電話:010-62980337
地址:北京市海淀區上地三街9號嘉華大廈C座711
信息安全威脅和脆弱性管理審核案例
一、案例背景
“某信”(北京)有限公司是IT專業化公司,在信息技術領域深耕細作多年,有較強的技術實力和管理實踐。公司依據管理體系標準建立并運行質量、環境、職業健康安全、信息技術服務和信息安全管理體系多年。在接受歷次管理體系第三方審核中,識別了持續改進的機會。在經營中落實了合規性管理要求。
二、審核策劃
本次為質量、環境、職業健康安全、信息技術服務和信息安全的多體系結合式監督審核。審核組在審核計劃制訂時,針對“某信”(北京)有限公司實際情況,安排核查合規性風險管理、物理安全區域訪問控制、網絡安全管理、隱私和個人可識別信息保護等。審核計劃明確了對公司級、部門級和項目實施層面的運行控制和持續改進情況,安排專業審核員核查計算機信息系統咨詢、計算機應用軟件開發、網絡系統集成及運行維護業務實施中多體系融合管理的控制情況。
三、主要的審核發現、溝通過程
1、審核發現及溝通“某信”(北京)有限公司業務涉及敏感信息和行業特殊用戶。公司設置有信息安全管理的職能部門。辦公大院有檔案室、服務器機房、涉密會議室和內部網絡設施等。公司與集團、論證規劃人員、業務相關方、技術研發人員等有著廣泛、緊密的溝通和合作,前來辦公區工作的相關方人員和訪客較多。為了管理好工作區的安全秩序,“某信”公司對物理區域的管理采用了多項控制措施。在大院門口設置了門衛室,由第三方保安公司安排值班人員 24h 值班,相關方人員和訪客到達大院門口需和門衛核查預約信息,登記個人信息。如果需要,相關方人員可辦理《臨時工作證》(同時也是臨時門禁卡)。《臨時工作證》授權管理軟件安裝在門衛室內網計算機中,可按樓層和重點區域分別進行授權,由門衛崗位的系統管理員操作授權和撤銷授權。審核期間,接口人給審核組每位老師按要求辦理了《臨時工作證》(同時也是臨時門禁卡),并說明,按管理規定,這些《臨時工作證》適用于臨時來公司辦公區工作的相關方人員使用,只能刷開大樓門禁、指定的樓層門禁和大會議室門禁。
審核發現:在審核期間,當陪同人員帶領審核組路過一樓的涉密會議室時,審核組長李老師用給她辦理的00081號《臨時工作證》測試,結果意外發現該卡能夠刷開涉密會議室107室的門禁。現場接口人說這是一個不正常的情況,按規定,訪客不能進入敏感場所,包括涉密會議室,《臨時工作證》不應該能刷開涉密會議室。隨后陪同人員引導審核組前往大院門口的門衛室,追溯管理軟件的后臺信息,進一步核查00081號《臨時工作證》的授權情況。門衛值班管理員登錄《臨時工作證》辦理和授權的SMAT PSS系統,后臺數據表明00081號《臨時工作證》并未開通涉密會議室107室的訪問權限,但是實際上該卡卻可刷開涉密會議室107室門禁。隨后用另外一位老師的《臨時工作證》驗證授權和實際權限,未發現與00081號《臨時工作證》相同的異常情況。針對00081號《臨時工作證》的授權失控情況,陪同人員馬上將此情況反饋給主管部門綜合辦公室、督促門禁卡服務商核查原因。
審核溝通:針對上述情況,陪同人員確認了SMAT PSS系統中對00081號《臨時工作證》的授權是不允許進入涉密會議室的,但實際上組長李老師用00081號《臨時工作證》可以刷開涉密會議室的門禁。客觀上,已經造成敏感物理區域控制失效。同時檢查審核組其他老師的《臨時工作證》,沒有類似異常。審核組提出為個別異常、輕微不符合項,“某信”公司負責人認同。
2、不符合項針對上述發現,審核組認為實際已經是涉密會議室訪問失控,開具了不符合項,描述如下:現場在門衛值班室抽查審核組辦理的00081號《臨時工作證》在SMAT PSS 系統中的授權,未開通涉密會議室107室的訪問權限,但實操00081號《臨時工作證》實體卡可以刷開107室門禁。(系統中管理信息和實體卡授權信息不一致)以上事實不符合GB/T 22080-2016/ISO/IEC 27001:2013《信息技術 安全技術 信息安全管理體系 要求》標準附錄“A.11.1.2合適的入口控制以確保只有授權的人員才允許訪問”的控制要求。
四、受審核方的整改及主要成效
1、不符合項的整改情況和主要成效:不符合項整改:(a)針對臨時工作證(編號00081)在未開通107權限卻能打開該門禁的問題,聯系門禁系統服務商進行系統檢測調試,關閉該卡的權限。(b)組織對各要害部位的授權情況、各項門禁卡進行檢查。整改后使用00081臨時工作證進行測試,已不能打開107及其他門禁。(c)對臨時工作證逐一測試,在系統中關閉了全部待用狀態臨時工作證的權限。(d)規范臨時工作證管理使用模式,申請一張開通一張、收回一張關閉一張。(e)組織相關人員開展門禁系統管理和操作要求培訓。
主要成效:(a)由一張卡的訪問異常,識別出待用狀態臨時工作證可能存在的授權隱患。管理軟件對00081臨時工作證控制出現BUG需要修復;以往活動申請的保障用卡也有未及時關閉權限的情況。“某信”公司隨后對所有臨時工作證逐一測試,在系統中關閉了全部待用狀態臨時工作證的權限,防范了物理區域訪問失控的風險。(b)由一張卡的訪問異常,規范了所有臨時工作證的管理使用模式。在管理流程上設置控制點,申請一張開通一張、收回一張關閉一張,確保工作證的安全性,確保臨時工作人員訪問受控。
五、體會
此案例的不符合項表明,對臨時訪客的臨時工作證管理,與正式在職人員的工作卡管理相比較,具有動態性、時效性、頻繁性等特點。持卡人是臨時來訪或工作人員,對公司的物理區域管理要求不了解。如果臨時工作證授權有漏洞、或管理軟件有BUG、或給予不適宜的授權,可能帶來的信息安全隱患是顯而易見的。因此,對臨時工作證在授權和撤銷權限方面的管理,應予以關注,定期評審所有臨時工作證的訪問權是有效措施之一。