淺談信息安全審計概念的由來

來源：泛普軟件

或許對很多企業(yè)來說，安全審計只是個名詞而已，并不清楚它的具體內容和作用；許多企業(yè)想要對自己的信息系統實施安全審計，管理層和技術人員也不知道如何開始，而同時受限于國內企業(yè)的信息化水平，企業(yè)也很難找到成體系的安全審計知識。

審計

審計，英文稱之為“audit”，基維百科上給出的定義是評價一個人、組織、制度、程序、項目或產品。審計執(zhí)行是以確定有效性和可靠性的信息，還提供了一個可內控的評估系統。審計的目標是在測試環(huán)境中進行評估工作，并表達人/組織/系統等的評估意見。由于實際情況的限制，審計要求只提供合理、無重大錯誤的保證報表，審計往往是通過統計抽樣。也可以這樣理解審計，審計（Audit）是指檢查、驗證目標的準確性和完整性，用以檢查和防止虛假數據和欺騙行為，以及是否符合既定的標準、標竿和其它審計原則。

各國各級政府、組織一般都設有專門獨立的審計部、審計委員會、審計署等機構。以往的審計概念主要用于財務系統。財務審計是用真實的和公正的財務報表來體現的。傳統的審計，主要是獲取金融體系和金融記錄的公司或企業(yè)的財務報表的相關信息。而隨著科技信息技術的發(fā)展，大部份的企業(yè)、機構和組織的財務系統都運行在信息系統上面，所以信息手段成為財務審計的一種技術的同時，財務審計也間接帶動了通用信息系統的審計。審計已開始包括其他信息系統，如有關環(huán)境審計和信息技術審計。

IT審計

信息技術審計，或信息系統審計，是一個信息技術（ IT ）基礎設施控制范圍內的檢查。信息系統審計是一個通過收集和評價審計證據，對信息系統是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源得到高效地使用等方面做出判斷的過程。

IT 審計最早出現在IT應用比較深入的金融業(yè)，后來逐漸擴展到其他行業(yè)。IT審計的目標是協助組織信息技術管理人員有效地履行其責任，以達成組織的信息技術管理目標。組織的信息技術管理目標是保證組織的信息技術戰(zhàn)略，充分反映該組織的業(yè)務戰(zhàn)略目標，提高組織所依賴的信息系統的可靠性、穩(wěn)定性、安全性及數據處理的完整性和準確性，提高信息系統運行的效果與效率，保證信息系統的運行符合法律、法規(guī)及監(jiān)管的相關要求。

信息安全審計

隨著2002年美國安然公司和世通的財務欺詐案爆發(fā)后，美國緊急出臺了薩班斯法案（SOX），賦予了“審計”新的意義?！端_班斯-奧克斯利法案（2002 Sarbanes-Oxley Act）》的第302條款和第404條款中，強調通過內部控制加強公司治理，包括加強與財務報表相關的IT系統內部控制，其中，IT系統內部控制就是面向具體的業(yè)務，它是緊密圍繞信息安全審計這一核心的。同時，2006年底生效的巴賽爾新資本協定(Basel II)，要求全球銀行必須針對其市場、信用及營運等三種金融作業(yè)風險提供相應水準的資金準備，迫使各銀行必須做好風險控管(risk management)，而這部“金融作業(yè)風險”的防范也正是需要業(yè)務信息安全審計為依托?！?/P>

信息安全審計”成為企業(yè)內控、信息系統治理、安全風險控制等的不可或缺的關鍵手段。美國信息系統審計的權威專家Ron Weber又將它定義為“收集并評估證據以決定一個計算機系統是否有效做到保護資產、維護數據完整、完成目標，同時最經濟的使用資源”。

信息安全審計與信息安全管理密切相關，信息安全審計的主要依據為信息安全管理相關的標準，例如ISO/IEC 17799、ISO 17799/27001、COSO、COBIT、ITIL、NIST SP800系列等。這些標準實際上是出于不同的角度提出的控制體系，基于這些控制體系可以有效地控制信息安全風險，從而達到信息安全審計的目的，提高信息系統的安全性。

我國的法律也針對信息安全審計制定出《企業(yè)內部控制規(guī)范》，主要內容如下：

企業(yè)內部控制規(guī)范--基本規(guī)范的內部審計機制：

第二十六條：健全內部審計機構、加強內部審計監(jiān)督是營造守法、公平、正直的內部環(huán)境的重要保證。企業(yè)應當加強內部審計工作，在企業(yè)內部形成有權必有責、用權受監(jiān)督的良好氛圍。

第二十七條：在董事會下設立審計委員會的企業(yè)，應當保證審計委員會成員具備良好的職業(yè)操守和專業(yè)勝任能力，審計委員會及其成員應當具有相應的獨立性。審計委員會應當直接對董事會負責。上市公司的審計委員會主席一般應由獨立董事擔任，非上市公司的審計委員會主席應由獨立于企業(yè)管理層的人員擔任。

第二十八條：企業(yè)應當賦予審計委員會監(jiān)督企業(yè)內部控制建立和實施情況的相應職權。審計委員會在企業(yè)內部控制建立和實施中承擔的職責一般包括：

（一）審核企業(yè)內部控制及其實施情況，并向董事會作出報告；

（二）指導企業(yè)內部審計機構的工作，監(jiān)督檢查企業(yè)的內部審計制度及其實施情況；

（三）處理有關投訴與舉報，督促企業(yè)建立暢通的投訴與舉報途徑；

（四）審核企業(yè)的財務報告及有關信息披露內容；

（五）負責內部審計與外部審計之間的溝通協調。

未設立審計委員會的企業(yè)，應當由董事會授權或者企業(yè)章程規(guī)定的有關機構承擔上述職責。

第二十九條：設立專門的內部審計機構的企業(yè)，應當保證內部審計機構具有相應的獨立性，并配備與履行內部審計職能相適應的人員和工作條件。未設立內部審計機構的企業(yè)，應當由董事會授權或者企業(yè)章程規(guī)定的有關機構承擔上述職責。

內部審計機構的組織領導體制，依照法律規(guī)定和企業(yè)章程確定。內部審計機構不得置于財會機構的領導之下或者與財會機構合署辦公。

內部審計機構依照法律規(guī)定和企業(yè)授權開展審計監(jiān)督，其工作范圍不應受到人為限制。內部審計機構對審計過程中發(fā)現的重大問題，視具體情況，可以直接向審計委員會或者董事會報告。

內部審計人員應當具備內審人員從業(yè)資格，擁有與工作職責相匹配備的道德操守和專業(yè)勝任能力。

如今，信息技術越來越多的應用于企業(yè)業(yè)務的各個環(huán)節(jié)，并成為推動業(yè)務發(fā)展的關鍵因素，如何保證企業(yè)中所有信息系統的良好運作，怎樣有效的實施安全審計項目將成為企業(yè)面臨的最大挑戰(zhàn)。（CBISMB）