电子商务过程中数据的处理完全由交易双方的信息系统自动进行,由于没有人工的干预,对其控制的审查和测试尤其重要。
(一)审计目标
(1)审查所有电子数据交换和电子商务业务的授权,确认均符合企业的规定。
(2)未经授权的企业不能访问企业的数据库。
(3)已授权的单位只能访问批准其访问的数据。
(4)审查为保留审计线索而设置的控制措施都在发挥其作用。
(二)控制的测试审查
(1)授权和有效性测试。审计人员应审查:①交易伙伴是否都经认证机构认证,有无合法的数字证书或经其他途径所确认的证明,可做抽样审查;②审查和评价Internet上的加密技术、防火墙技术等网络安全控制措施的有效性。但所有这些都由每个单位组织审查和评价是不实际的,也是不必要的。解决电子商务有关单位的真实、可靠性审计,可以聘请信誉和资质都较高的独立审计机构对这些单位的资格、能力、安全及可靠性进行审计,并出具报告,各有关单位则依赖这些审计报告进行评价。对有关安全保密技术有效性的审查,同样可由有信誉和技术水平较高的独立部门或机构对这些技术组织评审和鉴定,并提出评价报告,供审计人员参考。
审查数字凭证等业务文件有无数字签名,或系统中有无保证交易伙伴的信息是完整、正确的功能,可抽样检查交易伙伴文件的准确性和完整性。
(2)审查访问控制。交易伙伴文件和交易数据库的安全是电子数据交换和电子商务控制的核心,审计人员应审查这些控制是否适当:是否只有经授权的人员才能访问交易伙伴文件,权限表和口令是否加密存储;交易伙伴访问企业数据库的内容范围(如存货水平、价格等)是否依据合约规定;访问权限表的权限是否与合约的规定相符;模仿一些交易伙伴企图越权访问,看系统是否会拒绝等。(www.daowen.com)
(3)审查审计线索和审计功能。审查电子商务业务各处理阶段的业务处理自动记录,看是否每个阶段的关键字、关键数据都自动登记下来了;审查系统中是否建有审计子系统,提供审计程序、审计工具和审计档案库,以便审计人员进行网上审计。
(4)对电子商务管理制度的完善性和有效性进行审计。抽样审查这些控制是否都被严格遵守。
【注释】
[1]DDOS全名是Distributed Denial of Service,即分布式拒绝服务攻击。很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击,最基本的DDOS攻击就是利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的指令。DDOS最早可追溯到1996年年初,2002年开始在中国频繁出现。
[2]引自Windows控制面板设置中的防火墙说明。
[3]简称“网证通”,网址为http://www.cnca.net/cn。
[4]本例及后面与广东省电子商务认证有限公司相关内容节选整理自广东省电子商务认证有限公司网站(http://www.cnca.net/cn)上的介绍。
[5]http://www.bjca.org.cn,电子认证业务规则4.11.1:通常订户的签名密钥对由订户的密码设备,如USB.Key或智能IC卡生成,由订户的密码设备保管,加密密钥对由密钥管理中心生成并备份保管。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。