GSMA SAS IT管理安全审计检查清单
以下是根据GSMA FS.18文档中第10章:计算机和网络管理部分整理的IT管理安全审计检查清单。该清单涵盖了IT安全管理的关键领域、控制措施和最佳实践,并按照文档结构进行组织。
1. 政策和程序
| 控制措施/要求 |
适用性 |
状态 |
备注 |
| 1.1 IT安全政策 |
|
|
|
| 1.1.1 制定并记录涵盖以下内容的IT安全政策:<br> - 数据保密性、完整性和可用性<br> - 用户访问权限管理<br> - 网络安全<br> - 系统配置和维护<br> - 密码管理<br> - 远程访问<br> - 事件响应<br> - 数据备份和恢复<br> - 第三方管理 |
|
|
政策应符合SAS要求,并定期审查和更新。<br>政策应传达给所有员工,并确保其理解。 |
| 1.2 角色和职责 |
|
|
|
| 1.2.1 明确界定以下角色和职责:<br> - 系统管理员<br> - 网络管理员<br> - 安全管理员<br> - 审计员<br> - 数据所有者 |
|
|
避免职责重叠,特别是对于敏感系统的管理。<br>例如,系统管理员不应同时负责审计日志的审查。 |
| 1.2.2 明确界定以下活动的职责:<br> - 用户访问权限的授予、修改和撤销<br> - 系统配置更改<br> - 安全补丁的部署<br> - 事件响应和报告<br> - 数据备份和恢复 |
|
|
|
| 1.3 人员安全 |
|
|
|
| 1.3.1 对所有IT人员实施背景调查,包括:<br> - 正式面试<br> - 教育和就业背景验证<br> - 犯罪背景调查(适用时)<br> - 信用检查(适用时) |
|
|
定期重新审查背景调查记录(例如,每1-2年一次)。 |
| 1.3.2 所有IT人员都应签署保密协议,并接受安全意识培训,包括:<br> - 物理安全<br> - 数据保护<br> - 密码管理<br> - 社会工程攻击防护 |
|
|
定期提供安全意识培训(例如,每年一次)。<br>针对特定角色或职责提供特定培训,例如安全管理员、事件响应团队等。 |
2. 访问控制
| 控制措施/要求 |
适用性 |
状态 |
备注 |
| 2.1 物理访问控制 |
|
|
|
| 2.1.1 对服务器机房、数据中心和其他敏感计算机设施实施物理访问控制,例如:<br> - 使用门禁卡系统<br> - 实施访问日志记录<br> - 配备监控摄像头 |
|
|
访问权限应基于“需要知道/需要访问”原则进行分配。<br>访问日志应定期审查。 |
| 2.2 逻辑访问控制 |
|
|
|
| 2.2.1 实施安全登录程序,例如:<br> - 强密码策略(最小长度、复杂性要求、定期更改)<br> - 账户锁定机制<br> - 多因素身份验证(针对高权限账户) |
|
|
避免使用默认密码或共享账户。<br>定期审查和更新密码策略。 |
| 2.2.2 限制特权用户的使用,例如:<br> - 最小权限原则<br> - 职责分离<br> - 定期审查特权账户的使用情况 |
|
|
|
| 2.2.3 实施访问权限管理流程,包括:<br> - 访问权限的创建、修改和删除<br> - 访问权限的授权和审批<br> - 定期审查用户账户和访问权限 |
|
|
|
| 2.2.4 维护授权用户和用户账户的集中列表,并定期将其与系统进行核对。 |
|
|
|
| 2.3 远程访问控制 |
|
|
|
| 2.3.1 实施远程访问政策,涵盖:<br> - 允许远程访问的位置<br> - 允许远程访问的用户<br> - 远程访问的安全要求<br> - 远程访问的审批流程 |
|
|
远程访问应仅限于特定系统,并仅限于执行特定活动(参见10.4节)。<br>远程访问应通过安全的VPN连接进行。 |
| 2.3.2 对远程访问实施多因素身份验证或等效机制。 |
|
|
|
| 2.3.3 远程访问端点应:<br> - 归审计对象组织或分包商所有和控制<br> - 实施强化控制措施(例如,限制/禁用端口)<br> - 根据定义的安全策略进行配置(例如,不授予本地管理员权限)<br> - 保持最新状态(例如,安全补丁和防病毒/恶意软件防护)<br> - 位于受控访问的指定安全环境中 |
|
|
|
| 2.3.4 远程访问会话应记录在审计跟踪中,包括:<br> - VPN的建立<br> - 远程用户对审计对象企业网络的身份验证<br> - 远程用户对相关跳转主机的身份验证<br> - 远程用户对目标环境的身份验证 |
|
|
|
3. 网络安全
| 控制措施/要求 |
适用性 |
状态 |
备注 |
| 3.1 网络架构 |
|
|
|
| 3.1.1 将处理和存储敏感流程数据和相关敏感数据的系统和数据网络置于适当的环境中,并与不安全网络在逻辑或物理上分离。 |
|
|
|
| 3.1.2 定义并根据功能/用途分离安全网络,例如:<br> - 内部网络<br> - 外部网络<br> - 客户数据交换网络<br> - 专用管理网络 |
|
|
|
| 3.1.3 在不同站点之间扩展安全网络时,应使用适当的安全通道(例如,VPN),并确保所有站点都经过SAS认证。 |
|
|
|
| 3.2 防火墙管理 |
|
|
|
| 3.2.1 使用配置正确和管理良好的防火墙,并结合适当的入侵检测系统。 |
|
|
|
| 3.2.2 防火墙应:<br> - 从受保护(即安全)网络进行管理<br> - 配置为仅提供所需的最小访问权限,并限制地址和端口<br> - 仅允许从安全网络发起的连接<br> - 选择用于允许连接的服务,以最大限度地降低对敏感数据和安全客户端完整性的风险 |
|
|
|
| 3.2.3 定义业务级防火墙策略文档,记录防火墙提供的访问权限及其业务级要求。 |
|
|
|
| 3.2.4 所有策略更改都应经过授权,并独立于防火墙和网络管理员进行控制。 |
|
|
|
| 3.2.5 防火墙配置应符合防火墙策略,并定期审查。 |
|
|
|
| 3.2.6 防止未经授权的更改对防火墙配置进行更改(即使是授权人员)。 |
|
|
|
| 3.2.7 防火墙应配置为记录关键事件;应审查日志。 |
|
|
|
| 3.3 入侵检测 |
|
|
|
| 3.3.1 实施入侵检测系统,并处理警报,包括升级流程。 |
|
|
|
| 3.4 数据传输控制 |
|
|
|
| 3.4.1 数据传输应严格控制在最小访问原则下定义的政策。 |
|
|
|
| 3.4.2 不应直接在安全网络和不控制、不受信任或第三方网络之间建立连接,即使这些连接是通过防火墙进行的。 |
|
|
|
| 3.4.3 用于安全网络和不控制网络之间数据交换的系统应符合SAS要求。 |
|
|
|
4. 系统安全
| 控制措施/要求 |
适用性 |
状态 |
备注 |
| 4.1 系统配置和维护 |
|
|
|
| 4.1.1 在采购系统之初确定其安全要求,并在采购时考虑这些因素。 |
|
|
|
| 4.1.2 系统组件和软件应通过安装最新的供应商提供的安全补丁来防止已知漏洞。 |
|
|
|
| 4.1.3 制定系统强化策略,并根据风险应用。 |
|
|
|
| 4.1.4 安全设备(例如防火墙)应始终进行强化。 |
|
|
|
| 4.1.5 敏感系统(存储、处理或传输敏感数据的网络中的系统)应进行强化,特别是当使用商品操作系统(例如,Windows、Linux)时。 |
|
|
|
| 4.1.6 应考虑将暴露的系统(例如,客户数据传输服务器)视为敏感系统。 |
|
|
|
| 4.1.7 定期进行漏洞扫描:<br> - 每月对内部“安全”网络<br> - 每月对用于客户数据交换的外部网络<br> - 在每次重大更改后(例如,创建新的数据传输网络、防火墙迁移到新平台) |
|
|
|
| 4.1.8 监控供应商和行业来源的漏洞和补丁公告,并根据风险级别确定补丁部署的优先级。 |
|
|
|
| 4.2 变更控制 |
|
|
|
| 4.2.1 为所有系统组件的更改建立变更控制流程和程序。 |
|
|
|
| 4.2.2 建立定期漏洞扫描计划,以考虑:<br> - 安全网络上的所有系统<br> - 用于客户数据交换的网络上的所有系统 |
|
|
|
| 4.3 防病毒和防恶意软件 |
|
|
|
| 4.3.1 在所有易受攻击的系统上部署全面的防病毒和防恶意软件措施。 |
|
|
|
| 4.3.2 检测机制(例如,防病毒软件)应:<br> - 安装在所有易受攻击的系统上<br> - 定期更新病毒定义<br> - 定期检查以识别未更新的系统 |
|
|
|
| 4.3.3 对于无法支持防病毒软件的系统,应建立控制措施以确保无法引入病毒,例如:<br> - 扫描数据和应用程序软件后再引入系统<br> - 隔离包含此类系统的网络段 |
|
|
|
| 4.3.4 建立清晰的响应程序,并在检测到可能的感染时快速报告和升级。 |
|
|
|
| 4.4 无人值守终端 |
|
|
|
| 4.4.1 配置终端超时以防止未经授权的使用,并设置适当的超时限制。 |
|
|
|
| 4.5 系统退役/报废 |
|
|
|
| 4.5.1 对作为 SP 一部分的资产(例如 IT 系统)的退役/报废进行记录,并以安全的方式执行。 |
|
|
|
5. 备份和恢复
| 控制措施/要求 |
适用性 |
状态 |
备注 |
| 5.1 数据备份 |
|
|
|
| 5.1.1 定期备份关键业务数据。 |
|
|
|
| 5.1.2 备份应妥善存储,以确保机密性和可用性,例如:<br> - 存储在数据/媒体保险箱中<br> - 考虑异地存储一份备份 |
|
|
|
| 5.1.3 定义备份频率和保留期限,基于数据的重要性、分类和数据处理指南。 |
|
|
|
| 5.1.4 制定定期检查数据恢复程序(例如,每年一次或两次)。 |
|
|
|
| 5.1.5 确保在从备份中恢复数据时,可以将生产状态恢复到正确的点。 |
|
|
|
6. 外部设施管理
| 控制措施/要求 |
适用性 |
状态 |
备注 |
| 6.1 第三方管理 |
|
|
|
| 6.1.1 如果使用任何外包外部设施或管理服务,应实施适当的安全控制。 |
|
|
|
| 6.1.2 这些设施和服务应符合本文件中规定的所有要求。 |
|
|
|
| 6.1.3 审计对象应承担审计和控制外部设施管理合作伙伴的责任。 |
|
|
|
7. 软件开发
| 控制措施/要求 |
适用性 |
状态 |
备注 |
| 7.1 软件开发生命周期 |
|
|
|
| 7.1.1 SM-DP、SM-SR、SM-DP+、SM-DS 或 eIM 的软件开发流程应遵循安全系统开发的行业最佳实践。 |
|
|
|
| 7.1.2 在 SM 环境中部署的应用程序和定制软件的软件开发流程应遵循安全系统开发的行业最佳实践,例如:<br> - 遵循 OWASP 十大安全漏洞防护措施<br> - 遵循 W3C 标准 |
|
|
|
8. 多租户环境
| 控制措施/要求 |
适用性 |
状态 |
备注 |
| 8.1 防止跨客户资产交叉污染 |
|
|
|
| 8.1.1 多租户解决方案必须防止不同客户之间的资产交叉污染。 |
|
|
|
| 8.1.2 在同一物理硬件上的多租户解决方案应确保客户数据在逻辑上与不同客户分离。 |
|
|
|
| 8.1.3 每个租户运行自己的应用程序时,必须使用唯一的租户 ID 来运行所有应用程序进程。 |
|
|
|
| 8.1.4 应建立控制措施,防止:<br> - 运行没有识别到的租户 ID 的进程<br> - 使用未与租户关联的 ID 启动租户进程 |
|
|
|
| 8.2 资源可用性 |
|
|
|
| 8.2.1 控制使用共享基础设施,以确保所有租户共享系统资源的适当可用性。 |
|
|
|
| 8.2.2 审计对象应确保客户数据仅存储在符合本文件中第5节详细要求的SAS认证物理位置,包括作为业务连续性计划的一部分复制到任何站点或区域的数据。 |
|
|
|
9. 内部审计和控制
| 控制措施/要求 |
适用性 |
状态 |
备注 |
| 9.1 IT安全控制措施审计 |
|
|
|
| 9.1.1 IT安全控制措施应接受严格的内部监控、审计和维护计划,以确保其持续正确运行。 |
|
|
|
| 9.1.2 应定义内部审计/控制计划,证明对以下方面的适当考虑:<br> - 内部审计/控制机制的检查频率<br> - 审计/控制本身的结构,包括明确的指导方针,说明应检查什么以及如何检查<br> - 审计/控制执行的记录/文档和后续流程 |
|
|
|
| 9.1.3 审计员应期望看到证据表明流程和系统正常运行,并且内部审计/控制已按照计划进行。 |
|
|
|
| 9.1.4 应有适当覆盖系统的所有方面;审计/控制计划应围绕提供适当覆盖范围的需求来定义,而不是资源的可用性。 |
|
|
|
| 9.1.5 审计员应接受有关内部审计/控制结构和内容的适当培训。 |
|
|
|
总结
该检查清单涵盖了IT管理安全的关键领域,包括:
- 政策和程序: 制定、实施和传达全面的IT安全政策。
- 访问控制: 实施强大的物理和逻辑访问控制措施。
- 网络安全: 实施网络安全措施,包括防火墙、入侵检测和数据传输控制。
- 系统安全: 实施系统配置和维护、变更控制、防病毒和防恶意软件措施。
- 备份和恢复: 实施数据备份和恢复程序。
- 外部设施管理: 管理外部设施和服务的安全。
- 软件开发: 遵循安全系统开发的最佳实践。
- 多租户环境: 实施控制措施以防止跨客户资产交叉污染,并确保资源可用性。
- 内部审计和控制: 实施内部审计和控制措施。
建议根据组织的需求和风险状况对清单进行审查和调整,并定期进行审计以确保控制措施的有效性。
15
0
已为社区贡献2条内容
所有评论(0)