基于DSMM的電力企業(yè)信息安全管理審計(jì)探析

陳嘉琳 陸明媛 朱惠紅 馬文藝 何江

[摘要] DSMM強(qiáng)調(diào)企業(yè)應(yīng)以數(shù)據(jù)安全為核心，從三個(gè)維度提升企業(yè)信息安全等級，數(shù)據(jù)全過程安全的理念更加符合現(xiàn)代企業(yè)實(shí)踐業(yè)財(cái)融合的需要。本文從信息安全管理的研究現(xiàn)狀著手，參考DSMM建立企業(yè)信息安全管理審計(jì)框架，以環(huán)境安全、組織構(gòu)建和人員管理安全、系統(tǒng)管理安全為實(shí)施層面，實(shí)施全過程的信息安全管理審計(jì)，以期從內(nèi)部審計(jì)的視角為企業(yè)信息安全管理提供建議，完善企業(yè)信息安全管理體系，從而促進(jìn)企業(yè)信息化進(jìn)程健康發(fā)展。

[關(guān)鍵詞]信息安全管理 ? 數(shù)據(jù)安全 ? 數(shù)據(jù)生命周期 ? 安全審計(jì)

一、引言

現(xiàn)代科學(xué)技術(shù)的快速發(fā)展，使得大數(shù)據(jù)、物聯(lián)網(wǎng)和區(qū)塊鏈等互聯(lián)網(wǎng)技術(shù)在企業(yè)得到普遍應(yīng)用，企業(yè)信息化程度全面提升。尤其是以建設(shè)和運(yùn)營電網(wǎng)為核心業(yè)務(wù)的電力企業(yè)，其業(yè)務(wù)數(shù)據(jù)的特殊性增加了其對信息系統(tǒng)的依賴程度。電力企業(yè)在享受信息技術(shù)和信息系統(tǒng)帶來的利好的同時(shí)，也面臨著數(shù)據(jù)被盜、丟失、損毀等安全風(fēng)險(xiǎn)，因此，加強(qiáng)電力系統(tǒng)信息安全管理十分必要。內(nèi)部審計(jì)是企業(yè)風(fēng)險(xiǎn)管理的第三道防線，管理審計(jì)已成為新時(shí)代企業(yè)審計(jì)的新業(yè)態(tài)，但面對信息化程度比較高的經(jīng)營管理環(huán)境，企業(yè)內(nèi)部審計(jì)人員尚未將審計(jì)視角轉(zhuǎn)向信息系統(tǒng)安全管理審計(jì)方面，探索信息安全管理審計(jì)勢在必行。

二、文獻(xiàn)綜述

楊啟飛（2021）認(rèn)為，信息安全研究不能局限于“信息”層面，要從風(fēng)險(xiǎn)治理視角將被動事后分析變?yōu)橹鲃邮虑胺烙?。孫紅梅和賈瑞生（2016）將管理與技術(shù)并重，強(qiáng)調(diào)以安全管理策略為支撐，建立企業(yè)信息安全管理體系的重要性。甄杰、謝宗曉、李康宏等人（2020）研究得出企業(yè)信息安全治理對企業(yè)績效具有顯著的正向效應(yīng)，這種效應(yīng)與企業(yè)內(nèi)部高層管理者對信息安全管理的支持程度呈正相關(guān)。陳偉、李曉鵬、居江寧（2019）認(rèn)為，互聯(lián)網(wǎng)技術(shù)的發(fā)展提高了企業(yè)信息系統(tǒng)的復(fù)雜度和開放水平，同時(shí)也對企業(yè)信息安全審計(jì)提出了一系列挑戰(zhàn)，要求企業(yè)不斷創(chuàng)新信息系統(tǒng)審計(jì)方法。胡能鵬、黃坤豪、鄭磊（2018）引入大數(shù)據(jù)離線和在線計(jì)算方式，構(gòu)建基于大數(shù)據(jù)的計(jì)算方式進(jìn)行數(shù)據(jù)安全審計(jì)。陳偉和詹明惠（2021）通過大數(shù)據(jù)可視化技術(shù)，分析相關(guān)單位信息系統(tǒng)的應(yīng)用控制風(fēng)險(xiǎn)。劉國城和王躍堂（2017）采用數(shù)據(jù)挖掘技術(shù)，以“工程學(xué)”方法為基礎(chǔ)建立審計(jì)體系框架，開展大數(shù)據(jù)技術(shù)下的信息安全審計(jì)?，F(xiàn)有文獻(xiàn)表明，學(xué)者的研究集中于信息安全和安全審計(jì)的技術(shù)方法及其應(yīng)用方面，對企業(yè)信息安全管理和安全管理審計(jì)的系統(tǒng)研究和理論探索較少。

三、DSMM的含義與應(yīng)用優(yōu)勢

（一）DSMM的含義

DSMM（Data Security Maturity Model），即數(shù)據(jù)安全能力成熟度模型，是由阿里巴巴起草編制的數(shù)據(jù)安全管理評價(jià)標(biāo)準(zhǔn)，它以數(shù)據(jù)安全為中心，從三個(gè)維度評價(jià)企業(yè)數(shù)據(jù)安全，包括：（1）安全能力維度。DSMM從組織建設(shè)、制度流程、技術(shù)工具、人員能力四個(gè)方面評估企業(yè)數(shù)據(jù)安全等級。（2）數(shù)據(jù)安全過程維度。DSMM將企業(yè)所有數(shù)據(jù)按其生命周期分為六個(gè)不同的階段，在其基礎(chǔ)上，以通用安全貫穿六個(gè)基礎(chǔ)生命周期，形成七大數(shù)據(jù)安全過程，總計(jì)包括30個(gè)過程域。（3）能力成熟度等級維度。DSMM將數(shù)據(jù)安全能力成熟度分為五個(gè)級別，企業(yè)需要設(shè)置符合自身需求的戰(zhàn)略目標(biāo)，并評估其所處的數(shù)據(jù)安全等級，進(jìn)而執(zhí)行和改善信息安全管理戰(zhàn)略規(guī)劃。DSMM構(gòu)造如圖1所示。

DSMM通過量化各項(xiàng)過程域安全衡量企業(yè)的數(shù)據(jù)安全等級，為企業(yè)全面全流程評估內(nèi)外數(shù)據(jù)安全提供渠道，促進(jìn)企業(yè)多方位提升數(shù)據(jù)安全水平，實(shí)現(xiàn)信息系統(tǒng)安全可靠。DSMM數(shù)據(jù)生命周期安全過程域如圖2所示。

（二）DSMM的應(yīng)用優(yōu)勢

信息安全是對信息的保密性、完整性和可用性的保持。王春冬（2016）認(rèn)為信息安全管理是企業(yè)管理體系的組成部分，旨在控制企業(yè)信息安全的潛在風(fēng)險(xiǎn)，保證企業(yè)安全、平穩(wěn)運(yùn)作。隨著傳統(tǒng)的IT控制逐漸失效，現(xiàn)代企業(yè)正在轉(zhuǎn)向以數(shù)據(jù)保護(hù)為核心的信息安全管理模式，目前企業(yè)常用的信息安全管理模型包括DCSM和DGPC。DCSM（Data-Centric Security Model）是IBM針對數(shù)據(jù)安全現(xiàn)狀提出的以數(shù)據(jù)安全為中心的數(shù)據(jù)安全管理模型，模型強(qiáng)調(diào)自動化的數(shù)據(jù)分類是數(shù)據(jù)安全的核心，企業(yè)需要了解敏感數(shù)據(jù)的位置和安全風(fēng)險(xiǎn)，對數(shù)據(jù)的使用實(shí)施監(jiān)控和控制。DGPC（Data Governance for Privacy， Confidentiality and Compliance）是由微軟公司開發(fā)的隱私、保密和合規(guī)性框架，框架圍繞人員、流程和技術(shù)設(shè)立三個(gè)核心領(lǐng)域。DGPC框架在企業(yè)內(nèi)建立一個(gè)良好的環(huán)境，通過適當(dāng)?shù)目刂啤⒓夹g(shù)和活動，結(jié)合信息生命周期，采用風(fēng)險(xiǎn)矩陣解決剩余風(fēng)險(xiǎn)，加強(qiáng)企業(yè)數(shù)據(jù)治理能力。

相較于上述兩個(gè)模型，DSMM模型是中國本土化的模型，更能針對國內(nèi)企業(yè)信息安全現(xiàn)狀提供信息安全管理的思路。對于電力企業(yè)而言，信息系統(tǒng)自身已經(jīng)趨于成熟，而管理活動中由于操作不規(guī)范等造成的數(shù)據(jù)損毀丟失給企業(yè)造成的損失不容小覷。DSMM借鑒CMM的思路，吸收了DCSM數(shù)據(jù)分類的思想，除了強(qiáng)調(diào)傳統(tǒng)數(shù)據(jù)安全需求外，還強(qiáng)調(diào)對企業(yè)員工能力的評估。DSMM模型強(qiáng)調(diào)數(shù)據(jù)全過程安全，與企業(yè)業(yè)務(wù)貼合更緊密，更加符合現(xiàn)階段企業(yè)實(shí)踐業(yè)財(cái)融合的需要。

四、基于DSMM開展企業(yè)信息安全管理審計(jì)的主要思路

（一）數(shù)據(jù)生命周期安全審計(jì)

DSMM模型將數(shù)據(jù)生命周期分為六個(gè)階段，每個(gè)階段有相應(yīng)的數(shù)據(jù)安全管理需求。（1）數(shù)據(jù)采集階段，數(shù)據(jù)收集方法和渠道應(yīng)當(dāng)合法合規(guī)，并對所獲得的數(shù)據(jù)按要求分級分類，重點(diǎn)數(shù)據(jù)重點(diǎn)保護(hù)。這一階段審計(jì)重點(diǎn)是通過數(shù)據(jù)溯源、系統(tǒng)日志核查人員操作記錄，評價(jià)元數(shù)據(jù)的管理與分級分類是否符合要求。（2）數(shù)據(jù)傳輸階段面臨數(shù)據(jù)被攔截、盜取的風(fēng)險(xiǎn)，企業(yè)應(yīng)當(dāng)建立傳輸保障機(jī)制，核查操作人員的權(quán)限。該階段審計(jì)重點(diǎn)關(guān)注傳輸保障機(jī)制是否得到完善，是否存在異常數(shù)據(jù)傳輸。通過定期審查數(shù)據(jù)供應(yīng)鏈目錄和源數(shù)據(jù)字典，采用追蹤法審查供應(yīng)鏈上下游的合規(guī)情況，保證數(shù)據(jù)傳輸?shù)陌踩?。?）數(shù)據(jù)存儲階段需要保證數(shù)據(jù)安全和存儲介質(zhì)安全。數(shù)據(jù)的安全性和完整性是該階段審計(jì)的重點(diǎn)，要確保存放數(shù)據(jù)的介質(zhì)安全，確保人員口令安全。（4）數(shù)據(jù)處理階段，具有訪問、操作權(quán)限的人員皆可接觸數(shù)據(jù)，數(shù)據(jù)安全實(shí)踐通常采用數(shù)據(jù)脫敏的方法來保證敏感數(shù)據(jù)的安全。該階段審計(jì)重點(diǎn)關(guān)注核心數(shù)據(jù)的脫敏工作，審查相關(guān)操作是否符合要求。（5）數(shù)據(jù)交換階段是數(shù)據(jù)安全中非常關(guān)鍵的一環(huán)，該階段審計(jì)應(yīng)重點(diǎn)關(guān)注溯源追查，通過分布式的嵌入審計(jì)程序進(jìn)行操作痕跡追溯，如采用Hadoop、Spark等技術(shù)，結(jié)合大數(shù)據(jù)挖掘算法，采集并分析操作日志，判斷人員操作是否合規(guī)，并對其持續(xù)監(jiān)控，及時(shí)預(yù)警。（6）數(shù)據(jù)銷毀階段是數(shù)據(jù)生命周期的最后一環(huán)。數(shù)據(jù)管理人員應(yīng)確保所需銷毀的數(shù)據(jù)和介質(zhì)得到徹底銷毀。該階段審計(jì)應(yīng)重點(diǎn)關(guān)注數(shù)據(jù)銷毀記錄，看是否嚴(yán)格按照規(guī)定執(zhí)行，并做好定期記錄。

（二）環(huán)境安全審計(jì)

1.物理環(huán)境。傳統(tǒng)的物理環(huán)境安全包括設(shè)備、介質(zhì)和運(yùn)行環(huán)境安全。企業(yè)應(yīng)當(dāng)保證計(jì)算機(jī)運(yùn)行的物理環(huán)境安全，嚴(yán)格控制進(jìn)入計(jì)算機(jī)區(qū)域的權(quán)限，建立安全邊界，保證硬件設(shè)備不受人為因素、自然環(huán)境因素的損害。通過檢查機(jī)房出入登記記錄表、機(jī)房巡檢表等，審查機(jī)房安全控制執(zhí)行情況;檢查硬件設(shè)備有無老化、損害等情況，評估其安全等級，提出整改意見，確保終端數(shù)據(jù)安全，防止因設(shè)備宕機(jī)等原因造成數(shù)據(jù)的丟失、損毀。

2.網(wǎng)絡(luò)環(huán)境。在企業(yè)中，各部門多采用不同的信息系統(tǒng)，數(shù)據(jù)在各部門、各系統(tǒng)間交換、傳輸過程中容易感染木馬病毒，被安裝惡意插件，對信息安全造成威脅。通過建立健全檢測機(jī)制，審查系統(tǒng)是否存在漏洞、防火墻機(jī)制是否穩(wěn)定安全，評估企業(yè)信息系統(tǒng)運(yùn)行的網(wǎng)絡(luò)安全環(huán)境。構(gòu)建企業(yè)分布式網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，能夠監(jiān)控信息系統(tǒng)使用人員的操作行為，及時(shí)發(fā)現(xiàn)外部入侵行為，對入侵電力信息系統(tǒng)的可疑用戶進(jìn)行IP地址監(jiān)測，對其起到警示作用，便于企業(yè)及時(shí)完善相關(guān)政策，進(jìn)而保障網(wǎng)絡(luò)安全和信息安全。為保證電力企業(yè)信息系統(tǒng)運(yùn)行的網(wǎng)絡(luò)環(huán)境的安全可靠，企業(yè)應(yīng)當(dāng)建立成熟的安全隔離技術(shù)。審計(jì)人員除對系統(tǒng)和數(shù)據(jù)庫隔離技術(shù)運(yùn)行有效性定期審計(jì)外，還可以通過數(shù)據(jù)庫審計(jì)技術(shù)對企業(yè)數(shù)據(jù)庫進(jìn)行檢測分析，提出整改意見。

（三）組織架構(gòu)和人員管理安全審計(jì)

DSMM指出，企業(yè)數(shù)據(jù)安全管理人員應(yīng)具備相關(guān)安全意識和專業(yè)能力。依據(jù)模型，完整的信息安全管理組織架構(gòu)應(yīng)包括決策層、管理層、執(zhí)行層、監(jiān)督層。決策層制定企業(yè)的信息安全戰(zhàn)略目標(biāo)、數(shù)據(jù)安全策略規(guī)劃;管理層根據(jù)企業(yè)需求建立監(jiān)控審計(jì)機(jī)制、組織人員培訓(xùn);執(zhí)行層負(fù)責(zé)制定符合實(shí)際的數(shù)據(jù)管理規(guī)章制度，實(shí)施數(shù)據(jù)安全流程，負(fù)責(zé)數(shù)據(jù)安全風(fēng)險(xiǎn)的評估與改進(jìn);監(jiān)督層監(jiān)督核查組織人員數(shù)據(jù)安全政策執(zhí)行情況，并實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)安全風(fēng)險(xiǎn)。各部門各司其職，形成一個(gè)完整的、深層次的組織管理體系，減少信息安全管理中信息不對稱問題，防范組織管理過程中存在的數(shù)據(jù)安全風(fēng)險(xiǎn)。

針對人員能力，審計(jì)人員根據(jù)培養(yǎng)記錄了解員工崗前培訓(xùn)情況，采用工作分析法、訪談法、問卷法等方式評估員工能力，對員工操作進(jìn)行持續(xù)監(jiān)控，判斷其操作合規(guī)性。針對組織構(gòu)建安全，建立審計(jì)風(fēng)險(xiǎn)預(yù)警系統(tǒng)，對企業(yè)運(yùn)行中組織架構(gòu)存在的顯性或隱性風(fēng)險(xiǎn)及時(shí)預(yù)警;加強(qiáng)審計(jì)機(jī)構(gòu)與各職能部門關(guān)聯(lián)度，消除由于信息不對稱造成的信息安全風(fēng)險(xiǎn);加強(qiáng)對企業(yè)的規(guī)章制度、部門設(shè)置、職責(zé)分配的風(fēng)險(xiǎn)防控。通過職能設(shè)置分析，審查企業(yè)信息安全管理組織是否互相牽制，在風(fēng)險(xiǎn)管理的基礎(chǔ)上，通過對業(yè)務(wù)風(fēng)險(xiǎn)進(jìn)行評估分析以促進(jìn)企業(yè)信息安全管理體系的建立與完善。對于實(shí)行輪換制度的重要崗位，在簽署保密制度的基礎(chǔ)上，通過檢查員工口令的變更頻率來判斷組織人員的安全管理意識。

（四）系統(tǒng)管理安全審計(jì)

要保證企業(yè)信息系統(tǒng)安全，需要從信息系統(tǒng)訪問控制、授權(quán)控制以及隔離機(jī)制入手。信息系統(tǒng)訪問控制是指保證系統(tǒng)由合適的人進(jìn)行合適的操作，保證崗位的權(quán)限與職責(zé)相符合，防止賦予同一個(gè)崗位過多權(quán)限，實(shí)施職責(zé)分離，避免將沖突權(quán)限賦予給同一個(gè)賬號。而有效的隔離機(jī)制可以大幅度地降低外部網(wǎng)絡(luò)的威脅，實(shí)施數(shù)據(jù)安全傳輸和共享。在數(shù)據(jù)安全基本實(shí)踐中，嚴(yán)禁將賬號、密碼借給他人使用的行為，嚴(yán)格遵守系統(tǒng)管理員、安全管理員、安全審核員之間的監(jiān)督與約束制度。

大數(shù)據(jù)時(shí)代，企業(yè)信息安全審計(jì)以IT技術(shù)為支撐，利用大數(shù)據(jù)可視化技術(shù)對操作人員的系統(tǒng)操作日志、會議紀(jì)要等非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行分析，審查系統(tǒng)操作人員是否存在違規(guī)出借賬號、異常訪問等情況，保證口令安全。對企業(yè)人員數(shù)據(jù)操作過程進(jìn)行溯源和持續(xù)監(jiān)督，可采用現(xiàn)場審計(jì)和非現(xiàn)場審計(jì)相結(jié)合的方式，通過數(shù)據(jù)挖掘等技術(shù)，強(qiáng)化內(nèi)部審計(jì)對人員操作的持續(xù)監(jiān)督和跟蹤。利用運(yùn)維審計(jì)解決企業(yè)信息系統(tǒng)人員實(shí)踐行為中身份邊界模糊、授權(quán)不明確、難以追責(zé)等問題，實(shí)現(xiàn)事前預(yù)防、事中控制、事后追溯。堡壘機(jī)技術(shù)是常用的信息運(yùn)維安全審計(jì)系統(tǒng)，堡壘機(jī)技術(shù)的登錄功能、賬號管理、身份認(rèn)證、訪問控制、操作審計(jì)等功能都能有效保障系統(tǒng)安全，記錄操作人員操作記錄，便于審計(jì)管控，確保即將離職的員工訪問、操作權(quán)限被撤銷。

五、應(yīng)用示例

國家電網(wǎng)有限公司（以下簡稱國網(wǎng)）是特大型國有重點(diǎn)骨干企業(yè)。其發(fā)展與國家能源安全和國民經(jīng)濟(jì)命脈密切相關(guān)，故信息安全管理對于國網(wǎng)發(fā)展的重要性不言而喻。目前，國網(wǎng)就規(guī)范管理對外提供數(shù)據(jù)出臺了一系列的通用制度，但多數(shù)電力企業(yè)并未根據(jù)自身實(shí)際建立明確具體的管理制度，企業(yè)內(nèi)部的信息不對稱現(xiàn)象以及員工信息安全意識和技能的匱乏，都增加了企業(yè)的信息安全風(fēng)險(xiǎn)。國家電網(wǎng)江蘇省電力有限公司無錫供電分公司（以下簡稱無錫供電公司）也存在類似情況，針對信息安全管理中存在的問題，無錫供電公司審計(jì)部以數(shù)字化審計(jì)為技術(shù)依托，以DSMM的數(shù)據(jù)全生命周期審計(jì)為核心，將審計(jì)工作嵌入到全數(shù)據(jù)鏈中，加強(qiáng)風(fēng)險(xiǎn)稽查和防范，提升企業(yè)信息安全管理水平，實(shí)現(xiàn)企業(yè)價(jià)值增值。

以數(shù)據(jù)全生命周期安全審計(jì)為例來看DSMM在無錫供電公司審計(jì)中的應(yīng)用。DSMM強(qiáng)調(diào)對數(shù)據(jù)的全生命周期審計(jì)，實(shí)現(xiàn)事前預(yù)防、事中控制、事后追溯。2021年，無錫供電公司開發(fā)建設(shè)了集信息流、業(yè)務(wù)流、價(jià)值流、資金流“四流”合一的配網(wǎng)全過程智慧管理系統(tǒng)，審計(jì)部全線參與，進(jìn)行建模、建立各類中間表項(xiàng)等，對業(yè)務(wù)全數(shù)據(jù)鏈進(jìn)行分析，將數(shù)據(jù)全過程審計(jì)嵌入至日常管理活動中。審計(jì)部門通過固化“非現(xiàn)場+”的審計(jì)作業(yè)模式，通過對操作人員的系統(tǒng)操作日志等進(jìn)行審查，發(fā)現(xiàn)異常數(shù)據(jù)進(jìn)而進(jìn)行整改。如針對運(yùn)維服務(wù)類項(xiàng)目，通過比對全面預(yù)算管理平臺、ERP系統(tǒng)財(cái)務(wù)模塊、物資招標(biāo)管理系統(tǒng)等操作數(shù)據(jù)進(jìn)行審查，核實(shí)13個(gè)項(xiàng)目存在異常操作、未按規(guī)定審核的問題，相關(guān)部門已進(jìn)行排查整改。除使用本公司數(shù)據(jù)，審計(jì)部還利用省公司中臺數(shù)據(jù)資源，利用QuickBI中臺大數(shù)據(jù)資源自主進(jìn)行拓展式數(shù)據(jù)梳理，建立數(shù)據(jù)模型或數(shù)據(jù)監(jiān)測看板，下發(fā)核查工單督促整改，有效提升“四流”合規(guī)水平。

（作者單位：國網(wǎng)江蘇省電力有限公司無錫供電分公司 ?南京財(cái)經(jīng)大學(xué)，郵政編碼：214061，電子郵箱：wxmylu@163.com）

主要參考文獻(xiàn)

[1]陳偉，詹明惠.基于大數(shù)據(jù)可視化技術(shù)的信息系統(tǒng)AC審計(jì)[J].會計(jì)之友， 2021（1）：120-125

[2]顧穗珊，劉姍姍.信息安全管理體系構(gòu)建與對策研究[J].情報(bào)科學(xué)， 2019（8）：108-113+151

[3]胡能鵬，黃坤豪，鄭磊.基于大數(shù)據(jù)的安全審計(jì)[J].電腦與電信， 2018（10）：73-77

[4]劉國城，王躍堂.基于過程挖掘的互聯(lián)網(wǎng)金融信息安全審計(jì)研究[J].新疆大學(xué)學(xué)報(bào)（哲學(xué)·人文社會科學(xué)版）， 2017（3）：18-25

[5]石永.數(shù)據(jù)安全審計(jì)方法與內(nèi)容的探索[J].中國內(nèi)部審計(jì)， 2021（2）：40-42