利用信息系统审计建立我国网络安全的第三道防线

28.11.2014  16:22
原标题:

  自上世纪六十年代开始,信息技术发展较早的西方国家和地区,就已经开始信息系统审计工作。如美国自1964年开始,就对其联邦政府机构和企业开展了信息系统审计工作,并逐渐形成了法规、标准和操作指南。1977年美国信息系统审计与控制协会(ISACA)发布了《信息技术控制目标》(COBIT,其5.0版本于2013年发布,名称随之改为“企业IT管理框架”),被普遍用于信息系统审计的依据。2002年美国审计署(GAO)发布了《联邦信息系统控制审计手册》(FISCAM),要求联邦政府各部门据此开展信息系统审计。随着2002年美国萨班斯法案的推出,美国逐渐将信息系统审计作为一种信息安全控制的手段,通过ISACA、“四大会计师事务所”等在全球推行。2000年前后,信息系统审计逐渐进入我国。

   一、信息系统审计在网络安全保障工作中的位置

  在一个组织环境中,信息系统审计与网络安全和传统财务审计之间的关系如下图所示:

  网络安全工作包含着信息系统审计。美国ISACA对信息系统审计的定义是:“信息系统审计是获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源实现组织目标的过程”。从审计工作实践上看,信息系统审计包括了网络安全工作的保密性、完整性和可用性等方面内容。

  传统财务审计中,一方面需要信息系统审计的支持,以判断支持组织业务和财务工作的IT系统是否安全有效;另一方面,还需要计算机技术的支持,以高效地获取、分析和验证从IT系统输出的财务数据的准确性,这一部分称为计算机辅助审计。

  网络安全、信息系统审计和计算机辅助审计,其所需知识和技术属于IT范畴;财务审计属于财务和经济范畴;虽然都叫“审计”,但是两种不同类型的工作。

   二、利用信息系统审计建立网络安全的第三道防线

  根据国际标准ISO/IEC27001信息安全管理体系要求,网络安全保障工作看做是可持续改进的“PDCA循环”(如下图),其中P(PLAN)是规划和建设;D(DO)是实施和运行;C(CHECK)是监督和检查;A(ACT)是保持和改进。

  回顾十几年来我国信息安全保障工作,普遍重视了P和D两个阶段,通常是采购信息安全产品,以建设和运行维护为主;而忽视了C和A阶段,即监督检查和持续改进,尤其是独立于IT部门的监督检查。从而未能将其形成一个有效的、可持续改进的闭环。

  信息系统审计是C阶段监督检查的主要手段,审计结论是D阶段的输入。它应独立于IT部门,利用传统财务审计和稽核工作的规范与严谨,结合信息和保密技术的工具与手段,对网络安全和信息化工作的成效和不足给出客观、确定的审计结论,并根据审计结果,提出改进措施。

  职责分离是网络安全保障工作中的重要原则。一个组织要想实现真正的网络安全,就应该在组织内部构造三支对网络安全承担不同职责的团队,相互协调配合,分工合作,并通过独立、有效的审计,提高组织的网络安全水平和能力。这三支团队可称为“三道防线”,如下图:

  “一道防线”:组织业务及操作层面的网络安全管理,由组织的一线业务部门负责。职责是识别和管理网络安全固有风险,并对风险实施有效的控制措施,是整个网络安全保障工作的基础。

  “二道防线”:网络安全风险的专职管理,由组织的风险管理部门和IT部门负责。职责是建立网络安全风险管理框架,实施独立的风险评估、计量、监测和报告,确保网络安全风险管理政策及措施有效执行,将风险控制在可接受水平。

  “三道防线”:对网络安全独立的监督评价,即审计,由组织的审计监督部门负责。职责是对网络安全风险管理的相关控制、流程和系统进行独立审阅和检查,促进一、二道防线积极履职,进一步揭示网络安全风险,为一、二道防线提供改进建议。

   三、我国信息系统审计存在的问题与不足

  与信息技术发达国家比较,我国信息系统审计起步较晚,大致自2000年前后开始,先是银行等金融企业自发开展信息系统内部审计,如建行、工行、人行等在2000年就已经在其内部审计部门设置“IT审计处”。我国审计署自2005年前后,开始信息系统国家审计的尝试和探索,基本上与传统财务财政收支审计、经济责任审计和重大项目审计等结合在一起开展。

  由于我国信息系统审计缺少自身的理论研究和工程实践,十几年来,无论是内部审计,还是国家审计,均受制于以“四大”为代表的国外会计事务所。他们通过审计手段,包括传统财务审计和信息系统审计,不仅占领了我国信息系统审计的市场,还掌握了我国大量重要领域经济数据,包括金融、电信、能源等行业数据,对我国网络安全带来了隐患。

  随着我国信息技术在各个行业领域的广泛应用,我国行业自身的信息系统审计工作也逐渐开展起来。自2009年以来,银监会、证监会、财政部、国资委等行业监管部门陆续出台了许多行业政策或监管要求,纷纷要求监管企业和行业企业开展信息系统审计。但因部门不同、职能不同,无法建立起全国统一的信息系统审计制度和规范。国内提供信息系统审计的企业或事务所没有成长起来。

   四、加强信息系统审计工作管理的措施建议

  对信息系统审计工作的管理和规范,应从信息系统审计需求、信息系统审计服务机构、信息系统审计人员,以及信息系统审计相关的技术标准、实施指南等做出规定和安排。具体建议如下:

  (一)制定信息系统审计的规章制度。从法规上提出我国境内开展信息系统审计的规范和要求。国家主管部门或行业主管部门,一方面应从制度上要求重要信息系统行业和用户单位,如金融、能源、电信、海关、税务、政务等领域,定期开展信息系统审计。另一方面对从事信息系统审计服务的机构,也要提出规范要求,以降低由于审计本身而带来的网络安全风险。

  (二)制定信息系统审计国家标准。信息系统审计需要系列标准作为支撑,如信息系统审计要求标准,提出对信息系统审计机构和被审计方的具体审计要求。信息系统审计指南标准,可以详细阐述如何实施信息系统审计,包括审计计划和方案,审计方法和流程,审计依据和内容,审计发现和报告,以及后续审计活动等。信息系统审计人员要求标准,可以提出从事信息系统审计的专业人员的要求,包括职业道德、应具备的知识、能力和技能等。

  (三)在网络安全保障工作中开展信息系统审计试点。信息系统审计是一项目标明确、流程规范、范围清晰的服务性质的工作,其目的就是帮助被审计方揭示网络安全风险,提供改进建议。除银行业外,其它行业少有开展。建议能源、电信、政务、海关、税务等重要信息系统行业部门选择若干单位试点开展信息系统审计,为今后制度化定期开展信息系统审计积累经验。

  (北京时代新威信息技术有限公司总经理 王新杰)