制造业企业信息安全指南：IT审计应对

最新推荐文章于 2025-04-25 16:06:35 发布

CVE-2021-44228

最新推荐文章于 2025-04-25 16:06:35 发布

阅读量645

点赞数 16

分类专栏：信息安全和数据保护文章标签：运维安全架构系统安全安全网络安全经验分享

本文链接：https://blog.csdn.net/qq_25094037/article/details/147285472

版权

信息安全和数据保护专栏收录该内容

1 篇文章

订阅专栏

最近，作者有幸接受了一组非常专业的IT内部审计人员的ITGC（IT通用审计）。作者深感其审计细致程度和专业性远超外部ITGC审计人员。同时，作者注意到CSDN上有许多人讨论ITGC，但鲜有博客专门讲解如何应对IT审计。因此，作者决定撰写一篇文章，分享在IT审计中常见的问题及应对策略。

一、物理入口控制

在安全区的物理入口（如服务器室入口）使用生物识别设备作为验证方式已成为一种较为主流的做法。在作者经历的所有审计中，审计人员通常都会通过照片或指纹膜测试生物识别设备的安全性。因此，在审计前，请务必开启生物识别设备的活体检测功能，并进行欺骗测试。

作者同时建议在安全区的物理入口采用双重身份验证（如人脸识别+防复制NFC门禁卡），以消除审计人员对生物识别安全性的疑虑。然而，使用钥匙或门禁卡可能会引起审计人员对钥匙存放和使用的额外关注。因此，建议采购通过其他方式进行验证的生物识别柜（例如：门禁使用人脸识别+NFC，而钥匙柜则使用指纹识别），并通过流程文件规范开锁凭据的存放流程。

二、安全区域防火合规

根据不同企业的服务器室管理规定，服务器室通常要求具备防火能力（如F90）。一般情况下，企业联系施工方提供防火门的防火标准及耐火等级的设计图等证据便可满足审计需求。然而，在较为严格的审计中，审计人员往往会进行更深入的检查。因此，建议在审计开始前，将静电地板全部掀起，检查服务器室与临近房间之间的线槽等开口位置是否进行了防火封堵，并确保这些封堵措施符合GB/T 51410-2020的要求。若服务器室有封闭顶棚，建议进行破拆，以检查顶棚上方是否与临近房间相连通。

三、短期权限管理

在审计前，创建一个合理的权限授予流程并投入运行相对容易。然而，及时取消用户权限这一环节常常容易出现问题。需要强调的是，这里所指的取消权限并非用户离职或职位变更后的调整，而是针对短期权限的管理，例如项目结束后不再负责项目维护的用户的资源访问权限，以及为单次传输大文件而开启的文件传输权限。针对这些阶段性使用的权限，IT部门应建立独立的管理流程，并定期检查用户权限的必要性。

四、用户安全意识

作者认为，用户安全意识是IT审计中不确定性最大的审核项。在作者经历的审计中，就曾出现过因为用户不合规行为导致的不合格项。因此，在本次审计前，作者采取了以下组合方式，以确保用户安全意识不出现问题：

1.分阶段IT规定宣讲

在审计前一个月，向全员发送邮件，全面解释IT审计中与普通用户相关的内容。
在审计前两周，针对各部门的违规情况，与部门经理进行单独座谈，并逐个部门进行IT审计宣讲。
在审计前一周，再次向全员发送邮件，就审计准备期间发现的所有违规情况对用户进行再次提醒。

2.每日合规抽查

在审计前一个月全员邮件发出后，进行每日随机合规检查，解答各部门员工关于审计的相关疑问。

3.自动化违规行为扫描

根据审计清单检查项，使用Powershell脚本每日扫描公司所有计算机，对违规用户桌面弹窗提示并生成违规清单。

4.对违规行为进行逐级通报

在员工入职时，将IT安全协议作为劳动手册的附件，要求员工签署，并将违反IT安全协议的行为与员工手册中的违规处罚挂钩。

在审计前一个月发布的全员邮件中，通告用户对IT违规行为的处罚措施。具体处罚措施为：

第一次发现违规：约谈当事人

第二次发现违规：约谈其部门经理并发送警告邮件

第三次发现违规：通报管理层并启动HR处罚流程

在应用上述组合方式后，作者所在公司在本次审计中未发现用户安全意识方面的任何不合格项。然而，在审计过程中，需警惕审计人员可能使用陷阱问题诱导用户给出错误答案。例如，IT安全政策规定公司资料应通过碎纸机销毁，但审计人员可能会通过预设答案式提问误导用户用户：“废弃的公司资料应扔到废纸篓还是楼层垃圾箱？”针对这种情况，陪同审计人员需要据理力争，明确指出审计人员不应通过误导方式进行提问。