發(fā)現(xiàn)短板

筆者單位高度重視防范信息泄露安全工作，每季度開展專項檢查,確保不出現(xiàn)安全事件。

單位目前下轄僅門戶賬號有1萬余戶，業(yè)務(wù)授權(quán)許可及帳號權(quán)限具有一定的典型性。存在長期未登錄帳號、冗余帳號等大量“僵尸帳號”；帳號弱口令問題易導(dǎo)致信息系統(tǒng)安全事件；部分單位對賬號密碼設(shè)定規(guī)則不夠清晰明確；各單位賬號申請新賬號時提供的信息不夠完善且各部門之間配合不夠緊密。

近年來總部對各級分部的運維管理、安全管理提出了更高的要求，需提升單位運行安全內(nèi)控水平，提高在運信息系統(tǒng)的業(yè)務(wù)授權(quán)和賬號權(quán)限的治理工作水平。

分析原因

單位分部賬號申請新賬號時提供的信息不夠完善，對于賬號密碼設(shè)定規(guī)則不夠清晰明確，未嚴(yán)格要求定期登錄門戶賬號且未定期修改賬號密碼，且各部門之間配合不夠緊密；

未加強(qiáng)對本單位自建系統(tǒng)組織開展賬號實名制、賬號權(quán)限治理工作，以及主機(jī)、網(wǎng)絡(luò)、安全、數(shù)據(jù)庫、中間件等各類設(shè)備和系統(tǒng)的弱口令治理。

未有計劃的開展本單位信息系統(tǒng)業(yè)務(wù)授權(quán)及帳號權(quán)限的培訓(xùn)。

改進(jìn)思路

1.統(tǒng)一組織開展

單位設(shè)立各部門工作組織機(jī)構(gòu)及職責(zé)。單位領(lǐng)導(dǎo)指導(dǎo)開展業(yè)務(wù)授權(quán)許可及帳號權(quán)限治理；工作組負(fù)責(zé)落實業(yè)務(wù)授權(quán)許可及帳號權(quán)限治理工作等。

根據(jù)一體化的管理要求，要求各地分部統(tǒng)一嚴(yán)格執(zhí)行更為嚴(yán)格的業(yè)務(wù)授權(quán)及帳號權(quán)限相關(guān)制度：一是收集梳理賬號權(quán)限有關(guān)的文件和材料，匯總總部有關(guān)規(guī)定，包括各系統(tǒng)權(quán)限申請的流程和原則等內(nèi)容，更新賬號權(quán)限治理工作手冊；二是嚴(yán)格落實帳號權(quán)限與業(yè)務(wù)授權(quán)工作流程，固化申請變更流程及表單；三是對各地分部設(shè)置不同級別的權(quán)限，對具有權(quán)限審批關(guān)鍵流程、查看核心數(shù)據(jù)的高風(fēng)險帳號，做好授權(quán)許可監(jiān)督及帳號操作的監(jiān)控工作。

2.綜合治理

首先，提出對各部門賬號的“基線”要求；其次，在管理上從嚴(yán)要求，在總部要求基礎(chǔ)上“嚴(yán)上加嚴(yán)”；其三，對業(yè)務(wù)授權(quán)許可管理、信息系統(tǒng)帳號實名制（弱口令、僵尸賬號）、帳號權(quán)限管理、業(yè)務(wù)授權(quán)許可適應(yīng)性調(diào)整等所有組成部分，有的放矢。

其一，完成覆蓋總部全員的業(yè)務(wù)授權(quán)及帳號權(quán)限安全培訓(xùn)，進(jìn)一步提升單位人員安全意識；其二，監(jiān)督檢查，規(guī)范各級帳號權(quán)限安全管理權(quán)限和考核；其三，加強(qiáng)與其他部門的協(xié)調(diào)配合；其四，加強(qiáng)自身管理及整改，同時向上級獻(xiàn)言獻(xiàn)策。

制定定性、定量指標(biāo)

定性目標(biāo)為：從部門及以上單位，確保不出現(xiàn)安全事件；提升單位運行安全內(nèi)控水平，提高在用信息系統(tǒng)的業(yè)務(wù)授權(quán)和賬號權(quán)限的治理工作水平；完成覆蓋全員的業(yè)務(wù)授權(quán)及帳號權(quán)限安全培訓(xùn)，規(guī)范帳號權(quán)限安全管理；落實單位業(yè)務(wù)授權(quán)許可管理要求，嚴(yán)格遵守單位帳號權(quán)限申請變更等規(guī)范流程，實現(xiàn)業(yè)務(wù)授權(quán)許可管理規(guī)范覆蓋單位、系統(tǒng)和人員。

定量目標(biāo)：全面清理“僵尸帳號”，實現(xiàn)帳號100%“實名制”管理；嚴(yán)格落實帳號權(quán)限管理要求，確保帳號使用人員權(quán)責(zé)相符；徹底消除帳號弱口令，確保不因帳號弱口令問題導(dǎo)致系統(tǒng)安全事件。

改進(jìn)的主要做法

1.明確工作流程

具備明確清晰完備的權(quán)限管理工作流程，執(zhí)行業(yè)務(wù)授權(quán)及賬號權(quán)限治理等具體業(yè)務(wù)流程。部門根據(jù)總部要求，成立了權(quán)限管理業(yè)務(wù)制落實領(lǐng)導(dǎo)小組。專門召開了專題會議，組織學(xué)習(xí)文件,并委派專人參與全過程工作。單位指定專人落實各項工作，及時制定具體落實措施。解決專業(yè)界面交叉不明、個人職責(zé)模糊不清、管控效率較低等問題。

2.崗位落實及職責(zé)分工

制定單位權(quán)限治理專業(yè)管理職責(zé)、業(yè)務(wù)授權(quán)及賬號權(quán)限治理工作管理細(xì)則。

3.協(xié)同機(jī)制

信息系統(tǒng)授權(quán)許可部門要對賬號申請人員信息進(jìn)行核實，需信息系統(tǒng)使用部門負(fù)責(zé)對申請人員賬號信息進(jìn)行核實，覆蓋財務(wù)部、人資部、物資部、營銷部、運檢部等需協(xié)同的管理事項,確保賬號注冊信息完整、詳實；同時對于存量帳號也需會同使用部門共同確認(rèn)帳號使用人員身份信息、崗位職責(zé)及操作權(quán)限，確保權(quán)責(zé)相符。

從嚴(yán)要求及考核機(jī)制

除了各地分部層層把關(guān)，單位要求必須要與總部專責(zé)進(jìn)行反饋。如有總部下發(fā)的整改清單，對各部門的賬號整改情況進(jìn)行統(tǒng)計，對重點部門和人員進(jìn)行了現(xiàn)場檢查和指導(dǎo)。每個月的績效考核中，此項工作作為一項重要的考核扣分項，相比去年，因各項工作落實相對較好，今年所有部門沒有因此項工作扣分。

培訓(xùn)宣傳

通過定期信息安全培訓(xùn)，切實提高了單位信息員的信息安全意識和技能，促進(jìn)了單位信息安全工作的開展。通過網(wǎng)站、郵件方式宣傳，完成了覆蓋全員的業(yè)務(wù)授權(quán)及帳號權(quán)限安全宣貫，進(jìn)一步提升單位人員使用信息系統(tǒng)及數(shù)據(jù)的安全意識；單位制定賬號的“基線”要求，通過近半年的宣傳，各部門員工對此項工作已經(jīng)非常理解、配合和落實，未發(fā)生投訴并且影響公司業(yè)務(wù)的情況。

常態(tài)化開展，定期總結(jié)

常態(tài)化開展本項工作，提升單位人員使用信息系統(tǒng)及數(shù)據(jù)的安全意識,向單位人員提供規(guī)范的指導(dǎo)，并每季度進(jìn)行總結(jié)。