陈嘉琳 陆明媛 朱惠红 马文艺 何江

[摘要] DSMM强调企业应以数据安全为核心，从三个维度提升企业信息安全等级，数据全过程安全的理念更加符合现代企业实践业财融合的需要。本文从信息安全管理的研究现状着手，参考DSMM建立企业信息安全管理审计框架，以环境安全、组织构建和人员管理安全、系统管理安全为实施层面，实施全过程的信息安全管理审计，以期从内部审计的视角为企业信息安全管理提供建议，完善企业信息安全管理体系，从而促进企業信息化进程健康发展。

[关键词]信息安全管理   数据安全   数据生命周期   安全审计

一、引言

现代科学技术的快速发展，使得大数据、物联网和区块链等互联网技术在企业得到普遍应用，企业信息化程度全面提升。尤其是以建设和运营电网为核心业务的电力企业，其业务数据的特殊性增加了其对信息系统的依赖程度。电力企业在享受信息技术和信息系统带来的利好的同时，也面临着数据被盗、丢失、损毁等安全风险，因此，加强电力系统信息安全管理十分必要。内部审计是企业风险管理的第三道防线，管理审计已成为新时代企业审计的新业态，但面对信息化程度比较高的经营管理环境，企业内部审计人员尚未将审计视角转向信息系统安全管理审计方面，探索信息安全管理审计势在必行。

二、文献综述

杨启飞（2021）认为，信息安全研究不能局限于“信息”层面，要从风险治理视角将被动事后分析变为主动事前防御。孙红梅和贾瑞生（2016）将管理与技术并重，强调以安全管理策略为支撑，建立企业信息安全管理体系的重要性。甄杰、谢宗晓、李康宏等人（2020）研究得出企业信息安全治理对企业绩效具有显著的正向效应，这种效应与企业内部高层管理者对信息安全管理的支持程度呈正相关。陈伟、李晓鹏、居江宁（2019）认为，互联网技术的发展提高了企业信息系统的复杂度和开放水平，同时也对企业信息安全审计提出了一系列挑战，要求企业不断创新信息系统审计方法。胡能鹏、黄坤豪、郑磊（2018）引入大数据离线和在线计算方式，构建基于大数据的计算方式进行数据安全审计。陈伟和詹明惠（2021）通过大数据可视化技术，分析相关单位信息系统的应用控制风险。刘国城和王跃堂（2017）采用数据挖掘技术，以“工程学”方法为基础建立审计体系框架，开展大数据技术下的信息安全审计。现有文献表明，学者的研究集中于信息安全和安全审计的技术方法及其应用方面，对企业信息安全管理和安全管理审计的系统研究和理论探索较少。

三、DSMM的含义与应用优势

（一）DSMM的含义

DSMM（Data Security Maturity Model），即数据安全能力成熟度模型，是由阿里巴巴起草编制的数据安全管理评价标准，它以数据安全为中心，从三个维度评价企业数据安全，包括：（1）安全能力维度。DSMM从组织建设、制度流程、技术工具、人员能力四个方面评估企业数据安全等级。（2）数据安全过程维度。DSMM将企业所有数据按其生命周期分为六个不同的阶段，在其基础上，以通用安全贯穿六个基础生命周期，形成七大数据安全过程，总计包括30个过程域。（3）能力成熟度等级维度。DSMM将数据安全能力成熟度分为五个级别，企业需要设置符合自身需求的战略目标，并评估其所处的数据安全等级，进而执行和改善信息安全管理战略规划。DSMM构造如图1所示。

DSMM通过量化各项过程域安全衡量企业的数据安全等级，为企业全面全流程评估内外数据安全提供渠道，促进企业多方位提升数据安全水平，实现信息系统安全可靠。DSMM数据生命周期安全过程域如图2所示。

（二）DSMM的应用优势

信息安全是对信息的保密性、完整性和可用性的保持。王春冬（2016）认为信息安全管理是企业管理体系的组成部分，旨在控制企业信息安全的潜在风险，保证企业安全、平稳运作。随着传统的IT控制逐渐失效，现代企业正在转向以数据保护为核心的信息安全管理模式，目前企业常用的信息安全管理模型包括DCSM和DGPC。DCSM（Data-Centric Security Model）是IBM针对数据安全现状提出的以数据安全为中心的数据安全管理模型，模型强调自动化的数据分类是数据安全的核心，企业需要了解敏感数据的位置和安全风险，对数据的使用实施监控和控制。DGPC（Data Governance for Privacy， Confidentiality and Compliance）是由微软公司开发的隐私、保密和合规性框架，框架围绕人员、流程和技术设立三个核心领域。DGPC框架在企业内建立一个良好的环境，通过适当的控制、技术和活动，结合信息生命周期，采用风险矩阵解决剩余风险，加强企业数据治理能力。

相较于上述两个模型，DSMM模型是中国本土化的模型，更能针对国内企业信息安全现状提供信息安全管理的思路。对于电力企业而言，信息系统自身已经趋于成熟，而管理活动中由于操作不规范等造成的数据损毁丢失给企业造成的损失不容小觑。DSMM借鉴CMM的思路，吸收了DCSM数据分类的思想，除了强调传统数据安全需求外，还强调对企业员工能力的评估。DSMM模型强调数据全过程安全，与企业业务贴合更紧密，更加符合现阶段企业实践业财融合的需要。

四、基于DSMM开展企业信息安全管理审计的主要思路

（一）数据生命周期安全审计

DSMM模型将数据生命周期分为六个阶段，每个阶段有相应的数据安全管理需求。（1）数据采集阶段，数据收集方法和渠道应当合法合规，并对所获得的数据按要求分级分类，重点数据重点保护。这一阶段审计重点是通过数据溯源、系统日志核查人员操作记录，评价元数据的管理与分级分类是否符合要求。（2）数据传输阶段面临数据被拦截、盗取的风险，企业应当建立传输保障机制，核查操作人员的权限。该阶段审计重点关注传输保障机制是否得到完善，是否存在异常数据传输。通过定期审查数据供应链目录和源数据字典，采用追踪法审查供应链上下游的合规情况，保证数据传输的安全性。（3）数据存储阶段需要保证数据安全和存储介质安全。数据的安全性和完整性是该阶段审计的重点，要确保存放数据的介质安全，确保人员口令安全。（4）数据处理阶段，具有访问、操作权限的人员皆可接触数据，数据安全实践通常采用数据脱敏的方法来保证敏感数据的安全。该阶段审计重点关注核心数据的脱敏工作，审查相关操作是否符合要求。（5）数据交换阶段是数据安全中非常关键的一环，该阶段审计应重点关注溯源追查，通过分布式的嵌入审计程序进行操作痕迹追溯，如采用Hadoop、Spark等技术，结合大数据挖掘算法，采集并分析操作日志，判断人员操作是否合规，并对其持续监控，及时预警。（6）数据销毁阶段是数据生命周期的最后一环。数据管理人员应确保所需销毁的数据和介质得到彻底销毁。该阶段审计应重点关注数据销毁记录，看是否严格按照规定执行，并做好定期记录。

（二）环境安全审计

1.物理环境。传统的物理环境安全包括设备、介质和运行环境安全。企业应当保证计算机运行的物理环境安全，严格控制进入计算机区域的权限，建立安全边界，保证硬件设备不受人为因素、自然环境因素的损害。通过检查机房出入登记记录表、机房巡检表等，审查机房安全控制执行情况;检查硬件设备有无老化、损害等情况，评估其安全等级，提出整改意见，确保终端数据安全，防止因设备宕机等原因造成数据的丢失、损毁。

2.网络环境。在企业中，各部门多采用不同的信息系统，数据在各部门、各系统间交换、传输过程中容易感染木马病毒，被安装恶意插件，对信息安全造成威胁。通过建立健全检测机制，审查系统是否存在漏洞、防火墙机制是否稳定安全，评估企业信息系统运行的网络安全环境。构建企业分布式网络安全审计系统，能够监控信息系统使用人员的操作行为，及时发现外部入侵行为，对入侵电力信息系统的可疑用户进行IP地址监测，对其起到警示作用，便于企业及时完善相关政策，进而保障网络安全和信息安全。为保证电力企业信息系统运行的网络环境的安全可靠，企业应当建立成熟的安全隔离技术。审计人员除对系统和数据库隔离技术运行有效性定期审计外，还可以通过数据库审计技术对企业数据库进行检测分析，提出整改意见。

（三）组织架构和人员管理安全审计

DSMM指出，企业数据安全管理人员应具备相关安全意识和专业能力。依据模型，完整的信息安全管理组织架构应包括决策层、管理层、执行层、监督层。决策层制定企业的信息安全战略目标、数据安全策略规划;管理层根据企业需求建立监控审计机制、组织人员培训;执行层负责制定符合实际的数据管理规章制度，实施数据安全流程，负责数据安全风险的评估与改进;监督层监督核查组织人员数据安全政策执行情况，并实时监控数据安全风险。各部门各司其职，形成一个完整的、深层次的组织管理体系，减少信息安全管理中信息不对称问题，防范组织管理过程中存在的数据安全风险。

针对人员能力，审计人员根据培养记录了解员工岗前培训情况，采用工作分析法、访谈法、问卷法等方式评估员工能力，对员工操作进行持续监控，判断其操作合规性。针对组织构建安全，建立审计风险预警系统，对企业运行中组织架构存在的显性或隐性风险及时预警;加强审计机构与各职能部门关联度，消除由于信息不对称造成的信息安全风险;加强对企业的规章制度、部门设置、职责分配的风险防控。通过职能设置分析，审查企业信息安全管理组织是否互相牵制，在风险管理的基础上，通过对业务风险进行评估分析以促进企业信息安全管理体系的建立与完善。对于实行轮换制度的重要岗位，在签署保密制度的基础上，通过检查员工口令的变更频率来判断组织人员的安全管理意识。

（四）系统管理安全审计

要保证企业信息系统安全，需要从信息系统访问控制、授权控制以及隔离机制入手。信息系统访问控制是指保证系统由合适的人进行合适的操作，保证岗位的权限与职责相符合，防止赋予同一个岗位过多权限，实施职责分离，避免将冲突权限赋予给同一个账号。而有效的隔离机制可以大幅度地降低外部网络的威胁，实施数据安全传输和共享。在数据安全基本实践中，严禁将账号、密码借给他人使用的行为，严格遵守系统管理员、安全管理员、安全审核员之间的监督与约束制度。

大数据时代，企业信息安全审计以IT技术为支撑，利用大数据可视化技术对操作人员的系统操作日志、会议纪要等非结构化数据进行分析，审查系统操作人员是否存在违规出借账号、异常访问等情况，保证口令安全。对企业人员数据操作过程进行溯源和持续监督，可采用现场审计和非现场审计相结合的方式，通过数据挖掘等技术，强化内部审计对人员操作的持续监督和跟踪。利用运维审计解决企业信息系统人员实践行为中身份边界模糊、授权不明确、难以追责等问题，实现事前预防、事中控制、事后追溯。堡垒机技术是常用的信息运维安全审计系统，堡垒机技术的登录功能、账号管理、身份认证、访问控制、操作审计等功能都能有效保障系统安全，记录操作人员操作记录，便于审计管控，确保即将离职的员工访问、操作权限被撤销。

五、应用示例

国家电网有限公司（以下简称国网）是特大型国有重点骨干企业。其发展与国家能源安全和国民经济命脉密切相关，故信息安全管理对于国网发展的重要性不言而喻。目前，国网就规范管理对外提供数据出台了一系列的通用制度，但多数电力企业并未根据自身实际建立明确具体的管理制度，企业内部的信息不对称现象以及员工信息安全意识和技能的匮乏，都增加了企业的信息安全风险。国家电网江苏省电力有限公司无锡供电分公司（以下简称无锡供电公司）也存在类似情况，针对信息安全管理中存在的问题，无锡供电公司审计部以数字化审计为技术依托，以DSMM的数据全生命周期审计为核心，将审计工作嵌入到全数据链中，加强风险稽查和防范，提升企业信息安全管理水平，實现企业价值增值。

以数据全生命周期安全审计为例来看DSMM在无锡供电公司审计中的应用。DSMM强调对数据的全生命周期审计，实现事前预防、事中控制、事后追溯。2021年，无锡供电公司开发建设了集信息流、业务流、价值流、资金流“四流”合一的配网全过程智慧管理系统，审计部全线参与，进行建模、建立各类中间表项等，对业务全数据链进行分析，将数据全过程审计嵌入至日常管理活动中。审计部门通过固化“非现场+”的审计作业模式，通过对操作人员的系统操作日志等进行审查，发现异常数据进而进行整改。如针对运维服务类项目，通过比对全面预算管理平台、ERP系统财务模块、物资招标管理系统等操作数据进行审查，核实13个项目存在异常操作、未按规定审核的问题，相关部门已进行排查整改。除使用本公司数据，审计部还利用省公司中台数据资源，利用QuickBI中台大数据资源自主进行拓展式数据梳理，建立数据模型或数据监测看板，下发核查工单督促整改，有效提升“四流”合规水平。

（作者单位：国网江苏省电力有限公司无锡供电分公司  南京财经大学，邮政编码：214061，电子邮箱：wxmylu@163.com）

主要参考文献

[1]陈伟，詹明惠.基于大数据可视化技术的信息系统AC审计[J].会计之友， 2021（1）：120-125

[2]顾穗珊，刘姗姗.信息安全管理体系构建与对策研究[J].情报科学， 2019（8）：108-113+151

[3]胡能鹏，黄坤豪，郑磊.基于大数据的安全审计[J].电脑与电信， 2018（10）：73-77

[4]刘国城，王跃堂.基于过程挖掘的互联网金融信息安全审计研究[J].新疆大学学报（哲学·人文社会科学版）， 2017（3）：18-25

[5]石永.数据安全审计方法与内容的探索[J].中国内部审计， 2021（2）：40-42