论通信企业信息安全审计

时间:2022-09-05 03:15:38

论通信企业信息安全审计

一、信息安全管理审计

1获取并查看公司在业务导向的风险评估、信息安全规划和预算方面的制度和文件。2访谈公司领导,了解风险评估、信息安全规划和预算方面的执行情况,检查管理层是否对信息安全规划执行情况进行定期审阅,并取得相关证明材料。风险3:员工未签署保密协议,无法在信息安全方面对员工要求和考核的风险。审计方法:1获取并查看公司在员工保密方面的制度和措施。2访谈公司管理层并了解是否与员工签订保密条款,获取并查看公司在安全意识教育方面的计划、执行情况,并取得相关证明资料。3检查离职员工系统账号的清理情况。

二、数据泄露保护审计

风险1:CRM、计费、经营分析、网上营业厅等应用系统在开发环境、测试环境、生产环境方面的控制风险。具体包括:外包人员在不受限或未授权的状态下访问生产测试环境,进行数据修改或拷贝;测试环境、生产环境信息保护不足,增加了数据泄漏的风险等。审计方法:1获取并查看开发上线流程授权管理制度和流程;查看公司在应用系统开发环境、测试环境、生产环境方面的管理制度;访谈系统管理员,了解服务器功能和工作流程。2访谈开发环境、测试环境、生产环境负责人,了解对用户授权、密码策略、日志的管理情况;查看是否包含对开发人员权限管理的控制、开发上线流程所涉及服务器的现有账号的授权审批、密码策略、日志(登录日志、操作日志的管理情况;如开发人员中包括外包人员,须特别标出并查看;了解日志审阅情况,并获取相关证明资料。3访谈测试环境、生产环境应用负责人,获取并查看公司的数据安全性分级标准、了解数据导出和查询功能授权标准;了解数据导出和查询功能是否有安全风险评估、上线前是否有功能测试、上线后权限授予审批情况,并取得相关资料;风险2:业务支撑系统的测试数据库、生产数据库方面的控制风险。具体包括:环境保护不足,存在数据库环境未授权修改、数据泄露、数据库停机的风险;关键业务数据未加密存储,存在数据泄露的风险;操作系统和数据库有漏洞,存在数据泄露和停止服务的风险等。审计方法:1获取并查看测试数据库、生产数据库管理制度;访谈数据库管理员,了解数据库的用户访问控制、密码策略、数据库日志(登录日志、操作日志审阅情况;了解数据库用户密码的保存方式是否为明文、是否已修改默认密码。2获取并查看公司对业务数据加密的管理规定和要求;访谈应用管理员,了解业务数据加密情况,并获取相关证明资料;3获取并查看公司在安全性扫描方面的管理制度;访谈相关人员,了解安全性扫描执行情况;通过扫描生产环境、开发环境和测试环境操作系统和数据库的方式,测试生产环境、开发环境和测试环境的操作系统和数据库是否存在漏洞;访谈相关人员,确认未打补丁的漏洞的合理性;风险3:网络架构及防火墙设置不当等方面的控制风险。包括:网络保护和划分不当,存在计算机环境被攻击的风险;防火墙控制不当,存在未授权访问、关键设备保护不当的风险;服务器间传输未加密,存在数据泄露的风险等。审计方法:1获取并查看公司网络管理制度流程、网络拓扑图;访谈网络管理员,了解生产服务器是否在独立网段,此网段是否存在非生产服务器;了解外包人员所在网段是否为独立网段。2获取并查看公司防火墙管理制度流程,获取生产服务器所在网段防火墙访问控制列表;通过在非生产网段个人计算机扫描生产网段IP地址的方式,测试生产网段向非生产网段开放了那些IP地址和端口,确认已开放IP地址和端口的合理性。3获取并查看公司对应用服务器与数据库服务器间加密传输的管理规定和要求;了解应用服务器与数据库服务器间传输是否加密,并获取相关证明资料。

三、IP外包管理审计

风险1:软件开发上线流程风险。检查是否存在不规范的软件开发和上线流程,是否存在代码被恶意更改的风险。审计方法:1获取并查看软件开发和上线相关制度流程。2对软件开发和上线流程进行穿行测试,了解软件开发和上线流程中现有账号是否经过授权审批(如:源代码服务器、编译服务器、版本服务器等环境中的账号是否经过授权审批,并获取相关证明资料。风险2:应用系统源代码审阅风险,检查源代码中是否插入了恶意代码等。审计方法:1获取并查看公司对源代码安全性的审阅制度,如:源代码安全标准,审阅内容、频度、人员、范围等。2访谈相关负责人,了解源代码审阅情况,并获取相关资料。风险3:数据脱敏处理风险,主要是客户信息通过测试数据泄露的风险。审计方法:1获取并查看公司在非生产环境敏感信息清理方面的制度、敏感信息的定义。2对数据脱敏情况进行穿行测试,实地查看非生产环境的应用系统,检查非生产环境是否存在未脱敏信息,尤其需要验证高保密性信息,如党政军客户信息等。

四、信息系统监控审计风险

1:应用系统、操作系统和数据库监控、网络监控等方面的风险。包括缺少应用和用户行为监控,无法对用户的恶意行为进行有效监控的风险;缺乏服务器和数据库监控,无法及时发现服务器和数据库的安全故障,存在数据泄露和业务系统停止服务的风险;缺乏网络监控,无法及时发现潜在或实际存在的恶意入侵或网络攻击,存在数据泄露风险。审计方法:1获取并查看公司对用户行为监控、设备监控、网络监控等方面的制度;访谈监控管理员,了解监控执行情况、监控日志定期审阅情况;访谈网络管理员,了解网络检测设备的使用。2访谈应用系统管理员,了解应用系统日志(登录日志、操作日志审阅情况;访谈设备管理员,了解操作系统和数据库日志(登录日志、操作日志的审阅情况;访谈网络管理员,了解对网络操作日志的审阅情况。除以上常见风险点外,还可以关注未加密的个人计算机、未加密的移动存储介质等,这些都可能存在数据泄露的风险。还可以对IT外包合同进行检查,防范外包人员在服务过程中,发生损害企业信息安全的行为。

本文作者:范长安工作单位:中国电信陕西公司