真功夫IT 运维安全审计体系建设需求申请报告1 需求依据:ISO 27001 要求组织必须记录用户访问、意外和信息安全事件的日志,记录系统管理和维护人员的操作行为,并保留一定期限,以便为安全事件的调查和取证,确保所有负责的安全过程都在正确执行,符合安全策略和标准的要求。SOX SEC相关规定及内部控制方面的要求企业内控管理规范运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。计算机等级保护根据《国家重要信息系统等级保护条例》,对于等保二级以上的系统,应对网络系统中的设备运行状况、网络流量、用户行为等进行日志记录,能够根据记录数据进行分析,并生成审计报表,同时对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。2 项目必要性分析2.1 内部人员安全隐患形势严峻根据 FBI 和 CSI 对 484 家公司进行的网络安全专项调查结果显示:超过 85%的安全威胁来自公司内部,在损失金额上,由于内部人员泄密导致了6056.5 万美元的损失,是黑客造成损失的 16 倍,是病毒造成损失的12 倍。另据中国国家信息安全测评认证中心调查,信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪,而非病毒和外来黑客引起。而在众多的内部人员中,对于系统的运维人员、第三方系统运维人员以及设备厂商维护人员,他们享有 “最高权限” , 一旦出现恶意操作或误操作,将会对业务系统带来巨大影响,造成不可估量的损失。因此,对 IT 系统进行有效运维,是控制内部风险、保障业务连续性的重要手段,如何保障运维工作的有序运转、降低运维风险、提高应急响应能力,为IT 系统提供强有力的后台支撑,是当前急需解决的课题。2.2 现有运维安全体系存在不足随着信息化建设的快速发展,真功夫已经开始建立起一定规模的信息化系统,信息系统已经涉及公司核心数据,业务运营、日常办公等方方面面。随着系统应用范围的逐步扩大和应用层次的不断深入, 应用系统越来越多,IT系统的构成越来越复杂,运维操作人员越来越多, IT 操作管理的难度和和面临的风险也越来越大。主要集中在以下几个问题:一、IT 系统口令管理IT 系统口令对IT 系统的安全是非常重要的,因此随着IT 系统数量庞大,IT 系统的口令管理工作量越来越大,复杂度也越来越高。但在实际管理中,由于安全性和可用性之间的矛盾,导致IT 系统口令管理存在很多...
