2026年6月23日,国家审计署发布《2026年第1号审计公告》,披露中央部门单位2025年度预算执行等情况审计结果。在本年度的例行审计中,网络安全与信息化建设领域的规范性问题再度被摆上台面。

从公告披露的问题来看,"重复建设"、"买而不用"、"违规分包"等乱象成为高频词,多家国家队背景的企业、部委本级及所属单位被"点名"。这表明,中央部门单位的网安与信息化项目的资金使用绩效与技术合规,正在全面纳入常态化的审计内控监督之中。

一、合规缺位:等保分保测评被绕过,核心技术红线失守

网络安全等级保护(等保)与涉密信息系统分级保护(分保)是法定的硬约束。但在实际建设中,部分单位合规意识淡漠,采取"未测先上",导致相关系统设施面临巨大的“带病运行”高危风险。

未过分保测评无法上线国家发展改革委 本级1个信息系统,因未完成分级保护测评,导致根本无法上线运行,前期财政资金和设备完全无法发挥效益,属于典型的安全合规流于形式。

等保力度不足与化整为零规避审查国家能源局局本级及所属1家单位被查出“信息系统安全等级保护不够”。其所属信息中心甚至在服务器采购项目中采取"化整为零"的手段规避采购程序。

二、违规分包、数据私售:管理失控引发政务数据泄露风险

信息化与网安项目高度依赖第三方厂商交付,数据泄露最容易破防的往往不是外部强攻,而是由于外包缺乏监管,导致的非公开权限外放和内部数据违规流失。2025年的审计显示,信息系统开发中的管理混乱违规转包、数据权限私授予,已经成为数据泄露的重大隐患。

外包失控,向外资与民企开特权海关总署 2024年至2025年,署本级对1个政府购买服务项目履约监管不到位,中标单位将服务项目违规分包给民营企业和外资企业。更恶劣的是,中标商擅自向分包企业开放非公开的系统数据权限,“存在政务数据泄露风险”。

未经评估私售民航核心数据中国民航局空中交通管理局下属民航电信开发、上海民航华东通信等8家公司,在未经批准也未经安全评估的情况下,私自将管理的数据出售给外部单位。

三、盲目建设、买而不用:系统闲置和低效运转问题突出

审计结果显示,“为了建设而建设”导致的系统闲置和资源浪费的问题,是当前最为突出的问题之一。 这两年均非常突出,且今年的报告首次精确审计到了“月均使用不足1次”的软件细节。此外,缺乏长期人工运营和策略维护的系统,本身就是极大的安全隐患。

48个软件月均使用不足1次公安部所属道路交通安全研究中心被查出48个应用软件低效运转,月均使用均不足1次,涉及资产原值744.41万元。在网安领域,这种高权限、无人管、不更新的“僵尸软件”,极易成为黑客潜伏并横向移动的完美跳板。

信息系统闲置超6年国务院办公厅(国务院研究室所属中国言实出版社)1个信息系统已建成却停用超3年,另1个信息系统超期6年未建成,导致大量财政资金长期闲置。商务部所属中国国际电子商务中心投资320万元开发的系统同样闲置长达6年。

地方信息系统重复建设国家消防救援局所属海南、四川等12个总队(支队、大队),重复建设与上级机关功能类似的信息系统,涉及金额1581.61万元。公安部本级也有2个信息化项目存在重复建设情况。

从国家审计署2026年第1号公告以及2025年的审计盘点来看,网络安全防护、等保分保合规、信息系统开发转包、违规开放数据权限、私自对外售卖行业数据等实质安全风险,已经完全穿透并嵌入到年度预算执行和国有资产管理的常规审计内容之中。

定期开展"等保/分保未测先上"专项自查、收紧技术外包与数据外发控制、定期清查系统应用与闲置资产,需要成为相关部门和安全团队的日常风控动作。

声明:本文来自首席安全官,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。