内控与IT安全的关系,IT内控与安全审计的关系
隨著國內內控的興起,經常有人會問,內控跟IT安全有什么關系?為什么內控話題總是被搞信息安全的人經常提及?我想,一方面,是因為內控與信息安全存在內在的聯系,另一方面,則是信息安全從業人員為了找到體現自身價值的附著點吧。
- 內控與IT的關系
企業內部控制(簡稱“內控”)是一個涉及廣泛的概念,根據ISACA組織的定義,內部控制指“為減少風險所實施的各種政策、步驟、實務和組織結構”。內控本身與IT并無直接關系。
但是,正是基于以下兩個方面的原因,使得內控與IT聯系起來,并且還十分緊密。
1) IT內控是企業內控的必然:當今大部分企業(尤其是美國大企業、上市公司,內控一詞主要來自美國)的生產經營都已經極大程度的依賴于IT。可以說,如果IT失效,企業的生產經營活動將會受到極大的影響。因此,針對企業內控有很重要一個環節就是要求IT治理與IT內控,確保IT與企業的業務戰略保持一致。而在這里,信息系統審計是企業和組織IT內控過程中最關鍵的環節。信息系統審計通過對關鍵控制點的符合性測試來判斷IT內控的目標及其控制措施是否有效。因此,這就是為什么IT公司,尤其是從事信息系統審計、安全審計的公司熱衷于IT內控的原因了。
2) 企業內審必須依靠IT:在內控體系中,內部審計是一個重要的機構和環節。內部審計是一項具有獨立性的經濟監督活動,以會計準則和審計準則以及有關的法律法規為依據,對企業、機關、事業單位等的財政、財務收支以及經營管理進行審核和檢查,并在審核檢查完畢后提出內審報告。一個標準的內部審計過程是十分繁瑣和復雜的,如果不借助計算機自動化的手段,對現代企業的內審幾乎不可能完成。依托計算機信息化技術,通過對所需數據的適時采集、處理加工,形成正確的審計結論和審計評價,從而提高內審工作效率,把內審人員從煩瑣的數據運算、法規查證中解放出來,使審計工作的質量有所保證;通過對內審業務過程的計算機化管理,實現對整個內審項目的動態管理、對風險點的實時控制,實現對內審工作任務的合理分解,整合審計資源,促進部門管理責任制的落實,從而便于業績的考核和評估,做好風險防范。
綜上所述,可以看清楚內控與IT的關系。內控首先是使得企業治理與審計相關的咨詢公司重視,然后是使得與企業治理與審計相關的IT公司重視,再往后就是使得與企業IT安全治理與審計相關的安全審計相關的信息安全公司重視。
安全公司重視內控,還有一個原因就是安全服務的需要。因為安全服務過程中涉及到了企業治理的內容。作為企業治理的重要組成部分的IT安全治理由于其橫跨企業治理與信息安全兩大專有技術領域,使得安全服務相關的咨詢活動顯得獨具價值。
- IT內控與安全審計的關系
如何在IT治理和IT內控的層面做好企業內控?我的建議是:IT內控從IT審計開始,IT審計從日志審計做起。
從與企業內控密切相關的IT內控的角度而言,我們首先建議那些具有較高信息化建設水平的、已經開展了企業治理的單位進一步強化IT治理的力度。這些企業往往比其他企業更加依賴于IT和IT信息系統,例如金融、電信、證券、保險、電力。對這些IT信息系統的審計是當前的重點。信息系統審計通過對關鍵控制點的符合性測試來判斷IT內控的目標及其控制措施是否有效。
另一方面,包括《企業內部控制規范》在內的國內針對電子政務、央企、銀行、證券、基金、保險、上市公司的信息系統風險保障和內控的指引、條例和文件,都直接或者間接的指出了要將日志審計作為信息系統審計的基本技術手段。
《企業內部控制基本規范》的第四十一條要求“企業應當加強對信息系統的開發與維護、訪問與變更、數據輸入與輸出、文件存儲與保管、網絡安全等方面的控制,保證信息系統安全穩定運行。”
《商業銀行內部控制指引》的第一百二十六條要求“商業銀行的網絡設備、操作系統、數據庫系統、應用程序等均當設置必要的日志。日志應當能夠滿足各類內部和外部審計的需要”。
《銀行業信息科技風險管理指引》第二十一條明確要求商業銀行信息科技部門要“定期向信息科技管理委員會提交本銀行信息安全評估報告”,“信息安全策略的制定應涉及合規性管理領域”。第二十七條指出“銀行業應制定相關策略和流程,管理所有生產系統的日志,以支持有效的審核、安全取證分析和預防欺詐。”
《證券公司內部控制指引》第一百一十七條要求“證券公司應保證信息系統日志的完備性,確保所有重大修改被完整地記錄,確保開啟審計留痕功能。證券公司信息系統日志應至少保存15年”。
《信息系統等級化保護基本要求》的技術要求中,從第二級開始,針對網絡安全、主機安全、應用安全都有明確的安全審計控制點。在管理要求中,“安全事件處置”控制點從第二級開始要求對日志和告警事件進行存儲;從第三級開始提出了“監控管理與安全管理中心”的控制點要求。
針對日志審計,我們做了不少工作,也獲得了一些客戶的認可【1】【2】。
另外,這篇文章對IT內控講的更為全面。
轉載于:https://blog.51cto.com/yepeng/567916
與50位技術專家面對面20年技術見證,附贈技術全景圖總結
以上是生活随笔為你收集整理的内控与IT安全的关系,IT内控与安全审计的关系的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: sudo特权用户
- 下一篇: 使用ALTER SYSTEM运行OS命令