审计系统如何操作（IT系统的权限审计实务问题分享）

审计系统如何操作（IT系统的权限审计实务问题分享）问题4：部分用户角色多，权限过大。例如：业务员在系统里竟然有24个角色对应的权限。审计建议：核实业务实际情况，重新设置权限。问题2：跨产业/部门换岗人员的权限未取消。审计建议：人员岗位的变动与角色、权限联动起来。问题3：非业务相关人员权限不匹配。例如：A业务人员拥有B业务的导出的权限。

各行业都在信息化、数字化发展，企业都有自己信息化IT系统，IT审计是一个相对复杂且非常专业的项目，并不是每个企业都有专门IT审计团队去定期审计。

2020年大林哥按照审计计划，组织对公司的IT系统的做了一次专门的权限审计，防止出现账号、权限泄露导致的信息安全问题。此次审计的一些共性问题分享给大家参考：

第一大类问题，员工岗位变动，权限不变

问题1：离职、长期病假、退休人员的账户权限仍有效。

审计建议：不在职人员，权限自动取消，或者一定时间未登录HCC系统冻结使用。

问题2：跨产业/部门换岗人员的权限未取消。

审计建议：人员岗位的变动与角色、权限联动起来。

第二大类问题，用户与角色、权限不匹配

问题3：非业务相关人员权限不匹配。例如：A业务人员拥有B业务的导出的权限。

审计建议：核实业务实际情况，重新设置权限。

问题4：部分用户角色多，权限过大。例如：业务员在系统里竟然有24个角色对应的权限。

审计建议：核实业务实际情况，重新设置权限，对每个员工的角色数量要定期梳理。

第三大类问题，角色、权限设置规范标准类

问题5：角色名称不标准、不规范、不易理解。例如：系统有个角色叫内勤，名称太笼统，不易管理。

审计建议：角色名称多维度、细粒化的权限设置，能显示、区分级别（专员、部长、总监）、归属（部门）、功能等维度的做区分。

问题6：敏感权限的管理存在漏洞。例如：系统管理员、内控权限的人员不对，存在信息泄露的风险。

审计建议：对敏感权限限制级别和人数。

---

吸取这次审计的经验，下回增加对系统登陆日志的分析，扩大对系统的安全性审计。

以上是全部内容，欢迎关注大林哥，共同交流！