关于网络安全和信息化建设审计的几点思考

近年来，我国互联网信息技术得到迅猛发展，深刻影响了经济、政治、文化等各个领域，特别是政务服务依托信息系统，在转变政府职能、优化为民服务、推进政府治理现代化上发挥了重要作用。与此同时，安全漏洞、网页篡改、信息泄露等网络安全事件时有发生，受到了社会各界的高度关注。习近平总书记强调，“没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障”，在此基础上，各级审计机关将网络安全和信息化建设纳入部门预算执行审计，重点围绕制度建立健全、资金管理使用、数据安全管理、系统管理使用等方面开展审计，促进政务信息系统安全有序发展。笔者结合审计工作经验，就当前网络安全和信息化建设审计中发现的问题，提出几点建议。

一、网络安全和信息化建设审计中存在的问题

(一)网络安全责任落实不到位。在实际工作中，某些单位网络安全意识淡薄，领导重视程度不够，存在一定的侥幸心理，导致未建立网络安全和信息化领导小组和专职机构，网络安全管理制度不健全，有的甚至存在制定的制度形同虚设，发生重大网络安全事件不及时上报等问题。

(二)信息系统存在安全隐患。没有落实网络安全保护技术措施，未采取数据备份和加密等措施，缺少防病毒网关等关键安全设备，未按照网络安全等级保护制度的要求履行定级、备案、等级测评、安全建设整改、安全自查等安全保护义务。

(三)信息系统建设不合规。缺乏顶层设计，在信息系统建设上存在“各自为战”的情况，不同行业的信息系统功能重叠，同一系统内各单位自行开发信息系统，导致信息系统功能雷同，又无法实现数据共享互通，出现信息孤岛、数据壁垒现象。

二、网络安全和信息化建设审计中的不足

(一)专业审计人员缺乏。各级审计机关通常采取网络安全和信息化审计与部门预算执行审计、经济责任履行情况审计相融合的方式开展，审计人员往往不具备专业的计算机知识，要充分掌握信息系统运行流程、业务数据流转轨迹，需要耗费大量的时间和精力，而在审计项目时间、人力资源有限的情况下，达不到事半功倍的效果。

(二)审计成果浮于表面。在审计工作中，由于专业技术有限，网络安全和信息化建设审计仅停留在制度建立、资金使用审计事项上，对信息系统使用效率的审计也只能通过系统登录情况、使用频次、使用者调查问卷等方法进行分析，取得审计结果的客观性、真实性尚待查证;对网络安全的审计往往以系统建成到审计节点为审计期间，关注过去是否发生网络安全事件、当前是否缺少关键安全设备等，对未来风险隐患难以做到实时监督。

(三)审计整改存在困难。审计中发现的未健全网络安全责任制等制度建立层面、未按要求进行等级测评等风险防控层面上的问题，整改难度不大，但对于信息系统未经备案或审批、多部门重复建设、可研不充分导致系统闲置等问题，一经发现此类问题，被审计单位往往难以整改，一定程度上造成财政资金损失浪费。

三、加强网络安全和信息化建设审计的几点建议

(一)引入专业人员补短板。按照审计机关年度审计计划安排，在同一时期开展的审计项目中统一融合网络安全和信息化建设审计，调配计算机专业审计人员或聘请中介机构组成机动组，对各个审计项目涉及的数据安全管理、系统管理使用等事项进行审计，既能提高审计效率，又能确保审计事项查深查透。

(二)深入学习研究强本领。审计项目结束后，组织审计人员开展审计业务大研讨，对涉及的网络安全和信息化建设法律法规、审计中发现的常见问题、审计思路和方法等方面进行全面梳理总结，出台或完善可操作性强的审计实务操作指南，促进审计工作规范化。

(三)构建联合督查大格局。建议整合行业主管部门的工作优势、职能部门的专业优势、审计机关的监督优势，构建大数据局、财政、审计等多单位的联合督查格局，变事后督查为事前、事中全过程监管，解决审计机关事后审计导致部分问题难以整改的问题。(赵惠文)