浅析开展网络安全审计的几点要素 |
发布日期:2020-12-29 来源:常州市审计局 |
网络安全是全面贯彻落实总体国家安全观的核心内容之一。近年来,各级审计机关逐步探索实施网络安全审计,并在审计项目中将其作为一个单独事项列入实施方案,致力于发现被审计单位在网络安全相关工作中可能存在的问题和不足,提出针对性的审计意见和建议,促进其加强内部监督管理,降低潜在风险隐患。 现阶段,对被审计单位实施网络安全审计应着重关注以下几方面的内容: 一看组织架构,是否明确网络安全工作机构和职责。审计人员应当获取被审计单位领导干部分工情况,查看是否落实网络安全主管责任。了解组织架构,确定具体承担网络安全事项的职能部门,以便后续开展对接工作和获取资料。此外,还可以获取被审计单位年度工作报告和总结,了解各年度网络安全和信息化建设的工作开展情况。 二看规章制度,关注网络安全、信息管理、责任追究等方面是否制定相应的规定。从制度出台层面,获取被审计单位内部管理规章文件,查看是否针对网络信息安全设置相应条款;从制度执行层面,关注其是否针对网络安全事项设置授权机制、对关键人员制订保密措施;从制度应用层面,查看单位考核办法是否将网络安全工作纳入年度考核项目。 三看经费预算,关注年度预算、运维费用、固定资产及无形资产投入使用等情况。经费使用方面,获取被审计单位各年度预决算报表,关注其年初上报预算中是否单独安排网络安全经费预算,如有,则查看决算执行中结转结余情况,审查可能将专项经费挪作他用或虚假列支的情形;如无,则调取信息化建设功能支出科目明细,了解各年度经费支出情况。资产管理方面,重点关注固定资产和无形资产账务处理情况,根据政府会计准则要求,关注资产入账、折旧摊销计提、报废处理等会计核算是否合规。 四看日常管理,关注等级保护执行、应急演练、系统运维等情况。首先,要求被审计单位提供涉及网络安全及信息化的软、硬件清单,查看是否存在需要纳入等级保护的信息系统,取得证书及等级测评报告;其次,获取被审计单位网络数据安全攻防演练测试结果和应急预案实施方案,可作为审计线索的参考依据;最后,根据清单审查部分系统运行状态,查看是否有系统处于闲置或报废状态,并对系统的操作权限设置、强制密码策略等进行控制测试和细节测试。(常州市审计局郭耀晨) |
主办单位:常州市审计局
地址:龙城大道1280号1号楼B座12楼
电话:0519-85682658 网站地图
技术支持电话:0519-85685023(工作日9:00-17:00)
网站支持IPV6 推荐使用1024*768或以上分辨率,并使用IE9.0或以上版本浏览器