在审查用户访问时,有哪些重要的考虑因素?
不执行常规用户访问审查的组织可能会使自己暴露于多种风险之中, 从数据泄露到合规性缺陷. 然而, 在他们开始执行评审之前, 公司必须首先制定访问审查策略来定义流程.
访问审查策略应该考虑诸如维护资产所有者之类的项目, 检讨频率, 角色和访问级别, 政策的例外情况, 等.
审查用户访问时的关键考虑事项
角色/权限:审查用户访问时, 必须考虑用户可能拥有的角色和/或权限,以及谁有能力在系统中授予或撤销用户访问. 这里的目标是实现最小特权原则, 这样用户只被授予完成其工作职责所需的角色/权限, 在不损害或妨碍业务运作的情况下. 此外,由于许多员工转换角色,他们需要的访问级别可能会改变.
不活跃的账户:没有UAR进程的不活跃的过期帐户可能无限期地留在系统中. 考虑审查用户帐户的最后登录日期,并删除在预定期间内没有活动的帐户(请参阅组织的访问审查策略)。. 此外,已禁用的非活动帐户也应考虑删除.
查阅敏感资料:在审查访问权限时,数据敏感性是需要考虑的重要因素. 可以访问敏感数据的应用程序/用户可能需要更频繁地进行审查. 问自己这些问题:我的组织是否接受, 传输和/或处理任何敏感数据? 这些数据驻留在哪里? (哪些应用程序/bet9平台游戏器/工作站等.)
回顾过程: When you determine that a user has improper access; either since the review or longer, 回顾程序过程是必不可少的. 此过程包括回顾用户在不适当访问期间的操作,并确定是否进行了未经授权的更改.
考虑第三方访问/系统帐户/bet9平台游戏帐户:确定您的公司是否可以通过删除这种访问或实现补偿控制来减少对组织应用程序或环境的第三方访问是关键. 访问权限可能是为与您不再有合同或协议的第三方提供的. 另外, 审核系统账户和bet9平台游戏账户时, 考虑存储密码的位置. 如果它们存储在密码库中, 考虑一下谁有权访问保险库里的账户.
使评审可审计: User access reviews are typically a key control in most IT related audits; therefore, 确保用户访问审查是可审计的是至关重要的. 评审应形成文件,以便审核员可以重新执行评审. 导出用户清单时, 包括完整性和准确性(列表如何生成的屏幕截图), 创建审核记录, 哪些改变是必要的, 对有这些更改的票证的引用, 回顾程序, 批准, 供审查的用户列表, 审查后的用户列表(以确认所做的更改), 等. 另外,考虑创建一个模板,企业所有者可以在其中记录审查. 这些模板可能包含:
- 初始用户访问清单(证明如何生成该清单)
- 检讨结果
- 职责划分评估
- 审稿人的签字和日期
- 显示更改的文件(票证证据)
- 更新了用户清单,以显示访问已更新(清单如何生成的证据)
- 对检测到的任何不适当访问进行风险评估(回顾程序)
特权访问/管理用户:有特权访问系统的用户比普通用户面临更高的风险, 让这些评论更加关键. 考虑更频繁地检查特权访问帐户.
独立评论员:当审查对系统的访问时, 审稿人不应该审查和批准他们自己的访问权限. 第二个独立审稿人应该审查初始审稿人对应用程序/数据库的访问权限, 确保初始审稿人的适当访问.
我们建议定期(每季度)执行用户访问审查, 每半年一次, 每年, 等.). 在选择评审频率时,要考虑任何遵从性标准、法律、法规等. 这可能适用于你的组织, 以及与审查范围内的应用程序/数据相关的风险.
另外, 如果你的组织有资源, 有一些工具和软件可以提高审查过程的效率.
关于施耐德唐斯风险咨询
我们经验丰富的风险咨询专业团队专注于与您的组织合作,以识别并有效降低风险. 我们的目标不仅是了解与组织潜在损失相关的风险, 而是要推动为您的组织增加价值的解决方案,并就机会提供建议,以确保对您的业务造成最小的干扰.
探索我们的全部 风险咨询bet9平台游戏 提供或与团队联系 contactsd@108g.net.