2023年信息系统年度审计报告

2023年信息系统年度审计报告一、审计概况（一）审计背景。为全面评估2023年度信息系统运行状况，保障信息安全，提升管理效能，审计组依据《中华人民共和国网络安全法》《信息系统安全等级保护管理办法》等法规，开展年度审计工作。（二）审计范围。本次审计覆盖公司总部及下属18家分公司的信息系统，包括财务系统、人力资源系统、生产管理系统、客户关系管理系统等核心业务系统，以及网络安全防护体系、数据备份机制等基础设施。（三）审计方法。采用文档审查、访谈核查、技术检测、模拟攻击等手段，对信息系统建设、运行、维护、管理全流程进行穿透式审计。二、信息系统建设管理（一）项目立项规范。2023年信息系统建设项目共32项，其中预算超500万元的重大项目7项。审计发现，23项项目未严格执行“三重一大”决策程序，存在立项依据不充分问题。（二）招投标管理。抽查5家第三方服务商合同，发现3份合同未按《招标投标法》公开招标，1份合同存在围标串标嫌疑，1份合同技术参数与实际需求不符。违规金额累计达1200万元。（三）建设过程监督。对10个在建项目进行现场核查，发现12处设计变更未履行审批手续，8处施工质量不符合国家标准，已责令整改并追责相关责任人。三、信息系统运行维护（一）系统可用性。全年核心系统平均可用率98.6%，较2022年提升0.8个百分点。但财务系统在2023年7月发生2次非计划停机，累计影响时长达4.5小时。（二）安全防护措施。部署防火墙、入侵检测系统等安全设备共47台套，全年拦截攻击尝试12.7万次。但审计发现，3个系统存在安全漏洞未及时修复，1个系统弱口令问题未整改。（三）数据备份恢复。执行全量数据备份共12次，增量备份每日执行。开展3次数据恢复演练，成功率仅为82%，存在数据丢失风险。四、信息系统安全管理（一）访问控制管理。全年共处理异常登录事件236起，其中内部人员违规操作占67%。但权限管理存在漏洞，3名离职员工仍保留系统访问权限。（二）安全审计日志。所有系统均配置日志记录功能，但日志存储期限不足6个月，部分系统日志格式不规范，无法满足安全追溯要求。（三）应急响应机制。制定应急预案共8份，开展应急演练4次。但在2023年9月遭受DDoS攻击时，响应时间超过标准时限30分钟。五、信息系统合规管理（一）等级保护测评。完成等级保护测评共15项，其中12项存在中高级风险。已整改风险点87处，但整改完成率仅为76%。（二）数据安全合规。涉及个人信息的数据处理活动共23项，其中5项未履行告知同意义务，3项未进行数据影响评估。（三）监管检查整改。针对监管机构检查发现的问题，制定整改措施12项，完成整改9项，剩余3项预计2024年3月完成。六、信息系统管理改进建议（一）完善项目管理制度。建立项目全生命周期管理平台，实现立项、招投标、建设、验收等环节电子化审批，杜绝违规操作。（二）强化运维保障能力。增加专业运维人员编制，引入自动化运维工具，将系统可用率提升至99.5%以上。建立运维绩效考核机制，与运维费用挂钩。（三）提升安全防护水平。开展季度漏洞扫描，建立漏洞修复责任制，实施“零日漏洞”快速响应机制。加强员工安全意识培训，每季度考核一次。（四）健全合规管理体系。成立数据合规办公室，配备专职合规人员。建立数据分类分级制度，对敏感数据实施加密存储和脱敏处理。（五）优化应急响应流程。修订应急预案，明确各环节责任人，缩短响应时间。建立应急资源库，确保应急物资充足。（六）加强审计监督力度。将信息系统审计纳入年度审计计划，每季度开展一次专项审计。建立问题整改台账，实行销号管理。七、审计结论（一）总体评价。2023年信息系统运行总体平稳，但存在项目管理不规范、安全防护不到位、合规意识薄弱等问题，需立即整改。（二）主要问题。一是项目管理存在漏洞，23项项目未按程序审批；二是安全防护存在隐患，12处漏洞未及时修复；三是合规管理存在短板，5项业务未履行告知义务。（三）整改要求。各单位需制定整改方案，明确整改措施、责任人和完成时限。审计组将对整改情况