信息系统的安全风险、审计策略及存在的问题
信息系统的安全风险、审计策略及存在的问题
近年来,企业的信息化p> 信息系统安全审计 审计策略 安全风险
一、信息系统所面临的安全风险
(一)开发过程
随着业务的不断发展,越来越多的IT系统取代了传统的业务工作,系统的故障直接影响系统的运行能力,导致业务的全面中断。由于开发人员大都拥有较高的权限和技术水平,如果其在未经过充分测试和授权的情况下任意进行系统更新操作,很可能出现系统崩溃。(二)运营维护过程
随着专业化分工的不断细化,很多企业将系统的维护分包给专业的第三方机构,尤其是在大中型企业及单位中,由于委托方人员的水平良莠不齐,加之企业无法对这些人员进行直接控制,难免出现受托方人员利用权限进入业务系统数据库对数据进行修改。(三)操作过程
操作人员的权限是信息系✈统控制的一个重要环节。操作人员对系统安全的影响分为两个方面:一是部分操作人员被授予较大的权限,而这些权限又是不能相互兼容的,那么很可能为操作人员提供舞弊的机会。二是部分操作人员滥用权限,将自己的密码或者口令告知他人,间接地ง为舞弊者提供ต机会。(四)系统软件的安全风险
现在的企业不仅拥有局域网,而且会为员工提供接入互联网的机会,间接地对企业信息安全产生影响。如果员工随意安装或者更新软件,很可能将隐藏木马、后门♚等病毒带入个人计算机中,极可能将病毒传送到其他电脑中,进而使整个系统面临危险。二、信息系统安全审计策略
(一)针对开发过程中的风险1.明确开发人员的职责分工:由于软件开发项目都较为复杂,通过对人员的职责分工等达到相互制约的目的,如设置软件系统需求分析员、软件架构设计师、编程人员、软件质量保障工程师、测试工程师,通过共同协作,达到有效开发系统的目的。审计人员通过查看职责分工情况,确定开发过程是否实现有效的分工,并得到有效控制。
2.完善软件开发文档的建设工作:通过质量保障计划,实施全过程质量审核,包括需求审核、设计复核、代码走查等工作,减少由于设计人员造成的人为错误,提高产品质量。审计人员可以通过委托外部机构协助,测试设计的安全性和有效性。3.持续监督系统的开发过程:完善增量开发过程中的需求文档的记录和规定工作,在实施增量开发过程中,要明确客户的需求,确保系统的兼容性,数据的安全性、完整性和可靠性。由于审计人员可能不具备系统方面的专业知识,可以考虑将相关的审计工作外包给其他单位。
(二)针对运营维护过程中所产生的风险许多企业将运营维护工作外包给其他专业机构,由于其专业化水平较高,一定程度上可以减少运营风险,及时有效地解决操作中出现的问题。但是对其进行持续监督还是必要的,建议审计部通过增加对运营维护机构的审计权限并适当地安排审计活动,减少维护人员舞弊的机会,避免给企业的系统带来安全危害。
(三)针对操作层面的风险 ℉1.员工权限的分配是否实现职责分离:是否考虑不相容的岗位职责的分离?如申请和批准采购、验收与入库、付款与审批等工作是否由不同的人员进行操作。对于重要的岗位三个月复核一次权限设置情况,对于非关键岗位权限设置可以每半年复核一次。
2.员工密码的安全性:通过调查问卷等方式检查员工是否定期更换密码?密码的长度是否符合安全策略?通过定期检查用户密码的更新情况,并设置功能提醒用户定期更新密码。3.制定企业的安全策略:对于调岗人员,及时收回其权限,并授予新的权限,防止在此阶段提供舞弊机
会;对于离职人员,尽早收回权限,避免其利用已获悉的信息牟利,给企业信息安全带来巨大的风险;对于新增的功能需求,要进行系统的分析,考虑对信息系统安全性的影响。(四)针对系统软件安全 p> 1.定期检查公司的软件配套情况:检查服务器中的软件配置情况,查看是否为正版软件;通过检查个人计算中的软件,发现是否存在使用盗版软件的情况;检查系统的日志,确定软件的更新是否得到授权。
2.定期更新杀毒软件:检查计算机的系统日志,确定是否定期更新杀毒软件;并对涉密的计算机的使用策略进行审计。
3.持续监督:通过对用户的访问和操作进行检测审计,了解各个主机的使用情况,确定主机接入的合法性,持续监控对外部网路的连接和访问。三、开展信息系统审计存在的问题
(一)审计目标不明确由于传统的审计旨在查错防弊,许多审计人员把审计仅仅理解为“查账”,对系统的安全审计只停留在发现问题,而忽略运用具体的审计方法。在计算机安全审计中,审计人员更应该关注效益性和安全性,通过运用分析程序、内部控制流程图、穿行测试、调查问卷等方式发现内部控制方面的问题,而不仅仅是查找某些人员的操作失误。
(二)专业人员紧缺开展安全审计不仅需要审计人员了解审计方法和审计程序,而且需要在计算机理论知识、实际操作、系统开发等方面具有较高的能力,但从目前审计部的人员数量和知识结构来看,还是无法达到审计工作目标要求。
(三)审计标准不明确由于信息系统安全审计还是一个比较新兴的审计领域,信息系统安全性审计程序和审计方法的选择仍是一个难点。而且对于具体的审计依据和操作流程没有明确规定,可操作性不强,所需要的专业判断比较多,需要审计人员具有较高的业务水平和综合素质。
