今年6月召開的全國財政信息化工作會議，強調要以統一核心要素為重心，以統建統管為手段，形成橫向一體化、縱向集中化、全國系統化的財政信息化發展格局。這既是財政信息化建設模式的根本性轉變，也對財政信息安全管理提出了新的更高要求。為了確保統建統管建設模式下的財政信息安全，會議特別將第三方電子審計納入統一的安全體系，強調“要穩步推進審計系統建設，重要應用系統應盡快引入第三方電子審計，為流程跟蹤、事件追查和責任認定提供有效支持”。這凸顯了在統建統管建設模式下，第三方電子審計對于財政信息化的重大意義。

加強第三方電子審計正當其時

信息安全是信息化工作的核心與靈魂。財政作為國家治理的基礎和重要支柱，每一項工作、每一個數據都承載著大量國家關鍵信息，一直是信息安全攻防對抗的重要部位，面臨著嚴峻的安全形勢。

近年來，各級財政部門通過加強基礎安全設施和認證授權系統建設與應用，構筑了比較完善的安全防護措施。然而，這些安全措施更多地局限于防范外部攻擊，對來自內部的人為安全隱患關注不足。

隨著業務管理信息化全覆蓋，財政信息安全的形式與特征也悄然發生變化，內部人員利用工作之便操控系統、篡改信息、竊取數據的安全風險越來越高。尤其是全國財政信息化統建統管后，業務集中開展、數據集中存儲、系統集中部署、運維集中實施，如何有效管控業務操作人員和內外部運維技術人員，防范操作行為帶來的安全風險，是統建統管模式下財政信息安全面臨的最大考驗。那種依靠裝幾個安全設備和軟件就想永保安全的做法，已經無法滿足現在的要求，必須在加強基礎安全防護的同時，更加注重從“管人、管流程”的角度，加強第三方電子審計的建設與應用。

第三方審計原義是指具備資質的專業機構站在中立角度，對企業年報進行審查，提出公正、客觀的企業運行情況報告，目的是防范企業運行風險，保障投資者資金安全。由此可見，第三方審計本質上是一種安全管理機制。經過不斷發展完善，尤其是近幾年信息技術被引入到這種機制后，應運而生的第三方電子審計的效用日益突出，越來越受到各個行業、各個單位的高度重視，日漸成為信息安全建設領域的首要內容。

第三方電子審計既不需要修改業務軟件，也不需要在數據庫、服務器中額外安裝任何其他軟件，因此不會對現有業務系統造成任何影響。

第三方電子審計助力安全風險防控

第三方電子審計立足于傳統安全管理手段無法有效防范人為安全風險這一問題，以獨立軟件為主要手段，從旁觀者的視角監控著所有與業務操作、數據管理和系統運維有關的行為，通過預警或阻斷違規操作實現安全風險防控的目標。同時，通過全過程記錄監控到的一切行為和由這些行為引起的一切變化，為安全事故的責任追究提供線索和證據。

首先，管控人的業務操作行為。第三方電子審計全程跟蹤記錄業務執行人的每一次操作，通過預設的分析模型和控制機制，自動發現并預警非常規操作，甚至中斷業務，同步向管理者發送提醒信息，通過強制性再次審核確認，確保執行人的操作合規性。

其次，管控人的數據管理行為。一方面，第三方電子審計產品能夠完全監控每一筆數據的變動情況和觸發變動的原因，并同步發出預警信息，及時防范惡意篡改；另一方面，當被改動的數據回到業務過程時，自動進行上下崗比對、權限比對來維持核心數據的一致性、準確性，一旦發現異常會立即被識別并予以預警，避免風險發生。

最后，管理人的系統運維行為。第三方電子審計產品采用運維終端虛擬云技術，將運維所用的計算機虛擬化，實現運維者和被運維者的隔離，通過“隔空喊話”方式完成運維工作。此外，將所有的運維賬號、權限、流程統一納入審計系統管理，實現運維管理權和執行權的分離。