职责分离原则是控制内部状况的关键问题。职责分离原则是这样来实现的,通过分配不同的任务给不同职位的人以及在多个人间针对某个特定的安全操作过程分配相关的特权。
职责分离原则(SoD)这一方式被广泛地应用于财务会计系统中。各种不同规模大小的公司都十分清楚不能将各种不同的职责合并的重要性,例如在财务系统中这些不同的职责就包括接收支票(账户付款)、批准注销、存取现金以及核实银行报表、审批时间卡和保管好发票等。
当人们在处理和金钱相关的事务时有一条常用的准则,那就是使用职责分离原则,这样金钱欺诈行为就需要攻破两个或多个防线才能实现。使用职责分离原则能够大大降低犯罪的可能性,所以说,我们在解决信息安全问题时,也应该借鉴这种方法。公司组织很有必采用职责分离原则,这样就没有人能够凭借个人力量就能实行安全管制,而是需要在多人共同行使职权的时候才能实现。
职责分离原则对于IT产业来说还十分新鲜,但是在萨班斯-奥克斯利法案中来自IT行业或者与IT行业相关的内部控制问题里面,有相当大部分是关于IT 行业中的职责分离问题,这个问题并不让人感到奇怪。职责分离原则是很多监管政策(如萨班斯法案和Gramm-Leach-Bliley法案)的一项根本的原则,因此,IT公司组织现在应该更多的提高对职责分离的重视,对所有的IT职责功能实行职责分离,尤其是安全部门。
我们这里说到的职责分离是与安全问题相关的,它主要有两个目的。首先第一个目的是防止利益冲突,防止利益冲突的出现,防止不法行为、欺诈、滥用职权以及错误等。第二个目标是检测失败操控,这包括安全漏洞、信息盗窃和安全管制规避。(安全管制是为了保障信息系统免受因为电脑系统、网络以及他们使用的数据的保密性、完整性以及可用性导致的攻击而采取的措施)
职责分离原则能够限制权力的大小或者个人的行使权力大小,这条原则同样可以确保人们不会因为职责问题而发生冲突或者不能及时对他们自身的问题或者上级的问题提交报告。
对于职责分离原则,这里有一个简单的测试。首先,看看是不是有人能够在不被检测的情况下更改或者破坏你的财务数据;再看看是不是有人能够偷窃或者泄露关键信息;最后,看看是否某一个人拥有控制设计与实施以及报告管制的有效性等权力。如果这些问题的答案都是肯定的,那么你就有必要认真考虑职责分离原则了。
负责设计和实施安全职责问题的人不应该与负责测试安全、实行安全审计或者监测报告安全职责问题的人是同一个人。因此,负责信息安全的个人不应该向首席信息官报告安全问题,而是另外的人来负责报告。
这里有五种选择以帮助我们实现职责分离,这份清单的顺序是根据我的经验来排列的。
· 选项1: 让负责信息安全的人向首席安全官(负责信息和物理安全)报告安全问题,让首席安全官直接向首席信息官报告
· 选项2: 让负责信息安全的人向审计委员会的主席报告.
· 选项3: 使用第三方来监测安全问题、执行突击安全审计以及进行安全测试,并且让他们向董事会的董事或者报告审计委员会的主席
· 选项4: 让负责信息安全的人向董事会报告.
· 选项5: 当内部审计没有向负责财务的执行负责人报告时,让负责信息安全的人向内部审计报告.
职责分离原则发挥着越来越重要的作用。如果对于首席安全官和首席信息安全官的职责没有明确和清楚的分工,将造成安全系统的混乱。我们有必要将开发、运行和安全测试以及所有管制操作进行职责分离。所有的职责都必须分配给个人,这样就能建立系统内的制衡制度,病能减少未经授权访问和欺诈行为发生的机率。
请记住,有关职责分离的控制技术问题都需要经过外聘审计师的审查。在过去当审计师认为安全风险很大时,他们会将职责分离作为审计报告中的物质缺乏来处理。当然职责分离要在IT安全充分发挥其作用还将花费一段时间,那么为什么现在不去和你的外聘安全审计师讨论一下职责分离问题呢?他们的意见能够为你节省很大一部分开支和政治内讧。