审计机关信息化建设和管理中存在几个误区

来源：国际内审师发布时间：2012-01-22 国际内审师视频评论

由于各级审计机关信息化系统和具体情况的差异，在信息安全及网络安全方面所采取的做法有所不同，其中有些单位也难免走入一些误区，或者采取的方法有所欠缺。下面列举一些常见的误区及欠缺点，大家在工作中应引以为戒。
　　误区一：不够重视安全
　　虽然近年来由于信息安全事件的影响力上升，各级审计机关或多或少认识到信息安全的重要性，但是有些没有真正遭遇过信息安全事件的人，对于信息安全仍然不够重视。
　　也有一些领导由于事务繁忙，就忽略了对信息安全工作的过问，等到重大信息安全事件发生造成损失时，就为时已晚了。
　　还有一些负责信息安全工作的人员，对待工作不够认真负责，很多安全设备没有得到有效的管理，一些安全制度也没有得到严格执行，这些都容易导致信息安全事件的发生。
　　误区二：缺少合理规划
　　对信息安全缺少合理的规划，这在一些信息化程度相对落后的地区更为常见。缺乏合理规划可以表现在很多方面，最常见的现象是：一些审计部门年年有信息安全方面的投入，但投入缺少目标和针对性，导致重复投入、闲置浪费现象严重。还有一些审计机关对信息安全的理解比较片面，仍然停留在防火墙加防病毒等浅层次认识阶段，而对漏洞管理、风险管理、应急管理等没有相应的考虑。其直接后果是，面对不断出现的新型攻击手段，这些传统的安全措施不能起到良好的效果，从而导致信息安全事故频发。
　　合理的规划是一种事前控制的思路，但要做好这项工作并不是一件容易的事情，需要了解自身的安全目标和实际情况，还要具备相关能力的人才。
　　很多审计机关并不是没有中长期的安全规划，但是规划本身没有建立在对自身风险评估的基础之上，自然存在不足，这就容易造成后续工作的失误。因此，进行安全规划要从实际出发，慎重考虑，要避免由于错误的决策造成损失后再回头修补。
　　误区三：人员安全意识
　　有些人常会把安全意识与安全技术水平混为一谈，这就导致有些审计机关把安全意识培训当成安全技术培训来做，这种现象还是比较普通的。
　　但安全技术的提高并不代表安全意识的提高。一个懂得如何加固windows系统的人，并不代表他不会使用一个空口令或是弱密码，也不代表他不会打开一个来历不明的邮件附件。而一个对安全技术知之甚少的人，并不妨碍他做到使用强度高的密码，以及定期更换密码。
　　安全意识培训的重点在培养用户良好的安全习惯，对可疑事物保持谨慎态度，严格按安全策略办事。
　　当然，适当的安全技术培训也是必要的，但提高人员的安全意识与提高人员的安全技术水平是两件事。我们不能期望普通用户也能像安全专家一样通过专业技术来分辨各种安全威胁，但普通用户也应该重视安全，严格遵守各项安全规章制度。
　　安全意识培训中的另一个误区就是培训没有覆盖到所有人，其直接后果就是造成单位中人员之间的安全意识存在差异，而安全意识较弱的人员有可能葬送其他人员的努力成果。
　　误区四：过度依赖外部
　　信息安全是一项专业性很强的工作，审计机关的相关人员的技术力量比较薄弱，普遍缺少高水平的安全技术人员，因此对外部厂商必须存在一定程度的依赖。但是过度的依赖是不利于信息安全建设和保障的。
　　这种过度依赖在各级审计机关中还是比较普通的，比如：有些单位不分轻重，把一些日常安全管理交给服务商来处理。对于一些信息敏感和关系重大的业务，这些外来服务人员本身有可能带来新的风险，而且这样做也不利于自身工作人员能力的提高。
　　当然，一些简单重复的劳动还是可以让外包商或分包商去做的，但要注意进行监管。比如：某些审计机关的网站维护是分包给外部厂商来管理的，虽然这在政策上是允许的，但是单位自身也不能忽略审核检查的责任，无论如何，出了问题，自己也是承担相关责任的。因些，不能因为有了外包就撒手不管，也不能只依赖外部力量而忽略自身的控制。（江苏省南通市审计局阙圣贵）　

（本文内容仅为作者个人观点，不代表任何审计机关和本网站的观点，未经许可，不得转载）来源:审计署网

视频学习

我考网版权与免责声明

① 凡本网注明稿件来源为"原创"的所有文字、图片和音视频稿件，版权均属本网所有。任何媒体、网站或个人转载、链接转贴或以其他方式复制发表时必须注明"稿件来源：我考网"，违者本网将依法追究责任；

② 本网部分稿件来源于网络，任何单位或个人认为我考网发布的内容可能涉嫌侵犯其合法权益，应该及时向我考网书面反馈，并提供身份证明、权属证明及详细侵权情况证明，我考网在收到上述法律文件后，将会尽快移除被控侵权内容。