論通信企業信息安全審計

導語：論通信企業信息安全審計一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

一、信息安全管理審計

1獲取并查看公司在業務導向的風險評估、信息安全規劃和預算方面的制度和文件。2訪談公司領導，了解風險評估、信息安全規劃和預算方面的執行情況，檢查管理層是否對信息安全規劃執行情況進行定期審閱，并取得相關證明材料。風險3：員工未簽署保密協議，無法在信息安全方面對員工要求和考核的風險。審計方法：1獲取并查看公司在員工保密方面的制度和措施。2訪談公司管理層并了解是否與員工簽訂保密條款，獲取并查看公司在安全意識教育方面的計劃、執行情況，并取得相關證明資料。3檢查離職員工系統賬號的清理情況。

二、數據泄露保護審計

風險1：CRM、計費、經營分析、網上營業廳等應用系統在開發環境、測試環境、生產環境方面的控制風險。具體包括：外包人員在不受限或未授權的狀態下訪問生產測試環境，進行數據修改或拷貝；測試環境、生產環境信息保護不足，增加了數據泄漏的風險等。審計方法：1獲取并查看開發上線流程授權管理制度和流程；查看公司在應用系統開發環境、測試環境、生產環境方面的管理制度；訪談系統管理員，了解服務器功能和工作流程。2訪談開發環境、測試環境、生產環境負責人，了解對用戶授權、密碼策略、日志的管理情況；查看是否包含對開發人員權限管理的控制、開發上線流程所涉及服務器的現有賬號的授權審批、密碼策略、日志（登錄日志、操作日志的管理情況；如開發人員中包括外包人員，須特別標出并查看；了解日志審閱情況，并獲取相關證明資料。3訪談測試環境、生產環境應用負責人，獲取并查看公司的數據安全性分級標準、了解數據導出和查詢功能授權標準；了解數據導出和查詢功能是否有安全風險評估、上線前是否有功能測試、上線后權限授予審批情況，并取得相關資料；風險2：業務支撐系統的測試數據庫、生產數據庫方面的控制風險。具體包括：環境保護不足，存在數據庫環境未授權修改、數據泄露、數據庫停機的風險；關鍵業務數據未加密存儲，存在數據泄露的風險；操作系統和數據庫有漏洞，存在數據泄露和停止服務的風險等。審計方法：1獲取并查看測試數據庫、生產數據庫管理制度；訪談數據庫管理員，了解數據庫的用戶訪問控制、密碼策略、數據庫日志（登錄日志、操作日志審閱情況；了解數據庫用戶密碼的保存方式是否為明文、是否已修改默認密碼。2獲取并查看公司對業務數據加密的管理規定和要求；訪談應用管理員，了解業務數據加密情況，并獲取相關證明資料；3獲取并查看公司在安全性掃描方面的管理制度；訪談相關人員，了解安全性掃描執行情況；通過掃描生產環境、開發環境和測試環境操作系統和數據庫的方式，測試生產環境、開發環境和測試環境的操作系統和數據庫是否存在漏洞；訪談相關人員，確認未打補丁的漏洞的合理性；風險3：網絡架構及防火墻設置不當等方面的控制風險。包括：網絡保護和劃分不當，存在計算機環境被攻擊的風險；防火墻控制不當，存在未授權訪問、關鍵設備保護不當的風險；服務器間傳輸未加密，存在數據泄露的風險等。審計方法：1獲取并查看公司網絡管理制度流程、網絡拓撲圖；訪談網絡管理員，了解生產服務器是否在獨立網段，此網段是否存在非生產服務器；了解外包人員所在網段是否為獨立網段。2獲取并查看公司防火墻管理制度流程，獲取生產服務器所在網段防火墻訪問控制列表；通過在非生產網段個人計算機掃描生產網段IP地址的方式，測試生產網段向非生產網段開放了那些IP地址和端口，確認已開放IP地址和端口的合理性。3獲取并查看公司對應用服務器與數據庫服務器間加密傳輸的管理規定和要求；了解應用服務器與數據庫服務器間傳輸是否加密，并獲取相關證明資料。

三、IP外包管理審計

風險1：軟件開發上線流程風險。檢查是否存在不規范的軟件開發和上線流程，是否存在代碼被惡意更改的風險。審計方法：1獲取并查看軟件開發和上線相關制度流程。2對軟件開發和上線流程進行穿行測試，了解軟件開發和上線流程中現有賬號是否經過授權審批（如：源代碼服務器、編譯服務器、版本服務器等環境中的賬號是否經過授權審批，并獲取相關證明資料。風險2：應用系統源代碼審閱風險，檢查源代碼中是否插入了惡意代碼等。審計方法：1獲取并查看公司對源代碼安全性的審閱制度，如：源代碼安全標準，審閱內容、頻度、人員、范圍等。2訪談相關負責人，了解源代碼審閱情況，并獲取相關資料。風險3：數據脫敏處理風險，主要是客戶信息通過測試數據泄露的風險。審計方法：1獲取并查看公司在非生產環境敏感信息清理方面的制度、敏感信息的定義。2對數據脫敏情況進行穿行測試，實地查看非生產環境的應用系統，檢查非生產環境是否存在未脫敏信息，尤其需要驗證高保密性信息，如黨政軍客戶信息等。

四、信息系統監控審計風險

1：應用系統、操作系統和數據庫監控、網絡監控等方面的風險。包括缺少應用和用戶行為監控，無法對用戶的惡意行為進行有效監控的風險；缺乏服務器和數據庫監控，無法及時發現服務器和數據庫的安全故障，存在數據泄露和業務系統停止服務的風險；缺乏網絡監控，無法及時發現潛在或實際存在的惡意入侵或網絡攻擊，存在數據泄露風險。審計方法：1獲取并查看公司對用戶行為監控、設備監控、網絡監控等方面的制度；訪談監控管理員，了解監控執行情況、監控日志定期審閱情況；訪談網絡管理員，了解網絡檢測設備的使用。2訪談應用系統管理員，了解應用系統日志（登錄日志、操作日志審閱情況；訪談設備管理員，了解操作系統和數據庫日志（登錄日志、操作日志的審閱情況；訪談網絡管理員，了解對網絡操作日志的審閱情況。除以上常見風險點外，還可以關注未加密的個人計算機、未加密的移動存儲介質等，這些都可能存在數據泄露的風險。還可以對IT外包合同進行檢查，防范外包人員在服務過程中，發生損害企業信息安全的行為。

本文作者：范長安工作單位：中國電信陜西公司