档案信息网站的审计

作 者:

作者简介:

原文出处:
上海档案

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2002 年 10 期

关 键 词:

字号:

      一、国内档案信息网站概况

      目前国内档案信息网站主要分为以下几类:第一类是由各省市档案局(馆)主办的网站。如上海档案信息网(http://www.archives.sh.cn),设置了档案政务、市档案馆、档案查询、珍档荟萃、机构纵览、申城变迁、旧影新貌、上海之最、海上人物、上海掌故、档案博览、友情链接等栏目,该网站栏目设置齐全,覆盖面广,内容较为丰富,具有时代气息,图文并茂地展现了上海档案工作的特色,是一个雅俗共赏的档案信息网站;第二类是高等院校、大型企事业单位档案馆开设的网站;第三类是档案专业导航信息网站。较有特色的是1999年诞生的由辽宁、山西、广西、浙江、武汉、郑州等地的6位青年档案工作者创建的兰台眼(http://lantai.myrice.com)网站,他们在网上开辟了法规标准、普档之窗、他山之石、业务园地、档文精华、中国档案论坛等栏目,汇集了国内外档案工作中的一些好经验、好做法,其中的档案论坛栏目还提供了档案业务探讨、交流、咨询的场所,被誉为新世纪档案工作者的家。

      档案信息网站发展目标:首先是档案全文信息上网。可以将现有的纸质档案、影像档案、音频档案转化成数字化形式,存入电子档案数据库,供使用者查阅;其次是对档案信息使用者进行网上身份验证,分别对不同身份的使用者提供不同的信息查阅权限。最后是随着全社会电子商务环境的不断完善,可以尝试采用网上支付的方式,在网上实现档案信息的有偿服务。

      二、网站审计简介

      美国注册会计师协会(AICPA)及加拿大注册会计师协会(CICA)联合推出了一项新的审计服务项目---网站审计。网站审计是电子商务审计的一个分支,其概念是从传统的电算化审计概念发展而来的。它是审计人员以网站为审计对象,对在网站上所进行的电子化商业行为及信息系统安全工作进行审计,并提出鉴证服务的一项工作。具体而言,其内容一方面包括对在网站上开展的各种业务进行一般的审查、监督,还包括对电脑网络系统连续工作能力进行评估;另一方面,审计人员要依据安全评估准则对网站基础设施进行安全测试和评定。最后审计工作人员将对网站开展的业务进行真实性检查,对该网站所提供信息服务的完整性、可靠性和安全性进行全面审计,从而保证网站访问者的相关信息不被非法扩散。

      三、对档案信息网站及其所发布信息进行审计的具体设想由于档案信息具有内向性、机

      密性、回溯性以及原始孤本性等特点,所有档案信息上网要以维护国家利益和社会程序为前提,要充分保护档案形成者自身的合法权利,使其知识产权不受损害。为此,国内档案信息网站作为国际互联网内容提供者(ICP:InternetContentProvider)对其审计工作应该从以下几方面着手:

      1要对档案信息网站的合法性和有效性进行审查。首先应审查档案网站域名是否经过权威部门的鉴定和认可。建议国家档案局尽快设立档案信息网站认证中心。其次档案信息网站是根据中华人民共和国国务院令(第292号)《互联网信息服务管理办法》中的规定,及时向各省市通信管理局申请办理互联网信息服务增值电信业务经营许可证或备案手续。在办理申请经营许可证或备案手续前,还应依法经各省市档案局审核同意。

      2要对档案信息网站发布的信息真实性和完整性进行评价。档案网站发布的信息真实性包括两层含义,首先是应审查网上发布的档案信息和实际档案文档内容是否一致,其次是真实的档案信息在网上发布以后,被访问者存取和信息传输过程中信息是否被篡改,所以要重点审查网络信息存取过程中身份识别技术、口令选取技术、防火墙技术以及密码传输技术的运用情况。为了检测网站发布信息的完整性,应着重审查该网站是否采用了数据加密技术或报文验证码技术,是否建立了完善的电子数据接收、签发和验证制度,是否具备健全的防治计算机病毒措施。

      3.要对档案信息网站的安全性进行审计。(1)网站所采用安全技术的审计。可侧重检查防火墙技术、网络系统反病毒功能、数据加密措施、身份认证和授权等软件技术的应用和实施情况。实施这一检查可以用模拟数据对系统的各安全关键点进行全面检查。(2)网站安全管理制度建立和实施情况的审计。一般可采用面谈法、访问和实地察看法按预先给定的内部控制制度评价清单进行。(3)审查有关计算机安全的国家法律和管理条例在网站的执行情况。

      4.要对档案信息网站的计算机设备和网络设备进行可靠性测试。同时要检查档案信息网站工作人员执行计算机及网络设备管理制度的情况,机房环境是否符合有关环境安全法规。检测网络设备和应用软件的可靠性,用户管理权限是否设置,所采用的网络操作系统对用户授权控制是否具有审计功能,网络操作系统是否可提供网络使用报告。另外还应该测试该网站对系统紧急事件的响应能力和恢复能力(如预留审计日志、实施备份策略和快速重建技术等)。

      5.最后应对档案信息网站进行综合评价,并出具审计工作报告,汇报给有关部门及人员。

相关文章: