基于DSMM的電力企業信息安全管理審計探析

陳嘉琳 陸明媛 朱惠紅 馬文藝 何江

[摘要] DSMM強調企業應以數據安全為核心，從三個維度提升企業信息安全等級，數據全過程安全的理念更加符合現代企業實踐業財融合的需要。本文從信息安全管理的研究現狀著手，參考DSMM建立企業信息安全管理審計框架，以環境安全、組織構建和人員管理安全、系統管理安全為實施層面，實施全過程的信息安全管理審計，以期從內部審計的視角為企業信息安全管理提供建議，完善企業信息安全管理體系，從而促進企業信息化進程健康發展。

[關鍵詞]信息安全管理 ? 數據安全 ? 數據生命周期 ? 安全審計

一、引言

現代科學技術的快速發展，使得大數據、物聯網和區塊鏈等互聯網技術在企業得到普遍應用，企業信息化程度全面提升。尤其是以建設和運營電網為核心業務的電力企業，其業務數據的特殊性增加了其對信息系統的依賴程度。電力企業在享受信息技術和信息系統帶來的利好的同時，也面臨著數據被盜、丟失、損毀等安全風險，因此，加強電力系統信息安全管理十分必要。內部審計是企業風險管理的第三道防線，管理審計已成為新時代企業審計的新業態，但面對信息化程度比較高的經營管理環境，企業內部審計人員尚未將審計視角轉向信息系統安全管理審計方面，探索信息安全管理審計勢在必行。

二、文獻綜述

楊啟飛（2021）認為，信息安全研究不能局限于“信息”層面，要從風險治理視角將被動事后分析變為主動事前防御。孫紅梅和賈瑞生（2016）將管理與技術并重，強調以安全管理策略為支撐，建立企業信息安全管理體系的重要性。甄杰、謝宗曉、李康宏等人（2020）研究得出企業信息安全治理對企業績效具有顯著的正向效應，這種效應與企業內部高層管理者對信息安全管理的支持程度呈正相關。陳偉、李曉鵬、居江寧（2019）認為，互聯網技術的發展提高了企業信息系統的復雜度和開放水平，同時也對企業信息安全審計提出了一系列挑戰，要求企業不斷創新信息系統審計方法。胡能鵬、黃坤豪、鄭磊（2018）引入大數據離線和在線計算方式，構建基于大數據的計算方式進行數據安全審計。陳偉和詹明惠（2021）通過大數據可視化技術，分析相關單位信息系統的應用控制風險。劉國城和王躍堂（2017）采用數據挖掘技術，以“工程學”方法為基礎建立審計體系框架，開展大數據技術下的信息安全審計。現有文獻表明，學者的研究集中于信息安全和安全審計的技術方法及其應用方面，對企業信息安全管理和安全管理審計的系統研究和理論探索較少。

三、DSMM的含義與應用優勢

（一）DSMM的含義

DSMM（Data Security Maturity Model），即數據安全能力成熟度模型，是由阿里巴巴起草編制的數據安全管理評價標準，它以數據安全為中心，從三個維度評價企業數據安全，包括：（1）安全能力維度。DSMM從組織建設、制度流程、技術工具、人員能力四個方面評估企業數據安全等級。（2）數據安全過程維度。DSMM將企業所有數據按其生命周期分為六個不同的階段，在其基礎上，以通用安全貫穿六個基礎生命周期，形成七大數據安全過程，總計包括30個過程域。（3）能力成熟度等級維度。DSMM將數據安全能力成熟度分為五個級別，企業需要設置符合自身需求的戰略目標，并評估其所處的數據安全等級，進而執行和改善信息安全管理戰略規劃。DSMM構造如圖1所示。

DSMM通過量化各項過程域安全衡量企業的數據安全等級，為企業全面全流程評估內外數據安全提供渠道，促進企業多方位提升數據安全水平，實現信息系統安全可靠。DSMM數據生命周期安全過程域如圖2所示。

（二）DSMM的應用優勢

信息安全是對信息的保密性、完整性和可用性的保持。王春冬（2016）認為信息安全管理是企業管理體系的組成部分，旨在控制企業信息安全的潛在風險，保證企業安全、平穩運作。隨著傳統的IT控制逐漸失效，現代企業正在轉向以數據保護為核心的信息安全管理模式，目前企業常用的信息安全管理模型包括DCSM和DGPC。DCSM（Data-Centric Security Model）是IBM針對數據安全現狀提出的以數據安全為中心的數據安全管理模型，模型強調自動化的數據分類是數據安全的核心，企業需要了解敏感數據的位置和安全風險，對數據的使用實施監控和控制。DGPC（Data Governance for Privacy， Confidentiality and Compliance）是由微軟公司開發的隱私、保密和合規性框架，框架圍繞人員、流程和技術設立三個核心領域。DGPC框架在企業內建立一個良好的環境，通過適當的控制、技術和活動，結合信息生命周期，采用風險矩陣解決剩余風險，加強企業數據治理能力。

相較于上述兩個模型，DSMM模型是中國本土化的模型，更能針對國內企業信息安全現狀提供信息安全管理的思路。對于電力企業而言，信息系統自身已經趨于成熟，而管理活動中由于操作不規范等造成的數據損毀丟失給企業造成的損失不容小覷。DSMM借鑒CMM的思路，吸收了DCSM數據分類的思想，除了強調傳統數據安全需求外，還強調對企業員工能力的評估。DSMM模型強調數據全過程安全，與企業業務貼合更緊密，更加符合現階段企業實踐業財融合的需要。

四、基于DSMM開展企業信息安全管理審計的主要思路

（一）數據生命周期安全審計

DSMM模型將數據生命周期分為六個階段，每個階段有相應的數據安全管理需求。（1）數據采集階段，數據收集方法和渠道應當合法合規，并對所獲得的數據按要求分級分類，重點數據重點保護。這一階段審計重點是通過數據溯源、系統日志核查人員操作記錄，評價元數據的管理與分級分類是否符合要求。（2）數據傳輸階段面臨數據被攔截、盜取的風險，企業應當建立傳輸保障機制，核查操作人員的權限。該階段審計重點關注傳輸保障機制是否得到完善，是否存在異常數據傳輸。通過定期審查數據供應鏈目錄和源數據字典，采用追蹤法審查供應鏈上下游的合規情況，保證數據傳輸的安全性。（3）數據存儲階段需要保證數據安全和存儲介質安全。數據的安全性和完整性是該階段審計的重點，要確保存放數據的介質安全，確保人員口令安全。（4）數據處理階段，具有訪問、操作權限的人員皆可接觸數據，數據安全實踐通常采用數據脫敏的方法來保證敏感數據的安全。該階段審計重點關注核心數據的脫敏工作，審查相關操作是否符合要求。（5）數據交換階段是數據安全中非常關鍵的一環，該階段審計應重點關注溯源追查，通過分布式的嵌入審計程序進行操作痕跡追溯，如采用Hadoop、Spark等技術，結合大數據挖掘算法，采集并分析操作日志，判斷人員操作是否合規，并對其持續監控，及時預警。（6）數據銷毀階段是數據生命周期的最后一環。數據管理人員應確保所需銷毀的數據和介質得到徹底銷毀。該階段審計應重點關注數據銷毀記錄，看是否嚴格按照規定執行，并做好定期記錄。

（二）環境安全審計

1.物理環境。傳統的物理環境安全包括設備、介質和運行環境安全。企業應當保證計算機運行的物理環境安全，嚴格控制進入計算機區域的權限，建立安全邊界，保證硬件設備不受人為因素、自然環境因素的損害。通過檢查機房出入登記記錄表、機房巡檢表等，審查機房安全控制執行情況;檢查硬件設備有無老化、損害等情況，評估其安全等級，提出整改意見，確保終端數據安全，防止因設備宕機等原因造成數據的丟失、損毀。

2.網絡環境。在企業中，各部門多采用不同的信息系統，數據在各部門、各系統間交換、傳輸過程中容易感染木馬病毒，被安裝惡意插件，對信息安全造成威脅。通過建立健全檢測機制，審查系統是否存在漏洞、防火墻機制是否穩定安全，評估企業信息系統運行的網絡安全環境。構建企業分布式網絡安全審計系統，能夠監控信息系統使用人員的操作行為，及時發現外部入侵行為，對入侵電力信息系統的可疑用戶進行IP地址監測，對其起到警示作用，便于企業及時完善相關政策，進而保障網絡安全和信息安全。為保證電力企業信息系統運行的網絡環境的安全可靠，企業應當建立成熟的安全隔離技術。審計人員除對系統和數據庫隔離技術運行有效性定期審計外，還可以通過數據庫審計技術對企業數據庫進行檢測分析，提出整改意見。

（三）組織架構和人員管理安全審計

DSMM指出，企業數據安全管理人員應具備相關安全意識和專業能力。依據模型，完整的信息安全管理組織架構應包括決策層、管理層、執行層、監督層。決策層制定企業的信息安全戰略目標、數據安全策略規劃;管理層根據企業需求建立監控審計機制、組織人員培訓;執行層負責制定符合實際的數據管理規章制度，實施數據安全流程，負責數據安全風險的評估與改進;監督層監督核查組織人員數據安全政策執行情況，并實時監控數據安全風險。各部門各司其職，形成一個完整的、深層次的組織管理體系，減少信息安全管理中信息不對稱問題，防范組織管理過程中存在的數據安全風險。

針對人員能力，審計人員根據培養記錄了解員工崗前培訓情況，采用工作分析法、訪談法、問卷法等方式評估員工能力，對員工操作進行持續監控，判斷其操作合規性。針對組織構建安全，建立審計風險預警系統，對企業運行中組織架構存在的顯性或隱性風險及時預警;加強審計機構與各職能部門關聯度，消除由于信息不對稱造成的信息安全風險;加強對企業的規章制度、部門設置、職責分配的風險防控。通過職能設置分析，審查企業信息安全管理組織是否互相牽制，在風險管理的基礎上，通過對業務風險進行評估分析以促進企業信息安全管理體系的建立與完善。對于實行輪換制度的重要崗位，在簽署保密制度的基礎上，通過檢查員工口令的變更頻率來判斷組織人員的安全管理意識。

（四）系統管理安全審計

要保證企業信息系統安全，需要從信息系統訪問控制、授權控制以及隔離機制入手。信息系統訪問控制是指保證系統由合適的人進行合適的操作，保證崗位的權限與職責相符合，防止賦予同一個崗位過多權限，實施職責分離，避免將沖突權限賦予給同一個賬號。而有效的隔離機制可以大幅度地降低外部網絡的威脅，實施數據安全傳輸和共享。在數據安全基本實踐中，嚴禁將賬號、密碼借給他人使用的行為，嚴格遵守系統管理員、安全管理員、安全審核員之間的監督與約束制度。

大數據時代，企業信息安全審計以IT技術為支撐，利用大數據可視化技術對操作人員的系統操作日志、會議紀要等非結構化數據進行分析，審查系統操作人員是否存在違規出借賬號、異常訪問等情況，保證口令安全。對企業人員數據操作過程進行溯源和持續監督，可采用現場審計和非現場審計相結合的方式，通過數據挖掘等技術，強化內部審計對人員操作的持續監督和跟蹤。利用運維審計解決企業信息系統人員實踐行為中身份邊界模糊、授權不明確、難以追責等問題，實現事前預防、事中控制、事后追溯。堡壘機技術是常用的信息運維安全審計系統，堡壘機技術的登錄功能、賬號管理、身份認證、訪問控制、操作審計等功能都能有效保障系統安全，記錄操作人員操作記錄，便于審計管控，確保即將離職的員工訪問、操作權限被撤銷。

五、應用示例

國家電網有限公司（以下簡稱國網）是特大型國有重點骨干企業。其發展與國家能源安全和國民經濟命脈密切相關，故信息安全管理對于國網發展的重要性不言而喻。目前，國網就規范管理對外提供數據出臺了一系列的通用制度，但多數電力企業并未根據自身實際建立明確具體的管理制度，企業內部的信息不對稱現象以及員工信息安全意識和技能的匱乏，都增加了企業的信息安全風險。國家電網江蘇省電力有限公司無錫供電分公司（以下簡稱無錫供電公司）也存在類似情況，針對信息安全管理中存在的問題，無錫供電公司審計部以數字化審計為技術依托，以DSMM的數據全生命周期審計為核心，將審計工作嵌入到全數據鏈中，加強風險稽查和防范，提升企業信息安全管理水平，實現企業價值增值。

以數據全生命周期安全審計為例來看DSMM在無錫供電公司審計中的應用。DSMM強調對數據的全生命周期審計，實現事前預防、事中控制、事后追溯。2021年，無錫供電公司開發建設了集信息流、業務流、價值流、資金流“四流”合一的配網全過程智慧管理系統，審計部全線參與，進行建模、建立各類中間表項等，對業務全數據鏈進行分析，將數據全過程審計嵌入至日常管理活動中。審計部門通過固化“非現場+”的審計作業模式，通過對操作人員的系統操作日志等進行審查，發現異常數據進而進行整改。如針對運維服務類項目，通過比對全面預算管理平臺、ERP系統財務模塊、物資招標管理系統等操作數據進行審查，核實13個項目存在異常操作、未按規定審核的問題，相關部門已進行排查整改。除使用本公司數據，審計部還利用省公司中臺數據資源，利用QuickBI中臺大數據資源自主進行拓展式數據梳理，建立數據模型或數據監測看板，下發核查工單督促整改，有效提升“四流”合規水平。

（作者單位：國網江蘇省電力有限公司無錫供電分公司 ?南京財經大學，郵政編碼：214061，電子郵箱：wxmylu@163.com）

主要參考文獻

[1]陳偉，詹明惠.基于大數據可視化技術的信息系統AC審計[J].會計之友， 2021（1）：120-125

[2]顧穗珊，劉姍姍.信息安全管理體系構建與對策研究[J].情報科學， 2019（8）：108-113+151

[3]胡能鵬，黃坤豪，鄭磊.基于大數據的安全審計[J].電腦與電信， 2018（10）：73-77

[4]劉國城，王躍堂.基于過程挖掘的互聯網金融信息安全審計研究[J].新疆大學學報（哲學·人文社會科學版）， 2017（3）：18-25

[5]石永.數據安全審計方法與內容的探索[J].中國內部審計， 2021（2）：40-42