澳大利亚安全审计的主要内容 1978年,澳大利亚联邦政府首脑举行地方会议期间,悉尼市希尔顿酒店发生炸弹爆炸,致使1979年澳大利亚霍普大法官对政府部门提出有关安全保护的质询。霍普在质询报告中提出澳大利亚联邦审计署应当在政府部门的保护性安全工作的评价方面发挥作用,澳大利亚联邦审计署随后同意开展安全审计,并从20世纪80年代初启动了安全审计计划,对许多政府部门相继开展了安全审计。 根据《澳大利亚联邦政府保护性安全手册》的规定,保护性安全是对信息、资产和人的保护,使他们远离潜在的危险和威胁,内容包括物理安全、人员安全和信息安全。物理安全涉及用于阻止资料泄露或丢失、资产损坏或破坏的物理措施,以及保护人员不受暴力侵害两方面内容;人员安全指接触机密信息、贵重资产和受保护区域的人员的适当性;信息安全涉及机密资料的识别、记录、运用、存储和处理。保护性安全审计(以下简称安全审计)是澳大利亚联邦审计署对联邦政府部门安全管理情况的检查与评价,审计检查主要涉及物理安全、员工安全和信息安全三个方面的内容。1997年澳大利亚联邦审计长法颁布后,澳大利亚联邦审计署将安全审计作为其综合绩效审计的一部分加以开展,相继开展了信息安全、人员安全、物理安全和安全事件管理等多方面的安全审计。在澳大利亚联邦审计署的年度工作报告中,安全审计的成果在鉴证审计服务的成果栏目之下单独列示。 澳大利亚安全审计的主要特征与做法 (一)具有明确的法律定位与主要审计评价标准 澳大利亚联邦《审计长法 1997》第十八条“综合绩效审计”规定:审计长可以在任何时候对所有或部分联邦政府部门的某一特定方面的业务进行检查,该检查不局限于一个机构、实体和个人。安全管理是联邦政府部门的主要业务之一。澳大利亚联邦审计署就是依据该条规定对澳大利亚联邦政府部门开展安全审计的,其法律定位比较明确。明确的法律定位,有力地促进了澳大利亚安全审计的开展,使安全审计在澳大利亚联邦政府公共管理中发挥了良好的促进作用。 2005年,澳大利亚司法部重新修订了澳大利亚联邦《保护性安全手册》。该手册为澳大利亚联邦政府部门及其雇员为政府和代表政府履行服务职责时的最低公共安全标准。如安全风险管理指导方针,发展贯彻一项与单位职能相符的风险管理计划的详细框架;信息分级体系、纸质和电子机密信息的保护标准;人员安全的安全标准;物理安全措施;对员工和客户的保护指导等。2004年,澳大利亚国防部重新修订和发布的《澳大利亚政府信息技术安全手册》提供了政府部门之间信息交流和通讯的最低安全标准和信息交流风险管理指南,它由IT安全管理和IT安全标准两部分内容组成。IT安全管理包括管理、执行和记录IT安全的方式等内容。IT安全标准包括IT安全原则、标准和对IT系统特定方面的建议等内容。以上两个手册的制定为澳大利亚联邦审计署开展安全审计提供了主要的审计评价标准,有效促进了安全审计的开展。 (二)安全审计涉及广泛的、与安全有关的管理问题 在审计实践中,澳大利亚安全审计与评价广泛涉及与安全有关的管理问题,而不局限于测试单个与安全有关的具体事项。例如审计经常涉及到安全计划制定过程,与安全有关的信息管理过程的评价。审计还需检查一个组织如何使其安全计划和政策保持一贯适当并被严格遵守。审计评价主要涉及安全环境、安全风险管理,信息管理和安全工作的监控等。其中:审计人员在检查被审计单位安全环境的有效性时,需要评价被审计单位管理部门对安全管理的支持情况,被审计单位的安全政策、安全计划和安全意识,在评价被审计单位安全风险管理时,审计检查的内容包括安全风险评估、对风险处理和风险控制的监控;在评价被审计单位对其安全工作的监控是否有效时,审计人员不仅需要检查被审计单位对负有安全责任的员工的业绩的评价过程,还要根据安全政策和标准、安全管理目标和实现目标的措施,在整个组织的层面,对被审计单位安全工作业绩的监控过程进行检查。 (三)高度重视IT安全审计 澳大利亚的信息技术起步和发展较早,澳大利亚联邦审计署非常重视IT安全审计。早在1997年,澳大利亚联邦审计署就开展了互联网安全管理审计。审计涉及除国有企业和政府部门所属商业机构以外所有的联邦政府部门。审计的目标是对联邦公共部门的互联网安全措施的有效性进行评价和提供优化实践指南。审计的主要内容包括:互联网安全政策、网站的管理、互联网站及其资料的访问控制、用户教育与培训。最近5年,澳大利亚联邦审计署开展了六次安全审计,其中有两次涉及IT安全。一次是2001年至2002年对联邦政府部门内部的网络安全审计;一次是2005年至2006年对联邦政府部门IT安全管理的审计。在IT安全管理审计中,审计涉及IT安全政策、对安全管理规定的遵循情况、IT安全组织结构、IT运行安全控制等方面的内容。 (四)为安全管理提供优化实践指南 澳大利亚联邦审计署非常重视审计的促进作用,强调审计工作对公共管理价值的增进。其中一个最主要的体现就是澳大利亚联邦审计署制定的优化实践指南。在安全管理方面,澳大利亚联邦审计署共制定了两个优化实践指南。一是与1997年保护性安全审计报告一同发布的《联邦政府部门安全管理—优化实践原则》。该指南旨在帮助政府部门的管理者制定有效的安全管理方案,指南列出了优化实践的原则和有效的安全管理的成功要素。另外一个指南是《互联网传输决议》,该指南旨在帮助管理者决定是否和如何最好地利用互联网传送政府的工作计划和服务。