賴振杰

【摘 要】在某省移動(dòng)公司業(yè)務(wù)支撐系統(tǒng)迅速發(fā)展的同時(shí)，數(shù)據(jù)信息安全問題也逐漸成為制約系統(tǒng)發(fā)展、威脅數(shù)據(jù)可靠性的第一隱患。某省移動(dòng)公司針對(duì)現(xiàn)狀進(jìn)行實(shí)踐和創(chuàng)新，提出以業(yè)務(wù)和風(fēng)險(xiǎn)為中心來推進(jìn)信息安全建設(shè)，根據(jù)SOX（《薩班斯法案》）的審計(jì)要求，制定分級(jí)審計(jì)的方案，即審計(jì)工作的分級(jí)負(fù)責(zé)、協(xié)同處理，審計(jì)任務(wù)由操作者責(zé)任單位的審計(jì)人員負(fù)責(zé)執(zhí)行，保障審計(jì)任務(wù)處理的確定性、及時(shí)性。

【Abstract】With the rapid development of the business support system of a mobile company in a certain province， data information security has gradually become the first hidden danger that restricts the development of the system and threatens the reliability of data. According to the current situation to practice and innovate， a mobile company in a province proposes to promote information security construction by focusing on business and risk. According to the auditing requirements of SOX （sarbanes act）， a hierarchical auditing scheme is formulated， namely， the hierarchical responsibility and cooperative processing of audit work. Audit tasks are performed by the auditors of the operator's responsibility unit to ensure the certainty and timeliness of the handling of audit tasks.

【關(guān)鍵詞】電信運(yùn)營企業(yè);信息安全管理;分級(jí)審計(jì)

【Keywords】telecommunication operation enterprise; information security management; hierarchical auditing

【中圖分類號(hào)】F239? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 【文獻(xiàn)標(biāo)志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 【文章編號(hào)】1673-1069（2019）06-0022-02

1 建設(shè)背景

近年來，移動(dòng)業(yè)務(wù)迅速發(fā)展，業(yè)務(wù)數(shù)據(jù)量激增，數(shù)據(jù)安全問題也日益突出，對(duì)信息安全的審計(jì)要求也在逐步提升。為督促落實(shí)各項(xiàng)信息安全管理辦法、技術(shù)規(guī)范，根據(jù)《薩班斯法案》的審計(jì)要求，結(jié)合實(shí)際，制定分級(jí)審計(jì)的方案，即審計(jì)工作的分級(jí)負(fù)責(zé)、協(xié)同處理，審計(jì)任務(wù)由操作者責(zé)任單位的審計(jì)人員負(fù)責(zé)執(zhí)行，保障審計(jì)任務(wù)處理的準(zhǔn)確性、及時(shí)性。

2 常態(tài)化的分級(jí)審計(jì)模式

某省移動(dòng)公司的分級(jí)審計(jì)模式基于4A審計(jì)平臺(tái)進(jìn)行建設(shè)，主要包括審計(jì)系統(tǒng)的分級(jí)權(quán)限管理、審計(jì)策略制定前移、分級(jí)審計(jì)工作推廣三方面的工作。（圖1）

基于分級(jí)審計(jì)系統(tǒng)建立了以審計(jì)任務(wù)、審計(jì)職責(zé)為核心的分級(jí)審計(jì)責(zé)任制，從審計(jì)職責(zé)明確化、審計(jì)工作常態(tài)化、審計(jì)體系層次化三個(gè)方面來規(guī)范該省的分析審計(jì)工作。

①審計(jì)職責(zé)明確化：合理劃分審計(jì)權(quán)限、數(shù)據(jù)范圍，使各級(jí)審計(jì)人員執(zhí)行職責(zé)范圍內(nèi)的審計(jì)任務(wù)。②審計(jì)工作常態(tài)化：將審計(jì)工作推向日常業(yè)務(wù)支撐運(yùn)營規(guī)范化、流程化。③審計(jì)體系層次化：落實(shí)安全審計(jì)工作的多級(jí)管理，將審計(jì)工作貫徹到基礎(chǔ)運(yùn)營單元，各級(jí)審計(jì)人員負(fù)責(zé)處理職責(zé)內(nèi)的安全審計(jì)事件。

分級(jí)審計(jì)管理主要包括：審計(jì)任務(wù)生成、任務(wù)分派、任務(wù)執(zhí)行、任務(wù)反饋四個(gè)環(huán)節(jié)。分級(jí)審計(jì)管理支持根據(jù)組織機(jī)構(gòu)、業(yè)務(wù)系統(tǒng)維度劃分審計(jì)數(shù)據(jù)權(quán)限范圍，并在4A平臺(tái)中實(shí)現(xiàn)審計(jì)權(quán)限分級(jí)配置。各級(jí)審計(jì)人員可以對(duì)其權(quán)限范圍內(nèi)的審計(jì)事件進(jìn)行分析，并根據(jù)操作行為審計(jì)級(jí)別、審計(jì)預(yù)警級(jí)別生成、分派、執(zhí)行審計(jì)任務(wù)，反饋執(zhí)行結(jié)果。

2.1 常態(tài)化分級(jí)審計(jì)工作

某省移動(dòng)公司在分級(jí)審計(jì)工作中要求市級(jí)分公司對(duì)所有接入系統(tǒng)進(jìn)行全面審計(jì)，審計(jì)范圍應(yīng)至少包括帳號(hào)管理類、認(rèn)證登錄類、敏感數(shù)據(jù)操作類、關(guān)鍵操作類、金庫專題審計(jì)等模塊的審計(jì)類別。目前覆蓋情況如下表。

[指標(biāo)項(xiàng) 覆蓋情況 安全平臺(tái)整體情況 4A管理平臺(tái) 覆蓋BOSS/CRM、BASS、BOMC、ESOP、主機(jī)、數(shù)據(jù)庫等資源 金庫模式管理 覆蓋BOSS/CRM、BASS、ESOP、主機(jī)、數(shù)據(jù)庫等系統(tǒng) 安全管控范圍 資源 BOSS/CRM、客服、BASS、BOMC、ESOP、防火墻、網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫等系統(tǒng) 人員 使用BOSS/CRM、BASS、BOMC、ESOP、防火墻、網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫等系統(tǒng)的相關(guān)人員，包括：公司員工及三方合作伙伴人員 ]

市級(jí)分公司基于4A審計(jì)系統(tǒng)，采用分析日志、稽核報(bào)表等措施，對(duì)業(yè)務(wù)支撐系統(tǒng)操作日志進(jìn)行審計(jì)，及時(shí)發(fā)現(xiàn)可能存在的安全隱患，為調(diào)整安全管理策略提供依據(jù)。按照省公司審計(jì)管理部門既定策略，如實(shí)對(duì)審計(jì)情況以月報(bào)形式進(jìn)行匯總上報(bào)，并對(duì)異常情況做出書面說明及調(diào)查報(bào)告[1]。

2.2 針對(duì)性的分級(jí)審計(jì)策略

根據(jù)該省系統(tǒng)特點(diǎn)，分帳號(hào)管理、認(rèn)證登錄、敏感數(shù)據(jù)操作、關(guān)鍵操作、審計(jì)人員登陸及操作五大類來設(shè)定分級(jí)審計(jì)策略，目前已執(zhí)行的常態(tài)化的分級(jí)審計(jì)策略已有50多條，有效地提升了事后安全稽核水平。

市級(jí)分公司可根據(jù)實(shí)際情況，自行定制審計(jì)策略，在審計(jì)平臺(tái)自定義數(shù)據(jù)模型及報(bào)表，展現(xiàn)自身較為關(guān)注的數(shù)據(jù)，并對(duì)這些數(shù)據(jù)進(jìn)行策略制定及風(fēng)險(xiǎn)分析等，從而更有效地監(jiān)控系統(tǒng)運(yùn)行狀態(tài)和對(duì)關(guān)鍵業(yè)務(wù)的審計(jì)操作。

3 契合業(yè)務(wù)的專項(xiàng)審計(jì)工作

基于分級(jí)審計(jì)系統(tǒng)開展了省公司-地市分公司一體化的專項(xiàng)審計(jì)工作，實(shí)現(xiàn)由分級(jí)審計(jì)系統(tǒng)發(fā)起，在BOMC系統(tǒng)業(yè)務(wù)流轉(zhuǎn)、在審計(jì)系統(tǒng)結(jié)束的完整審計(jì)管理流程，規(guī)范了審計(jì)事件的分析處理全過程，提高審計(jì)工作質(zhì)量和效率。同時(shí)，對(duì)于專項(xiàng)審計(jì)任務(wù)，任何地市的審計(jì)工作必須包含安全審計(jì)內(nèi)容、審計(jì)方式、依據(jù)標(biāo)準(zhǔn)、審計(jì)方法、審計(jì)結(jié)果、問題描述、審計(jì)人員和被審計(jì)人員簽字欄等。

目前，某省移動(dòng)公司已經(jīng)設(shè)定了“主帳號(hào)月變更審計(jì)”“主帳號(hào)認(rèn)證登錄審計(jì)”“客戶資料信息操作審計(jì)”“密碼重置異常行為審計(jì)”“客戶詳單信息操作審計(jì)”等14項(xiàng)專項(xiàng)審計(jì)工作，詳細(xì)情況如右表。

省市一體化的專項(xiàng)審計(jì)體系，市公司審計(jì)管理員把專項(xiàng)審計(jì)工作中發(fā)現(xiàn)的問題錄入工單流程系統(tǒng)，實(shí)現(xiàn)對(duì)審計(jì)安全事件的上報(bào)、受理、解決，一整套流程的自動(dòng)化處理和歸檔等功能，更有效地把控安全風(fēng)險(xiǎn)[2]。

第一步：市公司審計(jì)管理員按專項(xiàng)審計(jì)工作的內(nèi)容要求開展審計(jì)工作，將審計(jì)結(jié)果通過安全事件工單提交給省公司。第二步：省公司的審計(jì)管理員針對(duì)市公司專項(xiàng)審計(jì)報(bào)告中發(fā)現(xiàn)的安全事件，通過技術(shù)手段進(jìn)行初步分析，對(duì)安全事件進(jìn)行評(píng)估。第三步：如安全事件確實(shí)存在，省公司審計(jì)管理員將安全事件工單升級(jí)為問題工單，提交對(duì)應(yīng)管理員進(jìn)行處理，并依據(jù)問題工單對(duì)安全事件進(jìn)行進(jìn)度跟蹤及過程管控。第四步：待安全事件解決后，問題工單再次流轉(zhuǎn)至省公司審計(jì)管理員，其對(duì)處理或加固、整改的結(jié)果進(jìn)行確認(rèn)，無誤后反饋給對(duì)應(yīng)的市分公司審計(jì)管理員。

4 分級(jí)審計(jì)的建設(shè)成果

①成果一：審計(jì)效果顯著，為公司業(yè)務(wù)發(fā)展保駕護(hù)航。分級(jí)審計(jì)模式自推廣實(shí)施以來，共接收各地市反饋可疑問題61例，經(jīng)過核實(shí)，確認(rèn)安全問題14例，主要集中在人為惡意違規(guī)操作、業(yè)務(wù)系統(tǒng)BUG、應(yīng)外掛程序、流程制度不完善等問題。②成果二：建立獎(jiǎng)懲機(jī)制，激勵(lì)分級(jí)審計(jì)工作的開展。省公司根據(jù)分級(jí)審計(jì)的效果對(duì)市分公司業(yè)務(wù)支撐考核進(jìn)行加分，以此激勵(lì)市公司分級(jí)審計(jì)工作的開展，充分調(diào)動(dòng)地市人員積極性，使之能夠更有效開展分級(jí)審計(jì)工作。③成果三：分級(jí)審計(jì)產(chǎn)生結(jié)果反向推進(jìn)流程、制度及系統(tǒng)建設(shè)。某省移動(dòng)公司建立了閉環(huán)管理的審計(jì)工作體系，定期針對(duì)分級(jí)審計(jì)工作結(jié)果及相關(guān)管理流程、制度進(jìn)行完善，避免人為因素導(dǎo)致的安全問題出現(xiàn)。在分級(jí)審計(jì)工作中充分利用全省資源發(fā)現(xiàn)問題，不斷豐富審計(jì)手段及策略，將優(yōu)秀案例固化成審計(jì)報(bào)表供全省參考，并定期組織多方專家對(duì)這些問題進(jìn)行分析，提出解決方案并推廣全省。④成果四：以點(diǎn)概面，總結(jié)審計(jì)問題，進(jìn)行常態(tài)化推廣。在分級(jí)審計(jì)的推廣和使用的過程中，針對(duì)某市分公司審計(jì)出的問題，按照影響范圍，以點(diǎn)概面，形成以審計(jì)系統(tǒng)為運(yùn)營基礎(chǔ)的常態(tài)化安全策略，從而推廣全省進(jìn)行全面的審計(jì)稽核和問題發(fā)現(xiàn)。

5 結(jié)語

分級(jí)審計(jì)體系的建立，需要從實(shí)際業(yè)務(wù)出發(fā)，結(jié)合企業(yè)及應(yīng)用業(yè)務(wù)特點(diǎn)不斷完善，以業(yè)務(wù)為中心、以風(fēng)險(xiǎn)為抓手，調(diào)動(dòng)全省各級(jí)安全審計(jì)人員的風(fēng)險(xiǎn)意識(shí)，完成對(duì)基于業(yè)務(wù)的安全審計(jì)工作，更有效地保障公司業(yè)務(wù)的持續(xù)穩(wěn)定發(fā)展。

【參考文獻(xiàn)】

【1】GB/T 22080-2008信息技術(shù) 安全技術(shù) 信息安全管理體系要求[S].

【2】王英梅，王勝開，陳國順，程湘云編著.信息安全風(fēng)險(xiǎn)評(píng)估[M].北京：電子工業(yè)出版社，2007.