保證數(shù)據(jù)安全的關(guān)鍵之職責分離原則

申請免費試用、咨詢電話：400-8352-114

職責分離原則是控制內(nèi)部狀況的關(guān)鍵問題。職責分離原則是這樣來實現(xiàn)的，通過分配不同的任務給不同職位的人以及在多個人間針對某個特定的安全操作過程分配相關(guān)的特權(quán)。

職責分離原則(SoD)這一方式被廣泛地應用于財務會計系統(tǒng)中。各種不同規(guī)模大小的公司都十分清楚不能將各種不同的職責合并的重要性，例如在財務系統(tǒng)中這些不同的職責就包括接收支票(賬戶付款)、批準注銷、存取現(xiàn)金以及核實銀行報表、審批時間卡和保管好發(fā)票等。

當人們在處理和金錢相關(guān)的事務時有一條常用的準則，那就是使用職責分離原則，這樣金錢欺詐行為就需要攻破兩個或多個防線才能實現(xiàn)。使用職責分離原則能夠大大降低犯罪的可能性，所以說，我們在解決信息安全問題時，也應該借鑒這種方法。公司組織很有必采用職責分離原則，這樣就沒有人能夠憑借個人力量就能實行安全管制，而是需要在多人共同行使職權(quán)的時候才能實現(xiàn)。

職責分離原則對于IT產(chǎn)業(yè)來說還十分新鮮，但是在薩班斯-奧克斯利法案中來自IT行業(yè)或者與IT行業(yè)相關(guān)的內(nèi)部控制問題里面，有相當大部分是關(guān)于IT 行業(yè)中的職責分離問題，這個問題并不讓人感到奇怪。職責分離原則是很多監(jiān)管政策(如薩班斯法案和Gramm-Leach-Bliley法案)的一項根本的原則，因此，IT公司組織現(xiàn)在應該更多的提高對職責分離的重視，對所有的IT職責功能實行職責分離，尤其是安全部門。

我們這里說到的職責分離是與安全問題相關(guān)的，它主要有兩個目的。首先第一個目的是防止利益沖突，防止利益沖突的出現(xiàn)，防止不法行為、欺詐、濫用職權(quán)以及錯誤等。第二個目標是檢測失敗操控，這包括安全漏洞、信息盜竊和安全管制規(guī)避。(安全管制是為了保障信息系統(tǒng)免受因為電腦系統(tǒng)、網(wǎng)絡以及他們使用的數(shù)據(jù)的保密性、完整性以及可用性導致的攻擊而采取的措施)

職責分離原則能夠限制權(quán)力的大小或者個人的行使權(quán)力大小，這條原則同樣可以確保人們不會因為職責問題而發(fā)生沖突或者不能及時對他們自身的問題或者上級的問題提交報告。

對于職責分離原則，這里有一個簡單的測試。首先，看看是不是有人能夠在不被檢測的情況下更改或者破壞你的財務數(shù)據(jù);再看看是不是有人能夠偷竊或者泄露關(guān)鍵信息;最后，看看是否某一個人擁有控制設計與實施以及報告管制的有效性等權(quán)力。如果這些問題的答案都是肯定的，那么你就有必要認真考慮職責分離原則了。

負責設計和實施安全職責問題的人不應該與負責測試安全、實行安全審計或者監(jiān)測報告安全職責問題的人是同一個人。因此，負責信息安全的個人不應該向首席信息官報告安全問題，而是另外的人來負責報告。

這里有五種選擇以幫助我們實現(xiàn)職責分離，這份清單的順序是根據(jù)我的經(jīng)驗來排列的。

· 選項1: 讓負責信息安全的人向首席安全官(負責信息和物理安全)報告安全問題，讓首席安全官直接向首席信息官報告

· 選項2: 讓負責信息安全的人向?qū)徲嬑瘑T會的主席報告.

· 選項3: 使用第三方來監(jiān)測安全問題、執(zhí)行突擊安全審計以及進行安全測試，并且讓他們向董事會的董事或者報告審計委員會的主席

· 選項4: 讓負責信息安全的人向董事會報告.

· 選項5: 當內(nèi)部審計沒有向負責財務的執(zhí)行負責人報告時，讓負責信息安全的人向內(nèi)部審計報告.

職責分離原則發(fā)揮著越來越重要的作用。如果對于首席安全官和首席信息安全官的職責沒有明確和清楚的分工，將造成安全系統(tǒng)的混亂。我們有必要將開發(fā)、運行和安全測試以及所有管制操作進行職責分離。所有的職責都必須分配給個人，這樣就能建立系統(tǒng)內(nèi)的制衡制度，病能減少未經(jīng)授權(quán)訪問和欺詐行為發(fā)生的機率。

請記住，有關(guān)職責分離的控制技術(shù)問題都需要經(jīng)過外聘審計師的審查。在過去當審計師認為安全風險很大時，他們會將職責分離作為審計報告中的物質(zhì)缺乏來處理。當然職責分離要在IT安全充分發(fā)揮其作用還將花費一段時間，那么為什么現(xiàn)在不去和你的外聘安全審計師討論一下職責分離問題呢?他們的意見能夠為你節(jié)省很大一部分開支和政治內(nèi)訌。（IT專家網(wǎng)）