经验分享07内文96p.indd 66电网企业网络安全内部审计的实践与创新文蒋城颖 金潇 蒋锦霞 [摘要]国网浙江省电力有限公司信息通信分公司从顺查网络安全宣贯学习、抽查网络安全专业技术队伍、逆查信息系统及终端管控和分析网络安全态势感知及创新技术防范水平四方面入手,突出制度、技术队伍和管控体系三个亮点建设,全面评估公司网络安全总体态势和风险状况,防范管理过程中的廉政风险,提高网络安全管理水平。[关键词]电网企业 网络安全 内部审计 创新前,电网企业正经受前所未有的网络安全考洞的检测及加固方案进行专业技术培训及实操练验。为此,国网浙江省电力有限公司信息通习,是否积极提供网络安全防护典型经验。信分公司(以下简称公司)通过内部审计开展网络安全管控提升的创新尝试,实现管理模式精细化转(三)逆查信息系统及终端管控变,深化公司网络与信息安全队伍建设,持续强化以信息系统为对象,对存货、固定资产和系统信息安全蓝队技术防范水平,满足重大保电要求,运营维护情况进行审计。全面梳理公司内外息真正从实效上促进和改善企业的管理效能。系统和终端接入的整体情况,了解核实网络与信息系统防攻击、防篡改、防病毒、防瘫痪、防窃密能力,一、四个方面措施按照“谁主管谁负责,谁运行谁负责,谁使用谁负责,内部审计紧紧围绕预期目标开展工作,做到全管业务必须管安全”的原则,开展内外息系统员推广与技术创新齐头并进,安全技术措施与管理和终端的专项检查工作。核实是否全面完成内规划相互同步,人员建设及技术装备双向落实,具系统的风险评估和安全测评,核实提升信息系统账体包括四个方面的措施。号权限认证和弱口令整改能力,核实是否加快终端准入控制及身份认证系统建设,是否实现终端管理(一)顺查网络安全宣贯学习的可控、能控、在控,杜绝非法接入。以责任人为对象开展内部审计,确保全体员工认真学习《中华人民共和国网络安全法》,核实是(四)分析网络安全态势感知及创新技术防范否开展网络安全宣传周活动,是否发放前沿安全技水平术宣传资料、播放安全防护宣传片、开展病毒防护借助网络安全分析室,核实网络安全分析室的案例警示教育展、开展攻防演练、应急处置等技能人员、场地、技术装备和配套保障,通过采用业界演示,是否解答员工关心的安全防护问题,切实提先进的各类系统工具、平台,核实是否有效拓展信高全员的网络安全意识。息安全防护范围,实现全方位、无死角的信息安全监控和防御;利用工具、平台使信息安全防护工作(二)抽查网络安全专业技术队伍由“化”向“可视化”转变,实现信息安全防以规则为对象,对制度、计划、任务、标准、护策略的动态下发,助力内部审计分析。流程等的执行过程及结果进行审计。核实网络安全蓝队工作制度、蓝队阶梯培养计划和蓝队信息安全二、三个亮点建设技术培训,是否针对漏洞扫描器及十五大管理型漏随着企业管理改革、转换经营机制和完善66.2018年第7期2018/6/28 下午2:56目经验分享法人治理结构的推进,内部审计不断融入电网企业编并完善一系列蓝队队伍管理规章制度,建立健全安全生产和经营管理等活动中,推动公司党风廉政工作机制,常态化开展网络安全监测、分析、预警建设和反工作的开展。在深入开展公司网络安工作。以网络安全分析室为抓手,统一调度本单位全审计过程中,突出以下三个亮点建设,确保内部蓝队开展信息安全内控相关工作,实现“统一监测、审计取得实效。统一预警、统一指挥”。二是将视野扩展到组织外部,制定蓝队阶梯培(一)推动全面、实用、细致的制度建设养计划,完善蓝队成员信息。加强信息安全蓝队成一是促进制度建设全面。制度贯穿网络安全管员的选拔工作,向基层单位、直属单位覆盖延伸,控提升各方面,涵盖信息安全蓝队技术队伍建设、努力推进人才梯队建设,在蓝队选拔技术能力强,网络安全技术防范措施、网络安全技术装备、管控工作能力突出的成员作为核心骨干人员。地市、县提升费用支出情况、网络安全教育培训情况以及考公司通过选拔或推荐的方式组建蓝队第二梯队,作核情况。为预备队员,正常参与蓝队常态化工作和培训交流,二是助推制度内容实用。为确保制度的内容成熟一个发展一个。同时,有效推动建立蓝队成员真正有利于提升网络安全管控,业务部门在修订基础信息台账,对蓝队成员的技术能力和工作能力过程中多次组织运维机构和地区信通公司等专家进行全面评估和记录,完善蓝队成员团队贡献度、进行讨论,吸取各部门、各单位在项目管理中的培训证书、获得荣誉等信息。优秀经验及有效做法,使制度更具实用性、可操三是助力打造“浙电蓝”品牌,持续扩大“浙作性和针对性。电蓝”的影响力。内部审计期间共申报26个典型三是保障制度落实精细。各项网络安全的规经验,其中《防火墙无法显示视频的问题分析及处章制度均经公司领导、各部门、各单位专家评审理典型经验》《北信源桌面管控系统与Win7兼容讨论后确定,具有约束力和执行力。根据个人工性问题分析及处理典型经验》《反向隔离装置高速作开展情况,时常在例会上学习重温,对照评点,模式性能问题分析及处理》等3个典型经验被国网做到温故知新,并通过流程绩效评价定期监督制肯定并推广。度执行情况。(三)推动完备、实用、高效的管控技术体系(二)推动有组织、有纪律、懂专业的技术建设队伍建设在充分依托公司现有技术手段的基础上,从技一是推进信息安全蓝队提升,组建网络安术装备和分析平台两方面对技术支撑部分进行加固全分析室。完善“制防、物防、人防、技防”四个补强,完成渗透测评平台、白盒代码检测系统、内层面,建立“四维”防御体系(如图1所示),修控检查工具及脆弱性分析平台的建设,并整合内外图1 “四维”防御体系INTERNAL AUDITING IN CHINA.JULY 20186707内文96p.indd 672018/6/28 下午2:56经验分享07内文96p.indd 68核电工程企业风险导向审计实践文崔一兰 [摘要]本文从公司宏观层面、业务流程层面、管理提升层面及跟踪监督层面,探讨如何更好地发挥内部审计的增值作用,提升内部审计的有效性。[关键词]核电工程 总承包 内部审计 风险防范 提高效益中国核电工程有限公司是以设计为龙头的核电全面覆盖的监控体系,通过评价企业内控制度、管站总承包EPC建设单位,又是核电、核燃料、理制度的合理性、完备性和有效性,找出其中的管核化工方面的重要军工科研单位,主要业务涉及工理缺陷和控制弱点,防范因缺乏控制而产生的风险。程建设、科研技术开发等高风险领域。公司内部审三是管理提升层面,内部审计充分发挥咨询服务功计在履行审计监督职责过程中,借鉴风险导向能,挖掘公司管理潜力,发现降本增效或统筹规划审计理念、技术和方法,深刻理解公司战略目标,领域,提出管理建议。四是跟踪监督层面,严格审主动介入风险控制,成为公司风险管理体系中的重计整改督办,加强经验反馈,与考核问责相结合,要组成部分,为加强风险防控、揭示风险、提高效有效防范类似风险事件重复发生。益发挥了重要作用。主要体现在:一是公司宏观层面,统观全局,着眼于风险预警,服务于战略经营一、公司宏观层面:内部审计前瞻性预判,决策,提示经营模式中的高危操作风险,敏锐捕捉发挥风险预警作用资源投入少、监管少的管理盲区,避免失控。二是内部审计于其他业务部门,应跳出业务环业务流程层面,建立对主要业务领域和关键风险点节,从全局出发,综合、客观地对企业风险进行识网安全可视化平台进行多信息源整合展现,有利于于行为识别攻击检测技术,构建不依赖签名特征的内部审计掌握情况。威胁分析防护体系,对潜在的未知攻击行为能够准一是打造全天候全方位网络安全态势感知。确识别,并进行有效分析和验证。感知网络安全态势是内部审计必须掌握的最基础三是实现漏洞库、特征库、知识库全面化。通的工作,要建立统一高效的网络安全风险报告机过主动探索网络安全工作薄弱点,在安全加固的过制、情报共享机制、研判处置机制,结合大数据程中提升隐患发现能力。挖掘分析,准确把握网络安全风险发生的规律、(作者单位:国网浙江省电力有限公司信息动向和趋势。通信分公司,邮政编码: 310007,电子邮箱:二是增强网络空间未知威胁防御能力。强化基66087@qq.com)主要参考文献蒋城颖,吴惠芬.信息通信项目融合管理效能监察研究[J].华东电力, 2014(9):10-1268.2018年第7期2018/6/28 下午2:56
