质量月 | 质量提升进行时——良好认证审核案例:信息安全威胁和脆弱性管理审核案例
信息安全威胁和脆弱性管理审核案例
一、案例背景
“某信”(北京)有限公司是IT专业化公司,在信息技术领域深耕细作多年,有较强的技术实力和管理实践。公司依据管理体系标准建立并运行质量、环境、职业健康安全、信息技术服务和信息安全管理体系多年。在接受历次管理体系第三方审核中,识别了持续改进的机会。在经营中落实了合规性管理要求。
二、审核策划
本次为质量、环境、职业健康安全、信息技术服务和信息安全的多体系结合式监督审核。审核组在审核计划制订时,针对“某信”(北京)有限公司实际情况,安排核查合规性风险管理、物理安全区域访问控制、网络安全管理、隐私和个人可识别信息保护等。审核计划明确了对公司级、部门级和项目实施层面的运行控制和持续改进情况,安排专业审核员核查计算机信息系统咨询、计算机应用软件开发、网络系统集成及运行维护业务实施中多体系融合管理的控制情况。
三、主要的审核发现、沟通过程
1、审核发现及沟通“某信”(北京)有限公司业务涉及敏感信息和行业特殊用户。公司设置有信息安全管理的职能部门。办公大院有档案室、服务器机房、涉密会议室和内部网络设施等。公司与集团、论证规划人员、业务相关方、技术研发人员等有着广泛、紧密的沟通和合作,前来办公区工作的相关方人员和访客较多。为了管理好工作区的安全秩序,“某信”公司对物理区域的管理采用了多项控制措施。在大院门口设置了门卫室,由第三方保安公司安排值班人员 24h 值班,相关方人员和访客到达大院门口需和门卫核查预约信息,登记个人信息。如果需要,相关方人员可办理《临时工作证》(同时也是临时门禁卡)。《临时工作证》授权管理软件安装在门卫室内网计算机中,可按楼层和重点区域分别进行授权,由门卫岗位的系统管理员操作授权和撤销授权。审核期间,接口人给审核组每位老师按要求办理了《临时工作证》(同时也是临时门禁卡),并说明,按管理规定,这些《临时工作证》适用于临时来公司办公区工作的相关方人员使用,只能刷开大楼门禁、指定的楼层门禁和大会议室门禁。
审核发现:在审核期间,当陪同人员带领审核组路过一楼的涉密会议室时,审核组长李老师用给她办理的00081号《临时工作证》测试,结果意外发现该卡能够刷开涉密会议室107室的门禁。现场接口人说这是一个不正常的情况,按规定,访客不能进入敏感场所,包括涉密会议室,《临时工作证》不应该能刷开涉密会议室。随后陪同人员引导审核组前往大院门口的门卫室,追溯管理软件的后台信息,进一步核查00081号《临时工作证》的授权情况。门卫值班管理员登录《临时工作证》办理和授权的SMAT PSS系统,后台数据表明00081号《临时工作证》并未开通涉密会议室107室的访问权限,但是实际上该卡却可刷开涉密会议室107室门禁。随后用另外一位老师的《临时工作证》验证授权和实际权限,未发现与00081号《临时工作证》相同的异常情况。针对00081号《临时工作证》的授权失控情况,陪同人员马上将此情况反馈给主管部门综合办公室、督促门禁卡服务商核查原因。
审核沟通:针对上述情况,陪同人员确认了SMAT PSS系统中对00081号《临时工作证》的授权是不允许进入涉密会议室的,但实际上组长李老师用00081号《临时工作证》可以刷开涉密会议室的门禁。客观上,已经造成敏感物理区域控制失效。同时检查审核组其他老师的《临时工作证》,没有类似异常。审核组提出为个别异常、轻微不符合项,“某信”公司负责人认同。
2、不符合项针对上述发现,审核组认为实际已经是涉密会议室访问失控,开具了不符合项,描述如下:现场在门卫值班室抽查审核组办理的00081号《临时工作证》在SMAT PSS 系统中的授权,未开通涉密会议室107室的访问权限,但实操00081号《临时工作证》实体卡可以刷开107室门禁。(系统中管理信息和实体卡授权信息不一致)以上事实不符合GB/T 22080-2016/ISO/IEC 27001:2013《信息技术 安全技术 信息安全管理体系 要求》标准附录“A.11.1.2合适的入口控制以确保只有授权的人员才允许访问”的控制要求。
四、受审核方的整改及主要成效
1、不符合项的整改情况和主要成效:不符合项整改:(a)针对临时工作证(编号00081)在未开通107权限却能打开该门禁的问题,联系门禁系统服务商进行系统检测调试,关闭该卡的权限。(b)组织对各要害部位的授权情况、各项门禁卡进行检查。整改后使用00081临时工作证进行测试,已不能打开107及其他门禁。(c)对临时工作证逐一测试,在系统中关闭了全部待用状态临时工作证的权限。(d)规范临时工作证管理使用模式,申请一张开通一张、收回一张关闭一张。(e)组织相关人员开展门禁系统管理和操作要求培训。
主要成效:(a)由一张卡的访问异常,识别出待用状态临时工作证可能存在的授权隐患。管理软件对00081临时工作证控制出现BUG需要修复;以往活动申请的保障用卡也有未及时关闭权限的情况。“某信”公司随后对所有临时工作证逐一测试,在系统中关闭了全部待用状态临时工作证的权限,防范了物理区域访问失控的风险。(b)由一张卡的访问异常,规范了所有临时工作证的管理使用模式。在管理流程上设置控制点,申请一张开通一张、收回一张关闭一张,确保工作证的安全性,确保临时工作人员访问受控。
五、体会
此案例的不符合项表明,对临时访客的临时工作证管理,与正式在职人员的工作卡管理相比较,具有动态性、时效性、频繁性等特点。持卡人是临时来访或工作人员,对公司的物理区域管理要求不了解。如果临时工作证授权有漏洞、或管理软件有BUG、或给予不适宜的授权,可能带来的信息安全隐患是显而易见的。因此,对临时工作证在授权和撤销权限方面的管理,应予以关注,定期评审所有临时工作证的访问权是有效措施之一。