执行用户访问审查验证是一项至关重要的流程，旨在确保只有被授权的个人才能访问组织内的系统和数据。以下是有效执行该审查的分步指南： 

准备工作

• 定义范围：确定哪些系统、应用程序和数据将被纳入审查。这可能包括活动目录、数据库、ERP系统等。

• 确定利益相关方：与IT安全、人力资源部以及部门负责人等相关利益相关者合作。

• 收集访问控制政策：审查组织的访问控制策略以了解访问权限的基线。

收集访问数据

• 导出用户访问列表：从审查范围内的系统中提取当前用户访问数据。此数据应包括用户名、角色和访问级别。

• 编译角色定义：收集定义角色和相应访问权限的文档。这对于审查期间进行比较很重要。

• 记录历史变更：查看自上次审核以来访问权限变更的系统日志或文档。

审查与分析

• 对比策略：将用户访问列表与访问控制策略进行交叉参照，以识别任何差异，例如具有过多权限的用户或未经授权的访问。

• 分析角色的适当性：确认用户拥有与其工作职能相适应的的角色。例如，除非特别要求，否则人力资源部门的员工不应有权访问财务系统。

• 识别非活跃账户：查找不再活跃但仍具有访问权限的账户，例如属于前员工的账户。

• 检查职责分离（SoD）冲突：确保没有单个用户拥有违反职责分离原则的访问权限，例如发起和批准交易的能力。

用户访问验证

• 用户验证：联系部门主管或系统所有者，以验证当前访问权限是否必要且适当。这可以通过正式的认证流程来完成。

• 请求理由：对于任何有问题的访问权限，请向利益相关者询问理由。

• 记录回复：保留所有回复和理由的详细记录以备将来参考。

补救（建议）

• 移除未经授权的访问：立即撤销任何被确定为未经授权或不必要的访问。

• 调整角色：根据需要修改角色，以更好地与当前工作职责保持一致。

• 更新文档：确保在审查期间所做的所有变更都已记录在案，包括变更原因和获得的批准。 

报告

• 准备一份总结报告：创建一份总结审查结果的报告，包括发现的任何差异、采取的行动以及改进访问控制的建议。

• 向管理层提交：与高级管理层或审计委员会共享报告，告知他们用户访问的当前状态和已识别的任何风险。 

后续跟进

• 监控变更：审核后，持续监控访问变更，以确保发现的任何问题不会再次出现。

• 安排定期审查：建立用户访问审查的定期计划（如每季度或每年），以保持对访问权限的持续控制。

• 实施改进：基于审查结果改进访问控制流程，如增强审批工作流或自动化审查的某些方面。

通过执行这些步骤，您可以确保组织的用户访问控制是强大的，从而降低未经授权的访问风险并增强整体安全性。

作者：CA. Ratan Singh Tanwar， CISA， DISA， FAFD， 管理合伙人- Tanwar Ratan Singh & Associates CA. Firm， 特许会计师

翻译：刘畅，CISA、CISM、ISO27001Auditor，ISACA微信公众号特邀通讯员。香港高等教育科技学院公共关系与国际项目管理专业学生。

校对：李京（Randy Li)，CGEIT，ISACA微信公众号特邀通讯员，关注IT治理、信息安全。