动态第18期美国审计署审计报告要览（2016年9月公布）.doc

PAGE 1 — PAGE 29 — 国外审计动态 第18期 （总第433期） 审计署审计科研所 2016年12月9日 美国审计署审计报告要览 （2016年9月公布） 联邦机构网络安全：应对网络威胁亟需行动 医药健康数据管控：美国食品药品管理局应当消除安全 控制缺陷 联邦预算监管：资金分级拨付的经验与反思 联邦研究资助：拨款应优化管理规则，提高使用效率 扶贫开发：项目发布和资格认证方面需加强监管 药价监管：医保非专利药品价格整体下降，部分猛增 知识产权审批：美国专利商标局应优化专利审查，提高 专利质量 观点摘编：美国审计署审计长多达罗主持召开“数据和分 析创新”论坛 美国审计署审计报告要览 （2016年9月公布） 联邦机构网络安全：应对网络威胁亟需行动 一、基本情况 美国联邦机构对计算机信息系统和电子数据的依赖，使它们更容易受到不断演变和广泛的网络威胁。保护这些系统和数据，对于国家的安全、福祉和繁荣至关重要。鉴于在有效实施网络安全保护上的风险和挑战，美国审计署自1997年开始将联邦信息安全指定为政府范围的高风险区域，2003年将范围扩大至支持国家关键设施的所有计算机系统，2015年2月将联邦和非联邦机构所收集、维护和共享的个人身份信息全部包括在内。为了改善国家的网络安全态势，美国审计署对现有的网络安全防护情况进行了审计，以明确联邦信息技术的安全环境以及应对挑战需采取的行动。 二、审计发现 从2006年至2015年，联邦机构发生的网络事件从5503起增加到77 183起，增长约13倍。可见，联邦机构的网络安全问题必须引起高度重视。以《联邦信息安全修正法案》 《联邦信息安全修正法案》（The Federal Information Security Modernization Act，简称FISMA），于2014年8月颁布，前身为2002年颁布的《联邦信息安全管理法案》（The Federal Information Security Management Act）。该法案旨在解决网络安全攻击日趋复杂的问题，促进使用连续监测和诊断联邦机构安全状态的自动化安全工具，并加强对联邦机构信息安全计划的监督。 为主的联邦法律和相关政策提供了一个确保联邦信息安全控制有效性的完整框架，为白宫管理和预算办公室、国土安全部和各个行政机构等部门分配了具体的实施与监管责任。其中，白宫管理和预算办公室负责制定联邦机构的信息安全政策、原则、标准与指南，并监督其实施情况。各联邦机构全面负责所在部门的信息安全保护，并制定、记录和实施全机构的信息安全计划。审计发现，各联邦机构没有一贯、充分和有效地来执行网络安全框架中的各项政策。具体来说，各个机构需要着力采取以下几个方面的行动。 （一）有效实施基于风险的信息安全计划。各机构需更加全面有效地建立和实施信息安全计划。具体而言，联邦机构需要提高识别网络威胁的能力，实施安全配置计算机资产的可持续流程，修补易受攻击的系统，更换不受支持的软件，定期对网络安全性进行全面测试和评估，加强对信息技术承包商的监管。 （二）提高检测、响应和解决网络事件的能力。即使具有强大的安全防护，联邦机构仍有可能受到未知漏洞的攻击。为解决这一问题，国土安全部应提高对网络入侵的监测和预防能力，其他联邦机构应改进应对网络威胁和数据泄露的措施。 （三）扩大网络从业人员的数量并加强培训。目前，政府部门中具有专业技能的网络安全人员的数量和质量仍有较大的提升空间。各个机构应加强网络安全工作队伍建设，提升培训质量。 三、审计建议 在过去几年中，美国审计署向联邦机构提出了总共约2500项建议，以加强各联邦机构的信息安全计划和网络控制系统。这些建议涉及监测计算机与网络安全的众多层面。但是，许多机构在应对网络威胁方面仍有较大缺陷。出现这一情况的重要原因是，很多审计建议未被执行。截至2016年9月16日，建议中约有1000项还没有被实施。美国审计署重申了这些建议在加强网络安全方面的重要性。 医药健康数据管控：美国食品药品管理局应当消除安全控制缺陷 一、基本情况 美国食品药品管理局在确保食品药品的安全、有效方面负有主要责任。美国食品药品管理局广泛应用信息系统来接收、处理和维护敏感的医药行业与公共健康数据，包括药物文件和不良反应报告等信息。实施有效的信息安全控制，确保美国食品药品管理局的计算机系统和相关数据资源得到充分保护，免于无意或故意的滥用、不当的修改、未经授权的披露和破坏等至关重要。为此，美国审计署对食品药品管理局关键信息系统的安全控制情况进行了审计。 审计过程中，美国审计署选取了7个代表性的信息系统，测试了控制装置，检查了信息保护的机密性、完整性和可用性，评估了有效实施信息安全控制的程度。此