随着国内内控的兴起,经常有人会问,内控跟IT安全有什么关系?为什么内控话题总是被搞信息安全的人经常提及?我想,一方面,是因为内控与信息安全存在内在的联系,另一方面,则是信息安全从业人员为了找到体现自身价值的附着点吧。
- 内控与IT的关系
企业内部控制(简称“内控”)是一个涉及广泛的概念,根据ISACA组织的定义,内部控制指“为减少风险所实施的各种政策、步骤、实务和组织结构”。内控本身与IT并无直接关系。
但是,正是基于以下两个方面的原因,使得内控与IT联系起来,并且还十分紧密。
1) IT内控是企业内控的必然:当今大部分企业(尤其是美国大企业、上市公司,内控一词主要来自美国)的生产经营都已经极大程度的依赖于IT。可以说,如果IT失效,企业的生产经营活动将会受到极大的影响。因此,针对企业内控有很重要一个环节就是要求IT治理与IT内控,确保IT与企业的业务战略保持一致。而在这里,信息系统审计是企业和组织IT内控过程中最关键的环节。信息系统审计通过对关键控制点的符合性测试来判断IT内控的目标及其控制措施是否有效。因此,这就是为什么IT公司,尤其是从事信息系统审计、安全审计的公司热衷于IT内控的原因了。
2) 企业内审必须依靠IT:在内控体系中,内部审计是一个重要的机构和环节。内部审计是一项具有独立性的经济监督活动,以会计准则和审计准则以及有关的法律法规为依据,对企业、机关、事业单位等的财政、财务收支以及经营管理进行审核和检查,并在审核检查完毕后提出内审报告。一个标准的内部审计过程是十分繁琐和复杂的,如果不借助计算机自动化的手段,对现代企业的内审几乎不可能完成。依托计算机信息化技术,通过对所需数据的适时采集、处理加工,形成正确的审计结论和审计评价,从而提高内审工作效率,把内审人员从烦琐的数据运算、法规查证中解放出来,使审计工作的质量有所保证;通过对内审业务过程的计算机化管理,实现对整个内审项目的动态管理、对风险点的实时控制,实现对内审工作任务的合理分解,整合审计资源,促进部门管理责任制的落实,从而便于业绩的考核和评估,做好风险防范。
综上所述,可以看清楚内控与IT的关系。内控首先是使得企业治理与审计相关的咨询公司重视,然后是使得与企业治理与审计相关的IT公司重视,再往后就是使得与企业IT安全治理与审计相关的安全审计相关的信息安全公司重视。
安全公司重视内控,还有一个原因就是安全服务的需要。因为安全服务过程中涉及到了企业治理的内容。作为企业治理的重要组成部分的IT安全治理由于其横跨企业治理与信息安全两大专有技术领域,使得安全服务相关的咨询活动显得独具价值。
- IT内控与安全审计的关系
如何在IT治理和IT内控的层面做好企业内控?我的建议是:IT内控从IT审计开始,IT审计从日志审计做起。
从与企业内控密切相关的IT内控的角度而言,我们首先建议那些具有较高信息化建设水平的、已经开展了企业治理的单位进一步强化IT治理的力度。这些企业往往比其他企业更加依赖于IT和IT信息系统,例如金融、电信、证券、保险、电力。对这些IT信息系统的审计是当前的重点。信息系统审计通过对关键控制点的符合性测试来判断IT内控的目标及其控制措施是否有效。
另一方面,包括《企业内部控制规范》在内的国内针对电子政务、央企、银行、证券、基金、保险、上市公司的信息系统风险保障和内控的指引、条例和文件,都直接或者间接的指出了要将日志审计作为信息系统审计的基本技术手段。
《企业内部控制基本规范》的第四十一条要求“企业应当加强对信息系统的开发与维护、访问与变更、数据输入与输出、文件存储与保管、网络安全等方面的控制,保证信息系统安全稳定运行。”
《商业银行内部控制指引》的第一百二十六条要求“商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。日志应当能够满足各类内部和外部审计的需要”。
《银行业信息科技风险管理指引》第二十一条明确要求商业银行信息科技部门要“定期向信息科技管理委员会提交本银行信息安全评估报告”,“信息安全策略的制定应涉及合规性管理领域”。第二十七条指出“银行业应制定相关策略和流程,管理所有生产系统的日志,以支持有效的审核、安全取证分析和预防欺诈。”
《证券公司内部控制指引》第一百一十七条要求“证券公司应保证信息系统日志的完备性,确保所有重大修改被完整地记录,确保开启审计留痕功能。证券公司信息系统日志应至少保存15年”。
《信息系统等级化保护基本要求》的技术要求中,从第二级开始,针对网络安全、主机安全、应用安全都有明确的安全审计控制点。在管理要求中,“安全事件处置”控制点从第二级开始要求对日志和告警事件进行存储;从第三级开始提出了“监控管理与安全管理中心”的控制点要求。
针对日志审计,我们做了不少工作,也获得了一些客户的认可【1】【2】。
另外,这篇文章对IT内控讲的更为全面。