信息时代的审计新动向:安全审计

作 者:

作者简介:

原文出处:
中国内部审计

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2008 年 08 期

关 键 词:

字号:

      一、IT风险日益凸现

      IT是把“双刃剑”,在为经济发展带来强劲动力的同时也带来巨大的风险。近几年,国内外爆发了一系列与IT有关的风险事件,严重影响了各行业的正常运转。

      2002年3月4日,瑞士银行潘恩韦伯公司(UBS Paine Webber)的一名员工在企业IT系统内植入恶意代码,造成了大约2000台服务器瘫痪,使得瑞士银行陷入混乱。

      2003年1月,美国银行(Bank of America)13000台ATM机因病毒瞬间宕机,使客户无法通过ATM机完成存取款交易。

      2005年12月,日本瑞穗证券公司(Mizuho Securities)误将客户的“以61万日元卖出1股J-COM公司股票”指令输入为“以每股1日元卖出61万股J-COM公司股票”后,因东京股票交易所(Tokyo Stock Exchange)IT系统对取消下单的指令不能给予回应,使错单全部成交,引发投资者抛售股票,日经指数重挫超过300点,瑞穗证券损失超过400亿日元。

      2006年11月11日13时28分,中国民航信息网络股份公司在首都机场的离港系统发生故障,直接影响了福州长乐国际机场3趟航班的正常起飞、厦门机场22趟航班近2000乘客被滞留一个多小时。

      2007年3月23日,中国银行IT系统发生故障,柜台各项业务瘫痪3个小时。

      可见,IT带来的风险已经渗透到各行各业的日常业务中,就像一颗潜在的炸弹,随时威胁着IT系统的安全。

      2006年《信息周刊》(Information Week)研究部和埃森哲咨询公司(Accenture)对双方的合作,进行第九年度的“全球安全调查”。调查结果全面揭示了IT环境所面临的各种威胁。在全球受访者当中,美国公司表示在过去一年中,有57%的公司曾遭受病毒攻击,有34%的公司曾受到蠕虫的攻击,有18%的公司经历了拒绝服务(Denial-of-Service,DoS)攻击,有9%的公司曾遭受网络攻击,有8%的公司的身份被窃取;中国公司表示,有23%公司的客户数据安全受到威胁,有27%公司表示遭受身份窃取形式的攻击。受访的2193名安全专家和商业科技经理中,有48%的人认为,对IT安全的复杂性进行管理已成为当务之急。此外,国际商业机器公司(IBM)2005年和2006年对全球首席信息官(CIO)的两次调查结果都显示,IT安全始终排在CIO关心问题的首位。

      二、IT安全建设的现状

      鉴于IT风险事件的频繁发生,近几年,国内外相关部门和团体都开始致力于加强IT安全保障体系的建设。

      在国际上,2002年美国颁布的《萨班斯法案》的302、404等条款都对IT安全进行了规定,将IT安全上升到法律的层面,对IT安全建设起到了很大的推动作用。目前,国际上流行的与网络和信息安全有关的标准主要有三类:互操作标准、技术与工程标准、网络与信息安全管理标准。互操作标准主要包括对称加密标准DES、3DES、IDEA以及AES,非对加密标准RSA,VPN标准IPSee,传输层加密标准SSL,安全电子邮件标准S-MIME,安全电子交易标准SET,通用脆弱性表述标准CVE,信息系统安全标准COBIT、ISO17799。技术与工程标准包括美国国家计算机安全中心(NCSC)公布的可信计算机系统评估准则(TCSEC),欧洲四国(英、法、德、荷)联合提出的信息技术安全评估准则(1TSEC),美国、加拿大与欧洲四国(英、法、德、荷)协商公布的信息产品通用评估准则(IS015408,也简称CC),美国和加拿大推出的安全系统工程能力成熟度模型(SSE-CMM)等。网络与信息安全管理标准主要包括信息系统审计与控制协会(Information System Audit and Control Association,简称ISACA)发布的信息与相关技术控制目标(COBIT),英国的ISO/IEC 17799、ITIL以及信息安全管理标准ISO13335。下面主要介绍网络与信息安全管理标准中常用的COBIT、ISO/IEC 17799以及ITIL。

      COBIT由ISACA于1996年公布,是国际上公认比较先进的、权威的IT管理和控制的标准,目前已经更新至第四版。COBIT是专供管理层、用户、IT专家、IT审计师与IT安全管理人员,管理和评估IT管理和控制的规范。它在商业风险、控制需要和技术之间架起了一座桥梁,以满足管理的多方面需要,并且已在世界一百多个国家的组织与企业中运用,帮助组织有效利用IT资源、管理IT风险。

      ISO/IEC 17799是国际标准化组织(2000年12月)采纳英国国家标准局制定的BS7799-1(信息安全管理实践规范)形成的。ISO/IEC 17799包含100多个安全控制措施,用于帮助组织识别影响IT安全的因素,安全控制措施分成方针、安全组织、信息分类与控制、人事安全、物理与环境安全、通信与运营安全、访问控制、系统开发与维护、商务可持续运营、法律符合10个方面,成为组织实施IT安全管理的实用指南。2005年,国际标准化组织发布了新版的信息安全管理实施细则(ISO/IEC17799-2005),对ISO/IEC17799进行了修订,更加注重标准的通用性和实用性。实施证明,ISO/IEC17799在IT安全策略、资产管理、业务连续性管理以及薄弱点、故障、事故的管理方面都为组织提供了很好的实践指南,对组织树立IT风险管理理念、进行IT治理和建立IT安全系统都有帮助。

相关文章: