网络安全审计监督的着力点

◆赵树青/山东省莒县审计局

随着数字政府建设和智慧城市的快速发展，政府信息化建设及运行维护投入资金越来越多，同时，信息安全隐患不断显现，安全防护愈显重要，各级党委要求审计机关对网络安全建设和绩效开展审计。网络安全审计专业性强、综合性高，成为全新课题摆在各级审计机关面前，急需针对网络安全存在的问题，找准审计监督着力点，拓清信息化系统资产底数，审查日常安全经费保障水平，评价信息化建设项目绩效，解决审计监督滞后性、局限性的问题，探索监管监督部门联动机制，通过服务网络安全中心大局的新作为，推动网络安全建设行稳致远。

网络安全监督存在的问题

（一）信息化资产底数不清

当前，各级各部门部署的信息化系统种类数量庞大，承载着数据信息的重要资产，但未统一登记底数台账。网络安全审计采用财务数据、业务数据和信息系统测试相结合的审计方式，运用数据分析比对、运行测试等手段，检测评价信息系统的安全性、可靠性与经济性。前期要收集信息化资产的相关资料，才能满足审计工作需要资料。审计发现，有些单位没有信息化资产部署清单，未系统掌握网络安全相关法律法规，对安全性、可靠性和经济性认识不全面，甚至出现安全等级保护未达标还在运行，关键信息基础设施的软件硬件不能做到安全可控。有的机构职能改革部门旧业务按新职能整合后，原有系统不再使用，但停用系统里存有大量数据，未及时下线处理。还有的应用系统登陆使用率低，未及时更新安全补丁时，会引起终端遭遇病毒侵害。

（二）日常经费人员保障不足

一方面，网络安全的监管保障工作、宣传教育培训、事件监测预警和应急处置等需要财力物力支持，应当通过现有预算渠道的日常公用经费切实保障。但购置更新网络设备和安全设施、软件升级和技术支持需要大量资金，大量资金投入后，往往看不到直接效果，因此很多部门的负责人不太愿意将资金使用到信息安全保护上，以致投资不能满足安全和预防的需求，无法保证更新、升级和运行安全设备维护的资金需求。政务信息网络安全处于被动阻漏洞打补丁的状态，不能从根本上改善网络监控、保护、响应、恢复和抗击能力。

另一方面，网络安全队伍专业水平较低。各单位配备的网络安全管理人员大多是办公室的兼职人员，对网络安全要求停留在开会、传达文件层面，少有自行解决安全问题的专业人员，且多数未接受系统性的培训，将安全责任外包给了第三方技术人员，过度依赖信息系统开发商，自主可控的信息化装备率低，增加了数据管理和信息系统安全隐患。

（三）信息化建设项目绩效不佳

信息化建设项目以应用现代信息技术和网络通信技术为核心，包括基础设施、应用系统、信息资源、技术服务的综合性建设项目，有着技术先进、覆盖领域广、全面性强的显著特点。其在客观上存在全面规划不统筹，设计要求目标模糊，应用需求无限扩充等问题，给规范管理建设项目带来困难；在主观上存在缺乏节约意识、绩效理念，造成项目投资伸缩性大，有的建设内容在施工合同中未明确约定，工程造价频繁变更增加。突出问题有新建信息化项目无网络安全预算，信息化建设不统筹，信息系统不联通，建设程序不合规，项目经费使用不规范，资产验收不严格，造成建设项目投资巨大但功能薄弱，设计全面但应用程度低，形成资金绩效低下。

（四）部门联合监管监督不力

在网络安全监管过程中，网信、公安、工信等部门均有管理职责，日常多头监管或重叠监管，影响监管效率。发生网络安全问题时，多部门各自调度，重复调度却没有“统管”合力，缺乏权威性和协调性。特别是已迁云的非涉密自建政务信息系统，各方安全职责不清，云平台服务商重点监管平台安全，用户单位重点监管系统安全，但平台与系统衔接的安全监管存在盲区。同时，审计机关受人员、技术、资金等限制，导致网络安全审计监督滞后，查处问题有局限性。

开展网络安全审计监督工作的着力点

（一）建立健全信息化资产台账

设计本地信息化资产审计监督台账，全面调查各部门信息系统资产、政务信息资源等情况，不仅能够快速分析网络安全的重点内容和环节，提高审计效率，还能满足长期网络安全审计需要，持续促进政务信息系统和资源的清理、整合和共享工作。

台账内容应当包括基本情况、项目投资情况、运行情况、数据库情况、管理人员情况等。基本情况包括数量、名称、功能、主管单位、应用范围、使用群体。应用范围分为国家、省、市、县级系统内部、本单位内部；使用群体分为部门工作人员、社会公众、特定人群。项目投资情况包括立项审批部门、日期、资金来源、投资额、运维费用，其中，审批部门分为发改、财政、工信、未立项。网络运行情况包括网络运行环境、部署位置、自主可控设备、开发运维情况、安全协议、使用频度、系统状态。运行环境分为互联网、专网、互联网+专网。开发运维情况分为上级部署、本单位委托厂商。系统状态分为在建、在用、停用。数据库情况包括数据库品牌、数据存储量、云服务安全评估、登记保护定级情况、容灾备份、日志留存等。管理人员情况包括信息系统负责人姓名、年龄、职务、毕业院校、所学专业或职称、岗位、兼职或专职等情况。

（二）审查日常经费人员保障能力

结合网络安全资产台账，检查被审计单位相关会计资料，关注是否安排网络安全相关预算。核查网络安全监管和保障、宣传教育培训、事件监测预警、应急处置等支出的真实性，现场核实联网联机使用情况、安全设备运行情况、信息系统运行日志，查看机房数据管理、日常维护维修情况等。重点审查安全管理制度落实情况和全员信息安全防护知识专业培训情况，是否按要求对信息系统进行定级、备案和测评，权限保密管理是否合规，信息系统是否按要求进行容灾备份、留存网络日志、制定开展网络安全应急预案，应急物资保障是否到位，物理环境是否存在安全隐患。

（三）评价信息化建设项目绩效

政府信息化建设是政府投资项目，审计内容不仅要按照政府投资项目的标准进行审查，还要根据信息化系统建设的特点进行评价。项目管理和资金使用等审计事项，重点关注立项审批、预算、招标采购、变更项目、竣工结算等内容。绩效审计要结合预期目标实现度和数据融合度进行评价，重点关注网络安全预算是否达到项目总预算的5%，评价安全与信息系统同步规划、建设和运营。关注信息化建设的统筹规划与顶层设计的衔接，数据资源共享应用与系统间业务协同应用能力等，揭示项目建设中存在的“数据烟囱”和“信息孤岛”等问题，推动“僵尸系统”清理，促进信息系统整合共享。检查信息系统的软硬件实际应用情况，比较系统设计目标与系统实际功能，结合云资源使用率，重点查处设备闲置、系统应用效率低、模块功能空缺等问题。结合超概算投资情况，检查是否存在盲目追求高标、高配问题。

（四）健全网络安全监管监督联动机制

审计机关加强与网信、公安、工信部门联动协同，可以准确把握当前网络安全热点和薄弱环节，明确重点单位范围和重要事项，同时借助各单位的经验、技术，增强审计力量。网信部门可以借助审计机关审查财力物力支持和保障力，推动网络安全责任制量化考核评估，公安、工信部门可以依托审计机关项目绩效评价优势，协同推进信息化建设项目的安全性和经济性。多部门监管信息共享，明确合作领域和工作要求，通过组织联合现场检查机制，聚焦专业技术难点和监管痛点，既能够发现典型隐患和突出问题，又可以查找人、财、物的运行管理缺陷，共同研究提出改进措施。网信办牵头定期联合汇报党委政府研究决策，夯实网络安全责任制，推动数字政府和网络安全共同发展。