陳嘉琳 陸明媛 朱惠紅 馬文藝 何江

[摘要] DSMM強調(diào)企業(yè)應(yīng)以數(shù)據(jù)安全為核心，從三個維度提升企業(yè)信息安全等級，數(shù)據(jù)全過程安全的理念更加符合現(xiàn)代企業(yè)實踐業(yè)財融合的需要。本文從信息安全管理的研究現(xiàn)狀著手，參考DSMM建立企業(yè)信息安全管理審計框架，以環(huán)境安全、組織構(gòu)建和人員管理安全、系統(tǒng)管理安全為實施層面，實施全過程的信息安全管理審計，以期從內(nèi)部審計的視角為企業(yè)信息安全管理提供建議，完善企業(yè)信息安全管理體系，從而促進企業(yè)信息化進程健康發(fā)展。

[關(guān)鍵詞]信息安全管理 ? 數(shù)據(jù)安全 ? 數(shù)據(jù)生命周期 ? 安全審計

一、引言

現(xiàn)代科學技術(shù)的快速發(fā)展，使得大數(shù)據(jù)、物聯(lián)網(wǎng)和區(qū)塊鏈等互聯(lián)網(wǎng)技術(shù)在企業(yè)得到普遍應(yīng)用，企業(yè)信息化程度全面提升。尤其是以建設(shè)和運營電網(wǎng)為核心業(yè)務(wù)的電力企業(yè)，其業(yè)務(wù)數(shù)據(jù)的特殊性增加了其對信息系統(tǒng)的依賴程度。電力企業(yè)在享受信息技術(shù)和信息系統(tǒng)帶來的利好的同時，也面臨著數(shù)據(jù)被盜、丟失、損毀等安全風險，因此，加強電力系統(tǒng)信息安全管理十分必要。內(nèi)部審計是企業(yè)風險管理的第三道防線，管理審計已成為新時代企業(yè)審計的新業(yè)態(tài)，但面對信息化程度比較高的經(jīng)營管理環(huán)境，企業(yè)內(nèi)部審計人員尚未將審計視角轉(zhuǎn)向信息系統(tǒng)安全管理審計方面，探索信息安全管理審計勢在必行。

二、文獻綜述

楊啟飛（2021）認為，信息安全研究不能局限于“信息”層面，要從風險治理視角將被動事后分析變?yōu)橹鲃邮虑胺烙O紅梅和賈瑞生（2016）將管理與技術(shù)并重，強調(diào)以安全管理策略為支撐，建立企業(yè)信息安全管理體系的重要性。甄杰、謝宗曉、李康宏等人（2020）研究得出企業(yè)信息安全治理對企業(yè)績效具有顯著的正向效應(yīng)，這種效應(yīng)與企業(yè)內(nèi)部高層管理者對信息安全管理的支持程度呈正相關(guān)。陳偉、李曉鵬、居江寧（2019）認為，互聯(lián)網(wǎng)技術(shù)的發(fā)展提高了企業(yè)信息系統(tǒng)的復雜度和開放水平，同時也對企業(yè)信息安全審計提出了一系列挑戰(zhàn)，要求企業(yè)不斷創(chuàng)新信息系統(tǒng)審計方法。胡能鵬、黃坤豪、鄭磊（2018）引入大數(shù)據(jù)離線和在線計算方式，構(gòu)建基于大數(shù)據(jù)的計算方式進行數(shù)據(jù)安全審計。陳偉和詹明惠（2021）通過大數(shù)據(jù)可視化技術(shù)，分析相關(guān)單位信息系統(tǒng)的應(yīng)用控制風險。劉國城和王躍堂（2017）采用數(shù)據(jù)挖掘技術(shù)，以“工程學”方法為基礎(chǔ)建立審計體系框架，開展大數(shù)據(jù)技術(shù)下的信息安全審計?，F(xiàn)有文獻表明，學者的研究集中于信息安全和安全審計的技術(shù)方法及其應(yīng)用方面，對企業(yè)信息安全管理和安全管理審計的系統(tǒng)研究和理論探索較少。

三、DSMM的含義與應(yīng)用優(yōu)勢

（一）DSMM的含義

DSMM（Data Security Maturity Model），即數(shù)據(jù)安全能力成熟度模型，是由阿里巴巴起草編制的數(shù)據(jù)安全管理評價標準，它以數(shù)據(jù)安全為中心，從三個維度評價企業(yè)數(shù)據(jù)安全，包括：（1）安全能力維度。DSMM從組織建設(shè)、制度流程、技術(shù)工具、人員能力四個方面評估企業(yè)數(shù)據(jù)安全等級。（2）數(shù)據(jù)安全過程維度。DSMM將企業(yè)所有數(shù)據(jù)按其生命周期分為六個不同的階段，在其基礎(chǔ)上，以通用安全貫穿六個基礎(chǔ)生命周期，形成七大數(shù)據(jù)安全過程，總計包括30個過程域。（3）能力成熟度等級維度。DSMM將數(shù)據(jù)安全能力成熟度分為五個級別，企業(yè)需要設(shè)置符合自身需求的戰(zhàn)略目標，并評估其所處的數(shù)據(jù)安全等級，進而執(zhí)行和改善信息安全管理戰(zhàn)略規(guī)劃。DSMM構(gòu)造如圖1所示。

DSMM通過量化各項過程域安全衡量企業(yè)的數(shù)據(jù)安全等級，為企業(yè)全面全流程評估內(nèi)外數(shù)據(jù)安全提供渠道，促進企業(yè)多方位提升數(shù)據(jù)安全水平，實現(xiàn)信息系統(tǒng)安全可靠。DSMM數(shù)據(jù)生命周期安全過程域如圖2所示。

（二）DSMM的應(yīng)用優(yōu)勢

信息安全是對信息的保密性、完整性和可用性的保持。王春冬（2016）認為信息安全管理是企業(yè)管理體系的組成部分，旨在控制企業(yè)信息安全的潛在風險，保證企業(yè)安全、平穩(wěn)運作。隨著傳統(tǒng)的IT控制逐漸失效，現(xiàn)代企業(yè)正在轉(zhuǎn)向以數(shù)據(jù)保護為核心的信息安全管理模式，目前企業(yè)常用的信息安全管理模型包括DCSM和DGPC。DCSM（Data-Centric Security Model）是IBM針對數(shù)據(jù)安全現(xiàn)狀提出的以數(shù)據(jù)安全為中心的數(shù)據(jù)安全管理模型，模型強調(diào)自動化的數(shù)據(jù)分類是數(shù)據(jù)安全的核心，企業(yè)需要了解敏感數(shù)據(jù)的位置和安全風險，對數(shù)據(jù)的使用實施監(jiān)控和控制。DGPC（Data Governance for Privacy， Confidentiality and Compliance）是由微軟公司開發(fā)的隱私、保密和合規(guī)性框架，框架圍繞人員、流程和技術(shù)設(shè)立三個核心領(lǐng)域。DGPC框架在企業(yè)內(nèi)建立一個良好的環(huán)境，通過適當?shù)目刂?、技術(shù)和活動，結(jié)合信息生命周期，采用風險矩陣解決剩余風險，加強企業(yè)數(shù)據(jù)治理能力。

相較于上述兩個模型，DSMM模型是中國本土化的模型，更能針對國內(nèi)企業(yè)信息安全現(xiàn)狀提供信息安全管理的思路。對于電力企業(yè)而言，信息系統(tǒng)自身已經(jīng)趨于成熟，而管理活動中由于操作不規(guī)范等造成的數(shù)據(jù)損毀丟失給企業(yè)造成的損失不容小覷。DSMM借鑒CMM的思路，吸收了DCSM數(shù)據(jù)分類的思想，除了強調(diào)傳統(tǒng)數(shù)據(jù)安全需求外，還強調(diào)對企業(yè)員工能力的評估。DSMM模型強調(diào)數(shù)據(jù)全過程安全，與企業(yè)業(yè)務(wù)貼合更緊密，更加符合現(xiàn)階段企業(yè)實踐業(yè)財融合的需要。

四、基于DSMM開展企業(yè)信息安全管理審計的主要思路

（一）數(shù)據(jù)生命周期安全審計

DSMM模型將數(shù)據(jù)生命周期分為六個階段，每個階段有相應(yīng)的數(shù)據(jù)安全管理需求。（1）數(shù)據(jù)采集階段，數(shù)據(jù)收集方法和渠道應(yīng)當合法合規(guī)，并對所獲得的數(shù)據(jù)按要求分級分類，重點數(shù)據(jù)重點保護。這一階段審計重點是通過數(shù)據(jù)溯源、系統(tǒng)日志核查人員操作記錄，評價元數(shù)據(jù)的管理與分級分類是否符合要求。（2）數(shù)據(jù)傳輸階段面臨數(shù)據(jù)被攔截、盜取的風險，企業(yè)應(yīng)當建立傳輸保障機制，核查操作人員的權(quán)限。該階段審計重點關(guān)注傳輸保障機制是否得到完善，是否存在異常數(shù)據(jù)傳輸。通過定期審查數(shù)據(jù)供應(yīng)鏈目錄和源數(shù)據(jù)字典，采用追蹤法審查供應(yīng)鏈上下游的合規(guī)情況，保證數(shù)據(jù)傳輸?shù)陌踩?。?）數(shù)據(jù)存儲階段需要保證數(shù)據(jù)安全和存儲介質(zhì)安全。數(shù)據(jù)的安全性和完整性是該階段審計的重點，要確保存放數(shù)據(jù)的介質(zhì)安全，確保人員口令安全。（4）數(shù)據(jù)處理階段，具有訪問、操作權(quán)限的人員皆可接觸數(shù)據(jù)，數(shù)據(jù)安全實踐通常采用數(shù)據(jù)脫敏的方法來保證敏感數(shù)據(jù)的安全。該階段審計重點關(guān)注核心數(shù)據(jù)的脫敏工作，審查相關(guān)操作是否符合要求。（5）數(shù)據(jù)交換階段是數(shù)據(jù)安全中非常關(guān)鍵的一環(huán)，該階段審計應(yīng)重點關(guān)注溯源追查，通過分布式的嵌入審計程序進行操作痕跡追溯，如采用Hadoop、Spark等技術(shù)，結(jié)合大數(shù)據(jù)挖掘算法，采集并分析操作日志，判斷人員操作是否合規(guī)，并對其持續(xù)監(jiān)控，及時預警。（6）數(shù)據(jù)銷毀階段是數(shù)據(jù)生命周期的最后一環(huán)。數(shù)據(jù)管理人員應(yīng)確保所需銷毀的數(shù)據(jù)和介質(zhì)得到徹底銷毀。該階段審計應(yīng)重點關(guān)注數(shù)據(jù)銷毀記錄，看是否嚴格按照規(guī)定執(zhí)行，并做好定期記錄。

（二）環(huán)境安全審計

1.物理環(huán)境。傳統(tǒng)的物理環(huán)境安全包括設(shè)備、介質(zhì)和運行環(huán)境安全。企業(yè)應(yīng)當保證計算機運行的物理環(huán)境安全，嚴格控制進入計算機區(qū)域的權(quán)限，建立安全邊界，保證硬件設(shè)備不受人為因素、自然環(huán)境因素的損害。通過檢查機房出入登記記錄表、機房巡檢表等，審查機房安全控制執(zhí)行情況;檢查硬件設(shè)備有無老化、損害等情況，評估其安全等級，提出整改意見，確保終端數(shù)據(jù)安全，防止因設(shè)備宕機等原因造成數(shù)據(jù)的丟失、損毀。

2.網(wǎng)絡(luò)環(huán)境。在企業(yè)中，各部門多采用不同的信息系統(tǒng)，數(shù)據(jù)在各部門、各系統(tǒng)間交換、傳輸過程中容易感染木馬病毒，被安裝惡意插件，對信息安全造成威脅。通過建立健全檢測機制，審查系統(tǒng)是否存在漏洞、防火墻機制是否穩(wěn)定安全，評估企業(yè)信息系統(tǒng)運行的網(wǎng)絡(luò)安全環(huán)境。構(gòu)建企業(yè)分布式網(wǎng)絡(luò)安全審計系統(tǒng)，能夠監(jiān)控信息系統(tǒng)使用人員的操作行為，及時發(fā)現(xiàn)外部入侵行為，對入侵電力信息系統(tǒng)的可疑用戶進行IP地址監(jiān)測，對其起到警示作用，便于企業(yè)及時完善相關(guān)政策，進而保障網(wǎng)絡(luò)安全和信息安全。為保證電力企業(yè)信息系統(tǒng)運行的網(wǎng)絡(luò)環(huán)境的安全可靠，企業(yè)應(yīng)當建立成熟的安全隔離技術(shù)。審計人員除對系統(tǒng)和數(shù)據(jù)庫隔離技術(shù)運行有效性定期審計外，還可以通過數(shù)據(jù)庫審計技術(shù)對企業(yè)數(shù)據(jù)庫進行檢測分析，提出整改意見。

（三）組織架構(gòu)和人員管理安全審計

DSMM指出，企業(yè)數(shù)據(jù)安全管理人員應(yīng)具備相關(guān)安全意識和專業(yè)能力。依據(jù)模型，完整的信息安全管理組織架構(gòu)應(yīng)包括決策層、管理層、執(zhí)行層、監(jiān)督層。決策層制定企業(yè)的信息安全戰(zhàn)略目標、數(shù)據(jù)安全策略規(guī)劃;管理層根據(jù)企業(yè)需求建立監(jiān)控審計機制、組織人員培訓;執(zhí)行層負責制定符合實際的數(shù)據(jù)管理規(guī)章制度，實施數(shù)據(jù)安全流程，負責數(shù)據(jù)安全風險的評估與改進;監(jiān)督層監(jiān)督核查組織人員數(shù)據(jù)安全政策執(zhí)行情況，并實時監(jiān)控數(shù)據(jù)安全風險。各部門各司其職，形成一個完整的、深層次的組織管理體系，減少信息安全管理中信息不對稱問題，防范組織管理過程中存在的數(shù)據(jù)安全風險。

針對人員能力，審計人員根據(jù)培養(yǎng)記錄了解員工崗前培訓情況，采用工作分析法、訪談法、問卷法等方式評估員工能力，對員工操作進行持續(xù)監(jiān)控，判斷其操作合規(guī)性。針對組織構(gòu)建安全，建立審計風險預警系統(tǒng)，對企業(yè)運行中組織架構(gòu)存在的顯性或隱性風險及時預警;加強審計機構(gòu)與各職能部門關(guān)聯(lián)度，消除由于信息不對稱造成的信息安全風險;加強對企業(yè)的規(guī)章制度、部門設(shè)置、職責分配的風險防控。通過職能設(shè)置分析，審查企業(yè)信息安全管理組織是否互相牽制，在風險管理的基礎(chǔ)上，通過對業(yè)務(wù)風險進行評估分析以促進企業(yè)信息安全管理體系的建立與完善。對于實行輪換制度的重要崗位，在簽署保密制度的基礎(chǔ)上，通過檢查員工口令的變更頻率來判斷組織人員的安全管理意識。

（四）系統(tǒng)管理安全審計

要保證企業(yè)信息系統(tǒng)安全，需要從信息系統(tǒng)訪問控制、授權(quán)控制以及隔離機制入手。信息系統(tǒng)訪問控制是指保證系統(tǒng)由合適的人進行合適的操作，保證崗位的權(quán)限與職責相符合，防止賦予同一個崗位過多權(quán)限，實施職責分離，避免將沖突權(quán)限賦予給同一個賬號。而有效的隔離機制可以大幅度地降低外部網(wǎng)絡(luò)的威脅，實施數(shù)據(jù)安全傳輸和共享。在數(shù)據(jù)安全基本實踐中，嚴禁將賬號、密碼借給他人使用的行為，嚴格遵守系統(tǒng)管理員、安全管理員、安全審核員之間的監(jiān)督與約束制度。

大數(shù)據(jù)時代，企業(yè)信息安全審計以IT技術(shù)為支撐，利用大數(shù)據(jù)可視化技術(shù)對操作人員的系統(tǒng)操作日志、會議紀要等非結(jié)構(gòu)化數(shù)據(jù)進行分析，審查系統(tǒng)操作人員是否存在違規(guī)出借賬號、異常訪問等情況，保證口令安全。對企業(yè)人員數(shù)據(jù)操作過程進行溯源和持續(xù)監(jiān)督，可采用現(xiàn)場審計和非現(xiàn)場審計相結(jié)合的方式，通過數(shù)據(jù)挖掘等技術(shù)，強化內(nèi)部審計對人員操作的持續(xù)監(jiān)督和跟蹤。利用運維審計解決企業(yè)信息系統(tǒng)人員實踐行為中身份邊界模糊、授權(quán)不明確、難以追責等問題，實現(xiàn)事前預防、事中控制、事后追溯。堡壘機技術(shù)是常用的信息運維安全審計系統(tǒng)，堡壘機技術(shù)的登錄功能、賬號管理、身份認證、訪問控制、操作審計等功能都能有效保障系統(tǒng)安全，記錄操作人員操作記錄，便于審計管控，確保即將離職的員工訪問、操作權(quán)限被撤銷。

五、應(yīng)用示例

國家電網(wǎng)有限公司（以下簡稱國網(wǎng)）是特大型國有重點骨干企業(yè)。其發(fā)展與國家能源安全和國民經(jīng)濟命脈密切相關(guān)，故信息安全管理對于國網(wǎng)發(fā)展的重要性不言而喻。目前，國網(wǎng)就規(guī)范管理對外提供數(shù)據(jù)出臺了一系列的通用制度，但多數(shù)電力企業(yè)并未根據(jù)自身實際建立明確具體的管理制度，企業(yè)內(nèi)部的信息不對稱現(xiàn)象以及員工信息安全意識和技能的匱乏，都增加了企業(yè)的信息安全風險。國家電網(wǎng)江蘇省電力有限公司無錫供電分公司（以下簡稱無錫供電公司）也存在類似情況，針對信息安全管理中存在的問題，無錫供電公司審計部以數(shù)字化審計為技術(shù)依托，以DSMM的數(shù)據(jù)全生命周期審計為核心，將審計工作嵌入到全數(shù)據(jù)鏈中，加強風險稽查和防范，提升企業(yè)信息安全管理水平，實現(xiàn)企業(yè)價值增值。

以數(shù)據(jù)全生命周期安全審計為例來看DSMM在無錫供電公司審計中的應(yīng)用。DSMM強調(diào)對數(shù)據(jù)的全生命周期審計，實現(xiàn)事前預防、事中控制、事后追溯。2021年，無錫供電公司開發(fā)建設(shè)了集信息流、業(yè)務(wù)流、價值流、資金流“四流”合一的配網(wǎng)全過程智慧管理系統(tǒng)，審計部全線參與，進行建模、建立各類中間表項等，對業(yè)務(wù)全數(shù)據(jù)鏈進行分析，將數(shù)據(jù)全過程審計嵌入至日常管理活動中。審計部門通過固化“非現(xiàn)場+”的審計作業(yè)模式，通過對操作人員的系統(tǒng)操作日志等進行審查，發(fā)現(xiàn)異常數(shù)據(jù)進而進行整改。如針對運維服務(wù)類項目，通過比對全面預算管理平臺、ERP系統(tǒng)財務(wù)模塊、物資招標管理系統(tǒng)等操作數(shù)據(jù)進行審查，核實13個項目存在異常操作、未按規(guī)定審核的問題，相關(guān)部門已進行排查整改。除使用本公司數(shù)據(jù)，審計部還利用省公司中臺數(shù)據(jù)資源，利用QuickBI中臺大數(shù)據(jù)資源自主進行拓展式數(shù)據(jù)梳理，建立數(shù)據(jù)模型或數(shù)據(jù)監(jiān)測看板，下發(fā)核查工單督促整改，有效提升“四流”合規(guī)水平。

（作者單位：國網(wǎng)江蘇省電力有限公司無錫供電分公司 ?南京財經(jīng)大學，郵政編碼：214061，電子郵箱：wxmylu@163.com）

主要參考文獻

[1]陳偉，詹明惠.基于大數(shù)據(jù)可視化技術(shù)的信息系統(tǒng)AC審計[J].會計之友， 2021（1）：120-125

[2]顧穗珊，劉姍姍.信息安全管理體系構(gòu)建與對策研究[J].情報科學， 2019（8）：108-113+151

[3]胡能鵬，黃坤豪，鄭磊.基于大數(shù)據(jù)的安全審計[J].電腦與電信， 2018（10）：73-77

[4]劉國城，王躍堂.基于過程挖掘的互聯(lián)網(wǎng)金融信息安全審計研究[J].新疆大學學報（哲學·人文社會科學版）， 2017（3）：18-25

[5]石永.數(shù)據(jù)安全審計方法與內(nèi)容的探索[J].中國內(nèi)部審計， 2021（2）：40-42