• <th id="w6wwo"></th>
  • <ul id="w6wwo"><center id="w6wwo"></center></ul>
  • 電話:010-62980337

    地址:北京市海淀區上地三街9號嘉華大廈C座711

    質量月 | 質量提升進行時——良好認證審核案例:信息安全威脅和脆弱性管理審核案例
    發布:興原認證中心有限公司 日期:2024年09月20日

      信息安全威脅和脆弱性管理審核案例

      一、案例背景

      “某信”(北京)有限公司是IT專業化公司,在信息技術領域深耕細作多年,有較強的技術實力和管理實踐。公司依據管理體系標準建立并運行質量、環境、職業健康安全、信息技術服務和信息安全管理體系多年。在接受歷次管理體系第三方審核中,識別了持續改進的機會。在經營中落實了合規性管理要求。

      二、審核策劃

      本次為質量、環境、職業健康安全、信息技術服務和信息安全的多體系結合式監督審核。審核組在審核計劃制訂時,針對“某信”(北京)有限公司實際情況,安排核查合規性風險管理、物理安全區域訪問控制、網絡安全管理、隱私和個人可識別信息保護等。審核計劃明確了對公司級、部門級和項目實施層面的運行控制和持續改進情況,安排專業審核員核查計算機信息系統咨詢、計算機應用軟件開發、網絡系統集成及運行維護業務實施中多體系融合管理的控制情況。

      三、主要的審核發現、溝通過程

      1、審核發現及溝通“某信”(北京)有限公司業務涉及敏感信息和行業特殊用戶。公司設置有信息安全管理的職能部門。辦公大院有檔案室、服務器機房、涉密會議室和內部網絡設施等。公司與集團、論證規劃人員、業務相關方、技術研發人員等有著廣泛、緊密的溝通和合作,前來辦公區工作的相關方人員和訪客較多。為了管理好工作區的安全秩序,“某信”公司對物理區域的管理采用了多項控制措施。在大院門口設置了門衛室,由第三方保安公司安排值班人員 24h 值班,相關方人員和訪客到達大院門口需和門衛核查預約信息,登記個人信息。如果需要,相關方人員可辦理《臨時工作證》(同時也是臨時門禁卡)。《臨時工作證》授權管理軟件安裝在門衛室內網計算機中,可按樓層和重點區域分別進行授權,由門衛崗位的系統管理員操作授權和撤銷授權。審核期間,接口人給審核組每位老師按要求辦理了《臨時工作證》(同時也是臨時門禁卡),并說明,按管理規定,這些《臨時工作證》適用于臨時來公司辦公區工作的相關方人員使用,只能刷開大樓門禁、指定的樓層門禁和大會議室門禁。

      審核發現:在審核期間,當陪同人員帶領審核組路過一樓的涉密會議室時,審核組長李老師用給她辦理的00081號《臨時工作證》測試,結果意外發現該卡能夠刷開涉密會議室107室的門禁。現場接口人說這是一個不正常的情況,按規定,訪客不能進入敏感場所,包括涉密會議室,《臨時工作證》不應該能刷開涉密會議室。隨后陪同人員引導審核組前往大院門口的門衛室,追溯管理軟件的后臺信息,進一步核查00081號《臨時工作證》的授權情況。門衛值班管理員登錄《臨時工作證》辦理和授權的SMAT PSS系統,后臺數據表明00081號《臨時工作證》并未開通涉密會議室107室的訪問權限,但是實際上該卡卻可刷開涉密會議室107室門禁。隨后用另外一位老師的《臨時工作證》驗證授權和實際權限,未發現與00081號《臨時工作證》相同的異常情況。針對00081號《臨時工作證》的授權失控情況,陪同人員馬上將此情況反饋給主管部門綜合辦公室、督促門禁卡服務商核查原因。

      審核溝通:針對上述情況,陪同人員確認了SMAT PSS系統中對00081號《臨時工作證》的授權是不允許進入涉密會議室的,但實際上組長李老師用00081號《臨時工作證》可以刷開涉密會議室的門禁。客觀上,已經造成敏感物理區域控制失效。同時檢查審核組其他老師的《臨時工作證》,沒有類似異常。審核組提出為個別異常、輕微不符合項,“某信”公司負責人認同。

      2、不符合項針對上述發現,審核組認為實際已經是涉密會議室訪問失控,開具了不符合項,描述如下:現場在門衛值班室抽查審核組辦理的00081號《臨時工作證》在SMAT PSS 系統中的授權,未開通涉密會議室107室的訪問權限,但實操00081號《臨時工作證》實體卡可以刷開107室門禁。(系統中管理信息和實體卡授權信息不一致)以上事實不符合GB/T 22080-2016/ISO/IEC 27001:2013《信息技術 安全技術 信息安全管理體系 要求》標準附錄“A.11.1.2合適的入口控制以確保只有授權的人員才允許訪問”的控制要求。

      四、受審核方的整改及主要成效

      1、不符合項的整改情況和主要成效:不符合項整改:(a)針對臨時工作證(編號00081)在未開通107權限卻能打開該門禁的問題,聯系門禁系統服務商進行系統檢測調試,關閉該卡的權限。(b)組織對各要害部位的授權情況、各項門禁卡進行檢查。整改后使用00081臨時工作證進行測試,已不能打開107及其他門禁。(c)對臨時工作證逐一測試,在系統中關閉了全部待用狀態臨時工作證的權限。(d)規范臨時工作證管理使用模式,申請一張開通一張、收回一張關閉一張。(e)組織相關人員開展門禁系統管理和操作要求培訓。

      主要成效:(a)由一張卡的訪問異常,識別出待用狀態臨時工作證可能存在的授權隱患。管理軟件對00081臨時工作證控制出現BUG需要修復;以往活動申請的保障用卡也有未及時關閉權限的情況。“某信”公司隨后對所有臨時工作證逐一測試,在系統中關閉了全部待用狀態臨時工作證的權限,防范了物理區域訪問失控的風險。(b)由一張卡的訪問異常,規范了所有臨時工作證的管理使用模式。在管理流程上設置控制點,申請一張開通一張、收回一張關閉一張,確保工作證的安全性,確保臨時工作人員訪問受控。

      五、體會

      此案例的不符合項表明,對臨時訪客的臨時工作證管理,與正式在職人員的工作卡管理相比較,具有動態性、時效性、頻繁性等特點。持卡人是臨時來訪或工作人員,對公司的物理區域管理要求不了解。如果臨時工作證授權有漏洞、或管理軟件有BUG、或給予不適宜的授權,可能帶來的信息安全隱患是顯而易見的。因此,對臨時工作證在授權和撤銷權限方面的管理,應予以關注,定期評審所有臨時工作證的訪問權是有效措施之一。

    主站蜘蛛池模板: 成年人午夜影院| 黄页网址在线免费观看| 欧美啊v在线观看| 君子温如玉po| 黄色软件下载链接| 国产精品亚洲片在线观看不卡| chinese真实露脸hotmilf| 成人年无码av片在线观看| 久久无码人妻一区二区三区| 欧美xxxxbbb| 亚洲成a人片77777老司机| 激性欧美激情在线| 免费五级在线观看日本片| 美女扒了内裤让男人桶爽视频| 国产真人无遮挡作爱免费视频| 中文字幕免费在线观看动作大片| 日韩色图在线观看| 亚洲人成网网址在线看| 欧美精品亚洲精品| 和武警第一次做男男gay| 青青青激情视频在线最新| 国产成年无码久久久免费| 美女被免费网站91色| 彩虹男gary网站| 中文字幕在线观看免费视频| 日本公与熄乱理在线播放370| 亚洲欧洲小视频| 激情亚洲的在线观看| 免费毛片a线观看| 精品国产v无码大片在线看| 噜噜噜在线视频免费观看| 2021国产精品自产拍在线观看| 成人性生交大片免费看好| 久久天天躁狠狠躁夜夜躁2014 | 精品久久久久久婷婷| 国产精品久久久久久久久kt| 477777开奖现场老玩家| 国产精品高清视亚洲一区二区 | 日韩乱码人妻无码中文字幕久久 | 亚洲人成色7777在线观看不卡| 欧美日韩亚洲电影|