強(qiáng)化安全審計(jì)工作分級(jí)閉環(huán)管理，提升安全防護(hù)水平

賴振杰

（中國(guó)移動(dòng)通信集團(tuán)河南有限公司，鄭州 450000）

LAI Zhen-jie(Henan Company Limited,China Mobile Communications Corporation,Zhengzhou450000,China)

1 建設(shè)背景

近年來(lái)，移動(dòng)業(yè)務(wù)迅速發(fā)展，業(yè)務(wù)數(shù)據(jù)量激增，數(shù)據(jù)安全問(wèn)題也日益突出，對(duì)信息安全的審計(jì)要求也在逐步提升。為督促落實(shí)各項(xiàng)信息安全管理辦法、技術(shù)規(guī)范，根據(jù)《薩班斯法案》的審計(jì)要求，結(jié)合實(shí)際，制定分級(jí)審計(jì)的方案，即審計(jì)工作的分級(jí)負(fù)責(zé)、協(xié)同處理，審計(jì)任務(wù)由操作者責(zé)任單位的審計(jì)人員負(fù)責(zé)執(zhí)行，保障審計(jì)任務(wù)處理的準(zhǔn)確性、及時(shí)性。

2 常態(tài)化的分級(jí)審計(jì)模式

某省移動(dòng)公司的分級(jí)審計(jì)模式基于4A審計(jì)平臺(tái)進(jìn)行建設(shè)，主要包括審計(jì)系統(tǒng)的分級(jí)權(quán)限管理、審計(jì)策略制定前移、分級(jí)審計(jì)工作推廣三方面的工作。（圖1）

基于分級(jí)審計(jì)系統(tǒng)建立了以審計(jì)任務(wù)、審計(jì)職責(zé)為核心的分級(jí)審計(jì)責(zé)任制，從審計(jì)職責(zé)明確化、審計(jì)工作常態(tài)化、審計(jì)體系層次化三個(gè)方面來(lái)規(guī)范該省的分析審計(jì)工作。

①審計(jì)職責(zé)明確化：合理劃分審計(jì)權(quán)限、數(shù)據(jù)范圍，使各級(jí)審計(jì)人員執(zhí)行職責(zé)范圍內(nèi)的審計(jì)任務(wù)。②審計(jì)工作常態(tài)化：將審計(jì)工作推向日常業(yè)務(wù)支撐運(yùn)營(yíng)規(guī)范化、流程化。③審計(jì)體系層次化：落實(shí)安全審計(jì)工作的多級(jí)管理，將審計(jì)工作貫徹到基礎(chǔ)運(yùn)營(yíng)單元，各級(jí)審計(jì)人員負(fù)責(zé)處理職責(zé)內(nèi)的安全審計(jì)事件。

圖1 某省移動(dòng)公司的分級(jí)審計(jì)模式

分級(jí)審計(jì)管理主要包括：審計(jì)任務(wù)生成、任務(wù)分派、任務(wù)執(zhí)行、任務(wù)反饋四個(gè)環(huán)節(jié)。分級(jí)審計(jì)管理支持根據(jù)組織機(jī)構(gòu)、業(yè)務(wù)系統(tǒng)維度劃分審計(jì)數(shù)據(jù)權(quán)限范圍，并在4A平臺(tái)中實(shí)現(xiàn)審計(jì)權(quán)限分級(jí)配置。各級(jí)審計(jì)人員可以對(duì)其權(quán)限范圍內(nèi)的審計(jì)事件進(jìn)行分析，并根據(jù)操作行為審計(jì)級(jí)別、審計(jì)預(yù)警級(jí)別生成、分派、執(zhí)行審計(jì)任務(wù)，反饋執(zhí)行結(jié)果。

2.1 常態(tài)化分級(jí)審計(jì)工作

某省移動(dòng)公司在分級(jí)審計(jì)工作中要求市級(jí)分公司對(duì)所有接入系統(tǒng)進(jìn)行全面審計(jì)，審計(jì)范圍應(yīng)至少包括帳號(hào)管理類、認(rèn)證登錄類、敏感數(shù)據(jù)操作類、關(guān)鍵操作類、金庫(kù)專題審計(jì)等模塊的審計(jì)類別。目前覆蓋情況如下表。

指標(biāo)項(xiàng) 覆蓋情況安全平臺(tái)整體情況覆蓋 BOSS/CRM、BASS、BOMC、ESOP、主機(jī)、數(shù)據(jù)庫(kù)等資源金庫(kù)模式管理4A管理平臺(tái)覆蓋 BOSS/CRM、BASS、ESOP、主機(jī)、數(shù)據(jù)庫(kù)等系統(tǒng)安全管控范圍資源 BOSS/CRM、客服、BASS、BOMC、ESOP、防火墻、網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)等系統(tǒng)人員使用 BOSS/CRM、BASS、BOMC、ESOP、防火墻、網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)等系統(tǒng)的相關(guān)人員，包括：公司員工及三方合作伙伴人員

市級(jí)分公司基于4A審計(jì)系統(tǒng)，采用分析日志、稽核報(bào)表等措施，對(duì)業(yè)務(wù)支撐系統(tǒng)操作日志進(jìn)行審計(jì)，及時(shí)發(fā)現(xiàn)可能存在的安全隱患，為調(diào)整安全管理策略提供依據(jù)。按照省公司審計(jì)管理部門(mén)既定策略，如實(shí)對(duì)審計(jì)情況以月報(bào)形式進(jìn)行匯總上報(bào)，并對(duì)異常情況做出書(shū)面說(shuō)明及調(diào)查報(bào)告[1]。

2.2 針對(duì)性的分級(jí)審計(jì)策略

根據(jù)該省系統(tǒng)特點(diǎn)，分帳號(hào)管理、認(rèn)證登錄、敏感數(shù)據(jù)操作、關(guān)鍵操作、審計(jì)人員登陸及操作五大類來(lái)設(shè)定分級(jí)審計(jì)策略，目前已執(zhí)行的常態(tài)化的分級(jí)審計(jì)策略已有50多條，有效地提升了事后安全稽核水平。

市級(jí)分公司可根據(jù)實(shí)際情況，自行定制審計(jì)策略，在審計(jì)平臺(tái)自定義數(shù)據(jù)模型及報(bào)表，展現(xiàn)自身較為關(guān)注的數(shù)據(jù)，并對(duì)這些數(shù)據(jù)進(jìn)行策略制定及風(fēng)險(xiǎn)分析等，從而更有效地監(jiān)控系統(tǒng)運(yùn)行狀態(tài)和對(duì)關(guān)鍵業(yè)務(wù)的審計(jì)操作。

3 契合業(yè)務(wù)的專項(xiàng)審計(jì)工作

基于分級(jí)審計(jì)系統(tǒng)開(kāi)展了省公司-地市分公司一體化的專項(xiàng)審計(jì)工作，實(shí)現(xiàn)由分級(jí)審計(jì)系統(tǒng)發(fā)起，在BOMC系統(tǒng)業(yè)務(wù)流轉(zhuǎn)、在審計(jì)系統(tǒng)結(jié)束的完整審計(jì)管理流程，規(guī)范了審計(jì)事件的分析處理全過(guò)程，提高審計(jì)工作質(zhì)量和效率。同時(shí)，對(duì)于專項(xiàng)審計(jì)任務(wù)，任何地市的審計(jì)工作必須包含安全審計(jì)內(nèi)容、審計(jì)方式、依據(jù)標(biāo)準(zhǔn)、審計(jì)方法、審計(jì)結(jié)果、問(wèn)題描述、審計(jì)人員和被審計(jì)人員簽字欄等。

目前，某省移動(dòng)公司已經(jīng)設(shè)定了“主帳號(hào)月變更審計(jì)”“主帳號(hào)認(rèn)證登錄審計(jì)”“客戶資料信息操作審計(jì)”“密碼重置異常行為審計(jì)”“客戶詳單信息操作審計(jì)”等14項(xiàng)專項(xiàng)審計(jì)工作，詳細(xì)情況如右表。

序號(hào) 專項(xiàng)審計(jì)工作1 2 3 4 5 6 7 8 9 1 0 11 12 13 14主帳號(hào)月變更審計(jì)應(yīng)用資源從帳號(hào)審計(jì)密碼重置異常行為審計(jì)主帳號(hào)認(rèn)證登錄審計(jì)登錄異常行為審計(jì)客戶資料信息操作審計(jì)客戶消費(fèi)信息操作審計(jì)客戶詳單信息操作審計(jì)關(guān)鍵統(tǒng)計(jì)報(bào)表操作審計(jì)批量業(yè)務(wù)操作審計(jì)業(yè)務(wù)關(guān)鍵操作審計(jì)有授權(quán)記錄金庫(kù)操作審計(jì)無(wú)授權(quán)記錄金庫(kù)操作審計(jì)審計(jì)人員登陸及操作頻率審計(jì)

省市一體化的專項(xiàng)審計(jì)體系，市公司審計(jì)管理員把專項(xiàng)審計(jì)工作中發(fā)現(xiàn)的問(wèn)題錄入工單流程系統(tǒng)，實(shí)現(xiàn)對(duì)審計(jì)安全事件的上報(bào)、受理、解決，一整套流程的自動(dòng)化處理和歸檔等功能，更有效地把控安全風(fēng)險(xiǎn)[2]。

第一步：市公司審計(jì)管理員按專項(xiàng)審計(jì)工作的內(nèi)容要求開(kāi)展審計(jì)工作，將審計(jì)結(jié)果通過(guò)安全事件工單提交給省公司。第二步：省公司的審計(jì)管理員針對(duì)市公司專項(xiàng)審計(jì)報(bào)告中發(fā)現(xiàn)的安全事件，通過(guò)技術(shù)手段進(jìn)行初步分析，對(duì)安全事件進(jìn)行評(píng)估。第三步：如安全事件確實(shí)存在，省公司審計(jì)管理員將安全事件工單升級(jí)為問(wèn)題工單，提交對(duì)應(yīng)管理員進(jìn)行處理，并依據(jù)問(wèn)題工單對(duì)安全事件進(jìn)行進(jìn)度跟蹤及過(guò)程管控。第四步：待安全事件解決后，問(wèn)題工單再次流轉(zhuǎn)至省公司審計(jì)管理員，其對(duì)處理或加固、整改的結(jié)果進(jìn)行確認(rèn)，無(wú)誤后反饋給對(duì)應(yīng)的市分公司審計(jì)管理員。

4 分級(jí)審計(jì)的建設(shè)成果

①成果一：審計(jì)效果顯著，為公司業(yè)務(wù)發(fā)展保駕護(hù)航。分級(jí)審計(jì)模式自推廣實(shí)施以來(lái)，共接收各地市反饋可疑問(wèn)題61例，經(jīng)過(guò)核實(shí)，確認(rèn)安全問(wèn)題14例，主要集中在人為惡意違規(guī)操作、業(yè)務(wù)系統(tǒng)BUG、應(yīng)外掛程序、流程制度不完善等問(wèn)題。②成果二：建立獎(jiǎng)懲機(jī)制，激勵(lì)分級(jí)審計(jì)工作的開(kāi)展。省公司根據(jù)分級(jí)審計(jì)的效果對(duì)市分公司業(yè)務(wù)支撐考核進(jìn)行加分，以此激勵(lì)市公司分級(jí)審計(jì)工作的開(kāi)展，充分調(diào)動(dòng)地市人員積極性，使之能夠更有效開(kāi)展分級(jí)審計(jì)工作。③成果三：分級(jí)審計(jì)產(chǎn)生結(jié)果反向推進(jìn)流程、制度及系統(tǒng)建設(shè)。某省移動(dòng)公司建立了閉環(huán)管理的審計(jì)工作體系，定期針對(duì)分級(jí)審計(jì)工作結(jié)果及相關(guān)管理流程、制度進(jìn)行完善，避免人為因素導(dǎo)致的安全問(wèn)題出現(xiàn)。在分級(jí)審計(jì)工作中充分利用全省資源發(fā)現(xiàn)問(wèn)題，不斷豐富審計(jì)手段及策略，將優(yōu)秀案例固化成審計(jì)報(bào)表供全省參考，并定期組織多方專家對(duì)這些問(wèn)題進(jìn)行分析，提出解決方案并推廣全省。④成果四：以點(diǎn)概面，總結(jié)審計(jì)問(wèn)題，進(jìn)行常態(tài)化推廣。在分級(jí)審計(jì)的推廣和使用的過(guò)程中，針對(duì)某市分公司審計(jì)出的問(wèn)題，按照影響范圍，以點(diǎn)概面，形成以審計(jì)系統(tǒng)為運(yùn)營(yíng)基礎(chǔ)的常態(tài)化安全策略，從而推廣全省進(jìn)行全面的審計(jì)稽核和問(wèn)題發(fā)現(xiàn)。

5 結(jié)語(yǔ)

分級(jí)審計(jì)體系的建立，需要從實(shí)際業(yè)務(wù)出發(fā)，結(jié)合企業(yè)及應(yīng)用業(yè)務(wù)特點(diǎn)不斷完善，以業(yè)務(wù)為中心、以風(fēng)險(xiǎn)為抓手，調(diào)動(dòng)全省各級(jí)安全審計(jì)人員的風(fēng)險(xiǎn)意識(shí)，完成對(duì)基于業(yè)務(wù)的安全審計(jì)工作，更有效地保障公司業(yè)務(wù)的持續(xù)穩(wěn)定發(fā)展。