美国国家标准与技术学院（NIST）不仅发布了被广泛引用的《云计算定义》，还发布了《联邦信息系统和机构的信息安全持续监测》（ISCM）报告，通过持续监测，保持其对信息安全、漏洞和威胁的警觉。

　　美国云安全联盟CSA在2009年12月发布了《云安全指南》。它涵盖了“云计算重点13个区域的安全指导”，从云用户角度阐述了可能存在的商业隐患、安全威胁以及推荐采取的安全措施。

　　ISACA是国际信息系统审计协会在2010年推出的云计算管理审计、保证程序（CloudComputingManagementAudit/AssuranceProgram），规定审计过程中使用的工具、模板以及流程。同时，ISACA还在程序中规定了审计过程中应该关注的审查点以及遵循的标准，从而保证审计师能够完整、真实地记录有关数据。主要关注云计算治理的影响、服务供应商以及客户之间的合同履约、云计算控制的具体问题等。如数据审计的审计目标是：为云计算服务提供商的客户提供对服务提供商内部控制的有效性和安全性评估；识别客户组织其他与服务提供商的接口是否存在内部控制缺陷；评估客户的质量和能力情况与服务提供商的内部控制项相关的证明。

　　其他的信息审计标准还有欧洲网络与信息安全局的《云计算风险评估方法论》、ISO27001等等。

　　在我国，由于物联网与云计算等信息化发展相对落后，至今尚未有大数据审计的标准，可以参考的主要有2008年五部委共同颁布的《企业内部控制规范》和2009年银监会颁布的《商业企业信息科技风险管理指引》。

　　四、大数据审计的框架体系

　　大数据审计与会计审计一样，也包括制定审计目标、确定风险领域、制定审计计划、设计审计程序、执行审计计划以及出具审计结果和管理建议。由于篇幅的限制，本文提出的大数据审计框架体系是由大审计目标维、审计制度维、控制对象维等构成的三维立体体系。具体如图1。在下文中主要介绍大数据审计的目标、审计制度维、审计对象维等具体的内容。

　　（一）大数据审计的目标：大数据审计的目标维

　　1.对大数据的安全性发表意见

　　物联网及云计算的运用下，网络的虚拟化、无边界、流动性等特征，数据及其系统面临较多的安全问题。例如：商业机密被第三方所利用、商业机密或个人隐私的数据被公司内部别有用心地“恶意”利用、自然灾害等意外情况的发生等。因此，大数据安全是大数据可靠、有效使用的前提。为了有效保护系统和数据安全，做好灾害预警等，数据审计对于数据安全和物联网的建设有着至关重要的意义。因此，大数据审计首推对大数据的安全性发表意见。它不仅要对提供大数据服务供应商的安全可信性发表意见，同时也包括对服务提供商本身的可信性发表意见，对企业内部的大数据收集、处理等过程的数据安全性发表意见。

　　2.对大数据来源和数据质量的可靠性发表意见

　　大数据获取过程中对数据的处理，是为后续流程提供高质量数据的基础，因此，如何获取数据以及对数据如何处理，对后续高效高质量的数据分析起着至关重要的作用。

　　大数据审计的目标是确保大数据质量的准确性、完整性、一致性、时效性、可信性以及可解释性。具体而言，当采集的源数据存在数值缺失、空值、冗余、错误、格式不一致、含义不清等问题时，审计人员应当进行数据整理、加工，剔除错误或偏离期望的值，以提高审计分析的准确性和效率；保证数据不缺属性，确保数据完整性；使数据之间不存在差异，相互可内洽，达到数据的一致性；数据的“新鲜感”——及时送达数据确保数据的时效性；在整个数据整合过程中，统计出有多少数据是用户依赖的，以测数据的可信性；最后，也是最重要的，是保证数据容易被理解，以达到其可解释性。

　　3.对大数据分析的有效性发表意见

　　通过数据产生、数据获取、数据存储、数据分析、数据可视化，最后到达数据结果，是业务部门数据操作的整套流程，也是检验数据是否合理、有效性的最重要一步。大数据往往被深埋在非常大型的数据库中，且往往包含多年的历史数据，同时数据量和搜索工作量都非常大。数据分析的有效性不仅取决于数据质量，也取决于数据分析的合理性。数据审计必须对数据分析的合规性是否达到数据分析效果进行审计。大数据审计人员通过开展数据分析，科学高效地确定项目、编制方案、实施审计、出具报告，从而确保数据的准确性和有效性。

　　（二）数据分析过程：大数据审计的对象维

　　数据分析过程是数据审计架构的对象，是解决大数据审计的源头。根据大数据生命周期业务流程，大数据审计需要对如下大数据分析业务环节的数据安全性、可靠性、有效性进行审计：数据源分析、数据获取、数据存储、数据分析、数据共享、数据可视化等大数据分析过程。具体如图2。

　　1.数据源分析

　　物联网、云计算中的数据源头为企业外部数据和企业内部数据。为确保企业数据安全性、可靠性及数据分析的有效性，必须对数据源进行分析安全性等审计。如：审计数据存储的可信度，审计数据的完整性、数据的可靠性、数据的一致性等分析；数据格式分析；数据更新方式分析等等。

　　2.数据获取

　　数据获取过程是指物联网通过云计算平台获取数据的过程，主要包括数据整合、数据清洗、数据转换、数据加载等业务过程。由于云环境下数据平台上有多租户的出现，必须明确数据的权属。这个过程要确保数据安全、可靠，有效使用的制度主要有对数据分类并对数据进行标识、分配权限。同时，针对不同数据进行分级，制定数据加密等安全策略。

　　3.数据存储

　　物联网和云计算环境下的数据必须保证所有的数据包括所有副本和备份，存储在合同、服务级别协议和法规允许的地理位置。建立数据访问控制；进行数据加密，建立内容发现制度，确保数据安全审计工作有效进行；要求对数据进行数据等级区分，分开存放；如果存在数据共享，应该对访问权限进行严格精细化控制，并可以实时监控和提供审计措施。

　　4.数据分析

　　大数据分析实务中避免数据遭到任何哪怕是轻微的泄漏，以避免侵害到数据拥有者和数据相关者的利益。大数据审计要审核企业是否可以通过日志文件或基于代理的工具对数据分析活动进行有效监控；企业是否制定数据安全的应用逻辑；企业是否制定基于数据管理解决方案的对象级控制制度；企业是否进行多份、异地备份方式进行数据备份，防止数据丢失、意外的数据覆盖和破坏，必须保证数据可用。

　　5.数据可视化

　　数据可视化是指计算机图形学、图像处理技术和office办公软件，将数据或数据分析结果转换成图形、图像、表格、文件等形式，并可进行交互处理。数据可视化是为了洞察分析数据表述的问题，找出问题的答案，发现关系性规则，进而发现在其他情况下不易发觉的事情，弥补现有科学分析方法的不足。大数据可视化审计是审查数据可视化是否表达事情的原来面目，是否扭曲了事物实际情况；审查数据可视化是否泄露了信息，是否有利于事情的表达等。

　　6.数据共享

　　企业大数据主要通过云平台进行数据的共享。因此，大数据审计要审查企业是否设定安全的数据共享应用逻辑；是否制定数据分析解决方案的对象级控制制度；是否有基于数据内容的数据保护；涵盖如电子邮件、网络传输、数据库、文件和文件系统是否有加密解决方案。

　　（三）三层审计制度：大数据审计的制度维

　　目前审计按审计内容可分为企业管理层面审计、流程控制审计和面向运营环境整体的三层审计。其中：企业管理层面控制审计主要关注整体的IT治理，合规、云战略和规划；流程控制审计主要关注云运营流程中内嵌的相关安全控制，以保证数据或系统的完整性、准确性、有效性和访问控制；运营环境整体控制主要关注与数据中心运营相关的管理控制，包括基础设施和流程、信息安全、业务持续性管理和灾难恢复、事件响应等方面。

　　本文认为，按参与审计的主体分，大数据审计制度还应当建立业务人员自查、部门经理审查、审计部门审查的三级审查制度，步步推进，层层把关，确保大数据的安全、可靠、有效性。各个审计主体依据大数据审计标准，对大数据业务操作流程进行审计，确保大数据的安全性、可靠性与有效性。限于篇幅，不展开讨论。●

　　【参考文献】

　　[1]肖建一，等.中国云计算数据中心运营指南[M].清华大学出版社，2013.

---

期刊库（http://www.zgqkk.com），是一个专门从事期刊推广、投稿辅导的网站。
　　本站提供如何投稿辅导，寻求投稿辅导合作，快速投稿辅导，投稿辅导格式指导等解决方案：省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。

---

　　【免责声明】本文仅代表作者本人观点，与投稿辅导_期刊发表_中国期刊库专业期刊网站无关。投稿辅导_期刊发表_中国期刊库专业期刊网站站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。