美国审计署开展信息系统审计的特点,本文主要内容关键词为:审计署论文,美国论文,信息系统论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
自1997年起,美国审计署将联邦信息安全作为政府管理层面的高风险领域,并且在2003年将这个领域扩展到包含支撑国家关键基础设施的计算机系统。2015年,美国审计署对于高风险领域进行了重新确定,将范围进一步扩大到包含保护所收集的、保存的、由联邦和非联邦机构共享的个体私人信息。 美国审计署对联邦机构的信息系统审计深入细致,所提建议具有较高的专业性。美国审计署在信息系统审计中指出,联邦机构在保护其系统和信息时所面临的挑战包括:设计并实施一个基于风险的网络安全项目;加强对提供IT服务的承包商的监督;加强安全事件的响应行动;应对个人信息泄露问题;在小机构推行网络安全项目。 美国审计署在审计报告中阐述了为加强联邦机构网络安全而制定的政府计划,包括美国国土安全部(DHS)牵头实施的、旨在提高网络安全的举措。并且直接提出,这些政府计划和举措的目的都是为了提高网络安全性,但没有一项单一的技术或工具足以抵御所有的网络威胁。相反,机构需要采取一种多层次、“纵深防御”的安全手段,包括训练有素的人员,有效且一致的应用程序以及合适的技术。此内容从宏观层面整体性地对联邦机构的措施提出质疑,并包含了专业性的建议。 美国审计署信息系统审计建议针对性较强,内容具体化。在近些年的信息系统审计工作中,美国审计署提出了数百条具体化建议,协助联邦机构应对网络信息安全的挑战。并且,在针对改善具体某一政府部门的网络信息安全管理中,美国审计署也提出了较多详实的建议。 例如,对于国家税务部门的信息安全,美国审计署曾经提出了四项专业性较强的具体措施:一是更新政策和程序以保证限制全球登录权限的分配,同一服务器上的多个数据库使用正确的用户账号,不同系统间的数据共享,淘汰旧的安全标准,以及建立用户进入系统授权的协调性;二是更新测试和评价方法以保证用户的鉴别控制得以有效实施;三是更新主机测试和评估程序以提高对机构政策执行的周期性监督;四是制定一个持续监督的战略计划,明确每个组织层级的要求和行为。 美国审计署对信息系统审计建议进行持续跟踪,并对其效果以及存在的新问题进行连贯性分析。美国审计署在对政府综合财务报告进行审计的过程中,非常重视对信息系统控制的检查,将其作为审计的重要部分。2015年6月发布的审计报告指出,2014财年美国审计署在对信息控制系统审查过程中,发现的与联邦债务计划相关的关键财政服务金融系统的不足,还包含对以往审计报告提出的关于信息系统控制相关问题和相关建议的跟踪结果。 在对财政部财政服务局截至2014年9月的联邦债务计划审计期间,美国审计署结合2013年审计报告,发现了财政服务局的9个新信息服务系统在安全管理、访问控制和配置管理等方面存在一般控制漏洞。在一份单独发布的仅限官方使用的报告中,审计署指出了财政服务局9个新的信息系统存在的一般控制漏洞的详细信息,并且对这些控制漏洞提出10条整改建议。美国审计署虽然指出了一些与信息系统相关的持续性的新控制漏洞,但不认为这些漏洞能够单独或整体地成为重大弱点或缺陷。然而,这些控制漏洞耗费了注意力和管理活动。 美国审计署对于联邦机构信息系统的审计建议具有的专业性和具体化特点值得借鉴。主要包括三点:一是全面而深入,美国审计署在近年的审计报告中指出了信息系统控制的各类问题,既包括信息系统本身的程序、结构性问题,又包括控,制和管理性问题;既包括单个机构所发现的行业性问题,又包括宏观层面整体的通用性问题。 二是其持续性,审计具有高度连贯性,将以往的审计建议措施进行不断跟踪追查,发现措施的实际效果,指出信息系统是在安全管理、访问控制、配置管理等的哪些方面成功修复了信息控制漏洞,哪些还需要提出新的漏洞纠正措施计划,逐个方面逐条措施进行阐述。 三是可操作性强,美国审计署的审计建议高度具体化,往往是针对系统控制的小环节提出专业性的建议,从而解决一个关键的局部问题,具有实际指导的价值。