|
数据安全审计包括以下几个方面: 1.账号审计。根据账号管理要求,在安全管理平台中实现对应用与系统账号的集中管理,实现“一人一账号”,以及账号创建与销毁符合企业管理制度,并通过定期开展账号管理审计,防止出现违反账号管理 要求的问题。 2.授权审计。根据账号授权管理要求,系统责任人在安全管理平台中负责对账号权限分类、实现对账号最小化权限控制、保证账号授权到账号责任人,以及通过定期开展账号授权审计,防止出现账号权限滥用和责任人缺失等问题。 3.认证审计。根据账号认证管理要求,维护人员在安全管理平台中登录并访问资源,禁止绕过安全管理平台直接或跳转访问资源的违规行为,通过定期开展账号认证审计,防止出现违反账号认证的访问要求等问题。 4.访问控制审计。根据访问控制管理要求,通过制定基于地址、端口等多维的访问控制策略加强对重要资源的访问控制,实现对重要资源的多层安全防护;通过定期开展重要资源访问控制审计,防范重要信息泄露风险。 5.重要操作审计。根据安全运维操作记录要求,全面记录运维人员的维护操作记录,通过定期开展重要操作、违规操作审计,防止出现安全事件无法追溯到责任人的问题,以及对内部违规行为产生威慑。 6.敏感信息审计。根据客户信息安全保护管理要求,全面分析业务敏感信息,在前/后台维护中加强对敏感信息的查询、删除、导出等操作行为的安全管控,以及通过定期对敏感信息操作审计,防范客户敏感信息泄露风险。 【出处】祝守宇,蔡春久 等著.数据治理——工业企业数字化转型之道.电子工业出版社,2020年11月第1版.
| 
发表于 2025-11-25 10:26:44
