本博客地址:https://security.blog.csdn.net/article/details/131151480
一、数据安全审计概述
数据安全审计主要是为了定期检查企业的数据安全工作是否符合法律法规规定及内部管理制度规定,如果将日常数据安全工作比喻做学习,那数据安全审计则相当于考试,通过查漏补缺,确保企业的数据安全工作完善充分。数据安全审计一般每年开展一次,主导部门因企业而异,有可能是审计部门,也有可能是安全部门。
从数据安全审计的落实角度来看,一般有两个方案。一个是企业内部自发组织审计,企业内部自发组织审计需要审计的主导部门有一定的地位及话语权,否则很难推动审计落地。另一个是聘请外部第三方审计机构进行审计,聘请外部第三方审计机构进行审计可以很好的推动审计落地,但缺点是需要花钱。
从通过数据安全审计获取相关资质的角度来看,只能通过聘请外部第三方审计机构进行审计,目前,有相当部分的资质认证审计都需要每年进行一次复审,这样也正好可以实现一年一审计的要求。
二、组建安全审计团队
不管是内部安全审计还是外部安全审计,都需要先组建安全审计团队,它可以是一个虚线团队,也可以是一个实线团队,如果是内部安全审计,审计团队的职责就是主导并执行该次安全审计,如果是外部安全审计,审计团队的职责则是配合外部第三方审计机构落实安全审计。
在组建安全审计团队时,不能简单的说该次审计由xx部门负责,举个例子,如果一次安全审计让安全部门负责,但安全部门只有一个做合规审计的成员,其余全是做渗透的,那这次审计交给安全部门显然不是很合理,这会让该部门压力山大。常规的做法是从多个相关部门中挑选能胜任该次审计的成员组成一个审计团队,能胜任安全审计的成员一般具备如下技能:
● 具有一定的数据安全业务知识和能力,熟练掌握相关的法律法规;
● 具有职业敏感性,能从蛛丝马迹中发现问题;
● 具有很好的综合判断能力,对企业内部的数据安全现状有较为深入的了解;
● 具有良好的沟通协调与文字综合能力,能够将审计结果明确的传达给被审计方。
组建完安全审计团队后,接下来需要明确安全审计团队的职责,一般如下:
● 负责对企业的数据安全工作进行日常监督及提供咨询支持;
● 负责对企业的数据安全建设工作进行审计;
● 负责编写安全审计报告及整改建议并上报;
● 如果是外部第三方审计团队进行审计,则需要配合好第三方审计团队;
● 负责推动审计中发现的安全风险整改落地。
三、明确安全审计内容
由于不同的安全审计所审计的对象和侧重点也不同,因此需要明确该次审计主要面向哪些部门,以及该次审计涉及的内容是什么。一般的安全审计项目包括:组织机构审计、数据安全制度审计、合作方管理审计、数据库使用审计、数据资产审计、数据分类分级审计、账号权限管理审计、应急响应审计、举报投诉审计、教育培训审计、数据全生命周期安全审计等。
由于篇幅限制,本文只简单介绍一些常见的安全审计要点,在实践中,每次审计的内容都是不完全相同的,具体根据每次审计的清单进行即可。
● 组织机构审计
主要是审计企业是否设立了数据安全部门以及该部门是否尽责。包括数据安全责任部门人员任命、是否签署了任命书,同时,还包括数据安全责任部门人员的招聘、考核、奖惩、离职等。由于企业人员的流动,这一块可能每年的情况都会不完全相同。
● 数据安全制度审计
主要是审计数据安全制度建设是否完善。包括数据分类分级管理制度、访问权限管理制度、数据全生命周期管理制度、数据合作方管理制度、数据安全应急响应制度等。由于企业的战略调整或业务变动,这些制度可能也会出现更新迭代,因此,这一块可能每年的情况大体相同但不完全相同。
● 合作方管理审计
主要是审计企业是否建立了合作方管理台账,是否对合作方的数据安全防护能力进行调查并对风险进行评估,所签署的合同协议是否已经包含了保密条款和数据安全责任划分条款,以及是否对合作方参与项目的员工的授权访问情况进行统一管理等。由于企业的发展,每年的供应商或合作的项目可能都有不同,因此,这一块可能每年的情况也会不完全相同。
● 数据库使用审计
主要是审计企业在数据库使用过程中是否符合安全规定。包括认证和授权(如用户登录和认证事件、对数据库的权限变更等),数据库操作(如对数据库的增删改,对系统参数和配置文件的修改等),安全事件(如入侵尝试、非法访问的处理过程等),数据变更(如数据的增删改、变化前后的值和操作者等),系统事件(如备份、恢复、空间管理等日志信息)。
● 数据资产审计
主要是审计企业对数据资产的所有权、完整性、保密性、可用性等方面。包括数据加密、备份、恢复等方面的措施,以保障数据的机密性、完整性和可用性。以及数据来源、处理和分析等方面的过程和方法,以确保数据的真实、准确和可靠。
● 数据分级分类审计
主要是审计企业是否已经对数据进行了分类分级管理,是否已经对不同级别的数据进行了差异化的保护等。
● 账号权限管理审计
主要是审计企业内部的账号权限管理是否符合授权、合规和安全要求。包括账号开通、关闭、授权和审批等方面的规定和落地情况。以及角色和职责的定义、权限的粒度和分级、审批流程等方面的规定和落地情况。账号权限的动态调整和自动回收等方面的规定和落地情况等。以及企业的账号使用监控体系,包括日志记录、事件分析、异常预警等能力。
● 应急响应审计
主要是审计企业是否建立了完善的应急响应机制并有效执行,包括应急响应管理制度、应急响应计划等。是否建立了应急响应团队,应急响应团队是否有足够的专业人员,是否在日常工作中建立了完善的预防监控机制,是否定期开展了应急教育培训和应急演练及相关的报告或记录证明。是否发生过真实的应急响应事件,是否留存了应急结案报告等。
● 举报投诉审计
主要是审计企业是否建立了完善的举报投诉接收机制,企业的举报投诉处理流程是否规范且公正,是否对数据安全类投诉有明确的定义及设置专门的处理人员,企业的举报投诉分析方式是否科学准确,是否已建立了应急响应机制应对数据安全类的举报投诉行为等。
● 教育培训审计
主要是审计企业是否制定了安全教育培训计划,培训是否能够满足不同层次员工的学习的需求,是否定期对员工就安全意识、法律法规、公司相关制度、安全专业技能、应急响应措施提供培训并保障员工的学习时长,企业是否对员工的学习进行考核,是否就考核结果进行针对性的提升等。
● 数据全生命周期安全审计
主要是审计企业在数据全生命周期中是否有相应的安全保障措施,包括采集阶段是否明确采集渠道、格式、流程、方式,特别针对个人信息需按个保法要求处理。传输阶段是否采用安全传输通道、数字签名、时间戳等方式,保证数据传输的保密性、抗抵赖、完整性。存储阶段是否对访问控制、权限、存储策略、备份机制做管控,增加数据保护强度。使用阶段是否将敏感级别数据操作经相关负责人审批,是否脱敏展示,是否定期审计,是否保留完整日志。数据共享是否通过相关流程审批和评估,是否对敏感数据进行加密或脱敏处置。数据销毁是否在停止业务服务、数据使用以及存储空间释放再分配等场景下对数据库、服务器和终端中的剩余数据以及硬件存储介质等采用数据擦除或物理销毁的方式确保数据无法复原。
四、制定安全审计流程
数据安全审计流程一般有如下几个阶段:审计准备、现场审计、确认审计发现、召开审计发现通报会议、编制审计结果、制定纠正预防措施、验证措施有效性并保存记录等。具体如下:
● 审计准备
数据安全审计首先需要制定审计相关的制度,制度中明确审计角色和职责、审计目的、审计内容、审计方法、审计步骤等。其次,对于单次审计的落实,需要制定审计实施计划,审计实施计划内容一般包括:审计目的、范围、准则、审计组成员和分工、审计日程和时间安排、受审计部门、涉及的内容等。最后,就是在公司内部发布审计开始通告,将审计实施计划告知相关部门或全公司。
● 现场审计
数据安全审计团队的成员按审计实施计划进行审计,通过查阅文件、现场沟通、现场检查、调查取证等方法收集客观证据并在审计检查表中逐项做好审计记录。在实际的审计过程中,每一项审计都需要指派专人负责,针对每一项评估指标,综合运用多种评估方法收集证明材料。现场审计结束后,需要对全部审计情况进行综合分析和整理。
● 确认审计发现
在数据安全审计中,凡是发现不符合安全审计准则的情况,都需要对其进行确认,确认后将其判定为不符合项,并对不符合项逐项提出有针对性的整改建议。审计结束后,需要对审计材料进行妥善留存以便复查时可以追溯。
● 召开审计发现通报会议
在完成审计实施计划的审计内容之后,召开会议并向相关部门通报审计情况,参会人员一般包括安全审计团队、受审计部门负责人等,会议主要内容包括:审计目的、审计结论、针对审计发现的安全风险提出整改要求和时间等。
● 编制审计报告
安全审计团队负责编制该次的安全审计报告,审计报告内容一般包括:审计范围、审计目的、审计依据、审计要求及对应的审计结论、取证材料、不符合项及整改建议、最终的审计结论等。
● 制定纠正预防措施
受审计部门在审计结束后分析产生不符合项的根本原因,制定纠正预防措施,明确完成期限和责任人,并组织对不符合项进行整改。这其中安全审计团队提供整改咨询支持。
● 验证有效性并保存记录
安全审计团队需要负责跟踪检查和验证纠正预防措施的有效性,对于属实完成整改的不合规项,应当更新关闭问题,此外,安全审计团队还需要统一存档所有的审计资料和记录。
五、实施安全审计
明确了安全审计内容,制定了安全审计流程之后,按制定好的安全审计计划实施即可,这里没什么好说的。
六、总结
本文主要介绍了数据安全审计方面的内容,数据安全审计可以分为【内部自发安全审计】和【外部第三方安全审计】,其中内部自发安全审计需要安全审计团队准备和实施的东西较多,而外部第三方审计机构实施安全审计则需要安全审计团队准备和实施的东西较少,只需要配合好第三方审计机构即可。