沂源县融媒体中心信息系统及网络安全管理专项审计调查报告

根据《中华人民共和国审计法》第二十九条的规定，县审计局派出审计组，于2023年5月19日至6月26日，对沂源县融媒体中心（以下简称县融媒体中心）信息系统及网络安全管理情况进行了专项审计调查，县融媒体中心对其提供的审计调查所需资料的及时性、真实性、完整性负责，并对此作出了书面承诺。县审计局的责任是依法独立实施审计并出具审计调查报告。

一、基本情况

2019年2月，县融媒体中心主管信息技术的部门为总工办。单位建有信息化专用机房，主要存放融媒体指挥中心系统、高清播出设备、网络安全设备、中央无线覆盖部分设施。

二、总体评价

从本次调查情况来看，县融媒体中心信息化程度较高，信息系统建设管理运行机制及网络安全管理逐步完善，成立了网络安全领导小组，制定了网络安全应急预案、网络安全系统建设和运维管理制度，对播出设备等进行了等保测评，但也存在信息化项目建设管理不到位、信息化管理方面人员力量不足等问题。

三、审计调查发现的问题

（一）信息化规划制定及实施方面

信息化发展规划可操作性不强

审查县融媒体中心信息化发展规划发现，规划制定指导性及可操作性不强。规划内容仅包含领导小组、网络安全整改、项目建设程序等内容，无任务分解、实施措施等内容，未经信息化主管部门审核，可操作性不强，信息化建设缺少统筹安排和长远规划。

不符合《国家信息化领导小组关于电子政务建设的指导意见》（中办发〔2002〕17号）第一条“电子政务建设必须按照国家信息化领导小组的统一部署，制定总体规划……”及《山东省信息化促进条例》（2008年山东省人民代表大会常务委员会公告第118号）第七条“其他有关部门负责编制本部门、本系统信息化发展规划，经本级人民政府信息化主管部门审核后实施”的规定。根据以上规定，县融媒体中心应完善本部门信息化发展规划，确保信息化工作统筹推进，长远发展。

（二）信息化项目建设管理方面

1.网络安全管理软件未严格安装

县融媒体中心2021年对中心信息系统及设备进行网络安全等级保护，实地查看发现仅在服务器安装杀毒软件，客户端未安装对应服务端杀毒软件，存在网络安全隐患。

违反了《中华人民共和国网络安全法》第二十一条：“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务……采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施……采取检测、记录网络运行状态、网络安全事件的技术措施……”的规定。根据以上规定，县融媒体中心应严格按照要求将网络安全管理软件安装到位。

2.未签订安全保密协议

县融媒体中心生产管理系统及智慧展示系统、指挥中心建设(B包）、高清播出系统，建设项目均未签订保安全保密协议。

违反了《中华人民共和国网络安全法》第三十六条“关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任”的规定。根据以上规定，县融媒体中心应及时与建设单位签订安全保密协议。

（三）信息系统安全管理方面

缺乏信息化人才，后期维护外部服务依赖程度较高

县融媒体中心信息化程度较高，未设立专门信息化建设及网络安全管理部门，无专职人员负责信息化建设及网络安全管理，缺乏信息化专业技术人才，信息化设备后期维护主要依靠设备供应商提供服务，一定程度上限制了信息化建设的发展进程，影响了网络安全管理。

不符合《山东省人民政府关于印发山东省“十四五”数字强省建设规划的通知》（鲁政字〔2021〕128号）“九、健全保障有力的推进机制（三）强化人才支撑……加强党政机关信息化管理人才队伍建设……”的规定。根据以上规定，县融媒体中心应强化信息化人才培养力度，提升信息化管理水平。

四、审计调查建议

（一）完善部门信息化发展规划，根据本部门实际情况，深入调研，制定可行的信息化发展规划，并报信息化主管部门审批，科学、有序推进信息化建设。

（二）严格抓好信息化项目建设管理，重视系统保密管理工作，及时签订保密协议，严格进行项目验收，保障信息化项目建设质量。

         （三）重视信息化人才培养工作，加强信息化方面的教育培训，建立人才培养机制，强化信息化建设与业务工作的融合。