等级保护的审计管理员究竟如何定位?
继续上一篇的话题,审计管理员的责任确实很大,但总体来说要做什么,进而如何定位这个角色呢?
笔者:国际认证信息系统审计师、软考系统分析师
如果读者研读过俗称等保2.0的网络安全等级保护标准:GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》[1],本文不科学地简称为22239,会发现其中有很多关于网络安全审计的工作内容。
概括起来是要求防御体系需要对网络边界、重要网络节点和用户行为保留用于审计的记录、审计记录需要包含哪些基本内容和必须实现对审计记录的保护,以使审计记录的存储时长符合法律义务要求即不少于6个月。
但其实,这些并不是审计管理员要实施的工作,而是属于安全管理员需要设计和实施的技术性的安全策略。审计管理员要执行的,是对安全管理员实施的这些安全策略的有效性进行审计。具体的职责和工作内容在 7.1.5.2 审计管理 这一款内,包括2项要求:
7.1.5.2 审计管理
本项要求包括:
a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;
b) 应通过审计管理员对审计记录进行分析, 并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。
a项是对审计管理员的身份确认和限制,如前所述,是由安全管理员进行的安全设备的策略设置。b项则笼统地概括了审计管理员要做的事情,具体说就是:
(1)用审计的工作方式和方法,分析审计记录,形成对技术性的安全策略和控制措施的有效性的独立结论。
(2)管理审计记录,检查确认审计记录得到良好的保存,审计记录是完整的以及审计记录的防篡改控制措施是有效的。
所以,审计管理员的具体职责是按审计的工作要求去评判安全管理员各种安全策略的有效性,维持网络安全体系及审计记录可被审计。
......太简单了是不是?
如果读者看到这里就认为完事了,那就确实是 too simple 了。
先抛开如何才能形成关于有效性的独立结论不提(下回分解吧)。要正确理解好审计管理员的职责,还是需要继续解读 GB/T 20269-2006 《信息安全技术 信息系统安全管理要求》标准的内容[2],才能对审计管理员的职责作用,以及网络安全审计对组织的全面要求,有充分的理解。
依然是不科学地简称为20269。我们从头看起,会发现在20269的全文各处都少不了提到审计这个词。
比如在 5.1.1.2 总体安全管理策略 中提出等保二级需要制定审计策略;在 5.1.2.1 安全管理规章制度内容 中提出要按等保各级逐级制定“安全审计管理规定”、“安全审计的运行安全管理规定”和“安全管理审计监督规定”;还有很多章节条款,但凡涉及到可能需要在事后翻查追溯的,都和审计有关系。
所以审计管理员的工作量并不少。
但审计管理员这个角色的工作性质定位,关键在于20269的 5.7.3.1 审计控制 这一款内。
5.7.3.1 审计控制
对审计监督控制,不同安全等级应有选择地满足以下要求的一项:
a)审计机构及职能:应有独立的审计机构或人员对组织机构的安全管理体系、信息系统的安全风险控制、管理过程的有效性和正确性进行审计;对审计过程进行控制,应制定审计的工作程序和规范化工作流程,将审计活动周期化,同时加强安全事件发生后的审计;
b)系统审计过程要求:在a)的基础上,应对系统的审计活动进行规划,尽量减小中断业务流程的风险;系统审计过程控制要求,审计的范围必须经过授权并得到控制,审计所需的资源应明确定义并保证可用性,应审计和记录所有的访问,对所有的流程、需求和责任都应文档化;
c)系统审计工具保护要求:在b)的基础上,应对系统审计工具进行保护,防止误用造成危害;审计工具应与开发系统和运行系统分开管理;应明确审计工具的适用范围,使用过程应经过批准,应记录审计工具的所有使用过程,应明确审计工具的保存方式、责任人员等。
对照标准附表 表A.1 安全管理要素及其强度与安全管理分等级要求的对应关系:
| 管理要素 | 一级 | 二级 | 三级 | 四级 | 五级 |
| 5.7.3.1 审计控制 | a) | b) | c) | c) |
可知等保二级只需要实施a项,等保三级需要实施a和b,等保四、五级需要实施a、b、c全部三项。
但其实看看b和c项的具体内容,全都是审计工作的基本要求,但凡需要开展审计,都必须同时执行b和c项才能保证审计工作的有效性。
先解读 5.7.3.1 的第a项的第一句:“审计机构及职能:应有独立的审计机构或人员对组织机构的安全管理体系、信息系统的安全风险控制、管理过程的有效性和正确性进行审计”。
这句话指出了组织机构(以下一律表述为“甲方”,相信更容易理解)需要由独立的审计机构或人员,实施审计。其中的正确性和有效性,可以简单概括为:
正确性:管理体系是否按规范建立。规范首先就是等保标准要求,另外还可以在此基础上实施其他网络安全管理体系并使之互相兼容,参考我上一篇文章中提及的 COBIT 和 ISO/IEC 27001。
有效性:管理体系是否正常运行,相关的角色人员是否履职尽责,对风险所采取的控制措施(缓解、转移、规避等)是否发挥了作用等。
需要注意的是,此处行文并没有明确强调是外部的审计机构,通读标准全文也无明确。审计工作本身就有内审和外审两种。对于上规模的甲方,会设置内部审计部门执行内部审计。重点是执行审计的人员,其独立性和专业性是否得到保证。
插一句:等保测评机构并不是审计机构。等保测评机构是被纳入到认证认可监督管理范围内的,在笔者看来同时具备认证和检验检测两种特性的特殊机构。
从甲方的管理角度看,审计并不仅仅是对信息安全风险,也包括整体的安全管理体系。信息系统的安全风险只是自身经营运行中需要面对的其中一种风险。但务必注意的是:
如果甲方是政府部门、事业单位和国有企业,按《党委(党组)网络安全工作责任制实施办法》的要求:网络安全工作事关国家安全政权安全和经济社会发展[3]。因此,其重要性高于企业经营中产生的其他一些风险,典型如安全生产。
由于 20269 是信息安全标准而不是信息系统(安全)审计的工作要求,加上 5.7.3.1 款的全文,我认为标准强调的还是在于内审。也只有建立起内审机制,该款的各项要求才有落地之处。
关键来了:按 22239 标准中 8.1.7.1 岗位设置 的定义,审计管理员是属于网络安全管理工作的职能部门的,不具备独立性。因此无论内审还是外审,一般来说,都不是审计管理员可以实施。
因此,对于独立的网络安全审计,审计管理员实际是甲方安全管理体系与网络安全审计之间的连接,属于被审计对象之一。
从另一个角度看,要评判被审计的要素的有效性和正确性,执行审计的人需要具备对信息系统存在的实际风险因素和控制措施进行审计的能力。
截止本文发表时,等保相关标准和测评要求对审计管理员还不强制要求持证。鉴于相关从业资格标准 GB/T 42446-2023 《信息安全技术 网络安全从业人员能力基本要求》[4]已经发布并在2023年10月1日实施,有可能甲方内部网络安全人员从业资格会成为等保测评中的强制性的要求,但还不是现在。
如果审计管理员不具备审计职业资格,其对网络安全管理体系、信息系统风险控制措施和管理过程的正确性和有效性的评定就无从支撑,工作职责就完全不可能称之为审计。
所以审计管理员没有在信息安全标准中直接定义为审计师的角色。顺带一提审计师,对于网络安全审计,目前最有说服力的是 CISA 国际认证信息系统审计师这种职业资格[5]。该职业资格也正在逐步被引入国内,可以参考中国内部审计协会发布《第 3205 号内部审计实务指南 — 信息系统审计》[6]和中国网络安全审查技术与认证中心开展的信息系统审计师认证考试[7]等。
接下来是:“对审计过程进行控制,应制定审计的工作程序和规范化工作流程,将审计活动周期化,同时加强安全事件发生后的审计;”
如果甲方内部有设置审计职能部门,这些是适用于审计职能部门的要求。审计管理员基本不需要关心。但如果没有,审计管理员在一定程度上就承担了审计职能部门的工作,按这句话的要求,组织开展外部审计。稍为解释一下,周期化的审计过程目的是避免审计工作无序而忽略了存在的风险。加强安全事件发生后的审计,意味着甲方的网络安全应急预案中应包括开展事后审计的内容。
接下来解读b项,第一句话:“系统审计过程要求:在a)的基础上,应对系统的审计活动进行规划,尽量减小中断业务流程的风险;”
这很容易懂,前面都说了要制定审计计划,那么审计活动就应该在计划内执行,过程也应该有分步规划。而如果审计过程会影响业务,任谁都不会同意的,所以必须做到不影响业务开展。审计管理员需要就此进行连接沟通。
第二句是“系统审计过程控制要求,审计的范围必须经过授权并得到控制,审计所需的资源应明确定义并保证可用性,应审计和记录所有的访问,对所有的流程、需求和责任都应文档化”
这全都是开展审计工作的基本要求,是约束审计工作本身的:
(1)先授权后审计,简单说就是“出师有名”。
(2)审计范围要控制,防止随意扩大审计范围导致影响了原定的审计目标,还可能影响业务。
(3)审计资源要明确可用,这资源基本上就是指人力资源,在编排审计计划时要确定审计过程需要多少人天,使用什么水平的审计人员,妥善排班。
(4)审计过程产生的各种系统、数据的访问行为都应该被记录可供未来进行审计(例如接受外部审计)。
(5)和审计有关的一切事物都应文档化记录,不仅是过程清晰化,重点是通过文档化过程确定相关的责任人,比如编写人、审核人、批准人等。
审计管理员作为对接,可以对外部审计方的审计工作核查是否符合了以上要求。
最后是第c项:“系统审计工具保护要求:在b)的基础上,应对系统审计工具进行保护,防止误用造成危害;审计工具应与开发系统和运行系统分开管理;应明确审计工具的适用范围,使用过程应经过批准,应记录审计工具的所有使用过程,应明确审计工具的保存方式、责任人员等。”
该项内容专指系统审计工具。审计工具可以是专门采购或外包设计的审计软件、审计部门自己编写的审计取证软件或脚本等。
之所以强调“审计工具应与开发系统和运行系统分开管理”,意思是用于信息系统的审计工具(如果是甲方自有)应由审计部门管理,而信息系统相关的开发系统和运行系统(其实应该用环境这个词)是信息化部门管理。不能因为审计工具也是信息化软件就归由信息化部门管理,否则就丧失了审计的独立性。
没有审计部门怎么办?委外管理。
读者看到这里应该已经理解到,网络安全的审计工作,不是由网络安全(信息化)部门自行负责的,而是由甲方内设的审计部门或者外部审计机构负责的。审计管理员应作为该项工作连接两者之间的桥梁。
如果甲方没有设置审计部门,但又希望已经具有审计职业资格的审计管理员能开展网络安全内审工作,这如何实现呢?
关键是确保审计管理员执行审计工作的独立性。甲方可以通过专项授权文件的方式明确审计管理员的独立性,但并不适宜将审计管理员设置为其他部门的人员,因为这与22239冲突,在日常的安全审计管理工作上跨部门协作也会降低效率。
接下来是更加凝重的一节:5.7.4 责任认定,也是包含了两款内容,每款再包含四项,按附表 A.1,均与审计有关:
| 管理要素 | 第一级 | 第二级 | 第三级 | 第四级 | 第五级 |
| 5.7.4.1审计结果的责任认定 | a) | b) | c) | d) | |
| 5.7.4.2审计及监管者责任的认定 | a) | b) | c) | d) |
相比 5.7.3.1 ,责任认定的内容反而比较容易懂,因为随着《网络安全法》、《数据安全法》等一系列法律法规的出台以及等保的强制性的反复宣贯,相信大家都对“责任”的认定和承担有所体会(微笑)。
5.7.4.1 审计结果的责任认定
对审计结果的责任认定,不同安全等级应有选择地满足以下要求的一项:
a)明确审计结果的责任:对于5.7.1、5.7.2、5.7.3审计及监管过程发现的问题应限期解决,同时要认定技术责任和管理责任,明确责任当事人,会同有关部门提出问题解决办法和责任处理意见;
b)明确审计结果中的领导责任:在a)的基础上,应对审计及监管过程发现的问题认定相关领导者的责任,组织机构领导层应就此提出问题解决办法和责任处理意见,以及监督问题解决情况;
c)明确审计结果处理的复查责任:在b)的基础上,应对审计及监管过程发现问题的处理结果进行必要的复查,并明确进行审计及监管复查的期限和责任。
5.7.4.2 审计及监管者责任的认定
对审计及监管者责任的认定,不同安全等级应有选择地满足以下要求的一项:
a)按规定要求定期审计的责任:审计及监管者应按有关监督和检查的规定定期进行审计,逾期未进行审计及监管,使本应审计的问题因未审计而造成信息系统损失,应承担相应的责任;
b)审计及监管不得力的责任:在a)的基础上,审计及监管者虽能够按有关监督和检查的规定进行审计,但因未能及时发现本应审计出问题而造成信息系统损失的,应承担相应的责任;
c)审计结果处理的跟踪责任:在b)的基础上,审计及监管者应对审计及监管过程发现问题的处理结果进行必要的跟踪检查直至问题的解决,如因未进行跟踪检查而造成损失的,应承担相应的责任。
以上两款共6项内容,在笔者看来其实也无分适用于等保多少级。这些都是常见、通用且必须如此的责任认定处置方法。但凡内控良好、纪律严格的组织,都必然会依照以上6项内容所区分的三个层次实现责任追究过程。
只是作为审计管理员,需要尤其关注5.7.4.2的审计责任认定。比如第a项,逾期未进行审计造成损失,即构成可追究的责任。更无论b项的审计失误和问题跟踪失误。再次强调这里说的审计是指独立审计,而不是日常审计管理工作。
所以如果读者您被任命为审计管理员,尽快组织外部审计机构开展网络安全审计吧。
还未完。我们最后再看看20269的第6章,这一章综合了等保各级的工作要求,也包括了审计的内容,比如对应等保第二级的第 6.2.8 条的第c项:
6.2.8 监督和检查管理要求
在满足第一级的管理要求的基础上,本级要求如下:
c)审计及监管要求,应有独立的审计机构对组织机构的安全管理职责体系、信息系统的安全风险控制等进行审计;在信息安全监管职能部门指导下依照国家政策法规和技术及管理标准进行自主保护;(见5.7.3.1a),5.7.3.2b))
由于整个 6.2 节是适用于等保二级的,因此 6.2.8 内 abcd 四项均适用于等保二级。
后半句的监管要求,是指组织内部如果把信息化工作划分为监管职能部门和执行职能部门两类部门时,两者的主次关系。
典型如集团化企业,其监管职能部门应是集团总部层的信息化职能部门,执行职能部门应为下属各级企业或经营实体。
这里或许有人会问:集团总部自身的信息化工作执行又由谁来监管指导呢?
答案就是由审计部门来审计,提供审计结果给经营管理层或者IT督导委员会实施监督指导。
到这里,审计管理员的职责和定位,总体上就大致如此了。如果要了解更具体的审计过程要做些什么和如何做,建议通过考取相关资格证书的过程去掌握,这是因为:
符合职业资格要求的审计人员,需要具有审计思维,才能正确地运用审计工作的方式和方法,考证的过程,就是锻炼这种思维模式的过程。
接下来,我们有必要看看刚刚在10月1日实施的 GB/T 42446-2023 《信息安全技术 网络安全从业人员能力基本要求》对审计管理员以及其他角色的网络安全人员,提出了什么样的新要求。
至于审计管理员如何形成有效性结论,以及在日常审计上要具体做些什么,打算是按各个管理要素分别介绍。
参考资料:
[1] GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》
https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=BAFB47E8874764186BDB7865E8344DAF
[2] GB/T 20269-2006 信息安全技术 信息系统安全管理要求
https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=797127310413D5E64517E951AA2CFCDF
[3]《党委(党组)网络安全工作责任制实施办法》(全文)
[4] GB/T 42446-2023 《信息安全技术 网络安全从业人员能力基本要求》
https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=AD7E0F02219B63653BF850759A1030C4
[5] ISACA - Certified Information Systems Auditor
[6] 中国内部审计协会《第 3205 号内部审计实务指南 — 信息系统审计》
[7] 中国网络安全审查技术与认证中心 人员认证与培训 信息系统审计师(ISA)
https://www.isccc.gov.cn/zxyw/shy/jcypx/xxxtsjs/2019/07/898438.shtml
本页网址二维码: