走进IT审计.doc

走近IT审计 某大型制造企业有一个旗鼓相当的竞争对手，整个市场份额基本被这两家公司瓜分，所以两者之间的竞争一直处于白热化状态。为了获得更多的市场份额，该企业早在一年前就开始进行一款新产品的开发，预计产品出来后，会给公司带来一笔非常可观的收益，极有可能真正领先于竞争对手。但就在开发工作接近尾声时，市场上却出现了与公司研发的新品有着同样外观、同样技术特色的产品，只不过该产品上打着竞争对手的Logo。 　　很显然，该企业的机密信息被竞争对手窃取了，凝聚了整个企业所有员工心血和希望的成果付诸东流，这让高层领导大发雷霆，责令信息中心主管李强（备注，“本文人物均为化名”）不惜一切代价也要找出研发资料泄露的原因和途径，如果可能甚至不惜借助法律武器挽回损失。 　　系列之一：有类产品叫审计 　　该制造企业的安保工作一直比较严格，研发人员随身带走产品资料的可能性为零，那么，信息是如何跑到竞争对手那里去的呢？可能是哪个员工在什么时候通过什么方式把什么信息发给了谁？泄密者是通过企业的业务系统泄露还是另有途径？如果即便掌握了相关情况，又是否可以作为证据使用？这让李强陷入了迷茫之中。 　　不过，面对高层领导的怒火，李强不敢有丝毫的怠慢，从各种系统日志入手，进行了地毯式地排查。经过数天的努力，李强最终将目标锁定在研发部门的几名员工身上。原来，为了查找资料方便，研发部门允许个别员工连接互联网，但因为只涉及到极少数人，也没有想到竞争对手会买通自己的研发人员，所以并没有对核心资料采取严格的保密措施，甚至没有记录员工的访问行为。 　　但是追查工作进展到这里，就陷入了僵局——虽然李强非常肯定出问题的人就在这几名员工中间，但根本无法知道究竟是谁在什么时间把信息泄露出去的，更不用谈通过证据追究个人和竞争对手的法律责任了。 　　无奈，李强只能向前看，希望能够在今后的日常工作中，能够准确掌握各种动态，以便及时调整安全策略，避免类似事件的再次发生，即便出现问题也可以做到有据可查，甚至提供足够的证据，尽可能地挽回损失。 ▲ 　　在同行的建议下，李强找到了国都兴业信息审计系统技术（北京）有限公司，国都兴业的技术专家向他推荐了IT审计类产品。 　　IT审计（Information Technology Audit），也称作信息系统审计，它提出了针对信息系统的安全性、符合性、可靠性和有效性进行审计的理念，能够帮助企业满足法律法规的相关要求。 　　不过，业界始终没有就IT审计的定义达成统一的意见，目前使用较广的是美国信息系统审计与控制协会ISACA给出的描述。ISACA认为，IT审计是一个过程，在这个过程中IT审计师（CISA）通过获取和评价相关证据，判断被审查的信息系统能否保证单位或企业的资产安全、数据完整，以及能否有效地利用资源并高效地实现目标。 　　虽然对IT审计的描述没有达成统一，但专家们对IT审计的理解至少在以下几个方面是一致的：首先，IT审计是一个过程，这个过程需要由获得CISA认证的IT审计师，以独立客观的身份执行；其次，IT审计的过程中，IT审计师需要获取证据并分析证据，目的是检查信息系统的安全性、可靠性、有效性以及高效性；第三，审计师得到结果并不意味IT审计过程的完结，还需要向被审计单位报告审计结果，指明审查过程中发现的、信息系统存在的问题，并针对这些问题向被审计单位的高层提供改进的建议。 　　那么，IT审计产品能够审什么？能否对李强现在或未来的工作有所帮助？能否避免同类问题的再次发生？除了记录，它还能做些什么？ 听了国都兴业的技术专家的介绍，李强（备注，“本文人物均为化名”）对IT审计产品提起了浓厚的兴趣，单是“针对信息系统的安全性、符合性、可靠性和有效性进行审计”这一项，就让李强看到了IT审计产品的真正价值。 　　不过，在此之前，李强只知道有财务审计。财务审计的目标很明确，就是审查组织的财务报表，识别组织经济活动中的舞弊行为。那么，IT审计要审什么，难道是审计信息系统的？ 　　答案，对，也不对。说“对”，是因为既然IT审计也称作信息系统审计，必然与信息系统有着莫大的联系，必然是围绕信息系统展开。说“不对”，是因为回答不够准确。审计作为独立于组织业务链之外的结构，监督并客观评价与业务相关的控制在设计和执行方面的效果、效率，为完善组织内控框架提供建议，确保组织的利益相关者的利益不遭受损害并能够顺利获得。 　　准确来说，IT审计需要针对IT控制的设计和执行情况进行监督及评估。 　　依据控制的设计及效果进行区别，IT控制可以分成预防性控制、检查性控制和纠正性控制。其中，预防性控制属于事前防范措施，有效部署预防性控制可以避免事故或问题发生，使危害或损失为零；检查性控制属于事中举措，在错误或事故发生的时刻能够及时对其进行识别；检查性措施和纠正性措施通常组合部署，以便在无法规