审计研究报告
第34期
审计署审计科研所
2017年10月26日
国外政府审计改革与创新系列研究报告之十一:
美国审计署开展网络安全审计的主要做法及启示
内 容 摘 要
美国是世界上最早建立和使用计算机网络的国家,拥有世界上最先进和最庞大的信息系统,网络安全问题对其经济发展和社会稳定至关重要,一直受到高度重视,也是美国国家安全战略的重要组成部分。为此,美国对网络安全方面的审计监督工作极为重视,已有40余年的审计经验。本研究报告从审计形式、审计对象、审计依据、审计内容、审计方法、审计人员等方面总结了美国审计署开展网络安全审计的主要做法,并归纳了美国网络安全审计工作特点。在此基础上,本研究报告进一步探究了近两年美国网络安全审计发现的主要问题及审计建议。最后,参照美国主要做法和经验,结合我国网络安全建设的现状,本研究报告对我国开展网络安全审计工作,分别从近期和远期两方面提出具体建议。
美国是世界上最早建立和使用计算机网络的国家,拥有世界上最先进和最庞大的信息系统,网络安全[①]问题对其经济发展和社会稳定产生了极为重要的影响,一直受到高度重视,也是美国国家安全战略的重要组成部分。在加强网络安全建设方面,美国拥有健全的法律制度、完善的管理机构和培训体系,并不断加大网络安全投入,如美国国防部2017年预算中的网络安全投入达70亿美元,比2016年预算增加了27%,主要用于建造更多的网络训练基地、测试网络工具、培训国防部的网络力量和发展新的攻击性网络武器等。
同时,美国十分重视网络安全方面的审计监督工作。美国审计署(GAO)早在1974年就开展了“关于社会安全信息管理系统升级的性能预测”方面的审计,到目前为止,共出具436篇审计报告,其中1974—1979年6篇,1980—1989年35篇,1990—1999年86篇,2000—2009年187篇,2010—今122篇,近两年有25篇(附录1)。这些报告主要集中在关键信息基础设施、项目绩效和信息系统控制等方面,涉及联邦政府机构等各部门。
一、美国审计署开展网络安全审计的主要做法
(一)审计形式。
GAO的审计分为两种形式:一种是常态审计,作为组织的日常工作开展;另一种是对高风险领域的审计。2017年,GAO的高风险领域包括六个方面,其中之一是保障公共安全,而网络关键基础设施安全、联邦信息系统安全和个人身份信息隐私保护是保障公共安全方向中的高风险项,这三个方面均属于网络安全的范畴,GAO在这些方面及相关政策落实和绩效方面开展了多项审计。
在常态审计中,当被审计单位的数据来源于信息系统时,信息系统的安全对审计结论证据的有效性起到决定性作用,这时就需要开展网络安全审计。此时,网络安全审计是整体项目审计的一部分,审计人员需要与整体项目的负责人员进行协调,确定审计的目标、范围、方法等。此外,网络安全审计也可以作为高风险领域审计项目独立开展,按照一般的审计程序“请求发起--审计启动--审计规划--审计执行--机构评审--报告发布”等6个步骤开展,项目的审计周期为1年左右。
(二)审计对象。
联邦一级的网络安全审计对象覆盖联邦各行政机构,具体包括对其网络基础设施、信息系统及相关政策落实和绩效等方面进行审计。近年来,GAO已实施的审计对象如表1所示:
表1:GAO执行过网络审计的部门列表
部门(英文) | 中文 |
Executive Office of the President | 总统行政办公室 |
Department of Homeland Security | 国土安全部 |
Department of Defense | 国防部 |
Department of Commerce | 商务部 |
Department of the Treasury | 财政部 |
Department of Justice | 司法部 |
Department of Veterans Affairs | 退伍军人事务部 |
Department of Energy | 能源部 |
Department of Transportation | 交通运输部 |
Department of State | 国务院 |
Department of Agriculture | 农业部 |
Department of Education | 教育部 |
Department of Housing and Urban Development | 住房和城市发展部 |
Department of the Interior | 内政部 |
Department of Health and Human Services | 卫生部 |
Department of Labor | 劳工部 |
Federal Reserve System [FRS] | 美联储 |
Federal Deposit Insurance Corporation [FDIC] | 联邦存款保险公司 |
Securities and Exchange Commission [SEC] | 证券交易管理委员会 |
Nuclear Regulatory Commission [NRC] | 核管理委员会 |
Centers for Medicare and Medicaid Services [CMS] | 医疗保险和医疗补助服务中心 |
Bureau of the Public Debt [BPD] | 公共债务管理局 |
U.S. Food and Drug Administration [FDA] | 食品和药品管理局 |
Defense Logistics Agency [DLA] | 国防后勤局 |
Internal Revenue Service [IRS] | 国税局 |
Customs and Border Protection [CBP] | 海关和边境保护局 |
Federal Motor Carrier Safety Administration [FMCSA] | 联邦汽车运输安全管理局 |
Transportation Security Administration [TSA] | 运输安全局 |
Federal Emergency Management Agency [FEMA] | 联邦紧急事务管理署 |
National Institute of Standards and Technology [NIST] | 国家标准与技术研究所 |
Office of Management and Budget [OMB] | 预算管理局 |
The Office of Personnel Management [OPM] | 人事管理办公室 |
(三)审计依据。
美国在网络安全方面制定了多项法律和政策,构成GAO开展网络安全审计的依据。如《计算机安全法》[②]、《信息技术管理改革法案》[③]、《国家网络基础设施保护法案》[④]、《国土安全网络和物理基础设施保护法》[⑤]、《电子政务法案》[⑥]、《国家网络安全保护法》[⑦]、《网络安全法》[⑧]等。此外,在具体审计工作中,GAO还依据《联邦信息系统控制审计手册》(FISCAM)、《一般公认政府审计标准》、《联邦信息系统和组织安全及隐私控制》、《财务审计手册》开展工作,并可将历年审计报告中总结的最佳实践标准(如无线网络安全管控的最佳实践等),作为审计判断或审计建议的参考标准。
(四)审计内容
美国对网络安全的审计,大多围绕网络关键基础设施建设、相关政策落实、项目绩效、信息系统控制等方面展开。
1.网络基础设施建设情况。
对于网络关键基础设施的审计,从1997年开始,保障联邦计算机系统和支持关键基础设施系统的安全一直是GAO关注的重点。2003年至2015年,GAO将保护关键网络基础设施作为审计重点关注内容。在2017年的高风险领域清单中,网络关键基础设施安全依然属于保障公共安全方向中的高风险项之一。
在具体审计过程中,GAO会对网络安全基础设施的立项和建设情况、基础设施配置标准、控制情况、相关保护的风险策略制定情况、网络入侵的监测和防御、网络漏洞监测、危险应对措施等方面进行审计。如GAO在对国土安全部的审计中发现,在联邦关键基础设施越来越多地采用在线访问方式的环境下,国土安全部没有制定联邦设施保护的风险计划,审计建议应强化联邦网络安全设施保护。
2.相关政策执行情况。
GAO将网络安全相关政策执行情况作为审计重点之一。如GAO在对联邦航空管理局(FAA)的空中交通控制系统审计时发现,FAA已经采取了措施来保护空中交通控制系统免遭网络和其他威胁,但根据《联邦信息安全管理法案》的要求,FAA应执行信息安全计划以及安全控制测试计划,但其并没有完全执行。GAO在对人事管理办公室(OPM)执行信息安全政策审计时发现,OPM已经确定了自己的高价值资产(如系统中的敏感信息),但并没有按政策规定对这些敏感数据的存储和传输过程采取加密手段,使系统处于高风险状态中。
3.项目建设绩效情况。
GAO对网络安全项目的资金使用绩效、项目按计划开展情况、项目进度情况、项目完成后的使用率、使用效果等情况进行审计,重点关注未按项目计划开展建设、费用超支、进度迟缓、建设目标未实现、项目利用率低等问题。如GAO在对国防部的业务现代化系统建设审计时发现,该项目建设过程中存在预算超支、监管不到位等问题。
4.信息系统控制情况。
GAO依据《联邦信息系统控制审计手册》(FISCAM)开展信息系统控制审计,对信息系统控制的有效性和安全性进行评估,主要包括一般控制和应用控制。一般控制在信息系统层面进行,包括安全管理、访问控制、配置管理、职责划分和应急预案。应用控制在业务流程层面进行,包括应用层通用安全、业务流程控制、接口控制和数据管理控制。每一类控制下对应的具体控制措施来源于信息系统控制相关标准,如表2所示:
表2:具体控制措施
控制类别 | 控制措施 |
访问控制 | • 信息系统边界保护; • 识别与鉴证机制; • 授权控制; • 敏感系统资源的保护; • 审计与监控能力,包括事件处理; • 物理安全控制。 |
在审计过程中,评估一般控制中的“访问控制”有效性时,需对表2中“控制措施”对应列出的各项有效性进行评估。
(五)审计方法。
审计方法上,GAO除采用文档查阅、实地考察和访谈等常规方法外,通常还采用系统测试法、数据分析法、安全检测工具等计算机审计手段,此外还包括案例研究、问卷调查、标杆比较等研究类方法[⑨]。例如,在对公共管理与预算办公室的IT仪表盘系统进行审计时,GAO抽取系统数据进行分析,发现信息系统重复投资问题;在评估为人事管理办公室(OPM)提供技术服务的开发商信息维护的安全情况时,GAO访谈了OPM的官员,查阅了相关政策,并审查了OPM承包商运营系统的安全评估报告,以确定评估员进行的安全控制审查是否足以证明控制测试的有效性。
(六)审计人员。
联邦一级的网络安全审计工作由GAO负责开展,GAO有一个信息技术团队,主要职责是帮助联邦政府应对信息技术带来的问题和挑战,团队专家人数约200多人,该团队分为五个组,分别是信息管理组;信息技术战略管理组;信息系统采购、开发和集成管理组;运营系统管理组;以及网络安全和隐私管理组。网络安全领域方面的审计工作,主要由网络安全和隐私管理组负责。根据《一般公认政府审计标准》规定,实施网络安全审计的人员需要拥有胜任该工作所必需的技术知识、技能与经验。
(七)美国网络安全审计工作特点。
一是具有专业的网络安全审计团队。美国的网络安全审计工作由信息技术团队中的网络安全和隐私管理组负责,审计人员具有工作所需的技术知识、技能和经验。
二是开展网络安全审计时间较长。美国开展网络安全审计已有40余年的历史,每年都会以与常态审计结合或在高风险领域单独立项的方式,开展网络安全审计。通过审计发现网络安全战略规划、项目绩效等方面存在的不足,并提出相关改进措施。
三是网络安全审计依据充分,可操作性强。完善的网络安全法律体系为审计工作提供了依据。其中,FISCAM为信息系统审计工作提供了统一规范的指导,并要求审计工作应基于实际证据得出审计结论。具体审计内容方面,FISCAM参考了多项业内最佳实践,具有较强的可操作性。
四是网络安全审计关注重点领域和重点行业。如围绕网络关键基础设施、信息系统控制等领域,对社保系统、电子医疗数据信息系统、联邦储蓄保险公司、交通部门等进行信息系统控制审计,全面评估网络安全控制措施的有效性,降低这些领域的系统性安全风险。
二、近两年美国网络安全审计发现的主要问题及审计建议
截止2017年9月,GAO公开发布了共计400余份与网络安全审计相关的报告。通过对近两年的报告(附录1)内容进行分析,梳理了GAO在网络安全审计中发现的主要问题。
一是国家关键网络基础设施保护情况和网络安全漏洞检测工作方面存在安全隐患。2009年,美国国土安全部成立了国家网络安全和通信整合中心(NCCIC),主要职责是减少危险事件发生的可能性和严重性。GAO通过对NCCIC工作情况进行审计,发现其无法随时联系关键网络基础设施的维护单位,不能在应急情况下保护好国家关键网络基础设施。国土安全部(DHS)的国家网络空间安全保护系统(NCPS)能够监测网络流量异常情况,并防止恶意网络入侵。GAO在对其审计时发现,NCPS仅对其监控的网络流量类型具有监测和防止入侵的能力,这可能会无法防御某些其他类型的恶意网络入侵。GAO针对审计发现的问题,提出如下建议:提高有效识别网络威胁的能力;建立强有力的配置标准;实施可持续监控流程;升级有漏洞的系统并淘汰不支持的软件;制定全面的安全检测和评估程序;定期进行检查等。
二是网络安全政策执行方面存在不到位问题。如《联邦信息安全现代化法案》和《网络安全加强法》规定了美国预算管理局、国土安全部和各个行政机构等部门的责任。GAO通过对各个机构关于网络安全防护的工作情况进行了解,发现各联邦机构没有一贯、充分和有效地执行网络安全框架中的各项政策,在建立和实施信息安全计划,提高监测、响应和解决网络事件的能力,以及扩大网络从业人员的数量并加强培训等方面存在欠缺。
三是部分网络安全项目绩效未达到预期效果。例如,GAO在审计中发现,国土安全部大约有1/3的IT投资未实现预算和进度目标等。GAO对此进行了原因分析,主要包括:项目的原始预算和进度评估不准确、技术开发问题、项目实施团队发生变动、对用户需求缺乏了解等,并有针对性地提出了减少重复投资和降低成本的建议。
四是在保护个人隐私方面存在薄弱环节。美国社会保障局(SSA)为追踪个人的赋税资料,掌握着大量的个人社会保障号码(SSN)。2006年,美国总统发布了一项行政命令,设立防身份盗用工作组,主要工作任务是防止个人身份信息被盗用。其中,人事管理局(OPM)、预算管理局(OMB)和社会保障局(SSA)在这方面需发挥关键作用。GAO通过对OPM、OMB和SSA审计发现,因规划不力或监督无效等原因,OPM在保护个人隐私方面发挥的作用有限,相关部门应加强对有效政策的研究制定。
三、对我国开展网络安全审计的几点启示
参照美国在网络安全审计方面的主要做法和经验,结合我国网络安全建设的现状,对我国开展网络安全审计工作,分别从近期和远期两方面提出几点建议。
(一)近期以开展网络安全政策执行及绩效审计为主。
网络安全是国家安全的重要组成部分,网络安全方面的风险隐患关乎国家安全、社会稳定,应尽快开展网络安全审计,揭示、预防网络安全方面的问题,保障国家网络健康发展。
目前我国在网络安全方面的控制标准尚未制定,网络安全审计人员匮乏。因此,近期开展网络安全审计,可先从政策执行情况和相关工程项目的绩效等方面入手。
一是对网络安全相关政策执行情况开展审计。近几年,相关部门先后制定了信息安全等级保护、涉密信息系统分级保护以及网络攻击监测等方面的政策。审计机关可重点关注上述政策规定和措施的制定是否合理可行,是否具有明显的漏洞;各部门对相关政策规定和措施的执行是否到位。此外,还可对网络安全责任落实情况进行检查,是否存在不执行、慢执行、履职不尽责等问题。
二是对国家网络安全设施建设情况及建设效果开展审计。包括相关部门对网络安全领域项目资金的使用是否合规,有无执行缓慢、挤占挪用;网络安全工程或项目的申报审批过程是否真实合规,是否存在重复投资、低效投资,甚至大量损失浪费,有无弄虚作假、套取项目资金的问题;网络安全项目或工程进度是否达到了既定目标,是否按设计方案开展实施、项目或工程建成后是否得到了充分利用等;网络安全研究课题审批过程、课题经费使用是否合规;课题研究成果是否达标等。
三是对关键信息基础设施情况进行审计。主要审计关键基础设施运营商是否设置专门安全管理机构和安全管理负责人;是否定期对从业人员进行网络安全教育、技术培训和技能考核;是否对重要系统和数据库进行容灾备份;是否制定网络安全事件应急预案,并定期进行演练;是否与网络产品和服务的提供者签订了安全保密协议;是否每年进行一次安全监测评估等。国产化率怎样,是否采用自主可控产品和技术;政府采购和招投标过程中是否设置保密资质认定与审查;是否设立了信息安全审查制度,并严格执行等。
四是建议将网络安全(试点)审计纳入2018年的审计工作计划。选择重点领域、重点行业的网络安全情况进行试点审计。可在2018年的国家重大政策措施贯彻落实情况跟踪审计项目、中央预算执行和其他财政收支的审计项目,以及党政领导干部和企业负责人经济责任审计项目中,增加对相关单位网络安全审计的内容,尤其是国家重要行业和公共服务领域,如金融、电信、交通、社保、能源等。
(二)远期侧重网络安全审计的常态性和规范性。
网络安全的重要性促使网络安全审计应当成为常态化审计,而常态化审计工作的可持续性离不开规范的标准体系。因此,远期建议应该对相关的审计机制、人员配备、审计依据和标准,以及责任落实等各方面进行完善。
一是明确审计机关的网络安全监督地位,确保相关责任的落实。《网络安全法》明确了政府各部门的职责,完善了监管体制,强化了网络运行安全,但如何尽快高效的推动该法的落地是关键。建议通过修订审计法等方式,明确审计机关对网络安全的监督职责。通过审计监督,切实推动相关政策的执行,落实国家网络安全责任制。
二是建立网络安全审计工作机制,将网络安全审计作为常态化的工作内容。根据国家网络安全发展情况,制定年度审计目标,确定审计范围、审计内容、审计方法等。审计范围上重点关注金融、电信、能源、交通等涉及国家安全和国民经济安全的相关领域;审计内容上着重考察规划制定、政策执行、应急预警系统建设、防止恶意攻击等方面。每年的审计结果要合理利用,根据问题整改情况,确定以后年度的审计重点。
三是制定网络安全审计标准或指南。《网络安全法》第十五条规定相关部门要根据各自职责,组织制定并适时修订有关网络安全管理等方面的国家标准、行业标准。审计机关应在此标准基础上,制定网络安全审计标准,为网络安全审计工作提供指导性、规范化的依据。
四是组建专业网络安全审计团队。在网络安全审计方面,我们的审计力量比较单薄,网络安全审计人才匮乏,建议组建专业审计团队,通过开展专业培训、强化交流等方式,提高审计人员的专业水平。
国外政府审计改革与创新课题组
课题组组长:姜江华
副组长:文华宜
课题组成员:李培培、杨宇婷、王明刚
执笔人:李培培、杨宇婷
附录1
近三年GAO网络安全审计相关的报告列表
序号 | 报告号 | 报告名称 | 主要内容 | 年份 |
1 | GAO-17-614 | 《信息安全:人事管理办公室(OPM)改进管理,但需进一步努力》 | GAO对OPM进行审计:一是对敏感人事记录和信息的数据泄露采取的行动;二是信息安全政策、实践;三是OPM安全性的监督程序。 | 2017年8月 |
2 | GAO-17-469 | 《信息安全:证券交易委员会(SEC)改进金融管理体系,但需采取进一步行动》 | 根据法定权力,GAO 评估证券交易委员会内部控制结构和程序的有效性,以及财务报告。 | 2017年7月 |
3 | GAO-17-395 | 《信息安全:控制缺陷,进一步限制税务局(IRS)在保护敏感性财务和纳税人信息方面的有效性》 | GAO评估了对关键财务和税务处理系统的控制是否有效地确保了财务和敏感纳税人信息的保密性、完整性和可用性。 | 2017年7月 |
4 | GAO-17-436 | 《信息安全:联邦存款保险公司(FDIC)应改进金融系统和信息的控制措施》 | GAO评估了公司控制在保护其财务系统和信息的保密性、完整性和可用性方面的有效性。 | 2017年5月 |
序号 | 报告号 | 报告名称 | 主要内容 | 年份 |
5 | GAO-17-655T | 《社会保险号:OMB和联邦政府在减少收集、使用和公开方面的努力》 | GAO评估政府消除不必要使用SSN的措施,评估哪些机构已经开发和执行了这些措施。 | 2017年5月 |
6 | GAO-17-533T | 《网络安全:联邦政府目前的工作可能缓解网络安全劳动力领域的挑战》 | GAO关注确保有效网络安全人员队伍方面面临的挑战,以及有助于招聘和保留网络安全专业人才的措施。 | 2017年4月 |
7 | GAO-17-254 | 《身份窃取应对服务:益处有限且只能防止欺诈行为》 | GAO审查身份盗用服务问题,以及影响政府和私营部门决策的因素。 | 2017年3月 |
8 | GAO-17-518T | 《信息安全:国土安全部应进一步强化联邦政府系统保护意识》 | GAO审查DHS在增强联邦网络安全意识、监测和防止恶意网络入侵、减轻网络威胁漏洞等方面发挥的作用。 | 2017年3月 |
9 | GAO-17-440T | 《网络安全:强化美国安全能力应采取的行动》 | GAO关注政府和国家关键基础设施网络安全的有关工作。 | 2017年2月 |
10 | GAO-16-885T | 《联邦网络安全:应对挑战的行动》 | GAO关注联邦IT安全领域的法律和政策,以及解决国家网络安全形势面临挑战的措施等。 | 2016年9月 |
序号 | 报告号 | 报告名称 | 主要内容 | 年份 |
11 | GAO-16-513 | 《网络安全:美国食品药品监督管理局改进给行业和公共健康数据安全带来风险的安全措施》 | GAO审查关键的FDA信息系统的安全控制。评估FDA是否有效实施信息安全控制,保证信息的保密性、完整性和可用性。 | 2016年9月 |
12 | GAO-16-686 | 《联邦首席信息安全官:改善职能和应对挑战的机遇》 | GAO审查CISO的关键职责,以及在完成职责时面临的挑战。 | 2016年9月 |
13 | GAO-16-771 | 《电子医疗数据:健康与公共事业部需加强安全和隐私的指导与监督》 | GAO审查当前的健康信息网络安全基础设施,考察电子健康信息的预期收益和网络威胁,确定HHS的安全性,评估HHS监督的程度。 | 2016年9月 |
14 | GAO-16-513 | 《信息安全:食品药品监督管理局(FDA)要整顿行业和公共卫生数据风险控制中的薄弱环节》 | GAO检查关键的FDA信息系统的安全控制,评估了FDA在多大程度上有效地实施了信息安全控制,以保护其信息的保密性、完整性和可用性。 | 2016年9月 |
15 | GAO-16-501 | 《网络安全:各部门需针对高风险系统加强安全防护》 | GAO关注机构识别网络威胁及报告涉嫌高影响事件,考察政府保护这些系统的工作。 | 2016年6月 |
16 | GAO-16-605 | 《信息安全:联邦存款保险公司实施金融体系管理,但需要进一步改进》 | GAO评估了公司控制在保护其财务系统和信息的保密性、完整性和可用性方面的有效性。 | 2016年6月 |
序号 | 报告号 | 报告名称 | 主要内容 | 年份 |
17 | GAO-16-501 | 《信息安全:机构需要改进对使用高影响力系统的控制》 | GAO审查了哪些机构存在网络威胁,报告高危系统事件,并评估保护系统措施的有效性。 | 2016年6月 |
18 | GAO-16-317 | 《智能手机数据:关于具有隐秘跟踪功能应用的情况和问题》 | GAO关注智能手机跟踪应用程序,以及政府采取行动,保护个人免受隐秘跟踪程序的干扰。 | 2016年5月 |
19 | GAO-16-350 | 《车联网安全:交通运输部需明确在实时车联网网络攻击应对中的职能》 | GAO审查网络安全问题可能会影响现代车辆乘客安全问题,以及现在可用的关键做法和技术。 | 2016年4月 |
20 | GAO-16-493 | 《信息安全:证监会有机会改善对金融系统和数据的控制》 | GAO确定信息安全控制的有效性,以保护SEC的主要财务系统和信息的保密性、完整性和可用性。 | 2016年4月 |
21 | GAO-16-590T | 《信息安全:IRS需要进一步加强对纳税人和财务数据的控制》 | GAO审查IRS征税和财务系统的信息安全控制,联邦机构对政府信息安全提供的指导和监督作用。 | 2016年4月 |
22 | GAO-16-589T | 《信息安全:IRS需要进一步加强对纳税人数据的控制,并继续打击身份盗窃退款欺诈问题》 | GAO评估IRS财务和税务处理系统的信息安全控制,IRS采取行动处理身份盗用行为等。 | 2016年4月 |
序号 | 报告号 | 报告名称 | 主要内容 | 年份 |
23 | GAO-16-265 | 《政府医疗卫生:增强信息安全和隐私保护应采取的行动》 | GAO审查与数据中心有关的安全问题,以及CMS监督国家交易市场。 | 2016年3月 |
24 | GAO-16-398 | 《信息安全:IRS需要进一步改善对财务的纳税人数据的控制》 | GAO评估对关键财务和税务处理系统的控制是否有效地确保了财务和敏感纳税人信息的保密性、完整性和可用性。 | 2016年3月 |
25 | GAO-16-294 | 《网络安全:国土安全部需增强防护能力、改善规划,支撑国家网络安全保护系统的更广泛应用》 | GAO审查国家网络安全保护系统(NCPS)的功能与做法,以及实施情况。 | 2016年1月 |
[①] 按《中华人民共和国网络安全法》定义,网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统;网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
[②]强调确保所有联邦机构实施基本的网络安全措施来保护敏感信息。
[③]指定了与网络安全策略和程序相关的机构责任。
[④]建立政府与私营部门之间协作的网络防御联盟,分享彼此的网络安全威胁信息,并互相提供技术支援。
[⑤]涵盖了部门责任义务的遵守,个人隐私保护和数据泄露应对、打击网络犯罪以及采购与供应链安全等。
[⑥]规定由GAO负责每年对信息安全和电子政务项目绩效进行审计监督。
[⑦]明确国家网络安全通信整合中心的职责。
[⑧]提出了网络安全信息共享的参与主体、共享方式、实施和审查监督程序、组织机构、责任豁免及隐私保护规定。
[⑨]《论我国电子政务审计的现实模式》,审计研究报告2013年第16期,唐志豪等。
声明:本文来自中华人民共和国审计署,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
