導語：論通信企業(yè)信息安全審計一文來源于網友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

一、信息安全管理審計

1獲取并查看公司在業(yè)務導向的風險評估、信息安全規(guī)劃和預算方面的制度和文件。2訪談公司領導，了解風險評估、信息安全規(guī)劃和預算方面的執(zhí)行情況，檢查管理層是否對信息安全規(guī)劃執(zhí)行情況進行定期審閱，并取得相關證明材料。風險3：員工未簽署保密協(xié)議，無法在信息安全方面對員工要求和考核的風險。審計方法：1獲取并查看公司在員工保密方面的制度和措施。2訪談公司管理層并了解是否與員工簽訂保密條款，獲取并查看公司在安全意識教育方面的計劃、執(zhí)行情況，并取得相關證明資料。3檢查離職員工系統(tǒng)賬號的清理情況。

二、數(shù)據(jù)泄露保護審計

風險1：CRM、計費、經營分析、網上營業(yè)廳等應用系統(tǒng)在開發(fā)環(huán)境、測試環(huán)境、生產環(huán)境方面的控制風險。具體包括：外包人員在不受限或未授權的狀態(tài)下訪問生產測試環(huán)境，進行數(shù)據(jù)修改或拷貝；測試環(huán)境、生產環(huán)境信息保護不足，增加了數(shù)據(jù)泄漏的風險等。審計方法：1獲取并查看開發(fā)上線流程授權管理制度和流程；查看公司在應用系統(tǒng)開發(fā)環(huán)境、測試環(huán)境、生產環(huán)境方面的管理制度；訪談系統(tǒng)管理員，了解服務器功能和工作流程。2訪談開發(fā)環(huán)境、測試環(huán)境、生產環(huán)境負責人，了解對用戶授權、密碼策略、日志的管理情況；查看是否包含對開發(fā)人員權限管理的控制、開發(fā)上線流程所涉及服務器的現(xiàn)有賬號的授權審批、密碼策略、日志（登錄日志、操作日志的管理情況；如開發(fā)人員中包括外包人員，須特別標出并查看；了解日志審閱情況，并獲取相關證明資料。3訪談測試環(huán)境、生產環(huán)境應用負責人，獲取并查看公司的數(shù)據(jù)安全性分級標準、了解數(shù)據(jù)導出和查詢功能授權標準；了解數(shù)據(jù)導出和查詢功能是否有安全風險評估、上線前是否有功能測試、上線后權限授予審批情況，并取得相關資料；風險2：業(yè)務支撐系統(tǒng)的測試數(shù)據(jù)庫、生產數(shù)據(jù)庫方面的控制風險。具體包括：環(huán)境保護不足，存在數(shù)據(jù)庫環(huán)境未授權修改、數(shù)據(jù)泄露、數(shù)據(jù)庫停機的風險；關鍵業(yè)務數(shù)據(jù)未加密存儲，存在數(shù)據(jù)泄露的風險；操作系統(tǒng)和數(shù)據(jù)庫有漏洞，存在數(shù)據(jù)泄露和停止服務的風險等。審計方法：1獲取并查看測試數(shù)據(jù)庫、生產數(shù)據(jù)庫管理制度；訪談數(shù)據(jù)庫管理員，了解數(shù)據(jù)庫的用戶訪問控制、密碼策略、數(shù)據(jù)庫日志（登錄日志、操作日志審閱情況；了解數(shù)據(jù)庫用戶密碼的保存方式是否為明文、是否已修改默認密碼。2獲取并查看公司對業(yè)務數(shù)據(jù)加密的管理規(guī)定和要求；訪談應用管理員，了解業(yè)務數(shù)據(jù)加密情況，并獲取相關證明資料；3獲取并查看公司在安全性掃描方面的管理制度；訪談相關人員，了解安全性掃描執(zhí)行情況；通過掃描生產環(huán)境、開發(fā)環(huán)境和測試環(huán)境操作系統(tǒng)和數(shù)據(jù)庫的方式，測試生產環(huán)境、開發(fā)環(huán)境和測試環(huán)境的操作系統(tǒng)和數(shù)據(jù)庫是否存在漏洞；訪談相關人員，確認未打補丁的漏洞的合理性；風險3：網絡架構及防火墻設置不當?shù)确矫娴目刂骑L險。包括：網絡保護和劃分不當，存在計算機環(huán)境被攻擊的風險；防火墻控制不當，存在未授權訪問、關鍵設備保護不當?shù)娘L險；服務器間傳輸未加密，存在數(shù)據(jù)泄露的風險等。審計方法：1獲取并查看公司網絡管理制度流程、網絡拓撲圖；訪談網絡管理員，了解生產服務器是否在獨立網段，此網段是否存在非生產服務器；了解外包人員所在網段是否為獨立網段。2獲取并查看公司防火墻管理制度流程，獲取生產服務器所在網段防火墻訪問控制列表；通過在非生產網段個人計算機掃描生產網段IP地址的方式，測試生產網段向非生產網段開放了那些IP地址和端口，確認已開放IP地址和端口的合理性。3獲取并查看公司對應用服務器與數(shù)據(jù)庫服務器間加密傳輸?shù)墓芾硪?guī)定和要求；了解應用服務器與數(shù)據(jù)庫服務器間傳輸是否加密，并獲取相關證明資料。

三、IP外包管理審計

風險1：軟件開發(fā)上線流程風險。檢查是否存在不規(guī)范的軟件開發(fā)和上線流程，是否存在代碼被惡意更改的風險。審計方法：1獲取并查看軟件開發(fā)和上線相關制度流程。2對軟件開發(fā)和上線流程進行穿行測試，了解軟件開發(fā)和上線流程中現(xiàn)有賬號是否經過授權審批（如：源代碼服務器、編譯服務器、版本服務器等環(huán)境中的賬號是否經過授權審批，并獲取相關證明資料。風險2：應用系統(tǒng)源代碼審閱風險，檢查源代碼中是否插入了惡意代碼等。審計方法：1獲取并查看公司對源代碼安全性的審閱制度，如：源代碼安全標準，審閱內容、頻度、人員、范圍等。2訪談相關負責人，了解源代碼審閱情況，并獲取相關資料。風險3：數(shù)據(jù)脫敏處理風險，主要是客戶信息通過測試數(shù)據(jù)泄露的風險。審計方法：1獲取并查看公司在非生產環(huán)境敏感信息清理方面的制度、敏感信息的定義。2對數(shù)據(jù)脫敏情況進行穿行測試，實地查看非生產環(huán)境的應用系統(tǒng)，檢查非生產環(huán)境是否存在未脫敏信息，尤其需要驗證高保密性信息，如黨政軍客戶信息等。

四、信息系統(tǒng)監(jiān)控審計風險

1：應用系統(tǒng)、操作系統(tǒng)和數(shù)據(jù)庫監(jiān)控、網絡監(jiān)控等方面的風險。包括缺少應用和用戶行為監(jiān)控，無法對用戶的惡意行為進行有效監(jiān)控的風險；缺乏服務器和數(shù)據(jù)庫監(jiān)控，無法及時發(fā)現(xiàn)服務器和數(shù)據(jù)庫的安全故障，存在數(shù)據(jù)泄露和業(yè)務系統(tǒng)停止服務的風險；缺乏網絡監(jiān)控，無法及時發(fā)現(xiàn)潛在或實際存在的惡意入侵或網絡攻擊，存在數(shù)據(jù)泄露風險。審計方法：1獲取并查看公司對用戶行為監(jiān)控、設備監(jiān)控、網絡監(jiān)控等方面的制度；訪談監(jiān)控管理員，了解監(jiān)控執(zhí)行情況、監(jiān)控日志定期審閱情況；訪談網絡管理員，了解網絡檢測設備的使用。2訪談應用系統(tǒng)管理員，了解應用系統(tǒng)日志（登錄日志、操作日志審閱情況；訪談設備管理員，了解操作系統(tǒng)和數(shù)據(jù)庫日志（登錄日志、操作日志的審閱情況；訪談網絡管理員，了解對網絡操作日志的審閱情況。除以上常見風險點外，還可以關注未加密的個人計算機、未加密的移動存儲介質等，這些都可能存在數(shù)據(jù)泄露的風險。還可以對IT外包合同進行檢查，防范外包人員在服務過程中，發(fā)生損害企業(yè)信息安全的行為。

本文作者：范長安工作單位：中國電信陜西公司