关于IT审计咨询的问题

公安部信息安全等级保护评估中心(以下简称为评估中心)成立于2003年7月28日，是依托公安部第三研究所，由国家信息安全主管部门为建立信息安全等级保护制度，构建国家信息安全保障体系而专门批准成立的专业技术支撑机构。

评估中心的主要任务：一是按照国家信息安全等级保护的要求，依据信息安全等级保护的相关标准和规范，为国家管理部门在推进信息安全等级保护工作过程中的监督、检查、指导等行政执法工作提供专业技术支持；二是对国家基础网络和重点信息系统的安全保护状况进行权威测评并提出改进建议；三是作为国家实行信息安全等级保护制度的骨干技术支撑单位，负责全国信息安全等级测评体系和技术支撑体系建设的技术管理及技术指导。

评估中心自成立以来，积极参与国家信息安全等级保护管理规范制定以及信息安全等级保护行政执法体系建设；承担国家信息安全等级保护标准体系设计和重要技术标准的编制及宣贯；作为国家信息安全专控队伍之一，积极配合主管部门的各项信息安全检查工作，开展针对重点领域、重要行业信息系统的安全评估和等级测评，截至目前为止,已先后完成了上百个重要系统的信息安全等级测评。

自2009年公安部开展等级保护测评体系建设工作以来，我中心作为主要技术支撑单位，承担了技术培训和测评机构的能力审验工作。2010年以来,已经顺利完成了对国家和地方等级保护协调小组推荐的30多家测评机构的能力评估工作，完成了近1000多人次的等级测评师的培训工作。2010年6月23日获得了国家信息安全等级保护工作协调小组办公室颁发的信息安全等级保护测评机构推荐证书[证书编号（国）001]，可承担全国性信息系统的等级测评工作。这一证书标志着评估中心在等级保护测评领域多年的努力得到认可，标志着评估中心在成为等级保护测评领域核心权威机构的道路上又迈出了重要的一步。

评估中心作为依照国家标准（CNAL/AC01:2005）和国家信息安全主管部门授权建立的专业技术机构，相继获得了中国实验室国家认可委员会（CNAL）的实验室认可证书（L0653）及中国国家认证认可监督管理委员会颁发的计量认证合格证书（L2407）。

评估中心经过6年的建设，配备了各类先进的专用检测设备和测试工具，现有设备总值约2000万人民币左右，建有1000多平方米的办公环境。现有人员40名，其中在编干部33名均为授衔人民警察编制。工作人员由一批专业从事IT及信息安全行业研究、实践工作多年的博士、硕士以及高级研究人员组成，同时吸引了若干在国内信息安全领域享有极高声誉的专家学者开展研究和项目合作。评估中心与各重要行业信息安全管理机构也建立了稳固的合作关系并已经成为其技术支撑单位。

1IT安全策略

管理人员应该审视那些能够管理特权账户（如域管理员账户、应用程序管理员账户、数据库管理员）的IT安全策略，要保障安全策略的存在，还要清楚存取访问是如何被处理、验证、证明的，要确保对这些策略定期进行审查。否则，基本上就不存在管理特权访问的基础了。在没有相关报告的情况下，管理特权账户的策略是不完整的。特权账户的口令审核报告经常要涉及到如下的问题：口令何时更新、更新失败有哪些，以及在一个共享账户下，个别用户如何执行任务等等。

制定的策略应具有这样的目标：能够终止明显的不可防御的用户活动。要确保所有的雇员、订约人和其它用户清楚其责任，从而与IT的安全策略、方法以及与其角色相适应的相关指导等。

2“超级用户”账户和访问

了解公司与用户访问有关的暴露程度是很重要的。应该决定拥有访问特权的账户和用户的人员，并获得对网络、应用程序、数据和管理功能的访问有较高权力的所有账户列表。包括通常被忽视的所有计算机账户。由此，要确保用户访问能够被检查，并确保其拥有恰当的许可。一个好方法是定期地审查用户访问，并决定数据和系统的“所有者”已经得到明确授权。

3账户和口令配置标准

要保证所有的管理员账户能够根据策略更新。在特定设备上，不应存在默认的口令设置。对那些拥有足够的默认账户和口令资源的用户来说，其信息是很丰富的。有一些安全账户，其账户名就是口令，这简直是自寻烦恼。设置口令的期限也是很重要的，禁用某些明显的临时账户也是很聪明的作法。

4对口令的受控访问

对权力有所提升的账户和管理员的口令存取要加以管理。其道理可能很明显，不过对口令的共享访问并非总能得到控制。离线的记录或开放性的访问，如包含口令的电子邮件，就不应当存在。即使一个加密的口令文件也是不足取的。在最糟的情形中，口令文件的口令并没有得到控制。

5服务账户( “机器” 账户)

服务器也可以被提升权限，并用于各种罪恶的目的。这些账户典型情况下并不分配给人类用户，并且也不包括在传统的认证或口令管理过程中。这些账户可被轻易地隐藏。管理员应该保障服务账户只拥有必要的访问权。这些账户应该定期检查，因为它们经常拥有超级用户的能力。这种用户的数量是很多的，而且还有许多不用的账户也需要注意。

6高风险用户和角色

有一些公司积级地监视某些角色，这些角色对企业会造成极高的风险，企业的监视会发现其潜在的“不可接受”的行为。许多企业拥有一些风险极高的关键角色。例如，一位采购经理为谋求一个职位可能会将自己能够访问的敏感数据带到另外一家竞争公司那里去。这种情况下，其访问是被授权的，不过却存在着滥用的情况。岗位、职责的轮换以及设定任命时间是对付高风险的一个重要方案。注意：IT安全专家通常都属于高风险角色的范围。

7安全知晓项目

任何雇员或用户都可能造成一种威胁。贯彻执行一个可以处理上述所有要点的安全知晓项目，并能保证其强制实施势在必行。现在有许多方案能够确保所有的用户已经阅读并同意有关规则和政策。其中一种工具是在用户登录时要求其在一个警告消息上签名，要求用户确认其同意并选择窗口中的“接收”或“同意”复选框。

8背景筛选

背景筛选就是要认真地问雇员一些措词严格的问题，以揭示其特定行为和态度的危险信号，例如：

·违规的或异常的工作经历：离开工作的可疑理由、长期未被雇用的原因

·欺诈：在某些事实上（例如教育、以前的雇佣关系）的虚伪陈述

·人格/态度问题：与同事或管理人员的糟糕关系

·挫败、威信问题、猜疑、无力接受改变等

9事件记录

安全事件记录提供了实时使用和活动的透明度。精确而完整的用户及其活动的记录对于事件分析和制定额外的安全措施是至关重要的。获取访问的方法、访问范围和过去的活动是很重要的。为保证有充足的记录，应考虑改善对较高风险领域和服务的记录利用。

10证据

管理人员应熟悉所使用的不同存储设备，如果有任何可疑迹象，还应具备 “指纹”知识的足够知识水平。这可以是cookie数据、隐藏的 *** 作系统数据等。从公司系统中获取关键文件并将其放置到闪速存储器上是很简单的事情，这些闪速设备可被伪装为数码相机、个人数字助理（PDA）或移动电话等。还有一些调查人员从移动电话中收集和分析信息，因为这种设备可包含语音邮件、正文消息、地址文件、电话号码和许多遗漏电话、已接电话等。如果有任何可疑的非法活动，就应保留相关证据，直至最终决定其结果。

IT审计属于信息安全的范畴。简单来讲，就是审查IT信息系统，甚至整个IT体系在技术以及管理方面是否有足够的措施确保其所处理的数据信息安全可靠。比如，系统在用户权限方面的控制，能不能确保只有被授权人其本人才能登录，登录后只能行使其被授予的权限。系统中的数据是否有必要的备份，对数据的修改有无必要的跟踪。发生紧急情况，如停电，灾害时，是否有相应措施确保系统及其数据安全，等等。凡是对信息安全有影响的方面，都可能成为审计的对象。

比较有名的IT运维管理软件多了，比如上海北塔软件股份有限公司，是IT运维管理专家。

传统网络运维方式：传统的运维方式给人的印象是：故障发生前，维护人员似乎无所事事;故障发生后，则是手忙脚乱。这就是被动服务给人们留下的印象，运维人员是在被动地等待故障的发生。在新的运维系统中，我们必须改变原有的思维运维方式，变被动服务为主动服务。比如说一个故障出现，网络管理员看到自己的网络是好的，主机管理员看到自己的主机是可以正常登陆注销的，应用管理员看到我的应用进程还在，都没问题，但却不知道如何去处理，没有任何头绪。花很多的时间和精力去发现故障的根源点，身心疲惫，又不断被客户抱怨和投诉“技术人员服务水平差，服务效率低”。

类似北塔软件这样的公司提供的IT运维管理主动服务模式——在主动服务模式下，运维人员主动地监控系统的变化，对日常工作及故障处理完成后主动进行问题分析，对系统的变更风险进行评估。在现代化新思维系统中，可以通过种种技术措施，使得运维工作从被动服务转移到主动服务，出现问题时不需要人为的去分析，系统直接分析出来告诉给管理员就可以了。

CISP既“注册信息安全专业人员”，系国家对信息安全人员资质的最高认可。英文为Certified Information Security Professional (简称CISP)，CISP系经中国信息安全产品测评认证中心（已改名中国信息安全测评中心）实施国家认证。CISP是强制培训的。如果想参加CISP考试，必须要求出具授权培训机构的培训合格证明。

企业所需

注册信息安全专业人员是有关信息安全企业，信息安全咨询服务机构、信息安全测评机构、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员，其基本职能是对信息系统的安全提供技术保障，其所具备的专业资质和能力，系经中国信息安全测评中心实施注册。

个人所需

CISP作为目前国内最权威的信息安全认证，将会使您的个人职业生涯稳步提升，同时，CISP也是国内拥有会员数最多的信息安全认证，你可以通过CISP之家俱乐部与行业精英交流分享，提高个人信息安全保障水平。

适用人群

包括在国家信息安全测评机构、信息安全咨询服务机构、社会各组织、团体、企事业单位从事信息安全服务或高级安全管理工作的人员、企业信息安全主管、信息安全服务提供商、IT或安全顾问人员、IT审计人员 、信息安全类讲师或培训人员、信息安全事件调查人员 、其他从事与信息安全相关工作的人员（如系统管理员、程序员等）

1、CISE（注册信息安全工程师）：

适合政府、各大企事业单位、网络安全集成服务提供商的网络安全技术人员

2、CISO（注册信息安全管理人员）：

适合政府、各大企事业单位的网络安全管理人员，也适合网络安全集成服务提供商的网络安全顾问人员

3、CISA（注册信息安全审核员）：

适合政府、各大企事业单位的网络安全技术人员、也适合网络安全集成服务提供商的网络安全顾问人员[1]

不会有不涉及的部门。

广义的企业信息安全建设一般都是全员参与，举个例子，任何部门的人都可能收到钓鱼邮件，如果没有信息安全意识，随意点开恶意链接，就可能会让企业遭受黑客攻击。因此信息安全建设只能说哪个部门参与得多，哪个参与得少。

在信息安全项目中IT部门肯定是主导部门，审计、财务和风控等部门会参与较多，而行政、人力和业务等部门参与度会比较少。

信息安全，ISO（国际标准化组织）的定义为：为数据处理系统建立和采用的技术、管理上的安全保护，为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。

中国企业在信息安全方面始终保持着良好记录。华为早就坦坦荡荡地向世界公开宣布，愿意签署无后门协议，也愿意在任何国家建立网络安全评估中心，接受外方检测。

现阶段，虽然生活方式呈现出简单和快捷性，但其背后也伴有诸多信息安全隐患。例如诈骗电话、大学生“裸贷”问题、推销信息以及人肉搜索信息等均对个人信息安全造成影响。

不法分子通过各类软件或者程序来**个人信息，并利用信息来获利，严重影响了公民生命、财产安全。此类问题多是集中于日常生活，比如无权、过度或者是非法收集等情况。

除了政府和得到批准的企业外，还有部分未经批准的商家或者个人对个人信息实施非法采集，甚至部分调查机构建立调查公司，并肆意兜售个人信息。上述问题使得个人信息安全遭到极大影响，严重侵犯公民的隐私权。

网络上个人信息的肆意传播、电话推销源源不绝等情况时有发生，从其根源来看，这与公民欠缺足够的信息保护意识密切相关。公民在个人信息层面的保护意识相对薄弱给信息被**创造了条件。比如，随便点进网站便需要填写相关资料，有的网站甚至要求精确到身份z号码等信息。

很多公民并未意识到上述行为是对信息安全的侵犯。此外，部分网站基于公民意识薄弱的特点公然泄露或者是出售相关信息。再者，日常生活中随便填写传单等资料也存在信息被为违规使用的风险。

政府针对个人信息采取监管和保护措施时，可能存在界限模糊的问题，这主要与管理理念模糊、机制缺失联系密切。部分地方政府并未基于个人信息设置专业化的监管部门，引起职责不清、管理效率较低等问题。

此外，大数据需要以网络为基础，网络用户较多并且信息较为繁杂，因此政府也很难实现精细化管理。再加上与网络信息管理相关的规范条例等并不系统，使得政府很难针对个人信息做到有理监管。

以上就是关于公安部信息安全等级保护评估中心是干什么的全部的内容，包括:公安部信息安全等级保护评估中心是干什么的、IT安全策略，程序和标准、关于IT审计咨询的问题等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！