[转贴] 数据安全的关键：责任分离

责任分离是内部控制的一项关键机制。责任分离是通过在多个人之间分散任务及其与特定安全过程相关的特权来实现的。9 C3 n0 @, ^) _' D- K
　　责任分离(SoD)原则广泛应用于金融会计系统中。各个规模大小的公司都明白角色分离的重要性，如接受分期偿还检查、审批销账、存入现金、核对银行对帐单、审批时间登记卡、保管支票等这些工作都需要由不同的人来担任。
　　责任分离是人们在处理与钱相关的工作时通常采用的一种机制，这样，欺诈行为至少需要双方或多方相互勾结才有可能。这大大降低了欺诈一类的犯罪行为。信息也应该通过类似的方法来处理。因此，一个组织的这种责任分离的设计很重要，这样，就不会有任何人可以单独地泄露组织的安全控制。
　　虽然SoD对于IT组织来说还属于一种全新的观点，但是在IT领域，SoD受到了越来越多的关注，萨班斯-奥克斯利法案(Sarbanes- Oxley Act)的内部控制问题有很大一部分都来自或依赖IT。责任分离是很多日常管制授权的基本原则，如萨班斯-奥克斯利法案和格雷姆-里奇-比利雷法法案 (Gramm-Leach-Bliley Act)都是依据这种原则的。因此，现在的IT组织必须在所有功能领域中更加重视责任分离机制，特别是在安全领域。9 n; [+ M2 o+ B- M2 n/ Y
　　责任分离与安全相关，主要体现在两个方面。第一，它能防止利益冲突、侵权行为、欺诈、滥用私权及错误行为。第二，它能检测到控制故障，包括安全侵犯、信息窃取、安全控制欺诈等。(安全控制措施用来保护信息系统免于外界攻击，从而保护其上的计算机系统、网络及其数据的机密性、完整性和可用性。)
　　责任分离严格限制了每个单独个体的权力和影响力的大小。它还要确保每个个体之间不存在责任冲突，不负责对其自身或上级汇报。
　　这里简单地对责任分离作了一项测试。首先，看看在没有任何检测的情况下，是否有人可以改变或毁坏你的财务数据?然后，看看是否有人可以窃取或透露敏感信息。最后，看看是否有人可以对控制设计和执行产生影响，以及是否会对这种控制的有效性的汇报产生影响。如果以上3个问题的答案都是“是”，那么你需要重点考虑一下责任分离。& K6 m! l: F- @9 v  t
　　负责设计和执行信息安全性的人和负责安全性测试、安全性审查或是监视和汇报安全性问题的人不应该是同一个人。因此，每个负责信息安全的人不应该向首席信息官(CIO)汇报。  i8 H% {; ?( O. V$ H1 g
　　以下是在信息安全领域实现责任分离5大关键选项，是基于我的经验按照可接受性程度进行划分的。+ b1 t) c/ n# Q) P
　　● 选项1：让每一个负责信息安全的人都向首席安全官(也即CSO，负责处理信息和物理安全的人)汇报，然后让CSO向CIO直接汇报。
　　● 选项2：让每一个负责信息安全的人向审查委员会主  席汇报。
　　● 选项3：使用第三方来监视安全性，对安全检查执行突然袭击，并且做安全测试，然后，让第三方向董事会或者是审查委员会主   席做汇报。
　　● 选项4：让每一个负责信息安全的人都向董事会做汇报。
　　● 选项5：让每一个负责信息安全的人向内审人员汇报，只要内审人员不向负责财务的执行者汇报。7 T: |3 ~: f& R. w) n; o
　　责任分离显得越来越重要。由于CSO和首席信息安全官之间的责任不清晰不明确，导致责任的混乱。安全性和所有安全控制的开发、操作和测试的分离很重要。责任必须要按照这种方式分配给每个不同的个体，从而在系统内部建立检查和平衡机制，使非法的访问和欺诈机率降到最低。
　　记住，与责任分离相关的控制技术需要接受外部审查人员的检查。过去，当外审人员在判断风险高达一定程度时，其会在审查报告中列出SoD故障作为一种重要缺陷。IT安全领域执行这项责任分离技术是迟早的事，既然这样，为什么不现在就开始与外审人员一起讨论责任分离问题呢?尽早地从他们那获得对责任分离的看法和建议，可以节省你很多成本，并且降低政治冲突。