內控、安全審計、《企業內部控制基本規範》與市場分析

• 《企業內部控制基本規範》

這段時間以來，屢次被媒體問到《企業內部控制基本規範》和安全審計的話題。從我來看，國內的IT內控、安全審計市場正在逐步熱起來。
有人將《企業內部控制基本規範》稱做是中國版的SOX法案，可見對他的期待有多麼高。雖然該規範還不能稱做是完整意義上的法案，而只是規範性文件，可是他對於國內企業、尤爲是大企業的公司治理、風險控制、IT內控，包括信息系統安全審計都起到了極大的推動做用。
不過，最新的消息代表，這個基本規範將要推遲半年實施。
 

• 內控需求
   

實際上，不只是《企業內部控制基本規範》，包括以前國家大力開展的等級化保護建設工做，以及證券、金融、保險等行業頒佈的各項風險和內控指引、要求，甚至於刑法第七修正案等，都在努力構建一個從嚴的企業管控外部環境。做爲這種外部壓力的傳導，企業的IT內控和審計天然擺到了各大企業信息部門的桌面上。
能夠確定，將來企業用戶，尤爲是大型企業用戶，會不斷增強IT內控，並催生對信息系統安全審計的技術、產品和相關解決方案的需求，並帶動國內安全審計市場的迅速增加。這個市場必然會持續升溫，而不論《企業內部控制基本規範》如何實施，這是企業發展大勢所趨。
 

• 內控與信息安全審計市場
   

咱們能夠對比國外安全審計市場，以美國爲例，在SOX法案頒佈以前，安全審計市場根本沒有歸入Gartner、IDC的專項分析範疇，隨着針對上市 公司內控和信息披露的SOX法案的實施，以及象專門針對醫療行業的旨在保護醫患隱私的HIPAA法案、針對聯邦政府機構的FISMA法案、針對金融機構支 付卡行業的PCI-DSS規範等的執行，美國的安全審計市場出現了爆炸式的增加。Gartner和IDC紛紛對其進行深刻分析，並創造出了一個名爲 GRC（Governance,Risk Management, andCompliance）的IT細分市場。與此同時，各路安全廠商都從自身技術特色出發，提出了各類類型的安全審計產品，介入該市場，力求分一杯羹。 例如各大SIEM（SecurityInformation and Event Management）廠家、NBA(Network BehaviorAnalysis)廠家和IAM(Identity and Access Management)廠家等。
 

• 深度分析
   

回過頭來，再看看我國的《企業內部控制基本規範》， 第四十一條要求「企業應當增強對信息系統的開發與維護、訪問與變動、數據輸入與輸出、文件存儲與保管、網絡安全等方面的控制，保證信息系統安全穩定運行。」這條清楚的代表的有效的安全控制是必須的，而做爲內控，證實這種控制的有效性就是審計。
根據 信息系統審計與控制協會（ISACA）的定義，信息系統審計 是企業和組織IT內控過程當中最關鍵的環節。信息系統審計經過對關鍵控制點的符合性測試來判斷IT內控的目標及其控制措施是否有效。
有一點必須說明，內控不等於安全，更不等於信息安全審計。他們是有傳導關係，但不是等價關係。其實，說到內控，在信息安全界更多提到的詞應該是合規 （Compliance）。國內的合規管理市場基本上還處於雛形階段，可能是定製性的項目，爲了知足某些有特色或者超前需求的客戶。