曾繁榮

[摘要]網(wǎng)絡(luò)安全風(fēng)險已成為幾乎所有組織面臨的風(fēng)險管理挑戰(zhàn)之一，開展網(wǎng)絡(luò)安全審計的必要性和重要性日益突出。為此，國際內(nèi)部審計師協(xié)會（IIA）審計執(zhí)行中心、IIA研究基金會、Crowe Horwath聯(lián)合對全球內(nèi)審和網(wǎng)絡(luò)安全專業(yè)人員開展調(diào)查，以把握網(wǎng)絡(luò)安全趨勢和網(wǎng)絡(luò)安全審計現(xiàn)狀，應(yīng)對未來網(wǎng)絡(luò)安全風(fēng)險。

[關(guān)鍵詞] 網(wǎng)絡(luò)安全 內(nèi)部審計 調(diào)研報告

引言

十年前，內(nèi)審職能發(fā)生演變是為了適應(yīng)信息技術(shù)（IT）在商業(yè)運作各方面日益重要的作用。如今，內(nèi)審職能再次面臨調(diào)整，則是為了應(yīng)對與網(wǎng)絡(luò)安全相關(guān)的關(guān)鍵風(fēng)險。雖然網(wǎng)絡(luò)安全起初只是公司內(nèi)部一個孤立、神秘的技術(shù)領(lǐng)域，但在短短幾年時間內(nèi)，迅速發(fā)展成為幾乎所有組織面臨的最重要的風(fēng)險管理挑戰(zhàn)之一。內(nèi)審能否與這一迅速變化的風(fēng)險領(lǐng)域同步？為回答這一問題，國際內(nèi)部審計師協(xié)會（IIA）審計執(zhí)行中心與IIA研究基金會、Crowe Horwath合作，聯(lián)合對內(nèi)審和網(wǎng)絡(luò)安全專業(yè)人員開展調(diào)查，調(diào)查對象包括不同行業(yè)、不同規(guī)模組織、不同職位的相關(guān)人員，主要是首席審計執(zhí)行官、審計主任、高級經(jīng)理、經(jīng)理和內(nèi)審人員，了解當(dāng)前網(wǎng)絡(luò)安全政策和實踐進展，以及內(nèi)審如何適應(yīng)網(wǎng)絡(luò)安全環(huán)境，從而幫助內(nèi)審部門通過建立關(guān)系、識別和調(diào)整角色、開發(fā)或獲取所需的專業(yè)知識來應(yīng)對網(wǎng)絡(luò)風(fēng)險挑戰(zhàn)。

該調(diào)查報告分為三大部分（見表1），即網(wǎng)絡(luò)安全中的關(guān)系管理、網(wǎng)絡(luò)安全審計計劃的目標(biāo)、內(nèi)審在網(wǎng)絡(luò)安全中的角色。

一、網(wǎng)絡(luò)安全中的關(guān)系管理

內(nèi)審必須了解組織內(nèi)部的關(guān)系范疇，以便更好地保護組織。與組織內(nèi)的其他部門保持有效關(guān)系，始終是發(fā)揮內(nèi)審職能的關(guān)鍵。同時，內(nèi)審還必須與外部組織（如監(jiān)管機構(gòu)、行業(yè)標(biāo)準(zhǔn)制定機構(gòu)、專業(yè)組織及相關(guān)執(zhí)法機構(gòu)）建立并保持良好關(guān)系。與被審計單位的積極關(guān)系可以加快審計進程，提高審計質(zhì)量。但內(nèi)審必須小心，不能讓這種關(guān)系損害自身的獨立性。不過，雖然獨立性必不可少，但對抗性關(guān)系也會妨礙內(nèi)審的效力。因而，要保持各種關(guān)系的適當(dāng)平衡，而決定和實現(xiàn)這種平衡的方式將因組織的不同而有所不同。在網(wǎng)絡(luò)安全方面，由于需要專業(yè)技術(shù)知識，因而實現(xiàn)適當(dāng)平衡可能會更加復(fù)雜化。

為評估內(nèi)審人員與網(wǎng)絡(luò)安全領(lǐng)域人員之間溝通的有效性，要求受訪者對內(nèi)審與4個特定部門，即IT、信息安全、風(fēng)險管理和其他合規(guī)部門的合作經(jīng)驗并按合作程度進行評分。其中，0代表目前未對該領(lǐng)域進行審計，或彼此之間無任何關(guān)系；1代表很少溝通或事先商量評估的責(zé)任；2代表與審計部門有正式的溝通，但僅限于評估要求；3代表溝通頻繁，超越了審計請求和評估的關(guān)系；4代表部門之間的溝通是優(yōu)先、頻繁的，包括分享想法和資源；5代表審計與其他部門之間有高度的信任，包括持續(xù)的優(yōu)先咨詢（盡管是獨立的合作伙伴）。調(diào)查顯示，一方面，內(nèi)審部門更可能與IT和信息安全部門進行正式的審計和溝通，與風(fēng)險管理、其他合規(guī)部門的正式審計和溝通則較少（見圖1）。同時，受訪者更多報告內(nèi)審與合規(guī)和風(fēng)險管理部門有密切關(guān)系。另一方面，內(nèi)審與IT和信息安全部門保持資源共享及高度信任關(guān)系的占比最低，這說明內(nèi)審部門與IT和信息安全部門之間的關(guān)系仍然存在實質(zhì)性障礙。

（一）信息技術(shù)

審計與信息技術(shù)部門之間的良好關(guān)系對于保障網(wǎng)絡(luò)安全很重要。這種關(guān)系可以為解決網(wǎng)絡(luò)風(fēng)險提供良好基礎(chǔ)，而這需要各部門之間更多的協(xié)作。通過協(xié)作，內(nèi)審和IT團隊可以通過聯(lián)合評估以更清楚地了解組織風(fēng)險和業(yè)務(wù)目標(biāo)。但審計和IT團隊之間的關(guān)系在許多組織中并不是完全協(xié)作的，這既可能源于IT團隊成員對其構(gòu)建的工具、系統(tǒng)和流程具有天生的優(yōu)越感，也可能是IT審計師對網(wǎng)絡(luò)安全特征不甚了解，從而使IT部門對內(nèi)審部門缺乏信任感。調(diào)查顯示，93%的內(nèi)審部門與IT建立了工作關(guān)系，但僅28%的內(nèi)審部門與IT部門有協(xié)作關(guān)系。

（二）信息安全

除了IT功能外，信息安全部門通常還要承擔(dān)評估整個組織風(fēng)險的重大責(zé)任。雖然信息安全部門和IT部門有時合署辦公，有時單獨運行，但事實上，越來越多的監(jiān)管機構(gòu)開始要求將這兩項職能分開。

網(wǎng)絡(luò)安全通常被視為更廣泛信息安全功能的一個子集，它涉及許多靠技術(shù)以外因素驅(qū)動的領(lǐng)域。在一個擁有無限資源的理想世界中，應(yīng)將信息安全職能和網(wǎng)絡(luò)安全職能區(qū)分開來。但現(xiàn)實中，兩者經(jīng)常存在較大重疊，信息安全部門通常關(guān)注涉及履行網(wǎng)絡(luò)安全職責(zé)的事項。此外，許多組織將部分網(wǎng)絡(luò)安全計劃外包給第三方供應(yīng)商，包括托管安全服務(wù)提供商（MSSPs）和滲透測試提供商。內(nèi)審審查這些第三方提供的服務(wù)至關(guān)重要，這意味著審計必須首先了解這些服務(wù)的目標(biāo)、范圍和結(jié)果，以確定這些服務(wù)是否滿足預(yù)期、是否防控了相關(guān)風(fēng)險并為組織提供了價值。

調(diào)查顯示，87%的內(nèi)審部門與信息安全部門建立了工作關(guān)系，但僅26%的內(nèi)審部門與信息安全部門有合作關(guān)系。該結(jié)果與IT部門的調(diào)查結(jié)果相似，而且是預(yù)料之中的，因為IT部門和信息安全部門的職責(zé)通常是重疊的。

信息安全部門與內(nèi)審部門的關(guān)系相較于其他部門通常更強、更積極，因為信息安全部門更關(guān)注風(fēng)險的監(jiān)測，而更少關(guān)注運行的基礎(chǔ)設(shè)施或維護訪問的能力。因此，信息安全團隊能更直觀地理解內(nèi)審的功能和價值。當(dāng)審計團隊試圖構(gòu)建其功能時，信息安全團隊可以幫助審計團隊獲得對IT基礎(chǔ)結(jié)構(gòu)所面臨風(fēng)險的更廣闊視角。

內(nèi)審、信息安全和網(wǎng)絡(luò)安全等團隊?wèi)?yīng)采取積極措施來加強彼此之間的關(guān)系，如共同贊助聯(lián)合研究項目或共同主辦與網(wǎng)絡(luò)安全有關(guān)的培訓(xùn)課程。此類活動除了能提高亟需的技術(shù)專業(yè)知識以及對網(wǎng)絡(luò)安全問題的全面認(rèn)識，還有助于最直接參與網(wǎng)絡(luò)安全風(fēng)險管理的個人之間建立更密切的私人和專業(yè)關(guān)系。而影響這種關(guān)系的一個復(fù)雜因素是內(nèi)審人員必須保持必要的獨立性。例如，IT審計人員通常必須使用外部安全框架（如銀行法規(guī)）作為審計的基線。當(dāng)發(fā)現(xiàn)重要問題時，審計人員必須將此問題報告給首席信息安全官（CISO）和信息安全部門。此時，無論IT審計師和CISO多么希望維持積極關(guān)系，都難以一直維持協(xié)作的和諧關(guān)系。

（三）信息風(fēng)險管理

信息安全的核心是理解、管理和減輕風(fēng)險的過程。對這種風(fēng)險的關(guān)注可以幫助組織內(nèi)部的風(fēng)險管理團隊與信息安全和內(nèi)審團隊建立關(guān)鍵性關(guān)系。此外，風(fēng)險管理部門應(yīng)追蹤人員、流程和技術(shù)控制的演變，以幫助緩解和控制網(wǎng)絡(luò)安全風(fēng)險，這一點至關(guān)重要。與組織的所有其他領(lǐng)域一樣，審計必須識別程序并審查風(fēng)險管理，確保將網(wǎng)絡(luò)安全納入組織的企業(yè)風(fēng)險管理框架之中。

內(nèi)審團隊?wèi)?yīng)積極參與操作風(fēng)險和業(yè)務(wù)風(fēng)險等風(fēng)險管理過程，與首席風(fēng)險官等各類參與者密切合作。調(diào)查顯示，72%的內(nèi)審部門與風(fēng)險管理部門建立了工作關(guān)系，而這是所有被調(diào)查部門中比例最低的，1/4以上的內(nèi)審部門未與網(wǎng)絡(luò)安全風(fēng)險管理部門合作。內(nèi)審有責(zé)任開展有意識的宣傳普及工作，使組織認(rèn)識到網(wǎng)絡(luò)安全風(fēng)險管理事關(guān)企業(yè)治理及風(fēng)險控制。

（四）合規(guī)和其他團隊

網(wǎng)絡(luò)安全計劃要想有效發(fā)揮作用，還必須得到合規(guī)和其他團隊的支持。在有些組織中，災(zāi)難恢復(fù)、業(yè)務(wù)連續(xù)性規(guī)劃、事件響應(yīng)、法律和合規(guī)團隊都是網(wǎng)絡(luò)安全工作中的關(guān)鍵角色。

內(nèi)審團隊已認(rèn)識到眾多相關(guān)參與者的重要性，因而必須與這些團隊合作，評估其對風(fēng)險的理解及在網(wǎng)絡(luò)安全方面扮演的角色。調(diào)查顯示，受訪者認(rèn)為合規(guī)性是一種協(xié)作關(guān)系的比例最高（42%），這表明企業(yè)將網(wǎng)絡(luò)安全合規(guī)視為一個目標(biāo)，這是全面風(fēng)險管理敞口的短視做法。

由于內(nèi)審旨在吸引、保留和培養(yǎng)具有網(wǎng)絡(luò)安全技能和專業(yè)知識的個人，因此必須與其他團隊密切合作，以制定和理解適當(dāng)?shù)牧鞒毯蜆?biāo)準(zhǔn)。在與其他團隊合作時，內(nèi)審還必須在學(xué)習(xí)和發(fā)展與保持獨立性的需求之間保持平衡。最重要的是，所有團隊都要朝著同一個目標(biāo)努力，即組織的最終成功。

二、網(wǎng)絡(luò)安全審計計劃的目標(biāo)

隨著備受矚目的黑客攻擊事件的持續(xù)，要求內(nèi)審將重點放在網(wǎng)絡(luò)安全上。內(nèi)審部門面臨著提高評估組織數(shù)據(jù)和信息安全程序、個人技術(shù)控制能力的挑戰(zhàn)。在應(yīng)對挑戰(zhàn)時，有必要認(rèn)識與關(guān)注三道防線模型的持續(xù)發(fā)展，明確界定網(wǎng)絡(luò)安全審計計劃的廣義目標(biāo)以及圍繞目標(biāo)必須開展的審計活動。

（一）三道防線

IT、信息安全和內(nèi)審團隊都在保護組織免受網(wǎng)絡(luò)風(fēng)險的攻擊。盡管傳統(tǒng)的三道防線風(fēng)險管理模型為每一種功能確定了角色，但許多組織這些部門之間（以及許多其他部門之間）的功能界限正變得日益模糊，因而有必要重新評估如何更有效地應(yīng)用該模型。

其中，第一道防線由業(yè)務(wù)流程所有者和管理層組成。對于網(wǎng)絡(luò)安全而言，它包括組織內(nèi)部的業(yè)務(wù)條線、雇員以及IT（IT負(fù)責(zé)風(fēng)險所在地的數(shù)據(jù)基礎(chǔ)設(shè)施、系統(tǒng)和流程）。第二道防線（即風(fēng)險管理過程的實際執(zhí)行）是信息安全部門的職責(zé)。信息安全團隊要么安裝監(jiān)視控件來檢測惡意活動，要么雇傭第三方供應(yīng)商來執(zhí)行此功能。當(dāng)檢測到攻擊時，信息安全團隊還要有效響應(yīng)。但在許多組織中（尤其是未專門設(shè)立信息安全部門的組織），是由IT部門來負(fù)責(zé)信息安全監(jiān)控和響應(yīng)的。作為第三道防線，內(nèi)審負(fù)責(zé)驗證網(wǎng)絡(luò)安全工作是否基于風(fēng)險、正確識別風(fēng)險并確定其優(yōu)先級，是否收集正確的信息并規(guī)定適當(dāng)?shù)捻憫?yīng)程度。但現(xiàn)實是，內(nèi)審在評估現(xiàn)有規(guī)劃時往往缺乏資源和背景，從而使許多內(nèi)審部門尋求網(wǎng)絡(luò)安全專業(yè)人士和外部供應(yīng)商來評估其網(wǎng)絡(luò)安全計劃，這些評估包括道德黑客、專業(yè)評估、風(fēng)險評估和信息安全治理。當(dāng)然，這些評估也可由第二道防線來完成。

雖然三道防線的模糊性區(qū)分不一定準(zhǔn)確，但在許多情況下，內(nèi)審部門有責(zé)任更明智地制定網(wǎng)絡(luò)審計計劃，以盡量減少冗余和重復(fù)，并盡可能減少漏洞或疏忽。所有相關(guān)部門之間的關(guān)系至關(guān)重要，各道防線之間更好的協(xié)作（尤其是第二和第三道防線）能在減少重疊的同時，更清楚地描述誰負(fù)責(zé)哪項關(guān)鍵職責(zé)。

（二）超越合規(guī)性

經(jīng)常令組織感到困惑的一個問題是如何將組織的網(wǎng)絡(luò)安全審計計劃整合進全面風(fēng)險管理框架之中。例如，美國聯(lián)邦金融機構(gòu)審查委員會（FFIEC）在2014年發(fā)布網(wǎng)絡(luò)安全評估工具（CAT）時，許多銀行最初難以理解文件中列出的400多項個人控件。實際上，該工具概述了五個領(lǐng)域內(nèi)識別組織固有風(fēng)險的全面流程，并提供了評估管理層認(rèn)為可接受的當(dāng)前與期望的網(wǎng)絡(luò)安全成熟度水平的方法，而那些將FFIEC評估作為合規(guī)性功能的組織往往難以在五個領(lǐng)域達到他們期望的成熟度水平。事實上，雖然這類工具用于檢查控件清單是否符合相關(guān)框架，但其目標(biāo)并不只在于合規(guī)性。相反，他們尋求在各種風(fēng)險組件中建立適當(dāng)級別的網(wǎng)絡(luò)安全水平，因此，需要采取更加細(xì)致入微的方法，使董事會和高級管理團隊在每個特定關(guān)注領(lǐng)域確定組織可接受的風(fēng)險水平。

（三）預(yù)防、檢測和響應(yīng)的三階段戰(zhàn)略

多年網(wǎng)絡(luò)安全實踐證明，盡管許多網(wǎng)絡(luò)攻擊可以被挫敗，但不可能阻止所有攻擊，因而專業(yè)人士認(rèn)為“這不是網(wǎng)絡(luò)是否受到攻擊的問題，而是何時受到攻擊的問題”。這種認(rèn)識使得由預(yù)防、檢測和響應(yīng)組成的三階段防御戰(zhàn)略得到逐步發(fā)展與廣泛接受。IT和信息安全部門在盡最大努力防止絕大多數(shù)攻擊的同時，也應(yīng)該檢測到那些難以阻止的攻擊。但組織并非能預(yù)防或立即發(fā)現(xiàn)每一次攻擊，因此應(yīng)制定事故反應(yīng)計劃，以減輕關(guān)鍵數(shù)據(jù)丟失或損壞造成的損害，并加速恢復(fù)正常業(yè)務(wù)。

雖然內(nèi)審在以上三個階段戰(zhàn)略中的作用以往主要集中在預(yù)防領(lǐng)域，但業(yè)內(nèi)表現(xiàn)最好的公司將努力擴大審計范圍，以審查、檢測和響應(yīng)相關(guān)的網(wǎng)絡(luò)安全能力。在這三個階段中，審計必須做好評估現(xiàn)有控制有效性工作。

調(diào)查顯示，預(yù)防性控制不僅是最常見的，而且將其用于測試的比率也最高。隨著網(wǎng)絡(luò)安全的發(fā)展，檢測和響應(yīng)的能力將與防止相關(guān)攻擊的控制同樣重要。此外，多數(shù)組織至少對其網(wǎng)絡(luò)安全進行了基礎(chǔ)性審計，并仍有較大的發(fā)展空間（見圖2）。

（四）專業(yè)的網(wǎng)絡(luò)評估

盡管網(wǎng)絡(luò)安全審計的方法與內(nèi)審開展的其他評估類似，但網(wǎng)絡(luò)評估需要深入了解相關(guān)的應(yīng)用、系統(tǒng)和技術(shù)。這些專業(yè)性評估均注重支持性技術(shù)（如網(wǎng)絡(luò)路由器和防火墻、服務(wù)器和工作站以及應(yīng)用開發(fā)環(huán)境）和應(yīng)用本身。

開展此類評估的責(zé)任與能力因組織而異，因而信息安全部門和內(nèi)審部門要在組織認(rèn)可的風(fēng)險承受力水平基礎(chǔ)上，就評估人員和評估頻率進行協(xié)作。

內(nèi)審應(yīng)針對網(wǎng)絡(luò)安全問題開展廣泛的專業(yè)評估，而兩類評估經(jīng)常被誤解：第一是脆弱性評估。通常使用自動化工具來掃描所有系統(tǒng)以及正在運行的相關(guān)應(yīng)用和服務(wù)，以識別諸如丟失補丁、默認(rèn)密碼和已知漏洞等問題。第二是滲透測試。通過識別漏洞并將其組合（或鏈接），以獲得未經(jīng)授權(quán)的信息訪問權(quán)或管理控制，來模擬真實的攻擊者試圖訪問系統(tǒng)和數(shù)據(jù)。與脆弱性評估不同，滲透測試考慮了人為因素。

每個組織最終都是基于風(fēng)險評估和IT基礎(chǔ)架構(gòu)來確定哪種評估或評估組合最適合其信息安全戰(zhàn)略。對于完備的脆弱性管理計劃，有必要結(jié)合使用以上兩類評估。雖然信息安全或IT團隊通常會推動此計劃的實施，內(nèi)審部門仍有必要審核該計劃的范圍、評估和結(jié)果。

每個組織應(yīng)自行決定審計是否具有成本效益，有無必要在組織內(nèi)部培養(yǎng)開展這些評估的技術(shù)能力。雖然評估資源和必要的能力可能很昂貴，但對于大型組織而言，由于需要不斷測試網(wǎng)絡(luò)安全，內(nèi)部培養(yǎng)評估能力也是可取的。對于許多其他中小組織而言，外部供應(yīng)商可以更經(jīng)濟有效地執(zhí)行這些評估。為此，CAE需要在這一領(lǐng)域做出明智的決定，以確定在何種情況下以及何時開發(fā)內(nèi)部能力是有意義的。若將此功能外包出去，內(nèi)審的相關(guān)評估仍然很重要，包括審查供應(yīng)商的選擇和資格認(rèn)證。

三、內(nèi)審在網(wǎng)絡(luò)安全中的角色

毫無疑問，在當(dāng)今數(shù)據(jù)驅(qū)動型經(jīng)濟中，IT扮演著更重要的角色，這是近幾十年來最重要的商業(yè)趨勢之一。與所有其他行業(yè)一樣，內(nèi)審面臨的挑戰(zhàn)是既要跟上形勢，又要提升其在保護組織關(guān)鍵業(yè)務(wù)信息安全和網(wǎng)絡(luò)可用性方面的作用。

調(diào)查顯示，內(nèi)審功能轉(zhuǎn)型既反映了這種不斷提高的適應(yīng)性，也表明內(nèi)審在IT和信息安全總體戰(zhàn)略（尤其是網(wǎng)絡(luò)安全）方面仍然有很大空間，能夠發(fā)揮更積極的作用。例如，僅20%的受訪者表示，組織在設(shè)計和策劃大型IT項目時曾咨詢過審計團隊的意見，并且內(nèi)審在項目推進過程中仍然持續(xù)地積極參與。多數(shù)受訪者表示，內(nèi)審在IT項目中僅起咨詢作用或作用更低，50%的組織表示內(nèi)審沒有參與到項目中或很少參與、參與有限（見圖3）。

同樣，52%的受訪者認(rèn)為，內(nèi)審部門是其組織項目或IT治理委員會的成員。這表明內(nèi)審必須繼續(xù)展示其可以提供增值服務(wù)、可以幫助組織更有效地管理與IT計劃相關(guān)的風(fēng)險。就網(wǎng)絡(luò)安全問題而言，董事會層面的關(guān)注度高于其他層面，但僅39%的受訪者認(rèn)為，他們的內(nèi)審部門在向董事會或?qū)徲嬑瘑T會報告網(wǎng)絡(luò)安全風(fēng)險和趨勢時，超越了標(biāo)準(zhǔn)的審計報告要求。隨著對網(wǎng)絡(luò)安全問題關(guān)注的持續(xù)增長，內(nèi)部審計應(yīng)該發(fā)揮更積極主動的作用，對這一快速增長的風(fēng)險領(lǐng)域開展評估和管理。

（一）網(wǎng)絡(luò)安全框架

內(nèi)審部門在制定網(wǎng)絡(luò)安全審計計劃時，首先要采取的步驟之一是完全了解組織所使用的網(wǎng)絡(luò)安全框架。選擇該框架是一項管理決策，通常由IT和信息安全高管來決定，它規(guī)定了內(nèi)審的審計標(biāo)準(zhǔn)。因此，網(wǎng)絡(luò)安全框架是推動審計計劃發(fā)展的一個關(guān)鍵因素。

所有這些框架旨在為組織提供一種管理網(wǎng)絡(luò)安全系統(tǒng)的方法，并幫助所有相關(guān)方建立共同的語言和術(shù)語。出于這些原因，所選的審計標(biāo)準(zhǔn)還為審計團隊提供了一種實用的方法。許多特定的框架專門針對某些行業(yè)和控制環(huán)境而定制。在確定使用哪個框架時，審計團隊除了要考慮每個框架的優(yōu)缺點之外，還必須考慮特定行業(yè)標(biāo)準(zhǔn)、監(jiān)管機構(gòu)指導(dǎo)和法律要求。一些組織廣泛使用的網(wǎng)絡(luò)安全框架見表2。同時，調(diào)查顯示，近1/4的組織沒有利用網(wǎng)絡(luò)安全框架來定義其網(wǎng)絡(luò)安全策略。而在使用網(wǎng)絡(luò)安全框架的組織中，NIST是最常用的框架，有37%的受訪者使用；其次是COBIT 5和ISO/IEC 27001，使用者分別占13%和11%（見圖4）。

（二）內(nèi)部審計即將發(fā)生的變化

雖然許多內(nèi)審部門將多數(shù)日常IT審計外包出去，但是內(nèi)部遷移這些功能的趨勢也很明顯。隨著內(nèi)審部門開始開發(fā)網(wǎng)絡(luò)安全方面的能力，其今后所面臨的許多挑戰(zhàn)將與當(dāng)初新增IT審計職能時所面臨的挑戰(zhàn)類似。

與任何IT審計功能一樣，開始轉(zhuǎn)向網(wǎng)絡(luò)安全審計時，可能首先選擇不需要大量技術(shù)培訓(xùn)的領(lǐng)域，如政策和程序、系統(tǒng)備份、指定框架的合規(guī)性等方面。工作站的變更、補丁管理和審計同樣與網(wǎng)絡(luò)安全相關(guān)，且短期內(nèi)所需的培訓(xùn)可能最少，從而便于組織將它們納入內(nèi)審計劃。

除了這些廣泛的趨勢之外，許多組織出現(xiàn)了一些其他的直接機會，如內(nèi)審部門開始更深入地了解應(yīng)用控件。在許多情況下，應(yīng)用控件的審計主要是由某種合規(guī)性需求驅(qū)動。而對于更深入的應(yīng)用控制檢查，審計人員的注意力將特別集中在輸入控制、數(shù)據(jù)處理功能、輸出控制和訪問管理等領(lǐng)域。隨著網(wǎng)絡(luò)安全日益成為關(guān)注焦點，擁有自主開發(fā)、定制或其他非標(biāo)準(zhǔn)應(yīng)用等更先進技術(shù)技能的審計人員將在識別風(fēng)險方面發(fā)揮重要作用。

另一個預(yù)期變化領(lǐng)域是業(yè)務(wù)連續(xù)性計劃，特別是災(zāi)難恢復(fù)計劃。雖然IT審計師在這些領(lǐng)域的大部分活動是由標(biāo)準(zhǔn)化的工作計劃和行業(yè)公認(rèn)的框架所驅(qū)動，但可能會逐漸演變?yōu)閰f(xié)作性、風(fēng)險性驅(qū)動的工作。多數(shù)災(zāi)難恢復(fù)計劃都是從運營角度編寫，重點是恢復(fù)生產(chǎn)或其他關(guān)鍵業(yè)務(wù)流程。在未來更注重網(wǎng)絡(luò)安全的審計中，內(nèi)審將涵蓋安全問題，并突出在新環(huán)境中識別以往未被識別到的安全問題以恢復(fù)運營能力。

目前，許多內(nèi)審部門在集中精力提高其團隊審查政策和程序、確認(rèn)業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)文檔以及執(zhí)行合規(guī)性任務(wù)方面的技能，而中期目標(biāo)是通過留住和培訓(xùn)現(xiàn)有專業(yè)技術(shù)人員來提高其專業(yè)能力，以解決今后的網(wǎng)絡(luò)安全問題。

（三）未來的技能需求

為進一步開展網(wǎng)絡(luò)安全評估，內(nèi)審尤其需要在以下三個領(lǐng)域開發(fā)或獲得專業(yè)知識：一是系統(tǒng)管理。內(nèi)審應(yīng)該擁有包括對服務(wù)器、應(yīng)用、數(shù)據(jù)庫平臺和其他易受網(wǎng)絡(luò)安全威脅的技術(shù)理解方面專長的人，若不了解這些系統(tǒng)的配置，審計這些系統(tǒng)將日益困難。二是網(wǎng)絡(luò)設(shè)計與配置。內(nèi)審應(yīng)擁有具備各種網(wǎng)絡(luò)設(shè)計（包括數(shù)據(jù)和聲音）專業(yè)知識的人。許多關(guān)鍵的保護和檢測組件已成為網(wǎng)絡(luò)的一部分，包括防火墻和訪問控制列表（ACLs）、入侵檢測系統(tǒng)（IDSs）和網(wǎng)絡(luò)訪問控制（NAC）解決方案。三是軟件開發(fā)。雖然內(nèi)審部門不需要很多會編寫代碼的人，但得到熟悉軟件開發(fā)平臺和語言開發(fā)者的協(xié)作也很重要。

調(diào)查對CAEs或?qū)徲嬛魅芜M行了采訪，要求對組織內(nèi)審團隊以上三個領(lǐng)域的總體技術(shù)水平進行評分。其中，具體的技術(shù)需求分別是：Microsoft Windows和Microsoft Active Director軟件、UNIX和Linux、網(wǎng)絡(luò)設(shè)計與實現(xiàn)（如思科、帕洛阿爾托網(wǎng)絡(luò)）、數(shù)據(jù)庫管理（如Microsoft SQL Server、Oracle、MySQL數(shù)據(jù)庫）、安全信息和事件管理（SIEM）、電話和語音互聯(lián)網(wǎng)協(xié)議（VoIP）、軟件開發(fā)、IT治理和風(fēng)險、滲透測試。技能水平的判斷標(biāo)準(zhǔn)如下：新手——了解基本的網(wǎng)絡(luò)、系統(tǒng)和網(wǎng)絡(luò)安全概念；中級——較深入地了解網(wǎng)絡(luò)、系統(tǒng)管理、網(wǎng)絡(luò)監(jiān)控和滲透測試方面的知識，理解這些系統(tǒng)的工作原理以及如何管理工作進程。高級——深入了解IT和InfoSec系統(tǒng)知識，具備網(wǎng)絡(luò)安全或IT方面的實際經(jīng)驗。

調(diào)查顯示，受訪者對其審計團隊在解決方案（如Microsoft Windows和Active Directory軟件、SIEM產(chǎn)品、IT治理和風(fēng)險）方面的能力更有信心，對其他領(lǐng)域則缺乏信心，尤其是網(wǎng)絡(luò)設(shè)計和UNIX/Linux技能方面最為明顯，因為74%的受訪者認(rèn)為他們的審計團隊在這方面只有新手級別的技能。技能差距在另外兩個關(guān)鍵領(lǐng)域也很明顯，分別有57%和65%的受訪者在滲透測試和電話/VoIP方面只有新手級別的技能。此外，盡管擁有不同技能的比例有差異，但很少有企業(yè)認(rèn)為內(nèi)審團隊?wèi)?yīng)在所有領(lǐng)域都擁有高級技能。這一調(diào)查突出了那些試圖制定關(guān)鍵技術(shù)工作計劃和控制的組織所存在的關(guān)鍵差距。

當(dāng)審計高管被問及他們未來的招聘計劃時，52%希望在未來三年內(nèi)雇傭具有IT治理和風(fēng)險專業(yè)知識的人員，但也有意回避那些技術(shù)性很強的領(lǐng)域（如UNIX / Linux，VoIP，軟件開發(fā)和網(wǎng)絡(luò)），因為他們更希望依賴第三方解決這些問題?，F(xiàn)有技術(shù)水平與未來招聘計劃之間的明顯差異表明，盡管業(yè)界預(yù)計網(wǎng)絡(luò)安全審計職責(zé)將擴張，但許多內(nèi)審高管尚未評估自身能力。此外，必要的技術(shù)技能在不斷增長和變化，未來的需求很可能包括人工智能、區(qū)塊鏈技術(shù)、量子計算機，甚至那些尚未被識別、命名或定義的專業(yè)學(xué)科。

（四）尋找和留住人才

鑒于如此渴望新技能，合乎邏輯的問題是：內(nèi)審如何才能找到或培養(yǎng)所需要的熟練技術(shù)人才？同樣重要的是，一旦有了技術(shù)人才，如何留住他們？在更高層次上，審計部門還必須探索如何使審計專業(yè)人員進一步參與到技術(shù)性工作中，在不損害其獨立性的情況下提供技術(shù)設(shè)計的洞察力。

有兩個潛在的因素使這些問題的答案復(fù)雜化：一是對有關(guān)專業(yè)技能的持續(xù)高需求；二是驅(qū)動許多網(wǎng)絡(luò)專業(yè)人士進入內(nèi)審領(lǐng)域的職業(yè)動機并不相同，如他們希望從事具有挑戰(zhàn)性、涉及新技術(shù)和新概念的多樣化項目。

更重要的是，網(wǎng)絡(luò)安全就業(yè)市場的高度競爭性，讓最有才華的求職者在選擇下一個機會時變得相當(dāng)挑剔。最受歡迎的人才不僅受到薪酬和福利的驅(qū)動，還受保持專業(yè)領(lǐng)先地位的機會驅(qū)動，并面臨一系列快速變化的技術(shù)和專業(yè)挑戰(zhàn)。這樣的員工可能覺得內(nèi)審職責(zé)會限制其才能的發(fā)揮，或許更容易被研究、安全、IT或創(chuàng)業(yè)組織的工作環(huán)境所吸引。盡管近年來對網(wǎng)絡(luò)安全專業(yè)人士的需求略有下降，但仍處于較高水平。這種需求使得很難在內(nèi)審部門預(yù)算約束下提供有競爭力的薪金和福利，特別是小型組織。而在大型需要專門組建信息安全團隊的組織中，表現(xiàn)最好的人才自然會被其功能所吸引。但他們可能會發(fā)現(xiàn)，內(nèi)審很難與這些職位所承諾的智力挑戰(zhàn)相競爭。

事實證明，在培養(yǎng)有效的網(wǎng)絡(luò)安全審計能力所需的人才方面，還有兩種策略是有用的。第一，審查內(nèi)審團隊已有人才，特別是那些以往或當(dāng)前從事IT審計工作的人。大量實例表明，高績效的IT審計人員渴望向網(wǎng)絡(luò)安全專業(yè)轉(zhuǎn)型。這些候選人不僅了解公司，還有一個額外優(yōu)勢，即他們已經(jīng)對風(fēng)險和審計能力有所了解，這些能力可以很容易地應(yīng)用于網(wǎng)絡(luò)安全審計。在許多情況下，從系統(tǒng)技術(shù)遷移到網(wǎng)絡(luò)安全技術(shù)所需的技術(shù)培訓(xùn)并不難獲得。此外，隨著規(guī)模較小的審計團隊開始使用內(nèi)部IT審計功能（通過培訓(xùn)或招聘），可以將網(wǎng)絡(luò)安全基礎(chǔ)納入變更管理、訪問控制、IT操作和災(zāi)難恢復(fù)等領(lǐng)域，從而減少對外包資源的依賴。第二，注重關(guān)系管理。雖然要保持內(nèi)審的獨立性和客觀性，但與IT和信息安全部門建立相互合作的工作關(guān)系，可以使審計人員間接地獲得技術(shù)能力。

結(jié)論

內(nèi)審在驗證網(wǎng)絡(luò)安全風(fēng)險管理有效性方面的責(zé)任日益增長。本調(diào)查報告提供了一個有價值的當(dāng)前職業(yè)狀態(tài)的快照以及潛在的未來路線圖。調(diào)查顯示，在提高利益相關(guān)者（包括IT、信息安全和廣泛的風(fēng)險管理部門）之間的協(xié)作和支持水平方面仍有許多改進空間。同時，內(nèi)審在解決網(wǎng)絡(luò)安全問題方面不斷增強的責(zé)任意味著審計專業(yè)人員必須清楚地了解數(shù)據(jù)安全原則和適用其組織的網(wǎng)絡(luò)框架。鑒于對網(wǎng)絡(luò)安全相關(guān)的技術(shù)專業(yè)知識和經(jīng)驗的需求不斷增長，審計主管不僅需要持續(xù)開發(fā)創(chuàng)造性的方法，以必要的技能吸引和留住人才，同時還要加強與組織其他部門的聯(lián)系，以獲得有價值的指導(dǎo)和支持。

本調(diào)查報告洞見了內(nèi)審處理網(wǎng)絡(luò)安全問題的未來作用：一是持續(xù)發(fā)展關(guān)系。出于對網(wǎng)絡(luò)安全的擔(dān)憂，一些組織正在重新劃分三道防線之間的界線，而靜態(tài)關(guān)系將無法應(yīng)對新的風(fēng)險。這意味著內(nèi)審與其他關(guān)鍵參與者（如IT部門、信息安全專業(yè)人員和風(fēng)險管理團隊）的關(guān)系必須持續(xù)發(fā)展。二是持續(xù)發(fā)揮內(nèi)審作用。為保持效率和信譽，內(nèi)審專業(yè)人員必須清楚地了解所涉及的更大問題和相互依存關(guān)系。這種理解包括如何重視網(wǎng)絡(luò)安全計劃的預(yù)防、檢測和響應(yīng)以及控制和測試的充分性。內(nèi)審必須獨立評估迅速演變和升級的風(fēng)險環(huán)境。由于在第一或第二道防線上失敗的代價如此之高，以至于內(nèi)審必須格外警惕。三是持續(xù)獲取網(wǎng)絡(luò)安全專業(yè)知識。隨著內(nèi)審作用的演變，需要利用目前需求量很大的具有專業(yè)技術(shù)知識的人力資源。然而，吸引和留住這些資源可能是困難和昂貴的。內(nèi)審需要重新審視與IT和信息安全專業(yè)人士的關(guān)系，以彌補技能短缺。

（編譯者單位：中國人民銀行贛州市中心支行，郵政編碼：341000，電子郵箱：315421032@qq.com）