強化安全審計工作分級閉環管理　提升安全防護水平

賴振杰

【摘 要】在某省移動公司業務支撐系統迅速發展的同時，數據信息安全問題也逐漸成為制約系統發展、威脅數據可靠性的第一隱患。某省移動公司針對現狀進行實踐和創新，提出以業務和風險為中心來推進信息安全建設，根據SOX（《薩班斯法案》）的審計要求，制定分級審計的方案，即審計工作的分級負責、協同處理，審計任務由操作者責任單位的審計人員負責執行，保障審計任務處理的確定性、及時性。

【Abstract】With the rapid development of the business support system of a mobile company in a certain province， data information security has gradually become the first hidden danger that restricts the development of the system and threatens the reliability of data. According to the current situation to practice and innovate， a mobile company in a province proposes to promote information security construction by focusing on business and risk. According to the auditing requirements of SOX （sarbanes act）， a hierarchical auditing scheme is formulated， namely， the hierarchical responsibility and cooperative processing of audit work. Audit tasks are performed by the auditors of the operator's responsibility unit to ensure the certainty and timeliness of the handling of audit tasks.

【關鍵詞】電信運營企業;信息安全管理;分級審計

【Keywords】telecommunication operation enterprise; information security management; hierarchical auditing

【中圖分類號】F239? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 【文獻標志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 【文章編號】1673-1069（2019）06-0022-02

1 建設背景

近年來，移動業務迅速發展，業務數據量激增，數據安全問題也日益突出，對信息安全的審計要求也在逐步提升。為督促落實各項信息安全管理辦法、技術規范，根據《薩班斯法案》的審計要求，結合實際，制定分級審計的方案，即審計工作的分級負責、協同處理，審計任務由操作者責任單位的審計人員負責執行，保障審計任務處理的準確性、及時性。

2 常態化的分級審計模式

某省移動公司的分級審計模式基于4A審計平臺進行建設，主要包括審計系統的分級權限管理、審計策略制定前移、分級審計工作推廣三方面的工作。（圖1）

基于分級審計系統建立了以審計任務、審計職責為核心的分級審計責任制，從審計職責明確化、審計工作常態化、審計體系層次化三個方面來規范該省的分析審計工作。

①審計職責明確化：合理劃分審計權限、數據范圍，使各級審計人員執行職責范圍內的審計任務。②審計工作常態化：將審計工作推向日常業務支撐運營規范化、流程化。③審計體系層次化：落實安全審計工作的多級管理，將審計工作貫徹到基礎運營單元，各級審計人員負責處理職責內的安全審計事件。

分級審計管理主要包括：審計任務生成、任務分派、任務執行、任務反饋四個環節。分級審計管理支持根據組織機構、業務系統維度劃分審計數據權限范圍，并在4A平臺中實現審計權限分級配置。各級審計人員可以對其權限范圍內的審計事件進行分析，并根據操作行為審計級別、審計預警級別生成、分派、執行審計任務，反饋執行結果。

2.1 常態化分級審計工作

某省移動公司在分級審計工作中要求市級分公司對所有接入系統進行全面審計，審計范圍應至少包括帳號管理類、認證登錄類、敏感數據操作類、關鍵操作類、金庫專題審計等模塊的審計類別。目前覆蓋情況如下表。

[指標項 覆蓋情況 安全平臺整體情況 4A管理平臺 覆蓋BOSS/CRM、BASS、BOMC、ESOP、主機、數據庫等資源 金庫模式管理 覆蓋BOSS/CRM、BASS、ESOP、主機、數據庫等系統 安全管控范圍 資源 BOSS/CRM、客服、BASS、BOMC、ESOP、防火墻、網絡設備、主機、數據庫等系統 人員 使用BOSS/CRM、BASS、BOMC、ESOP、防火墻、網絡設備、主機、數據庫等系統的相關人員，包括：公司員工及三方合作伙伴人員 ]

市級分公司基于4A審計系統，采用分析日志、稽核報表等措施，對業務支撐系統操作日志進行審計，及時發現可能存在的安全隱患，為調整安全管理策略提供依據。按照省公司審計管理部門既定策略，如實對審計情況以月報形式進行匯總上報，并對異常情況做出書面說明及調查報告[1]。

2.2 針對性的分級審計策略

根據該省系統特點，分帳號管理、認證登錄、敏感數據操作、關鍵操作、審計人員登陸及操作五大類來設定分級審計策略，目前已執行的常態化的分級審計策略已有50多條，有效地提升了事后安全稽核水平。

市級分公司可根據實際情況，自行定制審計策略，在審計平臺自定義數據模型及報表，展現自身較為關注的數據，并對這些數據進行策略制定及風險分析等，從而更有效地監控系統運行狀態和對關鍵業務的審計操作。

3 契合業務的專項審計工作

基于分級審計系統開展了省公司-地市分公司一體化的專項審計工作，實現由分級審計系統發起，在BOMC系統業務流轉、在審計系統結束的完整審計管理流程，規范了審計事件的分析處理全過程，提高審計工作質量和效率。同時，對于專項審計任務，任何地市的審計工作必須包含安全審計內容、審計方式、依據標準、審計方法、審計結果、問題描述、審計人員和被審計人員簽字欄等。

目前，某省移動公司已經設定了“主帳號月變更審計”“主帳號認證登錄審計”“客戶資料信息操作審計”“密碼重置異常行為審計”“客戶詳單信息操作審計”等14項專項審計工作，詳細情況如右表。

省市一體化的專項審計體系，市公司審計管理員把專項審計工作中發現的問題錄入工單流程系統，實現對審計安全事件的上報、受理、解決，一整套流程的自動化處理和歸檔等功能，更有效地把控安全風險[2]。

第一步：市公司審計管理員按專項審計工作的內容要求開展審計工作，將審計結果通過安全事件工單提交給省公司。第二步：省公司的審計管理員針對市公司專項審計報告中發現的安全事件，通過技術手段進行初步分析，對安全事件進行評估。第三步：如安全事件確實存在，省公司審計管理員將安全事件工單升級為問題工單，提交對應管理員進行處理，并依據問題工單對安全事件進行進度跟蹤及過程管控。第四步：待安全事件解決后，問題工單再次流轉至省公司審計管理員，其對處理或加固、整改的結果進行確認，無誤后反饋給對應的市分公司審計管理員。

4 分級審計的建設成果

①成果一：審計效果顯著，為公司業務發展保駕護航。分級審計模式自推廣實施以來，共接收各地市反饋可疑問題61例，經過核實，確認安全問題14例，主要集中在人為惡意違規操作、業務系統BUG、應外掛程序、流程制度不完善等問題。②成果二：建立獎懲機制，激勵分級審計工作的開展。省公司根據分級審計的效果對市分公司業務支撐考核進行加分，以此激勵市公司分級審計工作的開展，充分調動地市人員積極性，使之能夠更有效開展分級審計工作。③成果三：分級審計產生結果反向推進流程、制度及系統建設。某省移動公司建立了閉環管理的審計工作體系，定期針對分級審計工作結果及相關管理流程、制度進行完善，避免人為因素導致的安全問題出現。在分級審計工作中充分利用全省資源發現問題，不斷豐富審計手段及策略，將優秀案例固化成審計報表供全省參考，并定期組織多方專家對這些問題進行分析，提出解決方案并推廣全省。④成果四：以點概面，總結審計問題，進行常態化推廣。在分級審計的推廣和使用的過程中，針對某市分公司審計出的問題，按照影響范圍，以點概面，形成以審計系統為運營基礎的常態化安全策略，從而推廣全省進行全面的審計稽核和問題發現。

5 結語

分級審計體系的建立，需要從實際業務出發，結合企業及應用業務特點不斷完善，以業務為中心、以風險為抓手，調動全省各級安全審計人員的風險意識，完成對基于業務的安全審計工作，更有效地保障公司業務的持續穩定發展。

【參考文獻】

【1】GB/T 22080-2008信息技術 安全技術 信息安全管理體系要求[S].

【2】王英梅，王勝開，陳國順，程湘云編著.信息安全風險評估[M].北京：電子工業出版社，2007.