隨著國(guó)內(nèi)內(nèi)控的興起，經(jīng)常有人會(huì)問(wèn)，內(nèi)控跟IT安全有什么關(guān)系？為什么內(nèi)控話題總是被搞信息安全的人經(jīng)常提及？我想，一方面，是因?yàn)閮?nèi)控與信息安全存在內(nèi)在的聯(lián)系，另一方面，則是信息安全從業(yè)人員為了找到體現(xiàn)自身價(jià)值的附著點(diǎn)吧。

• 內(nèi)控與IT的關(guān)系

企業(yè)內(nèi)部控制（簡(jiǎn)稱“內(nèi)控”）是一個(gè)涉及廣泛的概念，根據(jù)ISACA組織的定義，內(nèi)部控制指“為減少風(fēng)險(xiǎn)所實(shí)施的各種政策、步驟、實(shí)務(wù)和組織結(jié)構(gòu)”。內(nèi)控本身與IT并無(wú)直接關(guān)系。
但是，正是基于以下兩個(gè)方面的原因，使得內(nèi)控與IT聯(lián)系起來(lái)，并且還十分緊密。
1） IT內(nèi)控是企業(yè)內(nèi)控的必然：當(dāng)今大部分企業(yè)（尤其是美國(guó)大企業(yè)、上市公司，內(nèi)控一詞主要來(lái)自美國(guó)）的生產(chǎn)經(jīng)營(yíng)都已經(jīng)極大程度的依賴于IT。可以說(shuō)，如果IT失效，企業(yè)的生產(chǎn)經(jīng)營(yíng)活動(dòng)將會(huì)受到極大的影響。因此，針對(duì)企業(yè)內(nèi)控有很重要一個(gè)環(huán)節(jié)就是要求IT治理與IT內(nèi)控，確保IT與企業(yè)的業(yè)務(wù)戰(zhàn)略保持一致。而在這里，信息系統(tǒng)審計(jì)是企業(yè)和組織IT內(nèi)控過(guò)程中最關(guān)鍵的環(huán)節(jié)。信息系統(tǒng)審計(jì)通過(guò)對(duì)關(guān)鍵控制點(diǎn)的符合性測(cè)試來(lái)判斷IT內(nèi)控的目標(biāo)及其控制措施是否有效。因此，這就是為什么IT公司，尤其是從事信息系統(tǒng)審計(jì)、安全審計(jì)的公司熱衷于IT內(nèi)控的原因了。
2） 企業(yè)內(nèi)審必須依靠IT：在內(nèi)控體系中，內(nèi)部審計(jì)是一個(gè)重要的機(jī)構(gòu)和環(huán)節(jié)。內(nèi)部審計(jì)是一項(xiàng)具有獨(dú)立性的經(jīng)濟(jì)監(jiān)督活動(dòng)，以會(huì)計(jì)準(zhǔn)則和審計(jì)準(zhǔn)則以及有關(guān)的法律法規(guī)為依據(jù)，對(duì)企業(yè)、機(jī)關(guān)、事業(yè)單位等的財(cái)政、財(cái)務(wù)收支以及經(jīng)營(yíng)管理進(jìn)行審核和檢查，并在審核檢查完畢后提出內(nèi)審報(bào)告。一個(gè)標(biāo)準(zhǔn)的內(nèi)部審計(jì)過(guò)程是十分繁瑣和復(fù)雜的，如果不借助計(jì)算機(jī)自動(dòng)化的手段，對(duì)現(xiàn)代企業(yè)的內(nèi)審幾乎不可能完成。依托計(jì)算機(jī)信息化技術(shù)，通過(guò)對(duì)所需數(shù)據(jù)的適時(shí)采集、處理加工，形成正確的審計(jì)結(jié)論和審計(jì)評(píng)價(jià)，從而提高內(nèi)審工作效率，把內(nèi)審人員從煩瑣的數(shù)據(jù)運(yùn)算、法規(guī)查證中解放出來(lái)，使審計(jì)工作的質(zhì)量有所保證；通過(guò)對(duì)內(nèi)審業(yè)務(wù)過(guò)程的計(jì)算機(jī)化管理，實(shí)現(xiàn)對(duì)整個(gè)內(nèi)審項(xiàng)目的動(dòng)態(tài)管理、對(duì)風(fēng)險(xiǎn)點(diǎn)的實(shí)時(shí)控制，實(shí)現(xiàn)對(duì)內(nèi)審工作任務(wù)的合理分解，整合審計(jì)資源，促進(jìn)部門管理責(zé)任制的落實(shí)，從而便于業(yè)績(jī)的考核和評(píng)估，做好風(fēng)險(xiǎn)防范。
綜上所述，可以看清楚內(nèi)控與IT的關(guān)系。內(nèi)控首先是使得企業(yè)治理與審計(jì)相關(guān)的咨詢公司重視，然后是使得與企業(yè)治理與審計(jì)相關(guān)的IT公司重視，再往后就是使得與企業(yè)IT安全治理與審計(jì)相關(guān)的安全審計(jì)相關(guān)的信息安全公司重視。
安全公司重視內(nèi)控，還有一個(gè)原因就是安全服務(wù)的需要。因?yàn)榘踩?wù)過(guò)程中涉及到了企業(yè)治理的內(nèi)容。作為企業(yè)治理的重要組成部分的IT安全治理由于其橫跨企業(yè)治理與信息安全兩大專有技術(shù)領(lǐng)域，使得安全服務(wù)相關(guān)的咨詢活動(dòng)顯得獨(dú)具價(jià)值。

• IT內(nèi)控與安全審計(jì)的關(guān)系

如何在IT治理和IT內(nèi)控的層面做好企業(yè)內(nèi)控？我的建議是：IT內(nèi)控從IT審計(jì)開始，IT審計(jì)從日志審計(jì)做起。
從與企業(yè)內(nèi)控密切相關(guān)的IT內(nèi)控的角度而言，我們首先建議那些具有較高信息化建設(shè)水平的、已經(jīng)開展了企業(yè)治理的單位進(jìn)一步強(qiáng)化IT治理的力度。這些企業(yè)往往比其他企業(yè)更加依賴于IT和IT信息系統(tǒng)，例如金融、電信、證券、保險(xiǎn)、電力。對(duì)這些IT信息系統(tǒng)的審計(jì)是當(dāng)前的重點(diǎn)。信息系統(tǒng)審計(jì)通過(guò)對(duì)關(guān)鍵控制點(diǎn)的符合性測(cè)試來(lái)判斷IT內(nèi)控的目標(biāo)及其控制措施是否有效。
另一方面，包括《企業(yè)內(nèi)部控制規(guī)范》在內(nèi)的國(guó)內(nèi)針對(duì)電子政務(wù)、央企、銀行、證券、基金、保險(xiǎn)、上市公司的信息系統(tǒng)風(fēng)險(xiǎn)保障和內(nèi)控的指引、條例和文件，都直接或者間接的指出了要將日志審計(jì)作為信息系統(tǒng)審計(jì)的基本技術(shù)手段。
《企業(yè)內(nèi)部控制基本規(guī)范》的第四十一條要求“企業(yè)應(yīng)當(dāng)加強(qiáng)對(duì)信息系統(tǒng)的開發(fā)與維護(hù)、訪問(wèn)與變更、數(shù)據(jù)輸入與輸出、文件存儲(chǔ)與保管、網(wǎng)絡(luò)安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運(yùn)行。”
《商業(yè)銀行內(nèi)部控制指引》的第一百二十六條要求“商業(yè)銀行的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用程序等均當(dāng)設(shè)置必要的日志。日志應(yīng)當(dāng)能夠滿足各類內(nèi)部和外部審計(jì)的需要”。
《銀行業(yè)信息科技風(fēng)險(xiǎn)管理指引》第二十一條明確要求商業(yè)銀行信息科技部門要“定期向信息科技管理委員會(huì)提交本銀行信息安全評(píng)估報(bào)告”，“信息安全策略的制定應(yīng)涉及合規(guī)性管理領(lǐng)域”。第二十七條指出“銀行業(yè)應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。”
《證券公司內(nèi)部控制指引》第一百一十七條要求“證券公司應(yīng)保證信息系統(tǒng)日志的完備性，確保所有重大修改被完整地記錄，確保開啟審計(jì)留痕功能。證券公司信息系統(tǒng)日志應(yīng)至少保存15年”。
《信息系統(tǒng)等級(jí)化保護(hù)基本要求》的技術(shù)要求中，從第二級(jí)開始，針對(duì)網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全都有明確的安全審計(jì)控制點(diǎn)。在管理要求中，“安全事件處置”控制點(diǎn)從第二級(jí)開始要求對(duì)日志和告警事件進(jìn)行存儲(chǔ)；從第三級(jí)開始提出了“監(jiān)控管理與安全管理中心”的控制點(diǎn)要求。

針對(duì)日志審計(jì)，我們做了不少工作，也獲得了一些客戶的認(rèn)可【1】【2】。

另外，這篇文章對(duì)IT內(nèi)控講的更為全面。

——Benny

轉(zhuǎn)載于:https://blog.51cto.com/yepeng/567916

與50位技術(shù)專家面對(duì)面20年技術(shù)見(jiàn)證，附贈(zèng)技術(shù)全景圖

總結(jié)

以上是生活随笔為你收集整理的内控与IT安全的关系，IT内控与安全审计的关系的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。