我们的组织最近对 IT 进行了重组,并将网络工程师分成了新的角色,例如架构师、实施工程师和运营支持工程师。
围绕 SOX 合规性以及我们如何/是否实施适当的控制来限制架构师级别人员对生产环境的访问存在担忧,因为他们的主要角色是战略和规划。我的理解是,用于职责分离的 SOX 控制更特定于财务或会计数据 - 以及对(例如)仅限开发/质量保证人员的生产数据库的访问。
访问路由/交换机/传输设备的 SOX 要求是什么?职责分离适用于网络工程师的哪些方面?
Sarbanes Oxley 网络工程师/架构师
网络工程
管理
2021-07-26 01:41:24
1个回答
在为一些客户完成了这个过程之后,我通常会首先确保您至少实现了以下控制 - 请注意,这些控制都不是 SOX 特有的,因为路由/切换/传输通常不会播放除了纯粹的可用性观点之外,在财务报告中的作用:
- 对网络的所有更改均由授权个人执行(例如:RADIUS/TACACS 支持的任何超级用户访问帐户)
- 对网络的所有更改都由授权人员审查(例如:有一些正式的更改管理方法,可能包括以服务台票证、更改表格等形式进行的审计跟踪)
- 存在审计跟踪以提供超级用户访问权限及其任何更改(例如:登录您选择的目录服务器,显示用户/角色分配以及执行者)
- 对所做的任何更改以及更改者进行的任何更改都存在审计跟踪(例如:网络配置的版本控制、登录的系统日志记录和交互式命令)
要回答有关您的架构师资源有权访问生产网络的问题,我认为这不是 SOX 要求所规定的。
另一方面,从安全的角度来看,最小权限原则可能适用,因此只读帐户可能更合适。