|
时间:2016年12月9日下午 地点:内审内控布联盟微信群 参与人:布死布灭、布衣齐晏-化工、布得了、布寻常、布懂行道
以下为讨论内容:
布死布灭:我想请教一下大家,公司IT系统的超级管理员权限是否应该受到限制,如果修改系统流程的话,除了应有的授权审批外是否应该有人对管理员的工作进行监督?
布衣齐晏-化工:我们没有,都是按权限。
布死布灭:如果超级管理员不经过审批,私自修改流程,跳过节点怎么办?
布得了:你的顾虑没有错,首先你得了解超级管理员目前的权限已经管理方法,以及公司内部各人员权限如何分配,另外你认为根据你们的业务模式,该如何管理该部分权限,对权限的使用如何监督。
布衣齐晏-化工:这个需要有制度约束,对其进行惩罚性约束就会有效。
布得了:半同意这个观点,惩罚性的属于事后,系统权限对业务模式的核心部分应多考虑前期。如:公司的销售可形成积分,假设公司各个环节并没有对积分形成进行关联的话,系统管理员私自修改某个人的积分,影响将会非常大。
布得了:我们现在对超级管理员没有约束,流程更改是根据授权审批操作的,管理员自己有账号密码和对系统的全部操作权限。而且我们的系统在修改流程后不会留下操作的痕迹,就造成我们没法根据系统的日志进行操作审核。目前只有IT部每个月对流程修改有个备案,但这个备案的主观因素较大。惩罚都是后话了。如果我们这边有个几亿的合同,系统管理员帮助一些人跳过节点审批了,这样造成的损失就很大了。
布衣齐晏-化工:超级管理员是按照授权操作,把授权约定好执行到位。对于越权行为约定好,并明确惩罚以警戒。行为人知道怎么做,知道违反的代价,再强化处理会有效果。
布得了:这属于信息系统的审计,需要全面考虑。
布死布灭:所以我想了解应不应该对管理员进行约束,其他公司一般是怎么做的?
布死布灭:@布衣齐晏-化工 您这个方法是事后控制啊,没法做到风险防范。
布灭布灭:@布得了 东方兄,我们现在就是让我一个不专业的人去审专业的信息系统审计......
布寻常:It修改權限是需要管控的,哪怕他的超級管理員。(布寻常喜欢用繁体字)
布衣齐晏-化工:制度流程有的是指导告诉人们怎么做,有的是惩戒一些人不可为。帮助有些人跳过节点审批,是主观行为。
布死布灭:我现在就是不了解这个超级管理员是否应该受到管控,因为我不懂IT的专业知识,怕与被审单位沟通这个问题时候被反驳。
布得了:是的,你那个还没有操作日志这个完全不行啊。我认为化工的说法不无道理,制度上的约束跟宣讲也是综合,肯定有作用,但无法解决目前的这个方面的审计需求。
布得了:@布死布灭 怕什么呀,你先问清楚所有的情况再提问题点啊。
布死布灭:IT部的人说流程修改不会留下修改日志,包括IT的总监也是这么说的。如果能有痕迹的话还有一定的约束作用。或者是不是我们买的系统太廉价了?没有那功能?
布得了:先设计好访谈底稿。
布得了:找高人支支招!
布死布灭:@布寻常 你们是怎么对超级管理员进行约束的?
布衣齐晏-化工:设置问题都有日志痕迹。
布死布灭:@布衣齐晏-化工 我们老板啥都懂就是不懂IT,然后我们如果提出来的东西,IT说没有或者做不到,那我们就立不住脚。
布衣齐晏-化工:痕迹是一方面,如何设置有文字版的印证,修改要有审批流程和权限,如果和实际制度描述不符,又没有审批就要求it说明原因,无合理原因则视为违规。
布衣齐晏-化工:如果是侵害公司利益的修改和手脚,小了公司落实处理,大了可以报警处理,什么痕迹和日志专业人员都可以查明。制度约定明确是基础,执行到位是保障。知道怎么做,知道什么不能做,违反了承担什么责任并认真兑现,就会令行禁止。不知道怎么做就不好认同处理,知道什么不能做却犯错不畏惧,这个氛围环境很重要。
布寻常:@布死布灭?IT修改任何後台數據和權限都是有log的。IT修改任何權限都是會被系統後台紀錄的,抓起List核對。
布寻常:@布死布灭?如果IT做不到,那就是問題真正的問題了。
布懂行道:系统化的任何操作都不可能没有后台日志记录的。
布寻常:@布死布灭?忘記提醒你一下,關於信息系統的安全及修改你可以翻閱國家信息系統安全有關法令,台灣也是有相關法令要求,米國就不用說了,那是強制行的。看郵件門你就知道有沒有了。
大家可以阅读: 保险机构IT审计规范(征求意见稿) http://www./forum.php?mod=viewthread&tid=28239&fromuid=3
|
