审计系统如何操作(IT系统的权限审计实务问题分享)
审计系统如何操作(IT系统的权限审计实务问题分享)问题4:部分用户角色多,权限过大。例如:业务员在系统里竟然有24个角色对应的权限。审计建议:核实业务实际情况,重新设置权限。问题2:跨产业/部门换岗人员的权限未取消。审计建议:人员岗位的变动与角色、权限联动起来。问题3:非业务相关人员权限不匹配。例如:A业务人员拥有B业务的导出的权限。
各行业都在信息化、数字化发展,企业都有自己信息化IT系统,IT审计是一个相对复杂且非常专业的项目,并不是每个企业都有专门IT审计团队去定期审计。
2020年大林哥按照审计计划,组织对公司的IT系统的做了一次专门的权限审计,防止出现账号、权限泄露导致的信息安全问题。此次审计的一些共性问题分享给大家参考:
第一大类问题,员工岗位变动,权限不变问题1:离职、长期病假、退休人员的账户权限仍有效。
审计建议:不在职人员,权限自动取消,或者一定时间未登录HCC系统冻结使用。
问题2:跨产业/部门换岗人员的权限未取消。
审计建议:人员岗位的变动与角色、权限联动起来。
第二大类问题,用户与角色、权限不匹配问题3:非业务相关人员权限不匹配。例如:A业务人员拥有B业务的导出的权限。
审计建议:核实业务实际情况,重新设置权限。
问题4:部分用户角色多,权限过大。例如:业务员在系统里竟然有24个角色对应的权限。
审计建议:核实业务实际情况,重新设置权限,对每个员工的角色数量要定期梳理。
第三大类问题,角色、权限设置规范标准类问题5:角色名称不标准、不规范、不易理解。例如:系统有个角色叫内勤,名称太笼统,不易管理。
审计建议:角色名称多维度、细粒化的权限设置,能显示、区分级别(专员、部长、总监)、归属(部门)、功能等维度的做区分。
问题6:敏感权限的管理存在漏洞。例如:系统管理员、内控权限的人员不对,存在信息泄露的风险。
审计建议:对敏感权限限制级别和人数。
吸取这次审计的经验,下回增加对系统登陆日志的分析,扩大对系统的安全性审计。
以上是全部内容,欢迎关注大林哥,共同交流!