美国审计署审计报告要览9月公布.docVIP

PAGE 1 — PAGE 1 — 国外审计动态 第18期 （总第433期） 审计署审计科研所 2016年12月9日 美国审计署审计报告要览 （2016年9月公布） 联邦机构网络安全：应对网络威胁亟需行动 医药健康数据管控：美国食品药品管理局应当消除安全 控制缺陷 联邦预算监管：资金分级拨付的经验与反思 联邦研究资助：拨款应优化管理规则，提高使用效率 扶贫开发：项目发布和资格认证方面需加强监管 药价监管：医保非专利药品价格整体下降，部分猛增 知识产权审批：美国专利商标局应优化专利审查，提高 专利质量 观点摘编：美国审计署审计长多达罗主持召开“数据和分 析创新”论坛 美国审计署审计报告要览 （2016年9月公布） 联邦机构网络安全：应对网络威胁亟需行动 一、基本情况 美国联邦机构对计算机信息系统和电子数据的依赖，使它们更容易受到不断演变和广泛的网络威胁。保护这些系统和数据，对于国家的安全、福祉和繁荣至关重要。鉴于在有效实施网络安全保护上的风险和挑战，美国审计署自1997年开始将联邦信息安全指定为政府范围的高风险区域，2003年将范围扩大至支持国家关键设施的所有计算机系统，2015年2月将联邦和非联邦机构所收集、维护和共享的个人身份信息全部包括在内。为了改善国家的网络安全态势，美国审计署对现有的网络安全防护情况进行了审计，以明确联邦信息技术的安全环境以及应对挑战需采取的行动。 二、审计发现 从2006年至2015年，联邦机构发生的网络事件从5503起增加到77 183起，增长约13倍。可见，联邦机构的网络安全问题必须引起高度重视。以《联邦信息安全修正法案》 《联邦信息安全修正法案》（ 《联邦信息安全修正法案》（The Federal Information Security Modernization Act，简称FISMA），于2014年8月颁布，前身为2002年颁布的《联邦信息安全管理法案》（The Federal Information Security Management Act）。该法案旨在解决网络安全攻击日趋复杂的问题，促进使用连续监测和诊断联邦机构安全状态的自动化安全工具，并加强对联邦机构信息安全计划的监督。 （一）有效实施基于风险的信息安全计划。各机构需更加全面有效地建立和实施信息安全计划。具体而言，联邦机构需要提高识别网络威胁的能力，实施安全配置计算机资产的可持续流程，修补易受攻击的系统，更换不受支持的软件，定期对网络安全性进行全面测试和评估，加强对信息技术承包商的监管。 （二）提高检测、响应和解决网络事件的能力。即使具有强大的安全防护，联邦机构仍有可能受到未知漏洞的攻击。为解决这一问题，国土安全部应提高对网络入侵的监测和预防能力，其他联邦机构应改进应对网络威胁和数据泄露的措施。 （三）扩大网络从业人员的数量并加强培训。目前，政府部门中具有专业技能的网络安全人员的数量和质量仍有较大的提升空间。各个机构应加强网络安全工作队伍建设，提升培训质量。 三、审计建议 在过去几年中，美国审计署向联邦机构提出了总共约2500项建议，以加强各联邦机构的信息安全计划和网络控制系统。这些建议涉及监测计算机与网络安全的众多层面。但是，许多机构在应对网络威胁方面仍有较大缺陷。出现这一情况的重要原因是，很多审计建议未被执行。截至2016年9月16日，建议中约有1000项还没有被实施。美国审计署重申了这些建议在加强网络安全方面的重要性。 医药健康数据管控：美国食品药品管理局应当消除安全控制缺陷 一、基本情况 美国食品药品管理局在确保食品药品的安全、有效方面负有主要责任。美国食品药品管理局广泛应用信息系统来接收、处理和维护敏感的医药行业与公共健康数据，包括药物文件和不良反应报告等信息。实施有效的信息安全控制，确保美国食品药品管理局的计算机系统和相关数据资源得到充分保护，免于无意或故意的滥用、不当的修改、未经授权的披露和破坏等至关重要。为此，美国审计署对食品药品管理局关键信息系统的安全控制情况进行了审计。 审计过程中，美国审计署选取了7个代表性的信息系统，测试了控制装置，检查了信息保护的机密性、完整性和可用性，评估了有效实施信息安全控制的程度。此外，美国审计署还查阅了安全保密方面的政策、程序、报告和其他档案文件，检查了食品药品管理局的网络基础设施，并访谈了一些工作人员。 二、审计发现 在选取的7个信息系统中，虽然美国食品药品管理局采取了防护措施，但是信息系统的保密性、完整性和可用性仍存在安全控制缺陷。在针对未授权计算机资源的访问控制上，美国食品药品管理局还存在以下不足：（1）机构网络的边界没有得到充分保护；（2）无法一致识别和认证系统用户；（3）没有将用户的访问限定在职责所需范围