关键信息基础设施安全审计—第3205号内部审计实务指南第五章第3节
2021-01-25
关键信息基础设施作为国家的重要资产,在《网络安全法》中被重点提及并要求实行重点保护。由国家互联网信息办公室发布的《关键信息基础设施安全保护条例(征求意见稿)》,划定了关键信息基础设施的保护范围,明确了各相关部门的安全保护职责,规定了安全保护的基本制度。
关键信息基础设施的安全保护,首先在于如何准确识别关键信息基础设施的具体范畴及其面临的风险;其次,应制定完善的关键信息基础设施安全保护制度体系并建立保护工作的组织架构,明确责任主体;再次,提高态势感知和风险应对能力并健全应急管理体系,提升应急响应和恢复能力。
本节将从关键信息基础设施的管理体系建设、风险识别与报告、安全防护、安全检测与评估、安全监测与应急处置等方面对关键信息基础设施安全审计的方法与步骤进行描述。
一、关键信息基础设施管理体系建设审计
(一)业务概述
关键信息基础设施,是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会
影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。
关键信息基础设施管理体系建设,是指组织为确保关键信息基础设施安全而建立的一套完整、有效的,包括制度与流程、组织与人员以及技术和工具等三方面内容的整体。
(二)审计目标和内容
关键信息基础设施管理体系建设的审计目标,旨在审查组织一般信息安全管理的基础之上,是否对关键信息基础设施安全管理予以重点关注,建立健全完善的制度体系与组织和人员管理体系,并对其提供必要的资金和人员保障。
(三)常见问题和风险
1、组织未在其内部设置专职的关键信息基础设施安全管理机构及其安全管理负责人。
2、组织在进行整体信息安全规划时,未对关键信息基础设施规划予以重点关注,并接受组织高层分管信息安全工作领导及机构(如信息安全管理委员会)的指导和监督。
3、组织未在制度层面建立健全关键信息基础设施的管理制度和流程要求,并以书面形式获得组织管理层对于关键信息基础设施建设的资金和人员保障承诺。
(四)审计的主要方法和程序
1、通过对关键信息基础设施相关安全管理制度与规划方案的收集:
(1)检查组织是否对关键信息基础设施发展规划予以单独制定并分为总体规划和专项规划。
(2)收集关键信息基础设施相关的安全管理制度、规范、标准和策略等组织文档,检查组织文档是否依照制度管理规范要求进行制定、审批、下发及修订。
(3)检查制度与规范中是否明确关键信息基础设施专职管理机构的职责及其岗位安全职责,判断是否遵循“职责分离”和“最小授权”原则,以及明确对其安全建设和运维管理提供资金和人员保障,同时了解人员占比与人员构成情况。
(4)检查组织是否为确保关键信息基础设施的人员安全,制定包括第三方供应商在内的人员管理制度,确保对关键岗位人员实施录用前的背景审查、学历和资历确认、签署保密协议以及在离职和转岗时访问权限的回收。
2、访谈信息安全主管部门及关键基础设施管理负责人,了解规划方案的具体落实及优化情况,判断一致性。
3、访谈关键信息基础设施部门负责人及关键岗位负责人,了解其对所承担职责的知晓情况。
4、访谈组织财务管理及信息安全管理负责人,了解组织针对关键信息基础设施安全建设与管理的当年度及过往年度预算额、安全建设投资额等资金支持和投入情况,以及总体占比情况。
5、访谈人力资源管理负责人,了解人才储备机制、现有人才储备规模情况及人员资质情况。
二、关键信息基础设施及其风险识别与报告
(一)业务概述
关键信息基础设施识别,是指通过识别组织所属行业及关键业务从而确定支撑关键业务的信息系统或工业控制系统,再根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。关键信息基础设施包括网站类、平台类和生产业务类。
(二)审计目标和内容
该项的审计目标旨在审查组织是否围绕关键业务和行业特点,识别支持关键业务的关键信息系统并制定和上报资产清单,同时围绕已识别的关键信息基础设施及其所处的环境,识别与基础设施相关的风险。
(三)常见问题和风险
1、未依照组织所属的行业监管要求和经营业务准确识别关键信息基础设施所产生的风险,无法针对风险建立有效的防护措施。
2、未建立关键信息基础设施的风险指标及定期执行风险评估,不利于潜在风险的发现及对问题的整改及优化。
(四)审计的主要方法和程序
1、访谈组织各业务管理部门负责人,了解是否对其关键业务进行梳理并形成关键业务链及存在的业务风险明确其安全防护优先级。
2、访谈关键业务管理负责人是否将已识别的关键业务及风险点与支撑的信息资产相映射,从而建立与关键业务链相关的网络和系统关键信息基础设施资产目录,若有需要,还应上报监管部门。
3、访谈关键信息基础设施负责人,了解是否基于资产的威胁性和脆弱性对已识别的关键信息基础设施建立风险评估指标,定期或在关键信息基础设施新建、停运、外部环境发生重大变化时重新开展风险评估并及时进行上报,同时更新相应的安全策略。
4、查阅风险评估报告及安全策略更新记录。
三、关键信息基础设施安全防护审计
(一)业务概述
关键信息基础设施保护从安全保护意识上分为三种思维方式:动态、全链条式保护思维,核心工作重点保护思维和主体的全面责任思维。采取措施,监测、防御、处置风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏。
(二)审计目标和内容
该项的审计目标在于审查组织是否为保障关键信息基础设施的安全,依据《网络安全法》中的相关要求采取相关防护措施。
(三)常见问题和风险
1、在新建或改建、扩建关键信息基础设施时,未充分考虑网络安全因素,无法实现关键信息基础设施安全的同步规划、同步建设、同步使用。
2、未对所运营的关键信息基础设施开展等级保护工作并定期进行等保测评,无法有效验证现有控制措施与等保合规要求的符合度,存在合规风险。
3、重要数据和个人信息安全管理措施不严格,无法确保其境内存储和跨境传输的安全,存在重要数据泄露或被滥用的风险。
4、未在安全产品和服务采购前,进行严格的安全审查,导致产品和服务不满足国家相关规定,存在合规风险。
(四)审计的主要方法和程序
1、访谈关键信息基础设施负责人,了解组织是否在基础设施建设的规划或改建之初,将其对网络安全需求融入其中;在建设(开发)阶段,是否基于既定义的安全要求,设计并建设安全体系,满足系统内各类信息安全组件及信息安全服务的安全需求规划并符合其等级要求;在运维阶段是否对安全设施同步实施配置管理并部署安全管理设备,并根据承载业务的重要性和数据的敏感程度,对关键信息基础设施实施分区分域管理,制定安全策略,避免重要网络、系统和资产遭受未经授权的访问,防止重要数据泄露或者被窃取、篡改。防止未经授权的访问,防止重要数据泄露或者被窃取、篡改。
2、调阅组织的数据管理制度与规范,检查是否对关键信息基础设施所涉及的重要数据和个人信息在资产清单中予以标识;是否制定重要数据和个人信息出境的安全评估制度与规范,并访谈和检查重要数据和个人信息存放物理位置是否满足境内存储要求,若存在境外存储现象,检查出境前的安全评估记录和审批流程是否合规。
3、访谈关键信息基础设施管理负责人及数据存储岗位负责人,检查是否制定容灾备份策略对重要系统和数据采取冗余措施或容灾备份;是否对已识别的重要数据和个人信息基于备份策略执行数据备份,并验证容灾备份和恢复策略的有效性。
4、访谈关键信息基础设施管理负责人及各岗位负责人,了解组织是否采取审计措施,监测、记录系统运行、操作、故障维护等行为并留存相关日志,并检查日志留存期限是否不低于6个月。
5、访谈关键信息基础设施负责人及采购管理,询问是否制定针对服务商及其产品和服务进行安全检查和评估的规范标准,查阅检查与评估记录及安全产品测试报告。
6、访谈人力资源管理负责人,了解组织是否建立针对关键信息基础设施安全管理的教育和培训制度,定期开展安全教育培训和技能考核,查阅培训记录,检查培训对象是否重点包括关键信息基础设施负责人、关键岗位负责人。
7、访谈关键信息基础设施负责人,询问是否对关键基础信息设施等保定级、备案、测评及整改,并查看相关文档。
四、关键信息基础设施的安全检测与评估
(一)业务概述
安全检测与评估,是指组织基于既定检测与评估制度、标准与流程,对关键信息基础设施的网络与信息安全开展常规性检查,如日常安全规范和操作流程的遵守情况,重要数据和个人信息的保护情况等,并评估当前安全措施的有效性,分析潜在安全风险及可能引起的安全事件。
(二)审计目标和内容
该项的审计目标在于通过查阅组织既定的安全检测与评估制度、标准与流程,检查组织是否建立完善的检测与评估体系,定期开展检测与评估工作,对发现的问题及时上报或主动采取措施应对安全隐患或问题。
(三)常见问题和风险
1、尚未建立关键信息基础设施的安全检测与评估体系,或体系不健全,检测与评估的内容不完整,安全检测与测评指标不明确,导致无法及时发现潜在的风险与隐患。
2、对存在的安全问题未及时发现或整改不到位,留有安全隐患,不利于关键信息基础设施的有效改进。
(四)审计的主要方法和程序
1、调阅组织的关键信息基础设施安全检测与评估制度规范、标准与流程,检查组织是否建立了完善的安全检测与评估体系,了解具体执行者、频率、流程、内容(包括但不限于网络安全制度落实情况、组织机构建设情况、人员和经费投入情况、教育培训情况、技术防护情况、风险评估情况、应急演练情况、网络安全等级保护工作落实情况等)。
2、访谈关键信息基础设施管理负责人,了解在新建或改建、扩建关键信息基础设施时,是否对其进行安全检测评估,并在发现安全问题后是否采取整改措施。
3、访谈关键信息基础设施负责人,了解是否对关键信息基础设施的安全性和可能存在的风险进行监测和评估,了解检测评估结果和整改情况的上报情况。
4、访谈关键信息基础设施负责人,了解是否对其存储的重要数据和个人信息予以重点关注,特别在进行个人信息收集时是否明示或在使用时超出用户授权范围等其他违规行为,违反相关法律法规的情况并投诉和举报机制与渠道。
5、调阅历史安全监测与评估报告,审查其内容是否与制度规范相符,重大问题是否及时汇报与处理,以及是否及时采取应对措施进行整改。
五、关键信息基础设施的安全监测与应急处置审计
(一)业务概述安全监测,是指组织以明确的制度规范与流程,借助技术
工具对关键信息基础设施的网络和信息安全采取监控、预警,动态、及时识别关键信息基础设施的安全风险并采取措施恢复由于网络安全事件而受损的功能或服务。
应急处置,是指组织为应对突发网络安全事件造成关键信息基础设施的性能下降、服务不可用、信息泄露等问题而制定的一整套应急处置方案,并据此定期开展应急演练工作,验证应急处置方案的有效性和应急处置机构与人员的配合度与熟练性。
(二)审计目标和内容
该项的审计目标旨在检查组织是否制定并实施网络安全监测预警机制,对即将发生或正在发生的网络安全事件或威胁,动态识别关键信息基础设施的安全风险,提前或及时发出安全警示并及时采取措施恢复由于网络安全事件而受损的功能或服务。
检查组织是否将网络安全应急管理工作纳入整体应急管理工作框架之内,制定应急预案并据此开展应急演练工作。
(三)常见问题和风险
1、尚未建立针对关键信息基础设施的网络安全监测机制,或监测体系不完善,缺乏应急团队和专家团队,现有应急监测系统无法对网络安全事件实现动态识别与预警。
2、尚未建立完善的关键信息基础设施网络安全应急预案,或预案场景无法覆盖到相关设施,导致应急预案无法有效执行或预案适用性较差。
(四)审计的主要方法和程序
1、访谈关键信息基础设施部门负责人,询问是否针对关键信息基础设施建立动态识别安全风险与事件的监测体系并部署监测设施。
2、访谈关键信息基础设施负责人和运维人员,了解其对网络安全管理制度、安全事件的分类、分级管理要求以及上报流程的知晓情况。
3、检查安全监测的制度规范,检查是否包括安全监测的指标及安全威胁和事件的信息通报与信息共享等内容和相关操作流程。
4、查看安全态势监测记录,验证监测设施是否具备发现和预警的能力,并检查安全事件是否得到及时上报与处置。
5、访谈关键信息基础设施部门负责人,询问是否根据行业和地方的特殊要求,针对关键信息基础设施制定网络安全事件应急预案与恢复计划并建立相应的应急支撑、恢复和专家团队,同时开展定期的应急演练。
6、查阅应急预案与应急演练计划,检查应急预案内容是否包括启动条件、应急处理流程、系统恢复流程、事件报告流程、事后教育和培训等内容,以及应急演练计划是否将全面恢复和重构信息系统到已知状态作为其的一部分。
7、查看应急处置历史记录,检查其内容是否至少包括:事件描述、原因和影响分析、处置方式,应急上报及处理情况,判断是否符合组织规范要求。
8、查看应急演练记录,检查是否按照应急预案的规范和流程进行处置。