论通信企业信息安全审计.docxVIP

　　一、信息安全管理审计1获取并查看公司在业务导向的风险评估、信息安全规划和预算方面的制度和文件。 　　2访谈公司领导，了解风险评估、信息安全规划和预算方面的执行情况，检查管理层是否对信息安全规划执行情况进行定期审阅，并取得相关证明材料。 　　风险3员工未签署保密协议，无法在信息安全方面对员工要求和考核的风险。 　　审计方法1获取并查看公司在员工保密方面的制度和措施。 　　2访谈公司管理层并了解是否与员工签订保密条款，获取并查看公司在安全意识教育方面的计划、执行情况，并取得相关证明资料。 　　3检查离职员工系统账号的清理情况。 　　二、数据泄露保护审计风险1、计费、经营分析、网上营业厅等应用系统在开发环境、测试环境、生产环境方面的控制风险。 　　具体包括外包人员在不受限或未授权的状态下访问生产测试环境，进行数据修改或拷贝；测试环境、生产环境信息保护不足，增加了数据泄漏的风险等。 　　审计方法1获取并查看开发上线流程授权管理制度和流程；查看公司在应用系统开发环境、测试环境、生产环境方面的管理制度；访谈系统管理员，了解服务器功能和工作流程。 　　2访谈开发环境、测试环境、生产环境负责人，了解对用户授权、密码策略、日志的管理情况；查看是否包含对开发人员权限管理的控制、开发上线流程所涉及服务器的现有账号的授权审批、密码策略、日志登录日志、操作日志的管理情况；如开发人员中包括外包人员，须特别标出并查看；了解日志审阅情况，并获取相关证明资料。 　　3访谈测试环境、生产环境应用负责人，获取并查看公司的数据安全性分级标准、了解数据导出和查询功能授权标准；了解数据导出和查询功能是否有安全风险评估、上线前是否有功能测试、上线后权限授予审批情况，并取得相关资料；风险2业务支撑系统的测试数据库、生产数据库方面的控制风险。 　　具体包括环境保护不足，存在数据库环境未授权修改、数据泄露、数据库停机的风险；关键业务数据未加密存储，存在数据泄露的风险；操作系统和数据库有漏洞，存在数据泄露和停止服务的风险等。 　　审计方法1获取并查看测试数据库、生产数据库管理制度；访谈数据库管理员，了解数据库的用户访问控制、密码策略、数据库日志登录日志、操作日志审阅情况；了解数据库用户密码的保存方式是否为明文、是否已修改默认密码。 　　2获取并查看公司对业务数据加密的管理规定和要求；访谈应用管理员，了解业务数据加密情况，并获取相关证明资料；3获取并查看公司在安全性扫描方面的管理制度；访谈相关人员，了解安全性扫描执行情况；通过扫描生产环境、开发环境和测试环境操作系统和数据库的方式，测试生产环境、开发环境和测试环境的操作系统和数据库是否存在漏洞；访谈相关人员，确认未打补丁的漏洞的合理性；风险3网络架构及防火墙设置不当等方面的控制风险。 　　包括网络保护和划分不当，存在计算机环境被攻击的风险；防火墙控制不当，存在未授权访问、关键设备保护不当的风险；服务器间传输未加密，存在数据泄露的风险等。 　　审计方法1获取并查看公司网络管理制度流程、网络拓扑图；访谈网络管理员，了解生产服务器是否在独立网段，此网段是否存在非生产服务器；了解外包人员所在网段是否为独立网段。 　　2获取并查看公司防火墙管理制度流程，获取生产服务器所在网段防火墙访问控制列表；通过在非生产网段个人计算机扫描生产网段地址的方式，测试生产网段向非生产网段开放了那些地址和端口，确认已开放地址和端口的合理性。 　　3获取并查看公司对应用服务器与数据库服务器间加密传输的管理规定和要求；了解应用服务器与数据库服务器间传输是否加密，并获取相关证明资料。 　　三、外包管理审计风险1软件开发上线流程风险。 　　检查是否存在不规范的软件开发和上线流程，是否存在代码被恶意更改的风险。 　　审计方法1获取并查看软件开发和上线相关制度流程。 　　2对软件开发和上线流程进行穿行测试，了解软件开发和上线流程中现有账号是否经过授权审批如源代码服务器、编译服务器、版本服务器等环境中的账号是否经过授权审批，并获取相关证明资料。 　　风险2应用系统源代码审阅风险，检查源代码中是否插入了恶意代码等。 　　审计方法1获取并查看公司对源代码安全性的审阅制度，如源代码安全标准，审阅内容、频度、人员、范围等。 　　2访谈相关负责人，了解源代码审阅情况，并获取相关资料。 　　风险3数据脱敏处理风险，主要是客户信息通过测试数据泄露的风险。 　　审计方法1获取并查看公司在非生产环境敏感信息清理方面的制度、敏感信息的定义。 　　2对数据脱敏情况进行穿行测试，实地查看非生产环境的应用系统，检查非生产环境是否存在未脱敏信息，尤其需要验证高保密性信息，如党政军客户信息等。 　　四、信息系统监控审计风险1应用系统、操作系统和数据