等级保护的审计管理员责任大吗？

作者：Sender 来源：本站发布日期：2023-10-18 最后修改日期：2023-10-18

继续探讨网络安全的管理工作。其中，落在甲方网络安全职责范围内的安全审计，是值得网络安全甲方各级人员学习和探讨的广阔话题。

在网络安全等级保护标准中，最常实施的是等保二级要求，这个级别它有自己的名字，叫：

系统审计保护级。

很显然，和等保一级的名字“自主保护级”相比，“审计”是等保二级的关键特征和要求。但在网络安全甲方的管理和执行中，网络安全审计却是极容易被忽略和弱化的一项职责。

但这个角色的责任相当于：

足球比赛的守门员。

笔者：国际认证信息系统审计师、软考系统分析师

在二级等保要求中，定义了由系统管理员、审计管理员和安全管理员组成的网络安全等保三员。这三员的设置凡是通过了二级等保测评的甲方都应该很清楚。

这里顺便插一句：笔者考取的国际信息系统审计师，也是因为在对审计管理员岗位职责产生了兴趣之后自己给自己补的课。兴趣确实是原动力。

但三员中的审计管理员，大多数甲方管理层对其还是很陌生的。

我这里不说是网络安全管理层，因为很多企业负责管网络安全的管理层人员并不能称得上是网络安全管理层，只是被动应付网络安全。虽然说这事情确实很专业，没有专业背景要掌握确实不容易，但尸位素餐的危害性却是实实在在，不容易掌握并不能成为不懂不学的理由。

举个真实例子。笔者所见某企业在做等保测评时，因为行政办（财务）需要负责应对经济责任审计，于是直接把行政办的负责人写为网络安全的审计管理员。

笔者查阅他们的等保测评报告时看到这个情况，哭笑不得，这都是哪儿跟哪儿。

不过，国际信息系统审计师所涉及的范围远比网络安全审计管理员的工作范围要广得多。所以我们首先从等级保护标准要求的条款出发，看看审计管理员究竟要负担什么。

等级保护的实现必然是参照 GB／T 20269-2006 《信息安全技术信息系统安全管理要求》[1]，为方便以下（很不规范地）简称20269。

通读20269中和审计有关的条款，会发现在正式对审计进行描述定义的第 5.7.3 条之前，在第 5.5.3.1 款就已经提出了与网络安全审计工作相关的要求。

审计管理员的职责，需要依照标准要求进行。正确地理解标准条款就是关键。因此先解析一下 5.5.3.1 款的内容。

5.5.3.1 日常运行安全管理

d）系统运行的安全审计：在c）的基础上，应建立风险管理质量管理体系文件，并对系统运行管理过程实施独立的审计，保证安全管理过程的有效性；信息系统生存周期各个阶段的安全管理工作应有明确的目标、明确的职责（见5.8），实施独立的审计；应对病毒防护管理制度实施定期和不定期的检查；应对外部服务方每次访问信息系统的风险进行控制，实施独立的审计；定期对应急计划和灾难恢复计划的管理工作进行评估；对使用单位的安全策略、安全计划等安全事务的一致性进行检查和评估；对信息系统中数据管理应保证技术上能够达到GB／T 20271-2006中6.4.3的有关要求；

这一段文字的信息量很大，而且非常专业......看过我文章的读者知道，“非常专业”其实就是大多数人看不懂的意思，所以要逐字逐句拆解，先解构再组合重构。

* 建立风险管理质量管理体系文件，对系统运行管理过程实施独立的审计，保证安全管理过程的有效性

风险管理是企业经营所必须重视的管理实务，网络安全风险是其中的一大类。基于特性，需要单独建立网络安全风险管理体系，和诸如安全生产之类风险区分开来。

体系文件不是靠审计管理员去建立，但需要审计管理员根据风险管理体系文件所确定的管理要求对实际情况进行检查，确认风险管理体系文件的要求已经得到落实，且运行有效。

至于网络安全风险管理体系，网络安全等级保护就是其中的一种，也是现在依法必须履行的一种。在此之外，还有诸如 ISO 27001 [2]和 COBIT 2019 [3] 这类网络安全风险管理体系，可以作为等级保护的补充，或者在外部合规要求下按照其框架要求建立。

* 信息系统生存周期各个阶段的安全管理工作应有明确的目标、明确的职责，实施独立的审计

网络安全风险是因为存在信息系统而必然产生。所以妥善的风险管理就是围绕企业内的信息系统从建立到报废整个过程进行风险管理。

信息系统管理人员应熟悉软件工程项目过程中的全部环节步骤，对每一环节都定义出明确的网络安全风险管理目标，确定职责。而这些管理要素是否得到了有效的实施，就是靠审计管理员去检查，并向上级管理人员汇报检查结果。

说到这里，就需要明确一件事：左手管右手的问题。

网络安全要管理到位，很多措施都是反人性的。最典型如弱密码问题，弱密码就是人性，必须强密码就是反人性。所以密码管理或者进一步地叫身份管理，从来都是甲方的管理问题而不是简单的技术问题。

但弱密码管理是对用户。在安全措施方面，就不可能靠安全管理员既负责实施安全措施也负责监督检查自己是否已经实施了要实施的安全措施。否则就是自己管自己，左手管右手。

也不是说不可能，对于高度自律的人来说，自己管自己是可以做到的。

但是，基于零信任的要求，基于职责分离的要求，基于角色保护，基于工作有效性的说服力等等因素，必须杜绝左手管右手。

* 应对病毒防护管理制度实施定期和不定期的检查

病毒防护是最基础的网络安全措施，而检查工作需要定期和不定期两种频次的检查，才能确保检查结果可以充分反应实际情况。

* 应对外部服务方每次访问信息系统的风险进行控制，实施独立的审计

供应链安全是最近一段时间炙手可热的安全问题。最直接的就是外部服务商派出的工作人员是否会带来安全风险。只是信任服务商是并不足够的，必须考察到人。

所以通过堡垒机记录服务人员所有的访问操作，并在事后回放检查是否存在违规、越界行为，比如窥探甲方数据等，是审计管理员必须执行的工作。

* 定期对应急计划和灾难恢复计划的管理工作进行评估

应急计划和灾难恢复计划是不同的两件事。应急计划是在突发事件出现时的应对措施，而灾难恢复计划则是在信息系统瘫痪甚至数据完全丢失时能恢复至可（正常）工作状态的措施。

应急计划通常用应急预案的方式确定，定期演练，并在出事时立即实施。

灾难恢复计划则需要有常态措施比如数据备份、后备办公场所、后备线路等等各种后备冗余手段作为基础，进行必要的测试以确定冗余手段可用，并进行定期演练以维持其可用性。

由此产生的一系列管理和维护工作是否得到了妥善执行，执行结果是否符合设计预期，均由审计管理员进行检查确认。

* 对使用单位的安全策略、安全计划等安全事务的一致性进行检查和评估

需要注意的是“安全策略”这个词存在着被滥用而误解的情况。大多数基于技术背景的网络安全人员都会自动把“安全策略”理解为安全设备中的策略设置。

但在解读理解网络安全标准、掌握网络安全管理体系时，安全策略指的是组织为保证其信息安全而确定的总体目标，并围绕该目标建立的管理架构、安全要求、控制措施、操作规程以及对组织人员的行为规范。是企业治理（风险控制）的其中一个范畴。

安全计划是组织对实现信息安全总体目标所需要实现的资源投入和控制措施的过程步骤安排。

一致性是要求安全策略、安全计划都应该围绕安全目标去建立，并延伸出关键的一点：

安全目标是为了业务发展。

* 对信息系统中数据管理应保证技术上能够达到GB／T 20271-2006中6.4.3的有关要求

GB／T 20271-2006，标准名称是《信息安全技术信息系统通用安全技术要求》[4]。需要先指出20271的内容也是非常专业的。第 6.4.3 条的标题是“数据安全”，该条内还包含有10个款，分别是身份鉴别、抗抵赖、自主访问控制、标记、强制访问控制、数据流控制、用户数据完整性、用户数据保密性、可信路径、密码支持。

关于20271的具体解析这里暂不展开。回去再看20269的要求，是审计管理员需要负责数据安全管理技术措施有效性的审计。

这就不仅仅是一般意义上的网络安全审计了，可见审计管理员的工作范围和责任之大。

说到这里，审计管理员职责的重要性，其责任之大已经足够说明。

而且，5.5.3.1 这一条标准条款其实是可以纳入到后面 5.7 节关于审计的具体要求中的，但放在 5.5 节，可见“审计”对于等保二级的重要性。

所以，网络安全审计的内在意义，是对安全体系有效性的确认，以及对相关人员绩效的平行监督。

在下一篇，我按我的理解去解析 5.7.3 审计及监管控制的内容。

参考资料：