浅谈信息安全审计概念的由来

      或许对很多企业来说,安全审计只是个名词而已,并不清楚它的具体内容和作用;许多企业想要对自己的信息系统实施安全审计,管理层和技术人员也不知道如何开始,而同时受限于国内企业的信息化水平,企业也很难找到成体系的安全审计知识。

  审计

  审计,英文称之为"audit",基维百科上给出的定义是评价一个人、组织、制度、程序、项目或产品。 审计执行是以确定有效性和可靠性的信息,还提供了一个可内控的评估系统。 审计的目标是在测试环境中进行评估工作,并表达人/组织/系统等的评估意见。 由于实际情况的限制,审计要求只提供合理、无重大错误的保证报表,审计往往是通过统计抽样。也可以这样理解审计,审计(Audit)是指检查、验证目标的准确性和完整性,用以检查和防止虚假数据和欺骗行为,以及是否符合既定的标准、标竿和其它审计原则。

  各国各级政府、组织一般都设有专门独立的审计部、审计委员会、审计署等机构。以往的审计概念主要用于财务系统。财务审计是用真实的和公正的财务报表来体现的。传统的审计,主要是获取金融体系和金融记录的公司或企业的财务报表的相关信息。 而随着科技信息技术的发展,大部份的企业、机构和组织的财务系统都运行在信息系统上面,所以信息手段成为财务审计的一种技术的同时,财务审计也间接带动了通用信息系统的审计。审计已开始包括其他信息系统,如有关环境审计和信息技术审计。

  IT审计

  信息技术审计,或信息系统审计 ,是一个信息技术( IT ) 基础设施控制范围内的检查。 信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。

  IT 审计最早出现在IT应用比较深入的金融业,后来逐渐扩展到其他行业。IT审计的目标是协助组织信息技术管理人员有效地履行其责任,以达成组织的信息技术管理目标。组织的信息技术管理目标是保证组织的信息技术战略,充分反映该组织的业务战略目标,提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性,提高信息系统运行的效果与效率,保证信息系统的运行符合法律、法规及监管的相关要求。

  信息安全审计

  随着2002年美国安然公司和世通的财务欺诈案爆发后,美国紧急出台了萨班斯法案(SOX),赋予了"审计"新的意义。《萨班斯-奥克斯利法案(2002 Sarbanes-Oxley Act)》的第302条款和第404条款中,强调通过内部控制加强公司治理,包括加强与财务报表相关的IT系统内部控制,其中,IT系统内部控制就是面向具体的业务,它是紧密围绕信息安全审计这一核心的。同时,2006年底生效的巴赛尔新资本协定(Basel II),要求全球银行必须针对其市场、信用及营运等三种金融作业风险提供相应水准的资金准备,迫使各银行必须做好风险控管(risk management),而这部"金融作业风险"的防范也正是需要业务信息安全审计为依托。"

  信息安全审计"成为企业内控、信息系统治理、安全风险控制等的不可或缺的关键手段。美国信息系统审计的权威专家Ron Weber又将它定义为"收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标,同时最经济的使用资源"。

  信息安全审计与信息安全管理密切相关,信息安全审计的主要依据为信息安全管理相关的标准,例如ISO/IEC 17799、ISO 17799/27001、COSO、COBIT、ITIL、NIST SP800系列等。这些标准实际上是出于不同的角度提出的控制体系,基于这些控制体系可以有效地控制信息安全风险,从而达到信息安全审计的目的,提高信息系统的安全性。

      我国的法律也针对信息安全审计制定出《企业内部控制规范》,主要内容如下:

  企业内部控制规范–基本规范的内部审计机制:

  第二十六条:健全内部审计机构、加强内部审计监督是营造守法、公平、正直的内部环境的重要保证。企业应当加强内部审计工作,在企业内部形成有权必有责、用权受监督的良好氛围。

  第二十七条:在董事会下设立审计委员会的企业,应当保证审计委员会成员具备良好的职业操守和专业胜任能力,审计委员会及其成员应当具有相应的独立性。审 计委员会应当直接对董事会负责。上市公司的审计委员会主席一般应由独立董事担任,非上市公司的审计委员会主席应由独立于企业管理层的人员担任。

  第二十八条:企业应当赋予审计委员会监督企业内部控制建立和实施情况的相应职权。审计委员会在企业内部控制建立和实施中承担的职责一般包括:

  (一)审核企业内部控制及其实施情况,并向董事会作出报告;

  (二)指导企业内部审计机构的工作,监督检查企业的内部审计制度及其实施情况;

  (三)处理有关 投诉与举报,督促企业建立畅通的投诉与举报途径;

  (四)审核企业的财务报告及有关信息披露内容;

  (五)负责内部审计与外部审计之间的沟通协调。

  未设立审计委员会的企业,应当由董事会授权或者企业章程规定的有关机构承担上述职责。

  第二十九条:设立专门的内部审计机构的企业,应当保证内部审计机构具有相应的独立性,并配备与履行内部审计职能相适应的人员和工作条件。未设立内部审计机构的企业,应当由董事会授权或者企业章程规定的有关机构承担上述职责。

  内部审计机构的组织领导体制,依照法律规定和企业章程确定。内部审计机构不得置于财会机构的领导之下或者与财会机构合署办公。

  内部审计机构依照法律规定和企业授权开展审计监督,其工作范围不应受到人为限制。内部审计机构对审计过程中发现的重大问题,视具体情况,可以直接向审计委员会或者董事会报告。

  内部审计人员应当具备内审人员从业资格,拥有与工作职责相匹配备的道德操守和专业胜任能力。

  如今,信息技术越来越多的应用于企业业务的各个环节,并成为推动业务发展的关键因素,如何保证企业中所有信息系统的良好运作,怎样有效的实施安全审计项目将成为企业面临的最大挑战。