董事会、管理层(部门经理和基层经理)和内部审计人员在保证信息安全的有效性方面都有自己的重要角色。审计信息安全是保证安全处于合适的状态和向董事会保证这个机构的关键资产受到了适当的保护的一个关键的手段。内部审计还能够帮助机构准备迎接外部管理规定的审计(如SOX或者HIPAA法案的审计)。内部审计可以对管理层的努力进行评估,在外部审计之前提出改进的建议。本文将介绍这些关键角色在内部审计中的任务并且介绍几种类型的内部审计。
信息安全的努力旨在保护机构的信息。然而,任何应用安全技术和政策但是不对自己的系统和人员遵守法规的情况进行审计的机构都将承担不必要的风险。例行性的和独立的审查安全系统、工作流程的程序可以保证充分的保护处于良好状态,证实这些安全措施都在按照设计要求工作着,证实雇员都在有效地使用它们。审计可以突出显示一个机构的实力和弱点,使信息安全团队知道他们的努力应该在什么地方改善基本的审计功能和审计的关键好处。
关键的参与者及其任务
管理层负责设计和实施信息安全计划,因为他们负责保护和增强机构资产的价值,包括机构的信息资产。拥有这种信息的各个业务部门的经理需要根据信息的重要性定义他们的安全需求、所有的法律要求、这种信息丢失或者泄漏给其他人的威胁的严重性以及他们要达到的业务目标的成果。
执行管理层还必须提供领导作用确保机构的信息安全的努力得到支持和理解。他们必须向信息安全投资或者分配充分的资源以保证信息安全管理的有效性。
信息安全管理需要组织和实施包括其监视(测试)计划在内的信息安全计划。
董事会负责监管,提出合适的问题并且鼓励取得合适的结果。董事会要在高层制定正确的基调,向执行管理层说明有效的信息安全管理计划的重要性。
最后,内部审计功能向董事会和管理层提供保证,确保信息安全计划的实施和遵守。内部审计功能还突出说明改进的机会。内部审计告诉董事会和管理层:业务部门理解了安全的重要性并且遵守这些政策,知道了他们关键的信息资产和系统是否安全,以及知道了是否拥有持续更新和加强防范许多内部和外部威胁的计划。这个内部审计团队还要把当前机构的做法与行业的做法进行对比,也就是说看看本机构的做法与其它机构是否一样。
信息安全审计的价值
审计信息安全是很复杂的、具有挑战性的和没有丰富的知识是不行的。一次内部审计能够为机构的运营提供战略的、运营的和战术的价值。内部审计的作用是:
·内部审计是一种资源,让董事会和管理层确实了解信息安全功能有资源、系统和流程来有效地运营一个有效率的计划。
·作为管理层和董事会了解他们应该知道的有关信息安全的全部信息的保障工具。通过保证实施了有资格的专业审查和审计,董事会和管理层能够推进其监管机构信息安全计划的目标,保证这个计划持续不断地改进和成功。
·一种独立的验证资源,证明机构的信息安全计划的努力是对于当前和新出现的威胁是预防性的和有效的。内部审计还将评估机构遵守法规和法规的努力。这是大多数机构目前的一个重要的活动和挑战。
内部审计团队需要:
·有一个长期的信息安全审计计划。
·完全了解技术和商业环境。
·知道提出什么要求。
·更重要的是知道他们在做什么。也就是说实施安全审计的技能是很重要的。
由内部审计实施的信息安全审计需要做出计划,考虑到不断变化的技术和商业环境,“补充”而不是替代管理层保证IT管理正常运行的职责。完成IT安全审计所需要的技能是很多的和多种多样的。一般来说,审计团队应该包括各种专家(也就是说能够提供所需要的技能)。要保证对安全部门的努力进行独立的和客观的评估,安全部门的人员很少参加审计团队。
安全审计的类型
安全审计包括四种基本方法:机构的审计、基于结果的审计、即时审计和延时审计。每一种方法强调不同的功能和范围,并且提出具体的评估报告,范围包括从具体应用程序的性能的概况到对整个安全的有效性实施整个企业范围的评估等各个方面的内容。
机构审计评估管理流程和机构管理安全和保护重要资产方面的功能。机构审计的重点是保证管理层功能到位和看到安全和IT经理正在使用最佳做法保持系统有效地运行。检查机构的定位、考虑IT安全的重要水平、是否存在一个IT风险评估过程和是否有充分的资源等。
基于结果的审计是审计人员审查单个业务部门中的安全做法以及评估经理人和工作人员对安全的理解的一种方法。一个有效的安全计划的关键目标之一是运营人员和工作人员担负保护机构资产的责任。基于结果的审计看起来是证实这个事情正在发生。
即时审计使用各种诊断工具检查安全维护计划的有效性和检查机构防御中的弱点,在许多情况下是使用与一个机构的IT工作人员使用的相同的工具。在一个拥有许多热情的和专业的安全人员的机构中,审计人员不应该发现许多漏洞。审计人员做的事情是给评估安全性能带来新鲜的视角。
延时审计是评估安全计划在一段时间的性能。这种审计利用上述全部审计方法和审计的结果对信息安全计划提出一个全面的评估。这种类型的审计对于评估新产品和服务也是有用的,可以用来评估一个机构在一段时间内的重要计划,如各种电子商务和其它IT计划都可以在整个开发周期内进行审计。
底线
IT安全审计通过向高级管理层和董事会证实该机构的安全努力反映了许多挑战性的风险和遵守了当前商业领域的要求对机构遵守法规的努力做出贡献。安全从业人员也能够从获得审计团队的独立的看法中受益。
信息安全审计需要审计团队和审计目标具有前瞻性。也就是说要早期发现(理想的是能够帮助最后确定)安全审计的目标、对象、目的和程序(测试)是什么,对于评估标准应该使用什么标准,最后是审计团队的人员构成以及他们应具有什么资格和“才能”。就是这样简单。