近年来，各级党委、政府陆续建设各类信息系统，力求打造高效、透明的服务型数字政府，向网络要速度、向数据要效率已成为趋势。然而每样技术都具有两面性，我们在享受数字红利的同时，也同样面临着较大的网络安全风险，网络攻击、数据泄露事件时有发生，严重威胁社会经济平稳运行。审计机关作为国家监督体系的重要组成部分，需要在国家重大战略及计划的执行方面发挥其审计监督的作用，防范、发现并化解重大风险。为此，各级审计部门都在探索性开展网络安全审计，但从近期审计工作开展情况来看，审什么、如何审仍存在诸多难点。

一、开展网络安全及信息化建设审计工作的现状

（一）专业人员力量薄弱

很长时间以来，各级审计机关招录审计人员主要集中在财会、金融以及工程等领域。随着大数据审计的广泛应用，才陆续有计算机相关专业人员进入审计队伍，但占比仍旧较小，且从业经验匮乏，甚至有的审计机关全单位上下都没有审计人员具有计算机相关专业背景。再就是信息技术是一个快速发展变化的领域，各种技术层出不穷，即便是行业内人员，也需要不断学习，随时更新自身的专业知识。因此对于国家审计机关工作人员这种“门外汉”来说，实施好网络安全审计着实是一个不小的挑战。

（二）网络安全及信息化建设审计重点不清晰

在国家审计层面，信息系统以及网络安全审计还属于新兴事物，各级审计部门尚处于摸索阶段，上级部门下发的工作方案中对于该部分内容描述大都较为宏观，再加上相关工作开展时间较短、缺乏专业人员等原因，没能积累足够的审计经验，致使大家在网络安全审计应该关注哪些方面的问题上没有清晰的思路和深刻地认识。

（三）开展网络安全审计缺少指导性方案

信息系统的种类多种多样，其开发语言及使用的各类前沿技术也各不相同，对于非专业人员，从何处着手实施，如何有效的识别被审计单位信息系统中存在的网络安全风险，仍没有系统的指导性方案可供参考。

二、开展网络安全及信息化建设审计的若干思考

（一）引入并培养专业力量

除了要尽快通过人员招录来补充网络安全相关专业人员外，还可以聘请高校讲师和企业高级技术人员为审计人员授课，普及网络安全知识，让各审计人员对网络安全有一个清晰的认识，了解各类信息系统的风险点及其对应的挖掘手段。此外，还可以转变审计模式，在经济责任审计中不再由各审计组实施被审计单位信息系统安全性审计，转由单位组织专业的力量统一负责各审计组信息系统安全性方面的审计工作，或定期组织信息系统网络安全专项审计。

（二）明确审计方向

网络安全审计涉及软件开发、服务器运维、网络设备管理等诸多专业领域，没有多年的行业经验，很难深入发掘系统中存在的重大漏洞。因此，审计机关无需将注意力过度放在程序代码漏洞审查等太过专业的层面，而应结合本单位审计人员技术水平，重点关注各类安全防护措施是否落实。比如，与金融机构使用的系统要求不同，政府、学校等部门使用的信息系统对可承受拒绝服务式攻击能力要求不高，被攻击后短时间的无法访问其实可以接受，故而可重点关注被审计单位是否有应对攻击的预案，是否具备在短时间内让信息系统恢复上线的能力和保障措施，以及是否采取了可靠的防范手段来保证系统被侵入后敏感数据不会外泄。

（三）编制科学合理、可操作性强的审计指引

依据国家颁布的《国家安全法》《网络安全法》《数据安全法》及相关条例中有关规定，梳理网络安全管理层面规定，并针对性地制定可操作性强的审计指引供各审计人员作为参考来开展审计，审查各部门是否严格、有效落实法律的相关规定及配套制度文件，是否制定了完整、详细的管理制度来保障部门数据和网络的安全，网络安全项目是否有序实施、能否达到预期效果等。审计指引中审计关注点应科学合理，审计方法要切实可行，能与审计人员技术水平相匹配，确保经过短期的培训即可参考审计指引上手实施。例如，可关注信息系统中未使用的网络端口号是否关闭、涉密系统所在服务器是否有隔离措施、是否使用HTTPS等加密协议进行网络传输、数据库中存储的敏感信息是否经加密后存储、常见的SQL注入和跨站访问攻击等有无针对性的防御措施、数据库有无定期备份、日志是否完整，以及是否采取视频监控等手段来防范内部人员导致的数据泄露。