內控與IT安全的關係，IT內控與安全審計的關係

隨着國內內控的興起，常常有人會問，內控跟IT安全有什麼關係？爲何內控話題老是被搞信息安全的人常常說起？我想，一方面，是由於內控與信息安全存在內在的聯繫，另外一方面，則是信息安全從業人員爲了找到體現自身價值的附着點吧。

• 內控與IT的關係

企業內部控制（簡稱「內控」）是一個涉及普遍的概念，根據ISACA組織的定義，內部控制指「爲減小風險所實施的各類政策、步驟、實務和組織結構」。內控自己與IT並沒有直接關係。
可是，正是基於如下兩個方面的緣由，使得內控與IT聯繫起來，而且還十分緊密。
1） IT內控是企業內控的必然：當今大部分企業（尤爲是美國大企業、上市公司，內控一詞主要來自美國）的生產經營都已經極大程度的依賴於IT。能夠說，若是IT失效，企業的生產經營活動將會受到極大的影響。所以，針對企業內控有很重要一個環節就是要求IT治理與IT內控，確保IT與企業的業務戰略保持一致。而在這裏，信息系統審計是企業和組織IT內控過程當中最關鍵的環節。信息系統審計經過對關鍵控制點的符合性測試來判斷IT內控的目標及其控制措施是否有效。所以，這就是爲何IT公司，尤爲是從事信息系統審計、安全審計的公司熱衷於IT內控的緣由了。
2） 企業內審必須依靠IT：在內控體系中，內部審計是一個重要的機構和環節。內 部審計是一項具備獨立性的經濟監督活動，以會計準則和審計準則以及有關的法律法規爲依據，對企業、機關、事業單位等的財政、財務收支以及經營管理進行審覈 和檢查，並在審覈檢查完畢後提出內審報告。一個標準的內部審計過程是十分繁瑣和複雜的，若是不借助計算機自動化的手段，對現代企業的內審幾乎不可能完成。 依託計算機信息化技術，經過對所需數據的適時採集、處理加工，造成正確的審計結論和審計評價，從而提升內審工做效率，把內審人員從煩瑣的數據運算、法規查 證中解放出來，使審計工做的質量有所保證；經過對內審業務過程的計算機化管理，實現對整個內審項目的動態管理、對風險點的實時控制，實現對內審工做任務的 合理分解，整合審計資源，促進部門管理責任制的落實，從而便於業績的考覈和評估，作好風險防範。
綜上所述，能夠看清楚內控與IT的關係。內控首先是使得企業治理與審計相關的諮詢公司重視，而後是使得與企業治理與審計相關的IT公司重視，再日後就是使得與企業IT安全治理與審計相關的安全審計相關的信息安全公司重視。
安全公司重視內控，還有一個緣由就是安全服務的須要。由於安全服務過程當中涉及到了企業治理的內容。做爲企業治理的重要組成部分的IT安全治理因爲其橫跨企業治理與信息安全兩大專有技術領域，使得安全服務相關的諮詢活動顯得獨具價值。

• IT內控與安全審計的關係

如何在 IT 治理和 IT 內控的層面作好企業內控？個人建議是： IT內控從IT審計開始，IT審計從日誌審計作起。
從與企業內控密切相關的 IT 內控的角度而言，咱們首先建議那些具備較高信息化建設水平的、已經開展了企業治理的單位進一步強化 IT 治理的力度。這些企業每每比其餘企業更加依賴於 IT 和 IT 信息系統，例如金融、電信、證券、保險、電力。對這些 IT 信息系統的審計是當前的重點。信息系統審計經過對關鍵控制點的符合性測試來判斷 IT 內控的目標及其控制措施是否有效。
另外一方面，包括《企業內部控制規範》在內的國內針對 電子政務、央企、銀行、證券、基金、保險、上市公司的信息系統風險保障和內控的指引、條例和文件，都直接或者間接的指出了要將日誌審計做爲信息系統審計的基本技術手段。
《企業內部控制基本規範》的第四十一條要求「企業應當增強對信息系統的開發與維護、訪問與變動、數據輸入與輸出、文件存儲與保管、網絡安全等方面的控制，保證信息系統安全穩定運行。」
《商業銀行內部控制指引》的第一百二十六條要求「商業銀行的網絡設備、操做系統、數據庫系統、應用程序等均當設置必要的日誌。日誌應當可以知足各種內部和外部審計的須要」。
《銀行業信息科技風險管理指引》第二十一條明確要求商業銀行信息科技部門 要「按期向信息科技管理委員會提交本銀行信息安全評估報告」，「信息安全策略的制定應涉及合規性管理領域」。第二十七條指出「銀行業應制定相關策略和流 程，管理全部生產系統的日誌，以支持有效的審覈、安全取證分析和預防欺詐。」
《證券公司內部控制指引》第一百一十七條要求「證券公司應保證信息系統日誌的完備性，確保全部重大修改被完整地記錄，確保開啓審計留痕功能。證券公司信息系統日誌應至少保存 15 年」。
《信息系統等級化保護基本要求》的技術要求中，從第二級開始，針對網絡安全、主機安全、應用安全都有明確的安全審計控制點。在管理要求中，「安全事件處置」控制點從第二級開始要求對日誌和告警事件進行存儲；從第三級開始提出了「監控管理與安全管理中心」的控制點要求。