論通信企業(yè)信息安全審計(jì)

1、論通信企業(yè)信息安全審計(jì) 一、信息安全管理審計(jì) 1獲取并查看公司在業(yè)務(wù)導(dǎo)向的風(fēng)險評估、信息安全規(guī)劃和預(yù)算方面的制度和文件。2訪談公司領(lǐng)導(dǎo)，了解風(fēng)險評估、信息安全規(guī)劃和預(yù)算方面的執(zhí)行情況，檢查管理層是否對信息安全規(guī)劃執(zhí)行情況進(jìn)行定期審閱，并取得相關(guān)證明材料。風(fēng)險3：員工未簽署保密協(xié)議，無法在信息安全方面對員工要求和考核的風(fēng)險。審計(jì)方法：1獲取并查看公司在員工保密方面的制度和措施。2訪談公司管理層并了解是否與員工簽訂保密條款，獲取并查看公司在安全意識教育方面的計(jì)劃、執(zhí)行情況，并取得相關(guān)證明資料。3檢查離職員工系統(tǒng)賬號的清理情況。 二、數(shù)據(jù)泄露保護(hù)審計(jì) 風(fēng)險1：crm、計(jì)費(fèi)、經(jīng)營分析、網(wǎng)上營業(yè)廳等應(yīng)用

2、系統(tǒng)在開發(fā)環(huán)境、測試環(huán)境、生產(chǎn)環(huán)境方面的控制風(fēng)險。具體包括：外包人員在不受限或未授權(quán)的狀態(tài)下訪問生產(chǎn)測試環(huán)境，進(jìn)行數(shù)據(jù)修改或拷貝；測試環(huán)境、生產(chǎn)環(huán)境信息保護(hù)不足，增加了數(shù)據(jù)泄漏的風(fēng)險等。審計(jì)方法：1獲取并查看開發(fā)上線流程授權(quán)管理制度和流程；查看公司在應(yīng)用系統(tǒng)開發(fā)環(huán)境、測試環(huán)境、生產(chǎn)環(huán)境方面的管理制度；訪談系統(tǒng)管理員，了解服務(wù)器功能和工作流程。2訪談開發(fā)環(huán)境、測試環(huán)境、生產(chǎn)環(huán)境負(fù)責(zé)人，了解對用戶授權(quán)、密碼策略、日志的管理情況；查看是否包含對開發(fā)人員權(quán)限管理的控制、開發(fā)上線流程所涉及服務(wù)器的現(xiàn)有賬號的授權(quán)審批、密碼策略、日志（登錄日志、操作日志的管理情況；如開發(fā)人員中包括外包人員，須特別標(biāo)出并查看

3、；了解日志審閱情況，并獲取相關(guān)證明資料。3訪談測試環(huán)境、生產(chǎn)環(huán)境應(yīng)用負(fù)責(zé)人，獲取并查看公司的數(shù)據(jù)安全性分級標(biāo)準(zhǔn)、了解數(shù)據(jù)導(dǎo)出和查詢功能授權(quán)標(biāo)準(zhǔn)；了解數(shù)據(jù)導(dǎo)出和查詢功能是否有安全風(fēng)險評估、上線前是否有功能測試、上線后權(quán)限授予審批情況，并取得相關(guān)資料；風(fēng)險2：業(yè)務(wù)支撐系統(tǒng)的測試數(shù)據(jù)庫、生產(chǎn)數(shù)據(jù)庫方面的控制風(fēng)險。具體包括：環(huán)境保護(hù)不足，存在數(shù)據(jù)庫環(huán)境未授權(quán)修改、數(shù)據(jù)泄露、數(shù)據(jù)庫停機(jī)的風(fēng)險；關(guān)鍵業(yè)務(wù)數(shù)據(jù)未加密存儲，存在數(shù)據(jù)泄露的風(fēng)險；操作系統(tǒng)和數(shù)據(jù)庫有漏洞，存在數(shù)據(jù)泄露和停止服務(wù)的風(fēng)險等。審計(jì)方法：1獲取并查看測試數(shù)據(jù)庫、生產(chǎn)數(shù)據(jù)庫管理制度；訪談數(shù)據(jù)庫管理員，了解數(shù)據(jù)庫的用戶訪問控制、密碼策略、數(shù)據(jù)庫

4、日志（登錄日志、操作日志審閱情況；了解數(shù)據(jù)庫用戶密碼的保存方式是否為明文、是否已修改默認(rèn)密碼。2獲取并查看公司對業(yè)務(wù)數(shù)據(jù)加密的管理規(guī)定和要求；訪談應(yīng)用管理員，了解業(yè)務(wù)數(shù)據(jù)加密情況，并獲取相關(guān)證明資料；3獲取并查看公司在安全性掃描方面的管理制度；訪談相關(guān)人員，了解安全性掃描執(zhí)行情況；通過掃描生產(chǎn)環(huán)境、開發(fā)環(huán)境和測試環(huán)境操作系統(tǒng)和數(shù)據(jù)庫的方式，測試生產(chǎn)環(huán)境、開發(fā)環(huán)境和測試環(huán)境的操作系統(tǒng)和數(shù)據(jù)庫是否存在漏洞；訪談相關(guān)人員，確認(rèn)未打補(bǔ)丁的漏洞的合理性；風(fēng)險3：網(wǎng)絡(luò)架構(gòu)及防火墻設(shè)置不當(dāng)?shù)确矫娴目刂骑L(fēng)險。包括：網(wǎng)絡(luò)保護(hù)和劃分不當(dāng)，存在計(jì)算機(jī)環(huán)境被攻擊的風(fēng)險；防火墻控制不當(dāng)，存在未授權(quán)訪問、關(guān)鍵設(shè)備保護(hù)不當(dāng)

5、的風(fēng)險；服務(wù)器間傳輸未加密，存在數(shù)據(jù)泄露的風(fēng)險等。審計(jì)方法：1獲取并查看公司網(wǎng)絡(luò)管理制度流程、網(wǎng)絡(luò)拓?fù)鋱D；訪談網(wǎng)絡(luò)管理員，了解生產(chǎn)服務(wù)器是否在獨(dú)立網(wǎng)段，此網(wǎng)段是否存在非生產(chǎn)服務(wù)器；了解外包人員所在網(wǎng)段是否為獨(dú)立網(wǎng)段。2獲取并查看公司防火墻管理制度流程，獲取生產(chǎn)服務(wù)器所在網(wǎng)段防火墻訪問控制列表；通過在非生產(chǎn)網(wǎng)段個人計(jì)算機(jī)掃描生產(chǎn)網(wǎng)段ip地址的方式，測試生產(chǎn)網(wǎng)段向非生產(chǎn)網(wǎng)段開放了那些ip地址和端口，確認(rèn)已開放ip地址和端口的合理性。3獲取并查看公司對應(yīng)用服務(wù)器與數(shù)據(jù)庫服務(wù)器間加密傳輸?shù)墓芾硪?guī)定和要求；了解應(yīng)用服務(wù)器與數(shù)據(jù)庫服務(wù)器間傳輸是否加密，并獲取相關(guān)證明資料。 三、ip外包管理審計(jì) 風(fēng)險1：軟

6、件開發(fā)上線流程風(fēng)險。檢查是否存在不規(guī)范的軟件開發(fā)和上線流程，是否存在代碼被惡意更改的風(fēng)險。審計(jì)方法：1獲取并查看軟件開發(fā)和上線相關(guān)制度流程。2對軟件開發(fā)和上線流程進(jìn)行穿行測試，了解軟件開發(fā)和上線流程中現(xiàn)有賬號是否經(jīng)過授權(quán)審批（如：源代碼服務(wù)器、編譯服務(wù)器、版本服務(wù)器等環(huán)境中的賬號是否經(jīng)過授權(quán)審批，并獲取相關(guān)證明資料。風(fēng)險2：應(yīng)用系統(tǒng)源代碼審閱風(fēng)險，檢查源代碼中是否插入了惡意代碼等。審計(jì)方法：1獲取并查看公司對源代碼安全性的審閱制度，如：源代碼安全標(biāo)準(zhǔn)，審閱內(nèi)容、頻度、人員、范圍等。2訪談相關(guān)負(fù)責(zé)人，了解源代碼審閱情況，并獲取相關(guān)資料。風(fēng)險3：數(shù)據(jù)脫敏處理風(fēng)險，主要是客戶信息通過測試數(shù)據(jù)泄露的風(fēng)

7、險。審計(jì)方法：1獲取并查看公司在非生產(chǎn)環(huán)境敏感信息清理方面的制度、敏感信息的定義。2對數(shù)據(jù)脫敏情況進(jìn)行穿行測試，實(shí)地查看非生產(chǎn)環(huán)境的應(yīng)用系統(tǒng)，檢查非生產(chǎn)環(huán)境是否存在未脫敏信息，尤其需要驗(yàn)證高保密性信息，如黨政軍客戶信息等。 四、信息系統(tǒng)監(jiān)控審計(jì)風(fēng)險 1：應(yīng)用系統(tǒng)、操作系統(tǒng)和數(shù)據(jù)庫監(jiān)控、網(wǎng)絡(luò)監(jiān)控等方面的風(fēng)險。包括缺少應(yīng)用和用戶行為監(jiān)控，無法對用戶的惡意行為進(jìn)行有效監(jiān)控的風(fēng)險；缺乏服務(wù)器和數(shù)據(jù)庫監(jiān)控，無法及時發(fā)現(xiàn)服務(wù)器和數(shù)據(jù)庫的安全故障，存在數(shù)據(jù)泄露和業(yè)務(wù)系統(tǒng)停止服務(wù)的風(fēng)險；缺乏網(wǎng)絡(luò)監(jiān)控，無法及時發(fā)現(xiàn)潛在或?qū)嶋H存在的惡意入侵或網(wǎng)絡(luò)攻擊，存在數(shù)據(jù)泄露風(fēng)險。審計(jì)方法：1獲取并查看公司對用戶行為監(jiān)控、設(shè)備監(jiān)控、網(wǎng)絡(luò)監(jiān)控等方面的制度；訪談監(jiān)控管理員，了解監(jiān)控執(zhí)行情況、監(jiān)控日志定期審閱情況；訪談網(wǎng)絡(luò)管理員，了解網(wǎng)絡(luò)檢測設(shè)備的使用。2訪談應(yīng)用系統(tǒng)管理員，了解應(yīng)用系統(tǒng)日志（登錄日志、操作日志審閱情況；訪談設(shè)備管理員，了解操作系統(tǒng)和數(shù)據(jù)庫日志（登錄日志、操作日志的審閱情況；訪談網(wǎng)絡(luò)管理員，了解對網(wǎng)絡(luò)操作日志的審閱情況。除以上常見風(fēng)險點(diǎn)