赖振杰
【摘 要】在某省移动公司业务支撑系统迅速发展的同时,数据信息安全问题也逐渐成为制约系统发展、威胁数据可靠性的第一隐患。某省移动公司针对现状进行实践和创新,提出以业务和风险为中心来推进信息安全建设,根据SOX(《萨班斯法案》)的审计要求,制定分级审计的方案,即审计工作的分级负责、协同处理,审计任务由操作者责任单位的审计人员负责执行,保障审计任务处理的确定性、及时性。
【Abstract】With the rapid development of the business support system of a mobile company in a certain province, data information security has gradually become the first hidden danger that restricts the development of the system and threatens the reliability of data. According to the current situation to practice and innovate, a mobile company in a province proposes to promote information security construction by focusing on business and risk. According to the auditing requirements of SOX (sarbanes act), a hierarchical auditing scheme is formulated, namely, the hierarchical responsibility and cooperative processing of audit work. Audit tasks are performed by the auditors of the operator's responsibility unit to ensure the certainty and timeliness of the handling of audit tasks.
【关键词】电信运营企业;信息安全管理;分级审计
【Keywords】telecommunication operation enterprise; information security management; hierarchical auditing
【中图分类号】F239 【文献标志码】A 【文章编号】1673-1069(2019)06-0022-02
1 建设背景
近年来,移动业务迅速发展,业务数据量激增,数据安全问题也日益突出,对信息安全的审计要求也在逐步提升。为督促落实各项信息安全管理办法、技术规范,根据《萨班斯法案》的审计要求,结合实际,制定分级审计的方案,即审计工作的分级负责、协同处理,审计任务由操作者责任单位的审计人员负责执行,保障审计任务处理的准确性、及时性。
2 常态化的分级审计模式
某省移动公司的分级审计模式基于4A审计平台进行建设,主要包括审计系统的分级权限管理、审计策略制定前移、分级审计工作推广三方面的工作。(图1)
基于分级审计系统建立了以审计任务、审计职责为核心的分级审计责任制,从审计职责明确化、审计工作常态化、审计体系层次化三个方面来规范该省的分析审计工作。
①审计职责明确化:合理划分审计权限、数据范围,使各级审计人员执行职責范围内的审计任务。②审计工作常态化:将审计工作推向日常业务支撑运营规范化、流程化。③审计体系层次化:落实安全审计工作的多级管理,将审计工作贯彻到基础运营单元,各级审计人员负责处理职责内的安全审计事件。
分级审计管理主要包括:审计任务生成、任务分派、任务执行、任务反馈四个环节。分级审计管理支持根据组织机构、业务系统维度划分审计数据权限范围,并在4A平台中实现审计权限分级配置。各级审计人员可以对其权限范围内的审计事件进行分析,并根据操作行为审计级别、审计预警级别生成、分派、执行审计任务,反馈执行结果。
2.1 常态化分级审计工作
某省移动公司在分级审计工作中要求市级分公司对所有接入系统进行全面审计,审计范围应至少包括帐号管理类、认证登录类、敏感数据操作类、关键操作类、金库专题审计等模块的审计类别。目前覆盖情况如下表。
[指标项 覆盖情况 安全平台整体情况 4A管理平台 覆盖BOSS/CRM、BASS、BOMC、ESOP、主机、数据库等资源 金库模式管理 覆盖BOSS/CRM、BASS、ESOP、主机、数据库等系统 安全管控范围 资源 BOSS/CRM、客服、BASS、BOMC、ESOP、防火墙、网络设备、主机、数据库等系统 人员 使用BOSS/CRM、BASS、BOMC、ESOP、防火墙、网络设备、主机、数据库等系统的相关人员,包括:公司员工及三方合作伙伴人员 ]
市级分公司基于4A审计系统,采用分析日志、稽核报表等措施,对业务支撑系统操作日志进行审计,及时发现可能存在的安全隐患,为调整安全管理策略提供依据。按照省公司审计管理部门既定策略,如实对审计情况以月报形式进行汇总上报,并对异常情况做出书面说明及调查报告[1]。
2.2 针对性的分级审计策略
根据该省系统特点,分帐号管理、认证登录、敏感数据操作、关键操作、审计人员登陆及操作五大类来设定分级审计策略,目前已执行的常态化的分级审计策略已有50多条,有效地提升了事后安全稽核水平。
市级分公司可根据实际情况,自行定制审计策略,在审计平台自定义数据模型及报表,展现自身较为关注的数据,并对这些数据进行策略制定及风险分析等,从而更有效地监控系统运行状态和对关键业务的审计操作。
3 契合业务的专项审计工作
基于分级审计系统开展了省公司-地市分公司一体化的专项审计工作,实现由分级审计系统发起,在BOMC系统业务流转、在审计系统结束的完整审计管理流程,规范了审计事件的分析处理全过程,提高审计工作质量和效率。同时,对于专项审计任务,任何地市的审计工作必须包含安全审计内容、审计方式、依据标准、审计方法、审计结果、问题描述、审计人员和被审计人员签字栏等。
目前,某省移动公司已经设定了“主帐号月变更审计”“主帐号认证登录审计”“客户资料信息操作审计”“密码重置异常行为审计”“客户详单信息操作审计”等14项专项审计工作,详细情况如右表。
省市一体化的专项审计体系,市公司审计管理员把专项审计工作中发现的问题录入工单流程系统,实现对审计安全事件的上报、受理、解决,一整套流程的自动化处理和归档等功能,更有效地把控安全风险[2]。
第一步:市公司审计管理员按专项审计工作的内容要求开展审计工作,将审计结果通过安全事件工单提交给省公司。第二步:省公司的审计管理员针对市公司专项审计报告中发现的安全事件,通过技术手段进行初步分析,对安全事件进行评估。第三步:如安全事件确实存在,省公司审计管理员将安全事件工单升级为问题工单,提交对应管理员进行处理,并依据问题工单对安全事件进行进度跟踪及过程管控。第四步:待安全事件解决后,问题工单再次流转至省公司审计管理员,其对处理或加固、整改的结果进行确认,无误后反馈给对应的市分公司审计管理员。
4 分级审计的建设成果
①成果一:审计效果显著,为公司业务发展保驾护航。分级审计模式自推广实施以来,共接收各地市反馈可疑问题61例,经过核实,确认安全问题14例,主要集中在人为恶意违规操作、业务系统BUG、应外挂程序、流程制度不完善等问题。②成果二:建立奖惩机制,激励分级审计工作的开展。省公司根据分级审计的效果对市分公司业务支撑考核进行加分,以此激励市公司分级审计工作的开展,充分调动地市人员积极性,使之能够更有效开展分级审计工作。③成果三:分级审计产生结果反向推进流程、制度及系统建设。某省移动公司建立了闭环管理的审计工作体系,定期针对分級审计工作结果及相关管理流程、制度进行完善,避免人为因素导致的安全问题出现。在分级审计工作中充分利用全省资源发现问题,不断丰富审计手段及策略,将优秀案例固化成审计报表供全省参考,并定期组织多方专家对这些问题进行分析,提出解决方案并推广全省。④成果四:以点概面,总结审计问题,进行常态化推广。在分级审计的推广和使用的过程中,针对某市分公司审计出的问题,按照影响范围,以点概面,形成以审计系统为运营基础的常态化安全策略,从而推广全省进行全面的审计稽核和问题发现。
5 结语
分级审计体系的建立,需要从实际业务出发,结合企业及应用业务特点不断完善,以业务为中心、以风险为抓手,调动全省各级安全审计人员的风险意识,完成对基于业务的安全审计工作,更有效地保障公司业务的持续稳定发展。
【参考文献】
【1】GB/T 22080-2008信息技术 安全技术 信息安全管理体系要求[S].
【2】王英梅,王胜开,陈国顺,程湘云编著.信息安全风险评估[M].北京:电子工业出版社,2007.