您的位置:首页 > 财经频道 > 经济 >

关于网络安全和信息化建设审计的几点思考

来源: 德州市审计局 时间: 2021-12-20 14:04:35

近年来,我国互联网信息技术得到迅猛发展,深刻影响了经济、政治、文化等各个领域,特别是政务服务依托信息系统,在转变政府职能、优化为民服务、推进政府治理现代化上发挥了重要作用。与此同时,安全漏洞、网页篡改、信息泄露等网络安全事件时有发生,受到了社会各界的高度关注。习近平总书记强调,“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障”,在此基础上,各级审计机关将网络安全和信息化建设纳入部门预算执行审计,重点围绕制度建立健全、资金管理使用、数据安全管理、系统管理使用等方面开展审计,促进政务信息系统安全有序发展。笔者结合审计工作经验,就当前网络安全和信息化建设审计中发现的问题,提出几点建议。

一、网络安全和信息化建设审计中存在的问题

(一)网络安全责任落实不到位。在实际工作中,某些单位网络安全意识淡薄,领导重视程度不够,存在一定的侥幸心理,导致未建立网络安全和信息化领导小组和专职机构,网络安全管理制度不健全,有的甚至存在制定的制度形同虚设,发生重大网络安全事件不及时上报等问题。

(二)信息系统存在安全隐患。没有落实网络安全保护技术措施,未采取数据备份和加密等措施,缺少防病毒网关等关键安全设备,未按照网络安全等级保护制度的要求履行定级、备案、等级测评、安全建设整改、安全自查等安全保护义务。

(三)信息系统建设不合规。缺乏顶层设计,在信息系统建设上存在“各自为战”的情况,不同行业的信息系统功能重叠,同一系统内各单位自行开发信息系统,导致信息系统功能雷同,又无法实现数据共享互通,出现信息孤岛、数据壁垒现象。

二、网络安全和信息化建设审计中的不足

(一)专业审计人员缺乏。各级审计机关通常采取网络安全和信息化审计与部门预算执行审计、经济责任履行情况审计相融合的方式开展,审计人员往往不具备专业的计算机知识,要充分掌握信息系统运行流程、业务数据流转轨迹,需要耗费大量的时间和精力,而在审计项目时间、人力资源有限的情况下,达不到事半功倍的效果。

(二)审计成果浮于表面。在审计工作中,由于专业技术有限,网络安全和信息化建设审计仅停留在制度建立、资金使用审计事项上,对信息系统使用效率的审计也只能通过系统登录情况、使用频次、使用者调查问卷等方法进行分析,取得审计结果的客观性、真实性尚待查证;对网络安全的审计往往以系统建成到审计节点为审计期间,关注过去是否发生网络安全事件、当前是否缺少关键安全设备等,对未来风险隐患难以做到实时监督。

(三)审计整改存在困难。审计中发现的未健全网络安全责任制等制度建立层面、未按要求进行等级测评等风险防控层面上的问题,整改难度不大,但对于信息系统未经备案或审批、多部门重复建设、可研不充分导致系统闲置等问题,一经发现此类问题,被审计单位往往难以整改,一定程度上造成财政资金损失浪费。

三、加强网络安全和信息化建设审计的几点建议

(一)引入专业人员补短板。按照审计机关年度审计计划安排,在同一时期开展的审计项目中统一融合网络安全和信息化建设审计,调配计算机专业审计人员或聘请中介机构组成机动组,对各个审计项目涉及的数据安全管理、系统管理使用等事项进行审计,既能提高审计效率,又能确保审计事项查深查透。

(二)深入学习研究强本领。审计项目结束后,组织审计人员开展审计业务大研讨,对涉及的网络安全和信息化建设法律法规、审计中发现的常见问题、审计思路和方法等方面进行全面梳理总结,出台或完善可操作性强的审计实务操作指南,促进审计工作规范化。

(三)构建联合督查大格局。建议整合行业主管部门的工作优势、职能部门的专业优势、审计机关的监督优势,构建大数据局、财政、审计等多单位的联合督查格局,变事后督查为事前、事中全过程监管,解决审计机关事后审计导致部分问题难以整改的问题。(赵惠文)

标签: 网络安全 信息化建设审计 互联网信息技术 政务服务