培养 • 法律 • 审计 • 品牌 • R&D • 采购 • 物流 • 生产 • • 销售 • 人事管理 • 总部组织机构的管理 • 公关 • 人力资源 • 法律 • 审计 • 品牌 • R&D • 采购 • 物流 • 生产 • 销售 • 区域组织机构的管理 在战略管理模式之下，某地集团总部组织职能将主要是战略管理和服务功 能，而区域组织应具备完整的营运操作性职能 • 产品导入 •

....................................................................................... 13 5.3 内部审计人员 ................................................................................................ ..................................................................................... 58 7.10.4 云审计服务（CTS） ........................................................................................... .................................................................................. 77 9.2.1 日志管理和审计 ..................................................................................................

................................. 63 中央企业国有资本经营预算支出执行监督管理暂行办法 ..... 70 财政部 国务院国资委 金融监管总局关于加强审计报告查验工作 2 的通知 ............................................... 77 国有企业、上市公司选聘会计师事务所管理办法 .. （三）出资人机构或股东、股东会（包括股东大会，下同）； （四）公司党组织； （五）董事会； （六）经理层； （七）监事会（监事）； （八）职工民主管理与劳动人事制度； （九）财务、会计、审计与法律顾问制度； （十）合并、分立、解散和清算; （十一）附则。 第六条 总则条款应当根据《公司法》等法律法规要求载明公司 名称、住所、法定代表人、注册资本等基本信息。明确公司类型 职责定位和董事会组织结构、议事规则；载明出资人机构或股东会 对董事会授予的权利事项；明确董事的权利义务、董事长职责；明 确总经理、副总经理、财务负责人、总法律顾问、董事会秘书由董 事会聘任；明确董事会向出资人机构（股东会）报告、审计部门向 董事会负责、重大决策合法合规性审查、董事会决议跟踪落实以及 后评估、违规经营投资责任追究等机制。 国有独资公司、国有全资公司应当明确由出资人机构或相关股 东推荐派出的外部董事人数超过董事会全体成员的半数

安硕信用风险管理系统 V9 —— 上海安硕信息技术股份有限公司..............................................................16 7. 基于知识的智能审计系统 —— 北京领雁智远科技有限公司..........................................................................18 8. CDP/MA 遭受来自黑客攻击和数据泄露等风险。提高了各 单位政务系统的稳定性和安全性，得到了用户的高度评价。 高敏捷信创白盒（SCAP）主要的特点如下： 1)能够展示各研发部门源代码安全审计情况、整改前后的对比、全局源代码审计情况等，方便整体把握源代码安全情况； 2)管理平台对接 Jenkins 集成系统，在开发执行构建时触发源码扫描分析； 2024 高质量数字化转型技术解决方案集（下半年度） 2 6)管理平台支持 Eclipse、Intellij Idea、Android Studio 集成开发环境插件提交代码进行在云端扫描检测，实现开发与安全审计 两不误； 7)管理平台支持自定义审计规则，集成二次分析引擎对代码扫描结果进行二次审计，进行误报自动化过滤； 8)管理平台有详细的报表统计分析功能，对阶段性的检测结果统计分析； 9)管理平台支持完整的用户分配和权限管理功能； 10)扫

•集团对房地产这一特殊行业尚未形成即与市场接轨、又适合于集团目前状况的管理体系 •缺少专业人员，核心能力不足 •有一定的 ** 关系。 •力争所操作项目的成功，未来发展视情况而定 •加强管理，完善业务流程与监控、审计体系 •优化人力资源，改善薪酬体系 •北京的房地产市场需求强劲， 2018 年北京全市累计销售商品房屋 ****** 万平方米。专家预测北京房地产市场还有 **** 万平方米的空间。 •近年来北京的房地产业一直保持较快的发展速度， 集团海外机构以及其他业务公司这四大块 ** 技术集团 广 * 公 司 房 地 产 项 目 公 司 储 运 公 司 京外机构 海外机构 集团财务总部 集团人力资源总部 集团战略策划总部 集团风险管理总部 集团审计总部 集团办公室 集团企业管理总部 集团资产管理总部 集团法律总部 集团电脑中心 集团纪检监察室 金 融 事 业 本 部 医 药 公 司 中 技 招 标 公 司 中 机 招 标 公 司 组织宣传部 纪检监察室 信访室 审理室 党风建设办 综合室 集团总务部 集团法律事 务总部 诉讼仲裁部 业务合同咨 询管理部 投资法律 咨询部 综合岗 审计部 综合岗 审计 I 部 审计 II 部 审计 III 部 106 集团办公室的使命和主要职能 •为集团高 层领导提供优 质高效的文秘 服务 •成为集团 内外公关宣传 的喉舌 •规范集团

安全等技术，在保障传输效率的同时 实现“可用不可见”的可信流通，建立安全可控、全链路可追溯的信任体系。它既 通过量子加密、防APT攻击等技术筑牢国家数据安全与个人隐私保护屏障，又依托 动态合规审计机制，为数据跨域流动、跨境传输提供技术适配与制度衔接条件，实 现安全与效率的动态平衡。 可信高速数据网研究报告 03 (二) 促进数算网安融合创新发展 数据、算力和网络是数字经济发展的三大关键要素，安全则是其长期健康发展 资源分散问题。无论是公共数据的跨区域共享，还是产业数据的跨链条整合，都能 够在可信高速数据网的支撑下实现安全高效流动。 可信高速数据网能够推动建立统一标准，提升市场规则一致性。在数据分类分 级、接口规范、确权登记和安全审计等方面，助力形成全国统一的标准体系，使得 数据要素在不同地区和行业间能够“同标准、可对接、可追溯”。这不仅能提升数 据要素市场的透明度和公信力，更为跨区域交易、跨行业协同提供制度化保障。 可信 政务数据网可信访问；计划 部署6G试验网，支持100Gbps级低时延传输；开发AI驱动的网络操作系统，故障预 可信高速数据网研究报告 10 测准确率达92%；部署区块链网络审计平台，实现所有网络操作上链存证，审计效 率提升70%。三是推动跨领域高速数据协同。通过“数据银行”模式整合分散数据 资源，依托高速网络实现跨主体数据高效匹配；DSA主导的“DATA-EX”平台，依 托低延迟网络

型发展现状及安全需求 • 基于项目范围和建设内 容，提供最优的硬件设 备和软件 • 从管理、技术、运维三 个体系提出针对性和可 行性的解决方案 • 完成工业防火墙、工业 主机卫士、工业安全监 测审计等安全设备安装、 部署及集成开发; • 组建安全服务团队，提 供应急响应服务、驻场 服务、漏洞检测服务等， 实现安全风险闭环处置 具体执行步骤 业务调研梳理（需求与现状分析） 目标：摸清资产 通报预警 安全处置 工业日志审计 日志采集 日志存储 日志检索 关联分析 综合展示 工业运维审计 多因子认证 操作行为审计 权限划分 操作行为回溯 工业漏洞扫描 基线核查 漏洞监测 特征匹配 漏洞分析 无损扫描 工业安全集中管理 资产管理 策略管理 拓扑管理 日志分析 安全监测 工业隔离网闸 物理隔离 内容隔离 工业入侵检测 靶向攻击检测 业务行为审计 工业防火墙 访问控制 工业安全监测审计 数据变化率 操作行为还原 非法指令监测 工业主机卫士 安全加固 外设/进程白名单 工业安全监测审计：行为监测 安全策略决策 安全管理区 云安全技术 移动安全技术 SCADA/DB等 APS/ERP/PLM/MES等 工业安全态势感知：安全运营 工业安全集中管理：安全集中管控 工业主机卫士： 主机安全 数据安全技术 网络安全技术 工业日志审计：日志收集与分析