首页>解决方案>政策法规

政策法规

  国家审计署认真落实信息安全等级保护制度

  审计署按照国家信息安全等级保护工作的整体部署,认真研究掌握信息安全等级保护有关政策规范和配套标准,结合审计工作业务实际,分析确定审计信息化的安全需求,在金审工程项目规划建设过程中,同步进行安全等级保护工作,按照等级保护规范要求和标准落实各项安全保护措施和安全管理制度,取得了显著的工作成效。

  国家审计署承担着维护国家财政经济秩序,保障国民经济和社会健康发展的职责任务,依法对政府及部门、国有金融机构和企业事业组织的财政财务收支进行审计监督。审计工作具有涉及面广、专业性强、数据信息庞杂、敏感等特殊性,体现在审计信息化系统安全等级保护工作方面具有以下主要特点:

  一、计算机终端安全保护。审计机关履行职能的一般方式是组织审计组到被审计单位采集数据进行分析评价。由于审计面向所有的国有经济行业,在计算机终端上存储着大量的工作秘密和商业秘密信息。同时互联网上承载着越来越多的审计工作所需信息,获取互联网信息给计算机终端安全带来极大隐患。此外,为了及时汇总情况、指导工作,现场审计必须与审计机关及时交互信息。因此,计算机审计终端的信息获取、存储处理、共享交换方式一方面表现为审计职能的特点,另一方面又成为审计信息系统“病从口入”的安全保护关键点。为此,审计署按照《信息安全等级保护管理办法》和相关技术标准要求,设计采用了身份认证、访问控制、数据加密、系统加固、防范病毒、强化审计等一系列安全保护措施,确保计算机审计终端的安全。

  二、共享交换的四级互联系统安全保护。中央和地方四级审计机关互联互通、信息资源交换共享是审计机关履行职能的基本需求。一方面根据《审计法》的规定,审计署在国务院总理领导下主管全国的审计工作,中央对地方审计机关进行业务指导和管理。另一方面,由于我国财政体制实行中央补助地方的宏观调控机制,大量的中央财政资金在地方使用管理,需要中央和地方审计机关实施业务协同、资源共享。

  近年来,审计署依托国家电子政务外网资源,构建了中央和地方四级审计机关互联系统,建立了中央和省两级审计数据中心和交换中心。但是,由于我国电子政务建设中央和地方的不同步,各地建设情况也是参差不齐、技术标准不统一、安全架构和防范强度差异明显,四级审计互联系统的安全防范工作存在许多薄弱环节和实际困难。为此,审计署按照信息安全等级保护的设计技术要求等有关标准,重点强化安全区域划分、边界保护等方面的措施,采用了相关的VPN技术、网关技术、认证和访问控制技术、安全审计等保护措施,同时注重加强安全通信网络的数据传输保护、可信接入保护等。

  三、分域分级规划保护。审计业务信息的汇聚特点是由审计组向审计机关汇聚,由下级审计机关向上级审计机关汇聚,直至审计署将所有汇聚信息形成综合报告提交国务院和全国人大,并向社会公众发布。审计业务信息在逐级汇聚过程中的敏感度呈现由低到高、由非密到涉密的特点。为了保障审计信息系统的整体安全,审计署明确了审计信息系统安全等级保护策略,按照业务信息的流向和敏感度的变化,随着信息逐级汇聚敏感度由低到高进行分域分级规划、设计和建设。因此,审计署在金审工程安全体系总体规划中,对中央、省、市、县四级审计机关非涉密信息系统进行整体设计、分域分级、逐级提高的规划策略,根据《信息安全等级保护管理办法》对信息系统安全等级划分的规定,确定各个安全域的安全保护等级。

  第一层分域为地市和区县审计机关信息系统,因金审工程采用地市带区县的信息系统部署方式,300多个地市审计机关信息系统安全域中包括3000多个区县审计机关,这层安全域安全保护等级确定为二级。第二层分域为37个省级审计机关和18个审计署派驻地方机构信息系统安全域,这层安全域安全保护等级确定为三级。第三层分域为审计署机关即中央审计机关信息系统安全域,这层安全域安全保护等级确定为三级,并采用三级增强保护。同时,金审工程中还规划了中央和省两级审计机关涉密信息系统,根据国家保密部门的信息交换规范要求,设计建设了非涉密信息系统向涉密信息系统单向数据导入系统。

  由此,金审工程按照国家信息系统安全等级保护的要求,进行了整体设计、分域分级、逐级提高、两网单向交换的规划和建设,既满足了审计业务信息在逐级汇聚过程中的敏感度由低到高、由非密到涉密的业务需求,又确保了各安全保护等级信息系统的安全保护需求。

  在落实信息安全等级保护制度、增强信息系统安全保障水平的过程中,我们体会到政务业务犹如货物,把货物从甲地安全地运送到乙地是政务业务的需要;而信息安全等级保护制度犹如交通法规,如何按照交通法规要求进行货物车辆的安全保护和安全运输,是信息系统安全建设的重要任务。落实安全等级保护、增强信息系统安全的工作重心在于,必须确保政务业务的有效和安全运行。因此,信息系统运营使用单位应当在认真分析政务职能需求和业务特点基础上,按照国家信息安全等级保护要求,同步规划、设计和建设,落实各项信息系统安全保护技术措施和安全管理制度。