国外网络安全审计发展现状

作 者:

作者简介:
裴晓宁,审计署计算机技术中心;丁鹭,南京审计大学

原文出处:
中国审计

内容提要:

02


期刊代号:V3
分类名称:审计文摘
复印期号:2019 年 04 期

关 键 词:

字号:

      美国开展网络安全审计的实施早于其他国家,于1974年就出具了第一份与网络安全相关的审计报告。美国审计署对联邦政府的网络安全审计涵盖各行政机构,主要对被审计单位关键基础设施保护措施、网络信息安全维护机制、隐私和机密信息保密工作等方面进行审计。目前,美国审计署共发布网络安全审计报告453份。

      值得关注的是,2018年美国审计署开始了一项新的审计业务,即对网络安全员工的审计工作。审计对象为美国国土安全部和人事管理办公室,这两个部门相继出台了《国土安全:2014年网络安全员工评估法案》和《联邦:2015年网络安全员工评估法案》,以加强对网络安全人员的管理。美国审计署进而对美国国土安全部和人事管理办公室两个部门的政策执行情况进行审计,确保相关法案能够得到落实。美国审计署通过对网络安全员工管理情况的审计,促进联邦政府进一步完善网络安全入才管理,有效推动网络安全建设。目前,美国审计署已经确定了联邦政府和其他机关需要关注的四大网络安全挑战和十项解决手段,将网络安全指定为政府需要关注的高风险区域。

      由于电子政务的发展,英国审计署从2002年开始对各政府机构的信息化项目进行审计,如2003年治安法院的天秤座项目,2006年卫生署的国家信息技术计划,2008年国防部的国防信息基础设施等,但主要针对项目的经济性、效率性和效果性进行评估,网络安全只作为其中的一小部分被关注。直到2011年11月,英国政府公布了《网络安全战略》报告,表示将建立更加可靠和适应性更强的数字环境,以实现经济繁荣、保护国家安全及公众隐私的目标。2016年9月,英国审计署指出内阁办公室尚未在协调和领导各部门保护信息安全的工作中发挥明确作用,要求其进一步加强对信息的保护。2016年11月,英国政府发布了新的《英国2016~2021年国家网络安全战略》。针对英国政府《网络安全战略》报告的实施情况,英国审计署的审计工作主要涉及四方面内容:评估英国政府制定网络安全战略面临的机遇和威胁;了解网络安全战略的实施细节和政府在实施战略中所取得的成果;预估政府在实施战略时可能面临的挑战;监督政府部门对网络安全战略拨款资金的使用情况。

      2017年9月,英国审计署发布了一份《给审计委员会关于网络安全和信息风险的指导意见》,补充了英国网络安全审计的范围和内容。它提供了网络安全审计重点关注的清单,涵盖三个方面:一是网络安全管理方法和管理能力;二是监督管理层是否依据国家网络安全中心发布的“网络安全十步骤”实施了有效的控制措施,政策和程序设计是否良好,运行是否常态化,并且符合相关的法律法规;三是其他关键领域,如云服务和其他新技术的开发和发展,同样需要重点关注。

      三、澳大利亚

      澳大利亚审计署也较早认识到网络安全的重要性及其对政府管理的影响。澳大利亚审计署以澳大利亚政府2009年发布的《信息安全手册》作为权威标准,通过对财务报表的年度审计和每年选定的行政领域进行绩效审计,来评估政府机构网络安全控制的有效性。2011年,澳大利亚审计署评估了澳大利亚政府机构管理和保护其电子信息的措施,以及便携式存储设备的使用和管理情况。从2014年至今,澳大利亚审计署的主要工作是评估《信息安全手册》中四项强制性信息安全控制措施在政府机构中的执行情况。

      澳大利亚审计署网络安全审计主要包括财务报表审计和绩效审计两种类型。财务报表审计方面,澳大利亚审计署对政府机构的整体信息通信技术环境进行总体控制评估,包括审查对信息技术安全的控制措施,其中涵盖与基础设施、信息和业务流程有关的网络安全问题。澳大利亚审计署评估被审计单位在编制财务报表过程中,对数据机密性、完整性和可靠性采取的控制程序,以及信息技术职能管理体系在政府机构中的有效性。绩效审计方面,澳大利亚审计署确定了两个具体议题,即网络安全和网络安全计划。网络安全审计重点是评估牵头机构在执行政府网络安全政策时的工作进展和实际成果。网络安全计划审计侧重于评估被审计单位网络安全教育和安全意识培养计划的制订和执行情况。

      值得注意的是,澳大利亚审计署发现政府机构管理网络安全的能力会受到地理位置、职能领域等差异的影响,如偏远地区的政府机构往往存在大量改进的空间。因此,澳大利亚审计署强调要通过审计发现网络安全薄弱的领域和地区,并提出切合实际的改进建议,从而帮助政府建立起一套完整的网络安全框架。澳大利亚审计署指出,在进行网络安全审计时,一方面需要获得被审计单位高级管理人员的承诺和支持,在政府机构中积极强化网络安全意识,同时对现有的网络安全计划进行持续审查和评估,并采用前瞻性方法预测信息通信技术的新趋势,保证网络安全审计技术的及时性。另一方面澳大利亚审计署也指出,防止网络攻击和入侵,强化信息通信技术的安全环境是网络安全计划全面成功的关键,预防性控制措施比检查和整改措施更有效。

      为保障互联网的安全使用,保护互联网用户的权益,韩国政府制定了一系列有关互联网管理的法律,如《信息通信基础设施保护法》《国家网络安全管理规定》《电子政府法》等,并不断对这些法律进行完善。

      伴随着一系列法律的发布,韩国审计监查院的网络安全审计也逐渐开展。2008年韩国审计监查院对韩国信息安全局等信息管理机构进行审计,对其遵守法律法规、建立健全信息安全制度体系等职能履行情况进行评估;2009年对相关信息化建设项目的实施情况进行监督;2013年对36个政府行政机关在信息管理和网络安全方面的建设情况进行评估,并给出了相应的整改意见;2014年,主要对金融领域的政府机构进行网络安全审计,发现其防护措施的薄弱点;2016年对韩国国家网络安全管理状况进行了一次全面的审计,审计内容包括部门职能、法律法规、基础设施、预算执行、人力资源、案例研究等诸多方面。

相关文章: