应对安全审计
背景
Olivier 是 HealthData 的信息系统总监,这是一家处理健康数据的公司。一位外部审计员前来检查 ISO 27001 和 GDPR 的合规性。他要求证明:谁有权访问哪些资源,如何控制访问,如何管理离职员工,以及密码是否符合最佳实践。
没有 SmartLink 的问题
- 访问权限分散在每个应用程序中
- 没有集中化工具来生成完整清单
- 无法证明前员工的访问权限已被撤销
- 密码策略只是理论上的——没有办法验证其执行情况
- 审计需要数周时间手动收集信息
使用 SmartLink
步骤 1 — 访问清单(即时)
Olivier 打开 SmartLink 仪表板。审计员可以看到:
- 完整的用户列表及其状态
- 已登记的应用和安全文件夹
- 谁有权访问哪些资源,按文件夹和团队组织
步骤 2 — 安全策略(可验证)
Olivier 展示已配置的访问策略:
- 设备访问策略 定义了每个应用的访问条件
- 反钓鱼 功能已全局启用
- 对于敏感应用,强制要求 VaultysID 的安全级别
步骤 3 — 事件可追溯性(可证明)
SmartLink 提供事件历史记录:
- 添加和移除员工
- 访问权限的变更
- 发现 Shadow IT 及采取的纠正措施
- SCIM 通知(开通/停用)
步骤 4 — 密码管理(可展示)
Olivier 展示如下内容:
- 密码存储在加密保险箱中
- 用户无法得知关键应用的密码
- 认证通过 VaultysID(无密码)或 SSO 实现
带来的变化
| 没有 SmartLink | 使用 SmartLink |
|---|---|
| 信息收集需数周 | 数据即时可用 |
| 难以提供证据 | 完整且可导出的历史记录 |
| 理论上的策略 | 已执行且可验证的策略 |
| 审计压力大且成本高 | 审计顺畅且有据可查 |