近期,為防止信息泄露危害到企業(yè),華菱漣鋼紀(jì)委、監(jiān)察審計部對密碼泄露等信息安全問題發(fā)出了風(fēng)險防控警示。
該警示指出,漣鋼紀(jì)委、監(jiān)察審計部在對某業(yè)務(wù)開展的日常監(jiān)察過程中,發(fā)現(xiàn)該業(yè)務(wù)信息系統(tǒng)風(fēng)險控制存有嚴(yán)重隱患,操作人員保密意識淡化,個人用戶名和密碼多人共用等方面的問題:
上級知曉下級密碼及用戶名,風(fēng)險較大。在監(jiān)察中發(fā)現(xiàn),個別管理人員通過各種方式獲取業(yè)務(wù)人員用戶名和密碼后,可在系統(tǒng)內(nèi)完成全流程操作,致使原本互相制約、相對獨立、互為監(jiān)督的管控流程失效,給業(yè)務(wù)帶來嚴(yán)重風(fēng)險。
結(jié)算原始票據(jù)無經(jīng)辦人員簽字,追查較難。該系統(tǒng)系公司自行開發(fā),開發(fā)時的設(shè)計即為系統(tǒng)內(nèi)結(jié)算票據(jù)打印同時,有關(guān)欄目中便自動打印相關(guān)審核、經(jīng)辦人員名字。如他人知曉或套取各層級用戶名和密碼,即可獨自完成系統(tǒng)流程,且事后難以追查。
信息系統(tǒng)監(jiān)管存在不足。漣鋼個別信息系統(tǒng),業(yè)務(wù)重要,但系統(tǒng)后臺缺乏對相關(guān)操作人員、IP地址、網(wǎng)卡地址的監(jiān)管和痕跡保存,技術(shù)上對風(fēng)險的監(jiān)管不到位。
針對這些問題,漣鋼紀(jì)委要求各單位迅速展開自查自糾,對信息系統(tǒng)用戶名、密碼進行全面清理,確保密碼不泄露。同時對已調(diào)離和退出原崗位人員的授權(quán)進行清理,避免后續(xù)人員繼續(xù)使用上述人員用戶名。漣鋼紀(jì)委要求各級管理人員自覺遵守公司規(guī)定,主動避嫌,不得獲取他人密碼。要求漣鋼信息自動化中心和企業(yè)管理部迅速完善相關(guān)制度和流程,加強對信息系統(tǒng)的安全監(jiān)管,確保公司業(yè)務(wù)流程安全受控。(黃瑛)