◆趙樹青/山東省莒縣審計(jì)局

隨著數(shù)字政府建設(shè)和智慧城市的快速發(fā)展，政府信息化建設(shè)及運(yùn)行維護(hù)投入資金越來越多，同時(shí)，信息安全隱患不斷顯現(xiàn)，安全防護(hù)愈顯重要，各級(jí)黨委要求審計(jì)機(jī)關(guān)對(duì)網(wǎng)絡(luò)安全建設(shè)和績(jī)效開展審計(jì)。網(wǎng)絡(luò)安全審計(jì)專業(yè)性強(qiáng)、綜合性高，成為全新課題擺在各級(jí)審計(jì)機(jī)關(guān)面前，急需針對(duì)網(wǎng)絡(luò)安全存在的問題，找準(zhǔn)審計(jì)監(jiān)督著力點(diǎn)，拓清信息化系統(tǒng)資產(chǎn)底數(shù)，審查日常安全經(jīng)費(fèi)保障水平，評(píng)價(jià)信息化建設(shè)項(xiàng)目績(jī)效，解決審計(jì)監(jiān)督滯后性、局限性的問題，探索監(jiān)管監(jiān)督部門聯(lián)動(dòng)機(jī)制，通過服務(wù)網(wǎng)絡(luò)安全中心大局的新作為，推動(dòng)網(wǎng)絡(luò)安全建設(shè)行穩(wěn)致遠(yuǎn)。

網(wǎng)絡(luò)安全監(jiān)督存在的問題

（一）信息化資產(chǎn)底數(shù)不清

當(dāng)前，各級(jí)各部門部署的信息化系統(tǒng)種類數(shù)量龐大，承載著數(shù)據(jù)信息的重要資產(chǎn)，但未統(tǒng)一登記底數(shù)臺(tái)賬。網(wǎng)絡(luò)安全審計(jì)采用財(cái)務(wù)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)測(cè)試相結(jié)合的審計(jì)方式，運(yùn)用數(shù)據(jù)分析比對(duì)、運(yùn)行測(cè)試等手段，檢測(cè)評(píng)價(jià)信息系統(tǒng)的安全性、可靠性與經(jīng)濟(jì)性。前期要收集信息化資產(chǎn)的相關(guān)資料，才能滿足審計(jì)工作需要資料。審計(jì)發(fā)現(xiàn)，有些單位沒有信息化資產(chǎn)部署清單，未系統(tǒng)掌握網(wǎng)絡(luò)安全相關(guān)法律法規(guī)，對(duì)安全性、可靠性和經(jīng)濟(jì)性認(rèn)識(shí)不全面，甚至出現(xiàn)安全等級(jí)保護(hù)未達(dá)標(biāo)還在運(yùn)行，關(guān)鍵信息基礎(chǔ)設(shè)施的軟件硬件不能做到安全可控。有的機(jī)構(gòu)職能改革部門舊業(yè)務(wù)按新職能整合后，原有系統(tǒng)不再使用，但停用系統(tǒng)里存有大量數(shù)據(jù)，未及時(shí)下線處理。還有的應(yīng)用系統(tǒng)登陸使用率低，未及時(shí)更新安全補(bǔ)丁時(shí)，會(huì)引起終端遭遇病毒侵害。

（二）日常經(jīng)費(fèi)人員保障不足

一方面，網(wǎng)絡(luò)安全的監(jiān)管保障工作、宣傳教育培訓(xùn)、事件監(jiān)測(cè)預(yù)警和應(yīng)急處置等需要財(cái)力物力支持，應(yīng)當(dāng)通過現(xiàn)有預(yù)算渠道的日常公用經(jīng)費(fèi)切實(shí)保障。但購(gòu)置更新網(wǎng)絡(luò)設(shè)備和安全設(shè)施、軟件升級(jí)和技術(shù)支持需要大量資金，大量資金投入后，往往看不到直接效果，因此很多部門的負(fù)責(zé)人不太愿意將資金使用到信息安全保護(hù)上，以致投資不能滿足安全和預(yù)防的需求，無法保證更新、升級(jí)和運(yùn)行安全設(shè)備維護(hù)的資金需求。政務(wù)信息網(wǎng)絡(luò)安全處于被動(dòng)阻漏洞打補(bǔ)丁的狀態(tài)，不能從根本上改善網(wǎng)絡(luò)監(jiān)控、保護(hù)、響應(yīng)、恢復(fù)和抗擊能力。

另一方面，網(wǎng)絡(luò)安全隊(duì)伍專業(yè)水平較低。各單位配備的網(wǎng)絡(luò)安全管理人員大多是辦公室的兼職人員，對(duì)網(wǎng)絡(luò)安全要求停留在開會(huì)、傳達(dá)文件層面，少有自行解決安全問題的專業(yè)人員，且多數(shù)未接受系統(tǒng)性的培訓(xùn)，將安全責(zé)任外包給了第三方技術(shù)人員，過度依賴信息系統(tǒng)開發(fā)商，自主可控的信息化裝備率低，增加了數(shù)據(jù)管理和信息系統(tǒng)安全隱患。

（三）信息化建設(shè)項(xiàng)目績(jī)效不佳

信息化建設(shè)項(xiàng)目以應(yīng)用現(xiàn)代信息技術(shù)和網(wǎng)絡(luò)通信技術(shù)為核心，包括基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)、信息資源、技術(shù)服務(wù)的綜合性建設(shè)項(xiàng)目，有著技術(shù)先進(jìn)、覆蓋領(lǐng)域廣、全面性強(qiáng)的顯著特點(diǎn)。其在客觀上存在全面規(guī)劃不統(tǒng)籌，設(shè)計(jì)要求目標(biāo)模糊，應(yīng)用需求無限擴(kuò)充等問題，給規(guī)范管理建設(shè)項(xiàng)目帶來困難；在主觀上存在缺乏節(jié)約意識(shí)、績(jī)效理念，造成項(xiàng)目投資伸縮性大，有的建設(shè)內(nèi)容在施工合同中未明確約定，工程造價(jià)頻繁變更增加。突出問題有新建信息化項(xiàng)目無網(wǎng)絡(luò)安全預(yù)算，信息化建設(shè)不統(tǒng)籌，信息系統(tǒng)不聯(lián)通，建設(shè)程序不合規(guī)，項(xiàng)目經(jīng)費(fèi)使用不規(guī)范，資產(chǎn)驗(yàn)收不嚴(yán)格，造成建設(shè)項(xiàng)目投資巨大但功能薄弱，設(shè)計(jì)全面但應(yīng)用程度低，形成資金績(jī)效低下。

（四）部門聯(lián)合監(jiān)管監(jiān)督不力

在網(wǎng)絡(luò)安全監(jiān)管過程中，網(wǎng)信、公安、工信等部門均有管理職責(zé)，日常多頭監(jiān)管或重疊監(jiān)管，影響監(jiān)管效率。發(fā)生網(wǎng)絡(luò)安全問題時(shí)，多部門各自調(diào)度，重復(fù)調(diào)度卻沒有“統(tǒng)管”合力，缺乏權(quán)威性和協(xié)調(diào)性。特別是已遷云的非涉密自建政務(wù)信息系統(tǒng)，各方安全職責(zé)不清，云平臺(tái)服務(wù)商重點(diǎn)監(jiān)管平臺(tái)安全，用戶單位重點(diǎn)監(jiān)管系統(tǒng)安全，但平臺(tái)與系統(tǒng)銜接的安全監(jiān)管存在盲區(qū)。同時(shí)，審計(jì)機(jī)關(guān)受人員、技術(shù)、資金等限制，導(dǎo)致網(wǎng)絡(luò)安全審計(jì)監(jiān)督滯后，查處問題有局限性。

開展網(wǎng)絡(luò)安全審計(jì)監(jiān)督工作的著力點(diǎn)

（一）建立健全信息化資產(chǎn)臺(tái)賬

設(shè)計(jì)本地信息化資產(chǎn)審計(jì)監(jiān)督臺(tái)賬，全面調(diào)查各部門信息系統(tǒng)資產(chǎn)、政務(wù)信息資源等情況，不僅能夠快速分析網(wǎng)絡(luò)安全的重點(diǎn)內(nèi)容和環(huán)節(jié)，提高審計(jì)效率，還能滿足長(zhǎng)期網(wǎng)絡(luò)安全審計(jì)需要，持續(xù)促進(jìn)政務(wù)信息系統(tǒng)和資源的清理、整合和共享工作。

臺(tái)賬內(nèi)容應(yīng)當(dāng)包括基本情況、項(xiàng)目投資情況、運(yùn)行情況、數(shù)據(jù)庫(kù)情況、管理人員情況等?；厩闆r包括數(shù)量、名稱、功能、主管單位、應(yīng)用范圍、使用群體。應(yīng)用范圍分為國(guó)家、省、市、縣級(jí)系統(tǒng)內(nèi)部、本單位內(nèi)部；使用群體分為部門工作人員、社會(huì)公眾、特定人群。項(xiàng)目投資情況包括立項(xiàng)審批部門、日期、資金來源、投資額、運(yùn)維費(fèi)用，其中，審批部門分為發(fā)改、財(cái)政、工信、未立項(xiàng)。網(wǎng)絡(luò)運(yùn)行情況包括網(wǎng)絡(luò)運(yùn)行環(huán)境、部署位置、自主可控設(shè)備、開發(fā)運(yùn)維情況、安全協(xié)議、使用頻度、系統(tǒng)狀態(tài)。運(yùn)行環(huán)境分為互聯(lián)網(wǎng)、專網(wǎng)、互聯(lián)網(wǎng)+專網(wǎng)。開發(fā)運(yùn)維情況分為上級(jí)部署、本單位委托廠商。系統(tǒng)狀態(tài)分為在建、在用、停用。數(shù)據(jù)庫(kù)情況包括數(shù)據(jù)庫(kù)品牌、數(shù)據(jù)存儲(chǔ)量、云服務(wù)安全評(píng)估、登記保護(hù)定級(jí)情況、容災(zāi)備份、日志留存等。管理人員情況包括信息系統(tǒng)負(fù)責(zé)人姓名、年齡、職務(wù)、畢業(yè)院校、所學(xué)專業(yè)或職稱、崗位、兼職或?qū)Ｂ毜惹闆r。

（二）審查日常經(jīng)費(fèi)人員保障能力

結(jié)合網(wǎng)絡(luò)安全資產(chǎn)臺(tái)賬，檢查被審計(jì)單位相關(guān)會(huì)計(jì)資料，關(guān)注是否安排網(wǎng)絡(luò)安全相關(guān)預(yù)算。核查網(wǎng)絡(luò)安全監(jiān)管和保障、宣傳教育培訓(xùn)、事件監(jiān)測(cè)預(yù)警、應(yīng)急處置等支出的真實(shí)性，現(xiàn)場(chǎng)核實(shí)聯(lián)網(wǎng)聯(lián)機(jī)使用情況、安全設(shè)備運(yùn)行情況、信息系統(tǒng)運(yùn)行日志，查看機(jī)房數(shù)據(jù)管理、日常維護(hù)維修情況等。重點(diǎn)審查安全管理制度落實(shí)情況和全員信息安全防護(hù)知識(shí)專業(yè)培訓(xùn)情況，是否按要求對(duì)信息系統(tǒng)進(jìn)行定級(jí)、備案和測(cè)評(píng)，權(quán)限保密管理是否合規(guī)，信息系統(tǒng)是否按要求進(jìn)行容災(zāi)備份、留存網(wǎng)絡(luò)日志、制定開展網(wǎng)絡(luò)安全應(yīng)急預(yù)案，應(yīng)急物資保障是否到位，物理環(huán)境是否存在安全隱患。

（三）評(píng)價(jià)信息化建設(shè)項(xiàng)目績(jī)效

政府信息化建設(shè)是政府投資項(xiàng)目，審計(jì)內(nèi)容不僅要按照政府投資項(xiàng)目的標(biāo)準(zhǔn)進(jìn)行審查，還要根據(jù)信息化系統(tǒng)建設(shè)的特點(diǎn)進(jìn)行評(píng)價(jià)。項(xiàng)目管理和資金使用等審計(jì)事項(xiàng)，重點(diǎn)關(guān)注立項(xiàng)審批、預(yù)算、招標(biāo)采購(gòu)、變更項(xiàng)目、竣工結(jié)算等內(nèi)容?？?jī)效審計(jì)要結(jié)合預(yù)期目標(biāo)實(shí)現(xiàn)度和數(shù)據(jù)融合度進(jìn)行評(píng)價(jià)，重點(diǎn)關(guān)注網(wǎng)絡(luò)安全預(yù)算是否達(dá)到項(xiàng)目總預(yù)算的5%，評(píng)價(jià)安全與信息系統(tǒng)同步規(guī)劃、建設(shè)和運(yùn)營(yíng)。關(guān)注信息化建設(shè)的統(tǒng)籌規(guī)劃與頂層設(shè)計(jì)的銜接，數(shù)據(jù)資源共享應(yīng)用與系統(tǒng)間業(yè)務(wù)協(xié)同應(yīng)用能力等，揭示項(xiàng)目建設(shè)中存在的“數(shù)據(jù)煙囪”和“信息孤島”等問題，推動(dòng)“僵尸系統(tǒng)”清理，促進(jìn)信息系統(tǒng)整合共享。檢查信息系統(tǒng)的軟硬件實(shí)際應(yīng)用情況，比較系統(tǒng)設(shè)計(jì)目標(biāo)與系統(tǒng)實(shí)際功能，結(jié)合云資源使用率，重點(diǎn)查處設(shè)備閑置、系統(tǒng)應(yīng)用效率低、模塊功能空缺等問題。結(jié)合超概算投資情況，檢查是否存在盲目追求高標(biāo)、高配問題。

（四）健全網(wǎng)絡(luò)安全監(jiān)管監(jiān)督聯(lián)動(dòng)機(jī)制

審計(jì)機(jī)關(guān)加強(qiáng)與網(wǎng)信、公安、工信部門聯(lián)動(dòng)協(xié)同，可以準(zhǔn)確把握當(dāng)前網(wǎng)絡(luò)安全熱點(diǎn)和薄弱環(huán)節(jié)，明確重點(diǎn)單位范圍和重要事項(xiàng)，同時(shí)借助各單位的經(jīng)驗(yàn)、技術(shù)，增強(qiáng)審計(jì)力量。網(wǎng)信部門可以借助審計(jì)機(jī)關(guān)審查財(cái)力物力支持和保障力，推動(dòng)網(wǎng)絡(luò)安全責(zé)任制量化考核評(píng)估，公安、工信部門可以依托審計(jì)機(jī)關(guān)項(xiàng)目績(jī)效評(píng)價(jià)優(yōu)勢(shì)，協(xié)同推進(jìn)信息化建設(shè)項(xiàng)目的安全性和經(jīng)濟(jì)性。多部門監(jiān)管信息共享，明確合作領(lǐng)域和工作要求，通過組織聯(lián)合現(xiàn)場(chǎng)檢查機(jī)制，聚焦專業(yè)技術(shù)難點(diǎn)和監(jiān)管痛點(diǎn)，既能夠發(fā)現(xiàn)典型隱患和突出問題，又可以查找人、財(cái)、物的運(yùn)行管理缺陷，共同研究提出改進(jìn)措施。網(wǎng)信辦牽頭定期聯(lián)合匯報(bào)黨委政府研究決策，夯實(shí)網(wǎng)絡(luò)安全責(zé)任制，推動(dòng)數(shù)字政府和網(wǎng)絡(luò)安全共同發(fā)展。