一．序言

安全审计是对企业安全建设的监督审查机制，包括但不限于安全策略、安全流程及技术管控等。合理运用安全审计，既可以为业务解决切实的问题、也能为安全规划提供参考依据。

二．模型

随着企业的快速发展及安全建设的逐渐完善，很多问题开始变得隐性化，又总在意想不到的时候跳出来，不断提醒着持续存在的风险。对待这种问题，我们的总体思路是提前预防替代被动修复，安全审计是提前预防的一个重要方案。

安全审计是对企业安全建设的监督审查，包括但不限于安全策略、安全流程及技术管控等。通过安全审计可解决如下问题：

1. 审核现有的安全制度、流程是否适用业务，是已落地执行还是束之高阁；

2. 审核现有的技术手段是否覆盖到安全管控范围，是已覆盖还是有空白地带；

3. 审核被忽略或潜藏的风险，是对业务场景不了解还是新增的业务模式未进行风险识别。

信息安全审计的模型可参考信息科技审计模型，从三个维度开展，分别为：信息安全公司层面控制、信息安全应用控制和信息安全一般性控制。各部分的关注点及示例图如下：

简要概述，就是从公司层面、业务层面和实现层面进行审计。公司层面控制关注的是公司对信息安全的要求，应用控制围绕的是公司关键业务及流程，一般控制程序重点是落地的措施和实际配置。

三．实践

综上，我们以权限审计为例进行实践。2020年因疫情原因，远程办公的需求增多，导致权限问题频发，包括越访问、离职账户、匿名账号、共享账号等。为明确权限问题的根源，更好的制定处理措施，拟开展权限专项审计，针对核心系统进行权限审计。具体过程如下：

1、公司层面控制。明确项目目标，制定项目计划，最重要是获得管理层支持。

2、信息安全应用控制。对各个系统的功能及流程进行穿行测试，查找异常。

3、一般控制程序。对系统权限表进行审计，查找显性问题。

简要概述，制定审核计划后获取管理层批准，导出系统权限表，并对系统功能进行穿性测试。大部分的权限问题都围绕在离职账户、转岗账户、授权过大、匿名账户、共享账户、越权访问、操作日志确实缺失等方面，但是具体问题需结合业务实际情况进行分析。如离职账号未删除，其根本原因是未对接账户管理系统，导致人员离职的时候，无法从账户管理系统同步离职信息，所以未删除该账号。

四．尾声

信息安全审计的内容和方向较多，包括数据外发审计、外包人员管控审计、离职审计等，合理运用安全审计，既可以为业务解决切实问题、也能为安全规划提供参考依据。