近几年,在相关政策的支持下,英国政府不断增加对云服务的支出,目的是降低成本、提高效率和优化业务。有些政府部门缺乏专业能力,或很难安全有效地实施管理,云服务自身庞大丰富的功能也给审计监督带来新的挑战。云服务模式下,从采购启动到服务退出都应纳入审计范围。英国审计署在2021年发布了《云服务审计指引》,介绍了基于云服务的信息系统在评估、实施、管理和优化等方面应重点关注的审计事项。 一、英国审计署云服务审计概览 云是指利用互联网访问存储在外部的系统和数据,提供包括云服务、云搜索、云浏览等资源分享应用。程序和数据存储在云服务提供商的物理设备上,云也被认为是信息技术发展的衍生物。实施云服务并非一劳永逸,虽然可以节省资金成本,但需要对运营总成本进行详细分析和检查优化。降低成本是采用云服务的主要驱动力,将现有的应用程序迁移至云端,可以最大限度地利用云环境的优势。目前,云服务被大力推广,主要是因为有助于提升效率性、灵活性和安全性。 云服务模式包括基础设施即服务、平台即服务和软件即服务。基于三种云服务的模式可以通过公共云、私有云、社区云和混合云进行云部署。云服务有预留、按需和竞价三种不同的定价模式,从而反映用户需求或可接受的程度。为了从云服务中获得最佳价值,用户要明确需求和目标,选择最适合自身需求的模式。此外,在实施云服务前要充分考虑遗留系统的适用性,因为如果其不能满足业务变化需求或被更有效的技术所取代,会给用户带来新的挑战。在保持遗留系统持续更新,继续取得提供商的支持,且没有重大安全或数据保护风险的情况下,妥善管理遗留系统并提供连续服务,产品生命周期也能安全地延长。 为提供更好的服务,英国政府支持各部门向云服务模式转变,鼓励各部门采用云系统,使其普及程度持续上升。英国政府先后制定了云优先、云原生、云采购等一系列政策指引。同时,明确要求英国审计署定期对政府机构进行信息系统审计,以促进保障信息系统安全性与稳定性。为此,英国审计署加大了对政府各部门信息化项目和网络安全的审计力度。2020年,英国审计署对国家卫生医疗服务部分信息系统进行审计,发现在其迁移升级实施中未能与旧系统成功对接,此项工作缺少强有力的治理和问责机制。2021年,英国审计署对“国家执法数据服务系统”和“边境数字服务系统”进行审计,发现两个系统均未按原定计划时间执行开发方案,不得不继续使用遗留系统,导致额外增加了维护遗留系统的费用,且交付推迟。基于这些问题,英国审计署发布了《云服务审计指引》,为预防和发现信息系统中存在的问题和隐患,规范信息系统安全管理,实现信息系统安全可靠等目标提供指导。 二、《云服务审计指引》的主要内容 (一)云服务评估审计关注事项 在确定云解决方案之前,用户需要根据自身需求和目标,制定明确标准,适当地评估其可用性。 一是关注数字化战略。关注相关利益者对云战略的投入是否妥当,资源分配问题是否解决,迁移之后对运行维护和优化云服务的考量,以及战略设想步骤是否合理;关注技术要求是否明确,包括选择哪种云服务模式和云部署类型最适合;关注有无充分评估遗留系统问题的复杂性,是否制定遗留系统的处理策略;关注是否遵循相关的云安全原则并制订云服务与现有服务、系统和流程安全对接的详细计划。 二是关注成本效率。关注是否详细计算不同的定价模式成本以及潜在的额外费用,包括培训推广、需要掌握额外的技能和专门定制的云服务。 三是关注尽职调查。关注是否对云服务提供商进行尽职调查,检查其是否符合所有安全要求、相关标准、法律法规和业务特定需求;关注用户与云服务提供商之间是否有明确的问责和监督机制,有无评估新服务与其他系统集成的难易程度,云服务提供商的服务是否能够满足用户未来的需求;关注云服务提供商是否有安全认证或协议,并符合信息安全标准或被认可,是否采取有效措施防止未经授权的访问,以及系统技术架构是否经过专家评审。 (二)云服务实施审计关注事项 用户需要确认实施云服务的相关安全风险已经解决,因为未正确配置的云服务可能会阻碍经济利益的实现,也会面临数据泄露的风险。 一是关注系统配置。关注是否制订日常管理和项目管理计划,云服务提供商对系统配置是否有承诺,在项目管理中是否有来自整个业务相关领域的管理者参与;关注基础设施、应用程序和数据是否为迁移做好准备,迁移是否有清晰的文档记录。 二是关注安全风险。关注技术风险是否包含明确的责任和措施,是否制订应对诸如资源耗尽、隔离失败、内部威胁、界面泄露、数据拦截、数据泄漏、不安全的数据删除、拒绝服务攻击和丢失加密密钥等风险的计划;关注用户是否有能力分析云服务提供商提供的安全数据,并对任何警告和警报采取措施,以及数字团队和信息安全团队之间的责任界限是否清晰;关注必要的法律和政策协议是否签署,合同是否涵盖数据保护风险、许可风险和管辖权的变更;关注用户是否为中断服务做好准备,并制订应对数据丢失事件的计划,以及一旦数据丢失,是否有计划支撑正在开展的业务。 三是关注实施执行。关注相关利益者是否参与整体的管理策略,是否有详细的计划在实施之前、期间和之后为用户提供持续的培训、支持和辅导,实施计划是否合理有效,是否有应急方案应对可能出现的问题,以及是否制订包含充分技术和足够用户的验收测试计划。