發(fā)現(xiàn)短板

筆者單位高度重視防范信息泄露安全工作，每季度開展專項(xiàng)檢查,確保不出現(xiàn)安全事件。

單位目前下轄僅門戶賬號有1萬余戶，業(yè)務(wù)授權(quán)許可及帳號權(quán)限具有一定的典型性。存在長期未登錄帳號、冗余帳號等大量“僵尸帳號”；帳號弱口令問題易導(dǎo)致信息系統(tǒng)安全事件；部分單位對賬號密碼設(shè)定規(guī)則不夠清晰明確；各單位賬號申請新賬號時(shí)提供的信息不夠完善且各部門之間配合不夠緊密。

近年來總部對各級分部的運(yùn)維管理、安全管理提出了更高的要求，需提升單位運(yùn)行安全內(nèi)控水平，提高在運(yùn)信息系統(tǒng)的業(yè)務(wù)授權(quán)和賬號權(quán)限的治理工作水平。

分析原因

單位分部賬號申請新賬號時(shí)提供的信息不夠完善，對于賬號密碼設(shè)定規(guī)則不夠清晰明確，未嚴(yán)格要求定期登錄門戶賬號且未定期修改賬號密碼，且各部門之間配合不夠緊密；

未加強(qiáng)對本單位自建系統(tǒng)組織開展賬號實(shí)名制、賬號權(quán)限治理工作，以及主機(jī)、網(wǎng)絡(luò)、安全、數(shù)據(jù)庫、中間件等各類設(shè)備和系統(tǒng)的弱口令治理。

未有計(jì)劃的開展本單位信息系統(tǒng)業(yè)務(wù)授權(quán)及帳號權(quán)限的培訓(xùn)。

改進(jìn)思路

1.統(tǒng)一組織開展

單位設(shè)立各部門工作組織機(jī)構(gòu)及職責(zé)。單位領(lǐng)導(dǎo)指導(dǎo)開展業(yè)務(wù)授權(quán)許可及帳號權(quán)限治理；工作組負(fù)責(zé)落實(shí)業(yè)務(wù)授權(quán)許可及帳號權(quán)限治理工作等。

根據(jù)一體化的管理要求，要求各地分部統(tǒng)一嚴(yán)格執(zhí)行更為嚴(yán)格的業(yè)務(wù)授權(quán)及帳號權(quán)限相關(guān)制度：一是收集梳理賬號權(quán)限有關(guān)的文件和材料，匯總總部有關(guān)規(guī)定，包括各系統(tǒng)權(quán)限申請的流程和原則等內(nèi)容，更新賬號權(quán)限治理工作手冊；二是嚴(yán)格落實(shí)帳號權(quán)限與業(yè)務(wù)授權(quán)工作流程，固化申請變更流程及表單；三是對各地分部設(shè)置不同級別的權(quán)限，對具有權(quán)限審批關(guān)鍵流程、查看核心數(shù)據(jù)的高風(fēng)險(xiǎn)帳號，做好授權(quán)許可監(jiān)督及帳號操作的監(jiān)控工作。

2.綜合治理

首先，提出對各部門賬號的“基線”要求；其次，在管理上從嚴(yán)要求，在總部要求基礎(chǔ)上“嚴(yán)上加嚴(yán)”；其三，對業(yè)務(wù)授權(quán)許可管理、信息系統(tǒng)帳號實(shí)名制（弱口令、僵尸賬號）、帳號權(quán)限管理、業(yè)務(wù)授權(quán)許可適應(yīng)性調(diào)整等所有組成部分，有的放矢。

其一，完成覆蓋總部全員的業(yè)務(wù)授權(quán)及帳號權(quán)限安全培訓(xùn)，進(jìn)一步提升單位人員安全意識；其二，監(jiān)督檢查，規(guī)范各級帳號權(quán)限安全管理權(quán)限和考核；其三，加強(qiáng)與其他部門的協(xié)調(diào)配合；其四，加強(qiáng)自身管理及整改，同時(shí)向上級獻(xiàn)言獻(xiàn)策。

制定定性、定量指標(biāo)

定性目標(biāo)為：從部門及以上單位，確保不出現(xiàn)安全事件；提升單位運(yùn)行安全內(nèi)控水平，提高在用信息系統(tǒng)的業(yè)務(wù)授權(quán)和賬號權(quán)限的治理工作水平；完成覆蓋全員的業(yè)務(wù)授權(quán)及帳號權(quán)限安全培訓(xùn)，規(guī)范帳號權(quán)限安全管理；落實(shí)單位業(yè)務(wù)授權(quán)許可管理要求，嚴(yán)格遵守單位帳號權(quán)限申請變更等規(guī)范流程，實(shí)現(xiàn)業(yè)務(wù)授權(quán)許可管理規(guī)范覆蓋單位、系統(tǒng)和人員。

定量目標(biāo)：全面清理“僵尸帳號”，實(shí)現(xiàn)帳號100%“實(shí)名制”管理；嚴(yán)格落實(shí)帳號權(quán)限管理要求，確保帳號使用人員權(quán)責(zé)相符；徹底消除帳號弱口令，確保不因帳號弱口令問題導(dǎo)致系統(tǒng)安全事件。

改進(jìn)的主要做法

1.明確工作流程

具備明確清晰完備的權(quán)限管理工作流程，執(zhí)行業(yè)務(wù)授權(quán)及賬號權(quán)限治理等具體業(yè)務(wù)流程。部門根據(jù)總部要求，成立了權(quán)限管理業(yè)務(wù)制落實(shí)領(lǐng)導(dǎo)小組。專門召開了專題會議，組織學(xué)習(xí)文件,并委派專人參與全過程工作。單位指定專人落實(shí)各項(xiàng)工作，及時(shí)制定具體落實(shí)措施。解決專業(yè)界面交叉不明、個(gè)人職責(zé)模糊不清、管控效率較低等問題。

2.崗位落實(shí)及職責(zé)分工

制定單位權(quán)限治理專業(yè)管理職責(zé)、業(yè)務(wù)授權(quán)及賬號權(quán)限治理工作管理細(xì)則。

3.協(xié)同機(jī)制

信息系統(tǒng)授權(quán)許可部門要對賬號申請人員信息進(jìn)行核實(shí)，需信息系統(tǒng)使用部門負(fù)責(zé)對申請人員賬號信息進(jìn)行核實(shí)，覆蓋財(cái)務(wù)部、人資部、物資部、營銷部、運(yùn)檢部等需協(xié)同的管理事項(xiàng),確保賬號注冊信息完整、詳實(shí)；同時(shí)對于存量帳號也需會同使用部門共同確認(rèn)帳號使用人員身份信息、崗位職責(zé)及操作權(quán)限，確保權(quán)責(zé)相符。

從嚴(yán)要求及考核機(jī)制

除了各地分部層層把關(guān)，單位要求必須要與總部專責(zé)進(jìn)行反饋。如有總部下發(fā)的整改清單，對各部門的賬號整改情況進(jìn)行統(tǒng)計(jì)，對重點(diǎn)部門和人員進(jìn)行了現(xiàn)場檢查和指導(dǎo)。每個(gè)月的績效考核中，此項(xiàng)工作作為一項(xiàng)重要的考核扣分項(xiàng)，相比去年，因各項(xiàng)工作落實(shí)相對較好，今年所有部門沒有因此項(xiàng)工作扣分。

培訓(xùn)宣傳

通過定期信息安全培訓(xùn)，切實(shí)提高了單位信息員的信息安全意識和技能，促進(jìn)了單位信息安全工作的開展。通過網(wǎng)站、郵件方式宣傳，完成了覆蓋全員的業(yè)務(wù)授權(quán)及帳號權(quán)限安全宣貫，進(jìn)一步提升單位人員使用信息系統(tǒng)及數(shù)據(jù)的安全意識；單位制定賬號的“基線”要求，通過近半年的宣傳，各部門員工對此項(xiàng)工作已經(jīng)非常理解、配合和落實(shí)，未發(fā)生投訴并且影響公司業(yè)務(wù)的情況。

常態(tài)化開展，定期總結(jié)

常態(tài)化開展本項(xiàng)工作，提升單位人員使用信息系統(tǒng)及數(shù)據(jù)的安全意識,向單位人員提供規(guī)范的指導(dǎo)，并每季度進(jìn)行總結(jié)。