賴振杰

【摘 要】在某省移動公司業(yè)務(wù)支撐系統(tǒng)迅速發(fā)展的同時，數(shù)據(jù)信息安全問題也逐漸成為制約系統(tǒng)發(fā)展、威脅數(shù)據(jù)可靠性的第一隱患。某省移動公司針對現(xiàn)狀進(jìn)行實(shí)踐和創(chuàng)新，提出以業(yè)務(wù)和風(fēng)險為中心來推進(jìn)信息安全建設(shè)，根據(jù)SOX（《薩班斯法案》）的審計要求，制定分級審計的方案，即審計工作的分級負(fù)責(zé)、協(xié)同處理，審計任務(wù)由操作者責(zé)任單位的審計人員負(fù)責(zé)執(zhí)行，保障審計任務(wù)處理的確定性、及時性。

【Abstract】With the rapid development of the business support system of a mobile company in a certain province， data information security has gradually become the first hidden danger that restricts the development of the system and threatens the reliability of data. According to the current situation to practice and innovate， a mobile company in a province proposes to promote information security construction by focusing on business and risk. According to the auditing requirements of SOX （sarbanes act）， a hierarchical auditing scheme is formulated， namely， the hierarchical responsibility and cooperative processing of audit work. Audit tasks are performed by the auditors of the operator's responsibility unit to ensure the certainty and timeliness of the handling of audit tasks.

【關(guān)鍵詞】電信運(yùn)營企業(yè);信息安全管理;分級審計

【Keywords】telecommunication operation enterprise; information security management; hierarchical auditing

【中圖分類號】F239? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 【文獻(xiàn)標(biāo)志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 【文章編號】1673-1069（2019）06-0022-02

1 建設(shè)背景

近年來，移動業(yè)務(wù)迅速發(fā)展，業(yè)務(wù)數(shù)據(jù)量激增，數(shù)據(jù)安全問題也日益突出，對信息安全的審計要求也在逐步提升。為督促落實(shí)各項信息安全管理辦法、技術(shù)規(guī)范，根據(jù)《薩班斯法案》的審計要求，結(jié)合實(shí)際，制定分級審計的方案，即審計工作的分級負(fù)責(zé)、協(xié)同處理，審計任務(wù)由操作者責(zé)任單位的審計人員負(fù)責(zé)執(zhí)行，保障審計任務(wù)處理的準(zhǔn)確性、及時性。

2 常態(tài)化的分級審計模式

某省移動公司的分級審計模式基于4A審計平臺進(jìn)行建設(shè)，主要包括審計系統(tǒng)的分級權(quán)限管理、審計策略制定前移、分級審計工作推廣三方面的工作。（圖1）

基于分級審計系統(tǒng)建立了以審計任務(wù)、審計職責(zé)為核心的分級審計責(zé)任制，從審計職責(zé)明確化、審計工作常態(tài)化、審計體系層次化三個方面來規(guī)范該省的分析審計工作。

①審計職責(zé)明確化：合理劃分審計權(quán)限、數(shù)據(jù)范圍，使各級審計人員執(zhí)行職責(zé)范圍內(nèi)的審計任務(wù)。②審計工作常態(tài)化：將審計工作推向日常業(yè)務(wù)支撐運(yùn)營規(guī)范化、流程化。③審計體系層次化：落實(shí)安全審計工作的多級管理，將審計工作貫徹到基礎(chǔ)運(yùn)營單元，各級審計人員負(fù)責(zé)處理職責(zé)內(nèi)的安全審計事件。

分級審計管理主要包括：審計任務(wù)生成、任務(wù)分派、任務(wù)執(zhí)行、任務(wù)反饋四個環(huán)節(jié)。分級審計管理支持根據(jù)組織機(jī)構(gòu)、業(yè)務(wù)系統(tǒng)維度劃分審計數(shù)據(jù)權(quán)限范圍，并在4A平臺中實(shí)現(xiàn)審計權(quán)限分級配置。各級審計人員可以對其權(quán)限范圍內(nèi)的審計事件進(jìn)行分析，并根據(jù)操作行為審計級別、審計預(yù)警級別生成、分派、執(zhí)行審計任務(wù)，反饋執(zhí)行結(jié)果。

2.1 常態(tài)化分級審計工作

某省移動公司在分級審計工作中要求市級分公司對所有接入系統(tǒng)進(jìn)行全面審計，審計范圍應(yīng)至少包括帳號管理類、認(rèn)證登錄類、敏感數(shù)據(jù)操作類、關(guān)鍵操作類、金庫專題審計等模塊的審計類別。目前覆蓋情況如下表。

[指標(biāo)項 覆蓋情況 安全平臺整體情況 4A管理平臺 覆蓋BOSS/CRM、BASS、BOMC、ESOP、主機(jī)、數(shù)據(jù)庫等資源 金庫模式管理 覆蓋BOSS/CRM、BASS、ESOP、主機(jī)、數(shù)據(jù)庫等系統(tǒng) 安全管控范圍 資源 BOSS/CRM、客服、BASS、BOMC、ESOP、防火墻、網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫等系統(tǒng) 人員 使用BOSS/CRM、BASS、BOMC、ESOP、防火墻、網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫等系統(tǒng)的相關(guān)人員，包括：公司員工及三方合作伙伴人員 ]

市級分公司基于4A審計系統(tǒng)，采用分析日志、稽核報表等措施，對業(yè)務(wù)支撐系統(tǒng)操作日志進(jìn)行審計，及時發(fā)現(xiàn)可能存在的安全隱患，為調(diào)整安全管理策略提供依據(jù)。按照省公司審計管理部門既定策略，如實(shí)對審計情況以月報形式進(jìn)行匯總上報，并對異常情況做出書面說明及調(diào)查報告[1]。

2.2 針對性的分級審計策略

根據(jù)該省系統(tǒng)特點(diǎn)，分帳號管理、認(rèn)證登錄、敏感數(shù)據(jù)操作、關(guān)鍵操作、審計人員登陸及操作五大類來設(shè)定分級審計策略，目前已執(zhí)行的常態(tài)化的分級審計策略已有50多條，有效地提升了事后安全稽核水平。

市級分公司可根據(jù)實(shí)際情況，自行定制審計策略，在審計平臺自定義數(shù)據(jù)模型及報表，展現(xiàn)自身較為關(guān)注的數(shù)據(jù)，并對這些數(shù)據(jù)進(jìn)行策略制定及風(fēng)險分析等，從而更有效地監(jiān)控系統(tǒng)運(yùn)行狀態(tài)和對關(guān)鍵業(yè)務(wù)的審計操作。

3 契合業(yè)務(wù)的專項審計工作

基于分級審計系統(tǒng)開展了省公司-地市分公司一體化的專項審計工作，實(shí)現(xiàn)由分級審計系統(tǒng)發(fā)起，在BOMC系統(tǒng)業(yè)務(wù)流轉(zhuǎn)、在審計系統(tǒng)結(jié)束的完整審計管理流程，規(guī)范了審計事件的分析處理全過程，提高審計工作質(zhì)量和效率。同時，對于專項審計任務(wù)，任何地市的審計工作必須包含安全審計內(nèi)容、審計方式、依據(jù)標(biāo)準(zhǔn)、審計方法、審計結(jié)果、問題描述、審計人員和被審計人員簽字欄等。

目前，某省移動公司已經(jīng)設(shè)定了“主帳號月變更審計”“主帳號認(rèn)證登錄審計”“客戶資料信息操作審計”“密碼重置異常行為審計”“客戶詳單信息操作審計”等14項專項審計工作，詳細(xì)情況如右表。

省市一體化的專項審計體系，市公司審計管理員把專項審計工作中發(fā)現(xiàn)的問題錄入工單流程系統(tǒng)，實(shí)現(xiàn)對審計安全事件的上報、受理、解決，一整套流程的自動化處理和歸檔等功能，更有效地把控安全風(fēng)險[2]。

第一步：市公司審計管理員按專項審計工作的內(nèi)容要求開展審計工作，將審計結(jié)果通過安全事件工單提交給省公司。第二步：省公司的審計管理員針對市公司專項審計報告中發(fā)現(xiàn)的安全事件，通過技術(shù)手段進(jìn)行初步分析，對安全事件進(jìn)行評估。第三步：如安全事件確實(shí)存在，省公司審計管理員將安全事件工單升級為問題工單，提交對應(yīng)管理員進(jìn)行處理，并依據(jù)問題工單對安全事件進(jìn)行進(jìn)度跟蹤及過程管控。第四步：待安全事件解決后，問題工單再次流轉(zhuǎn)至省公司審計管理員，其對處理或加固、整改的結(jié)果進(jìn)行確認(rèn)，無誤后反饋給對應(yīng)的市分公司審計管理員。

4 分級審計的建設(shè)成果

①成果一：審計效果顯著，為公司業(yè)務(wù)發(fā)展保駕護(hù)航。分級審計模式自推廣實(shí)施以來，共接收各地市反饋可疑問題61例，經(jīng)過核實(shí)，確認(rèn)安全問題14例，主要集中在人為惡意違規(guī)操作、業(yè)務(wù)系統(tǒng)BUG、應(yīng)外掛程序、流程制度不完善等問題。②成果二：建立獎懲機(jī)制，激勵分級審計工作的開展。省公司根據(jù)分級審計的效果對市分公司業(yè)務(wù)支撐考核進(jìn)行加分，以此激勵市公司分級審計工作的開展，充分調(diào)動地市人員積極性，使之能夠更有效開展分級審計工作。③成果三：分級審計產(chǎn)生結(jié)果反向推進(jìn)流程、制度及系統(tǒng)建設(shè)。某省移動公司建立了閉環(huán)管理的審計工作體系，定期針對分級審計工作結(jié)果及相關(guān)管理流程、制度進(jìn)行完善，避免人為因素導(dǎo)致的安全問題出現(xiàn)。在分級審計工作中充分利用全省資源發(fā)現(xiàn)問題，不斷豐富審計手段及策略，將優(yōu)秀案例固化成審計報表供全省參考，并定期組織多方專家對這些問題進(jìn)行分析，提出解決方案并推廣全省。④成果四：以點(diǎn)概面，總結(jié)審計問題，進(jìn)行常態(tài)化推廣。在分級審計的推廣和使用的過程中，針對某市分公司審計出的問題，按照影響范圍，以點(diǎn)概面，形成以審計系統(tǒng)為運(yùn)營基礎(chǔ)的常態(tài)化安全策略，從而推廣全省進(jìn)行全面的審計稽核和問題發(fā)現(xiàn)。

5 結(jié)語

分級審計體系的建立，需要從實(shí)際業(yè)務(wù)出發(fā)，結(jié)合企業(yè)及應(yīng)用業(yè)務(wù)特點(diǎn)不斷完善，以業(yè)務(wù)為中心、以風(fēng)險為抓手，調(diào)動全省各級安全審計人員的風(fēng)險意識，完成對基于業(yè)務(wù)的安全審計工作，更有效地保障公司業(yè)務(wù)的持續(xù)穩(wěn)定發(fā)展。

【參考文獻(xiàn)】

【1】GB/T 22080-2008信息技術(shù) 安全技術(shù) 信息安全管理體系要求[S].

【2】王英梅，王勝開，陳國順，程湘云編著.信息安全風(fēng)險評估[M].北京：電子工業(yè)出版社，2007.