信息时代的审计新动向:安全审计,本文主要内容关键词为:信息时代论文,新动向论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、IT风险日益凸现
IT是把“双刃剑”,在为经济发展带来强劲动力的同时也带来巨大的风险。近几年,国内外爆发了一系列与IT有关的风险事件,严重影响了各行业的正常运转。
2002年3月4日,瑞士银行潘恩韦伯公司(UBS Paine Webber)的一名员工在企业IT系统内植入恶意代码,造成了大约2000台服务器瘫痪,使得瑞士银行陷入混乱。
2003年1月,美国银行(Bank of America)13000台ATM机因病毒瞬间宕机,使客户无法通过ATM机完成存取款交易。
2005年12月,日本瑞穗证券公司(Mizuho Securities)误将客户的“以61万日元卖出1股J-COM公司股票”指令输入为“以每股1日元卖出61万股J-COM公司股票”后,因东京股票交易所(Tokyo Stock Exchange)IT系统对取消下单的指令不能给予回应,使错单全部成交,引发投资者抛售股票,日经指数重挫超过300点,瑞穗证券损失超过400亿日元。
2006年11月11日13时28分,中国民航信息网络股份公司在首都机场的离港系统发生故障,直接影响了福州长乐国际机场3趟航班的正常起飞、厦门机场22趟航班近2000乘客被滞留一个多小时。
2007年3月23日,中国银行IT系统发生故障,柜台各项业务瘫痪3个小时。
可见,IT带来的风险已经渗透到各行各业的日常业务中,就像一颗潜在的炸弹,随时威胁着IT系统的安全。
2006年《信息周刊》(Information Week)研究部和埃森哲咨询公司(Accenture)对双方的合作,进行第九年度的“全球安全调查”。调查结果全面揭示了IT环境所面临的各种威胁。在全球受访者当中,美国公司表示在过去一年中,有57%的公司曾遭受病毒攻击,有34%的公司曾受到蠕虫的攻击,有18%的公司经历了拒绝服务(Denial-of-Service,DoS)攻击,有9%的公司曾遭受网络攻击,有8%的公司的身份被窃取;中国公司表示,有23%公司的客户数据安全受到威胁,有27%公司表示遭受身份窃取形式的攻击。受访的2193名安全专家和商业科技经理中,有48%的人认为,对IT安全的复杂性进行管理已成为当务之急。此外,国际商业机器公司(IBM)2005年和2006年对全球首席信息官(CIO)的两次调查结果都显示,IT安全始终排在CIO关心问题的首位。
二、IT安全建设的现状
鉴于IT风险事件的频繁发生,近几年,国内外相关部门和团体都开始致力于加强IT安全保障体系的建设。
在国际上,2002年美国颁布的《萨班斯法案》的302、404等条款都对IT安全进行了规定,将IT安全上升到法律的层面,对IT安全建设起到了很大的推动作用。目前,国际上流行的与网络和信息安全有关的标准主要有三类:互操作标准、技术与工程标准、网络与信息安全管理标准。互操作标准主要包括对称加密标准DES、3DES、IDEA以及AES,非对加密标准RSA,VPN标准IPSee,传输层加密标准SSL,安全电子邮件标准S-MIME,安全电子交易标准SET,通用脆弱性表述标准CVE,信息系统安全标准COBIT、ISO17799。技术与工程标准包括美国国家计算机安全中心(NCSC)公布的可信计算机系统评估准则(TCSEC),欧洲四国(英、法、德、荷)联合提出的信息技术安全评估准则(1TSEC),美国、加拿大与欧洲四国(英、法、德、荷)协商公布的信息产品通用评估准则(IS015408,也简称CC),美国和加拿大推出的安全系统工程能力成熟度模型(SSE-CMM)等。网络与信息安全管理标准主要包括信息系统审计与控制协会(Information System Audit and Control Association,简称ISACA)发布的信息与相关技术控制目标(COBIT),英国的ISO/IEC 17799、ITIL以及信息安全管理标准ISO13335。下面主要介绍网络与信息安全管理标准中常用的COBIT、ISO/IEC 17799以及ITIL。
COBIT由ISACA于1996年公布,是国际上公认比较先进的、权威的IT管理和控制的标准,目前已经更新至第四版。COBIT是专供管理层、用户、IT专家、IT审计师与IT安全管理人员,管理和评估IT管理和控制的规范。它在商业风险、控制需要和技术之间架起了一座桥梁,以满足管理的多方面需要,并且已在世界一百多个国家的组织与企业中运用,帮助组织有效利用IT资源、管理IT风险。
ISO/IEC 17799是国际标准化组织(2000年12月)采纳英国国家标准局制定的BS7799-1(信息安全管理实践规范)形成的。ISO/IEC 17799包含100多个安全控制措施,用于帮助组织识别影响IT安全的因素,安全控制措施分成方针、安全组织、信息分类与控制、人事安全、物理与环境安全、通信与运营安全、访问控制、系统开发与维护、商务可持续运营、法律符合10个方面,成为组织实施IT安全管理的实用指南。2005年,国际标准化组织发布了新版的信息安全管理实施细则(ISO/IEC17799-2005),对ISO/IEC17799进行了修订,更加注重标准的通用性和实用性。实施证明,ISO/IEC17799在IT安全策略、资产管理、业务连续性管理以及薄弱点、故障、事故的管理方面都为组织提供了很好的实践指南,对组织树立IT风险管理理念、进行IT治理和建立IT安全系统都有帮助。
ITIL是上世纪80年代,由英国政府推出的适于IT服务管理的实践指南。目前,ITIL已成为IT行业服务管理的理论基础,为企业的IT服务管理实践提供了一个客观、严谨、可量化的标准和规范。企业IT部门和终端用户,可以根据自己的能力和需求确定IT服务水平,参考ITIL,规划和制定IT基础架构及服务管理,确保IT服务管理能为企业的业务运作提供更好的支持。对企业来说,实施ITIL的最大意义在于把IT与业务紧密地结合起来,从而实现企业IT投资回报的最大化。
在我国,也相继出台了关于IT安全的一系列政策和标准。2003年9月,中共中央办公厅、国务院办公厅发布了《国家信息化领导小组关于加强信息安全保障工作的意见》,提出要在5年内建设中国信息安全保障体系。公安部会同国家保密局、国家密码管理局和国务院信息办,2004年9月联合出台《关于信息安全等级保护工作的实施意见》、2007年6月联合出台《信息安全等级保护管理办法》;《办法》明确信息安全等级保护制度的基本内容、流程及工作要求和信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务。2006年6月,中国信息安全认证中心成立,至此,我国信息安全认证认可组织体系基本形成,工作机制基本确定,对信息安全产品实施统一认证的条件基本成熟,我国信息安全认证认可体系建设迈出了重要一步。2006年11月,银监会出台《银行业金融机构信息系统风险管理指引》与《关于开展2006年度信息科技风险内部和外部评价审计的通知》,强调信息科技风险管理的必要性,对银行业的信息科技风险管理做了规定,从而将信息科技风险监管列入重要工作范畴。2007年11月1日,由全国信息安全标准化技术委员会组织制定、国家标准化管理委员会审查批准发布的七项信息安全国家标准正式实施,包括GB/T 20984-2007《信息安全技术信息安全风险评估规范》、GB/Z 20985——2007《信息技术安全技术信息安全事件管理指南》、GB/T20988——2007《信息安全技术信息系统灾难恢复规范》等,这些安全标准的实施,对我国信息安全的管理与信息技术的发展起到了积极的推动作用。
三、IT安全审计的实施
IT安全是指IT信息系统的安全,定义为“确保以电磁信号为主要形式的,在计算机网络化系统中进行自动通信、处理和利用的信息内容,在各个物理位置、逻辑区域、存储和传输介质中,处于动态和静态过程中的保密性、完整性、可用性的与人、网络、环境有关的技术安全、结构安全和管理安全的综合。”IT安全主要体现在可用性、保密性和完整性三个方面。可用性指信息系统能够在规定条件下和规定的时间内完成规定的功能的特性;保密性指信息不被泄露给非授权用户、实体或过程,或供其利用的特性;完整性指信息未经授权不能进行改变的特性。IT安全可用性、保密性和完整性的实现,单靠IT本身是无法解决的,IT安全审计是实现IT安全的主要手段。以下阐述的IT安全审计主要是指内部审计人员在组织中开展的以IT为核心的信息系统的检查、评价,并向相关人员指出IT安全方面存在的问题,以保证IT信息系统的可靠和安全。实践证明,在IT安全建设过程中IT安全审计发挥着不可或缺的作用。实施有效的IT安全审计,内部审计人员应做好以下几方面工作:
1、确认企业现有IT风险、漏洞及IT治理水平。内部审计人员应检查企业是否实施了充分、有效的IT安全内部控制,以确保IT资产的安全。在审计之前,有效的方法是建议企业进行IT风险评估,确定现有IT安全的风险和漏洞。IT风险评估不仅有助于审计人员找到最有效的控制措施,而且能够使管理者了解当前企业的IT安全状况。确定企业IT治理水平,主要是检查高管层是否制定了明确的IT管理目标、政策和程序以及IT管理是否建立在有效的框架、工具和最优方法的基础之上。在对IT治理的效果进行评估时,内部审计人员还应注意企业内部控制或风险管理程序的缺失、无效的IT财务报表及披露程序。此外,内部审计人员应将企业当前的IT安全状况告知执行委员会和审计委员会。
2、对IT风险和漏洞提出有效的控制建议。企业IT安全环境一般有以下几种情况:第一,企业已经具备有效的IT安全控制措施,只需要对其进行细小的改进;第二,企业不具备适当的IT安全控制措施;第三,企业制定了IT安全控制措施,但是由于缺乏监督和管理,控制措施不能有效地保护IT资产。后两种情况需要内部审计人员具备更高的专业水平,才能为企业提供有效的控制建议。当遇到第二种情况时,内部审计人员可以提供以下建议:(1)为有助于高管层了解企业面临的各种IT安全威胁,建议企业进行IT风险评估,以确定IT资产的价值。(2)为有助于管理者对IT布局的了解,建议IT部门安装无源网络工具,以检测远程访问和外部探测器的频率。(3)向高管层说明企业的声誉和财务稳定性受到了怎样的安全威胁和影响。(4)向经理层提供关于网络犯罪的最新资料,介绍网络犯罪给企业带来的危害性,提高经理层对IT安全系统建设的紧迫感。当遇到第三种情况时,内部审计人员可以给IT部门提供以下建议:(1)在防火墙的DMZ外部运行网络漏洞扫描工具,以识别所有可能的漏洞。(2)实施网络漏洞评估,并向经理层递交报告详细说明所有的IT安全威胁及其带来的危害,指出IT基础构架中的所有安全漏洞和弱点。
3.获得高管层的支持。获得高管层的支持,有助于审计建议得到实施。内部审计人员应该通过沟通,使管理层了解商业运行和IT安全之间的关系,明白IT安全对企业的重要性。为此,应向管理层提出以下建议:(1)对IT安全提供支持,确保管理层能够了解商业运行对IT安全需求,并通过设置相应程序满足安全需求。(2)每个会计年度都提取应急资金,以应对不可预测的IT安全问题。(3)在企业内部设立IT安全政策,以支持IT安全目标的实现。(4)对所有员工进行培训,提高其IT风险防范意识。(5)开发有效的IT安全管理系统,对IT安全控制的效果进行量化,以便向高管层报告。(6)应用基于IT网络的安全审计工具,提高IT内部控制的效果。(7)确保负责IT安全技术的专业人员拥有足够的专业胜任能力。
总之,IT安全审计重要性,体现在企业要有正确的IT安全观念,企业高管层重视IT安全建设,在企业内部形成了良好的IT安全控制环境,只有这样,IT安全审计才有用武之地。
(资料来源:IIA网站)
标签:信息安全论文; 安全审计论文; 信息安全标准论文; 审计流程论文; it治理论文; it管理论文; it服务论文; it审计论文;