內控、安全審計、《企業內部控制基本規範》與市場分析

  • 《企業內部控制基本規範》

這段時間以來,屢次被媒體問到《企業內部控制基本規範》和安全審計的話題。從我來看,國內的IT內控、安全審計市場正在逐步熱起來。
有人將《企業內部控制基本規範》稱做是中國版的SOX法案,可見對他的期待有多麼高。雖然該規範還不能稱做是完整意義上的法案,而只是規範性文件,可是他對於國內企業、尤爲是大企業的公司治理、風險控制、IT內控,包括信息系統安全審計都起到了極大的推動做用。
不過,最新的消息代表,這個基本規範將要推遲半年實施
 html

  • 內控需求
     

實際上,不只是《企業內部控制基本規範》,包括以前國家大力開展的等級化保護建設工做,以及證券、金融、保險等行業頒佈的各項風險和內控指引、要求,甚至於刑法第七修正案等,都在努力構建一個從嚴的企業管控外部環境。做爲這種外部壓力的傳導,企業的IT內控和審計天然擺到了各大企業信息部門的桌面上。
能夠確定,將來企業用戶,尤爲是大型企業用戶,會不斷增強IT內控,並催生對信息系統安全審計的技術、產品和相關解決方案的需求,並帶動國內安全審計市場的迅速增加。這個市場必然會持續升溫,而不論《企業內部控制基本規範》如何實施,這是企業發展大勢所趨。
 安全

  • 內控與信息安全審計市場
     

咱們能夠對比國外安全審計市場,以美國爲例,在SOX法案頒佈以前,安全審計市場根本沒有歸入Gartner、IDC的專項分析範疇,隨着針對上市 公司內控和信息披露的SOX法案的實施,以及象專門針對醫療行業的旨在保護醫患隱私的HIPAA法案、針對聯邦政府機構的FISMA法案、針對金融機構支 付卡行業的PCI-DSS規範等的執行,美國的安全審計市場出現了爆炸式的增加。Gartner和IDC紛紛對其進行深刻分析,並創造出了一個名爲 GRC(Governance,Risk Management, andCompliance)的IT細分市場。與此同時,各路安全廠商都從自身技術特色出發,提出了各類類型的安全審計產品,介入該市場,力求分一杯羹。 例如各大SIEM(SecurityInformation and Event Management)廠家、NBA(Network BehaviorAnalysis)廠家和IAM(Identity and Access Management)廠家等。
 網絡

  • 深度分析
     

回過頭來,再看看我國的《企業內部控制基本規範》, 第四十一條要求「企業應當增強對信息系統的開發與維護、訪問與變動、數據輸入與輸出、文件存儲與保管、網絡安全等方面的控制,保證信息系統安全穩定運行。」這條清楚的代表的有效的安全控制是必須的,而做爲內控,證實這種控制的有效性就是審計。
根據 信息系統審計與控制協會(ISACA的定義,信息系統審計 是企業和組織IT內控過程當中最關鍵的環節。信息系統審計經過對關鍵控制點的符合性測試來判斷IT內控的目標及其控制措施是否有效。
有一點必須說明,內控不等於安全,更不等於信息安全審計。他們是有傳導關係,但不是等價關係。其實,說到內控,在信息安全界更多提到的詞應該是合規 (Compliance)。國內的合規管理市場基本上還處於雛形階段,可能是定製性的項目,爲了知足某些有特色或者超前需求的客戶。jsp

相關文章
相關標籤/搜索