您好,今天是
当前位置:首页 > 审计理论

大数据背景下如何做好审计信息化保密工作

发布时间:2017-12-06 来源:衡阳市审计局

习近平总书记在中央网络安全和信息化领导小组第一次会议上提出“没有网络安全就没有国家安全,没有信息化就没有现代化”,将网络安全和信息化上升为国家战略。随着计算机的普及和“互联网+”技术的运用,各单位的业务管理自动化、信息化和网络化日趋明显,数据存储和使用也愈发集中,这给审计工作既提供了方便,又带来了保密方面的难度。因此,研究如何做好大数据背景下的审计信息化保密工作就显得尤为重要。

做好审计信息化保密工作的重要意义

是法律法规赋予的职责要求。早在1996年,审计署和国家保密局就联合下发了《审计工作中国家秘密及其密级具体范围的规定》,其中对审计保密的事项、保密范围和保密要求作了明确规定。新修订的《审计法》和《保密法》也对审计保密工作提出了具体要求,并明确了泄密责任。

是实现国家战略的重要途径。审计部门作为综合性的监督部门,是政府的重要组成部门,掌握了很多被审计单位的重要信息和数据,其网络安全、信息安全、数据安全直接关系到国家利益的安全,关系到社会的和谐稳定,因此做好审计信息化保密工作是实现国家安全这一战略的重要途径。

是抓好现实工作的具体需要。大数据审计和联网审计是未来审计的发展方向,也是实现审计全覆盖的重要举措,在这一过程中,审计部门必然会掌握大量的核心数据和机密,涉及的范围和深度也更广更深,通过网络泄密的风险也加大,因此,抓好审计信息化保密工作是实现审计全覆盖的具体需要。

当前审计信息化保密工作存在的不足

审计信息化保密意识不强。审计人员保密安全意识淡薄,对新形势下信息网络安全表现形式认识不足。主要表现为:涉密移动存储介质在内网和外网交叉使用;内网计算机变更用途作为外网计算机时,内部涉密资料信息未及时清理,留存隐患;审计业务专用计算机连接互联网;在外网(借助邮箱、聊天工具)接收处理审计数据及相关信息等。

审计信息化保密投入不足。现在科学技术发展很快,窃密手段很先进,仅靠人工手段和制度管理,不能完全发现泄密漏洞,排除泄密风险,需要增加技术手段,才能发现泄密漏洞和做好保密工作。然而目前很多审计机关由于认识不到位,认为购置信息安全保密设备是一种浪费,是花钱买麻烦;或是经费有限,对安全保密技术和设备的投入不足,很多设备已经陈旧落后,现代化设备不齐全,难以对计算机网络的安全保密进行有效的防护。

审计信息化保密制度不全。“审计保密,制度先行”,高效健全的制度,是审计信息化保密的基本保证。目前地方的法规制度建设远远落后于审计信息化发展的速度。如大数据审计、联网审计在近几年得到快速发展,但并未建立相关的法规制度,导致“无法可依、制度缺失”。又如审计信息公开的呼声越来越高,但在如何界定审计公开的内容、怎样确保在审计公开的同时又做到关键信息保密,也缺乏完善的制度体系。

审计信息化保密技术不新。目前审计机关还没有统一建设的审计专网,未铺设专用的传输线路,而公安、银监等部门早已建设了专网,且运行多年,保密措施较为严格和完善。作为掌握重要信息的审计部门至今还未统一架设专网,对审计信息的上传下达、数据存储、保密管理还停留在较为初级阶段,导致安全架构未得到统一设计和规范。

抓好审计信息化保密工作的思考建议

加强审计信息化保密宣传培训和教育。保密工作“三分在技术,七分靠管理”,审计人员的保密意识、人员素质、能力经验直接影响着保密工作的成效。一是要充分利用网络平台、宣传栏、讲座、讨论会等形式,积极开展保密宣传,使审计干部充分认识到保密工作的重要性以及泄密的严重危害性,切实提高防范意识,养成良好保密习惯。二是要加大人才引进和培训教育,通过积极引进计算机、信息工程等方面人才,建立一支高素质的保密人才队伍,鼓励干部职工进行继续教育和培训,主动学习保密技术,提高保密实践能力,对表现突出的个人进行奖励。

加大审计信息化保密经费投入和使用。要将保密工作经费纳入年初财政预算,将保密工作纳入年度工作规划,确保保密工作的正常运转、保密设备的及时更新、保密技术的充分掌握;同时要引入适当的激励机制,建立一支高素质的审计信息化保密队伍,敞开怀抱吸收人才,不吝投入锻造人才,奖罚分明留住人才,形成人才和保密之间的良性循环。

抓好审计信息化保密制度完善和执行。首先要强化顶层设计,保密工作是一项非常复杂、非常费力的工作,需要自上而下的推动,更需要精密科学的组织和顶层设计,只有上面抓得严、抓得实、抓得细,将保密工作提高到战略高度,纳入统一管理和考核,才能形成系统完整、逻辑严密的网络安全体系;其次各级审计机关要加强对审计信息化保密工作的领导,将保密工作列为重点工作,层层传导压力、分解责任,落实到人、责任到岗,做到守土有责、守土负责、守土尽责,形成浓厚的保密氛围;最后各级审计机关要出台相应措施和办法,对审计信息化保密事项进行明确界定和分类,对涉密设备张贴标识,禁止“一机两用”和“一盘两用”,并定期组织检查和通报,通过以查促防、以查促管、以查促改,构建保密的长效机制,确保制度落实到位,抓出实效。

提升审计信息化保密技术水平和应用。“魔高一尺,道高一丈”,为把好网络安全这扇“大门”,须及时引进先进技术,对相关设备进行定期检测和升级,并配备最新的杀毒软件、防火墙、入侵检测系统;对服务器、存储、网络交换机等核心设备,要实时监控,一旦发生问题,可第一时间收到警报信息,并采取紧急关闭措施,防止数据泄密;对内外网实行彻底物理隔离,采用不同的服务器、交换机、网络接口和安全设备,确保不串网、不混网,专网专用、专网专设;加大对连接互联网行为的实时监控,按照“上网不涉密,涉密不上网”的原则,对审计数据和文件,全部在内网传输,禁止储存审计信息资料的计算机上网;同时应尽早建设具有较高保密等级的审计专网,构建统一架构的安全保密体系。

该文已在《中国审计报》2017111日第6版和《审计观察》2017年第五期发表)

                                                 衡阳市审计局党组书记、局长    傅萍

 

主办:衡阳市审计局  地址:衡阳市蒸湘区延安路12号 技术支持:捷报科技

联系电话:0734-8863613  传真:0734-8863613 邮箱:43884473@qq.com

网站标识码:4304000009

备案序号:湘ICP备10003001号-1

湘公网安备 43040802000074号