淺談信息安全審計概念的由來

【51CTO.com 專家特稿】或許對不少企業來講，安全審計只是個名詞而已，並不清楚它的具體內容和做用；許多企業想要對本身的信息系統實施安全審計，管理層和技術人員也不知道如何開始，而同時受限於國內企業的信息化水平，企業也很難找到成體系的安全審計知識。

審計

審計，英文稱之爲「audit」，基維百科上給出的定義是評價一我的、組織、制度、程序、項目或產品。 審計執行是以肯定有效性和可靠性的信息，還提供了一個可內控的評估系統。 審計的目標是在測試環境中進行評估工做，並表達人/組織/系統等的評估意見。 因爲實際狀況的限制，審計要求只提供合理、無重大錯誤的保證報表，審計每每是經過統計抽樣。也能夠這樣理解審計，審計（Audit）是指檢查、驗證目標的 準確性和完整性，用以檢查和防止虛假數據和欺騙行爲，以及是否符合既定的標準、標竿和其它審計原則。

各國各級政府、組織通常都設有專門獨立的審計部、審計委員會、審計署等機構。以往的審計概念主要用於財務系統。財務審計是用真實的和公正的財務報表 來體現的。傳統的審計，主要是獲取金融體系和金融記錄的公司或企業的財務報表的相關信息。 而隨着科技信息技術的發展，大部份的企業、機構和組織的財務系統都運行在信息系統上面，因此信息手段成爲財務審計的一種技術的同時，財務審計也間接帶動了 通用信息系統的審計。審計已開始包括其餘信息系統，若有關環境審計和信息技術審計。

IT審計

信息技術審計，或信息系統審計 ，是一個信息技術（ IT ） 基礎設施控制範圍內的檢查。 信息系統審計是一個經過收集和評價審計證據，對信息系統是否可以保護資產的安全、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源獲得高 效地使用等方面作出判斷的過程。

IT 審計最先出如今IT應用比較深刻的金融業，後來逐漸擴展到其餘行業。IT審計的目標是協助組織信息技術管理人員有效地履行其責任，以達成組織的信息技術管 理目標。組織的信息技術管理目標是保證組織的信息技術戰略，充分反映該組織的業務戰略目標，提升組織所依賴的信息系統的可靠性、穩定性、安全性及數據處理 的完整性和準確性，提升信息系統運行的效果與效率，保證信息系統的運行符合法律、法規及監管的相關要求。

信息安全審計

隨着2002年美國安然公司和世通的財務欺詐案爆發後，美國緊急出臺了薩班斯法案（SOX），賦予了「審計」新的意義。《薩班斯-奧克斯利法案 （2002 Sarbanes-Oxley Act）》的第302條款和第404條款中，強調經過內部控制增強公司治理，包括增強與財務報表相關的IT系統內部控制，其中，IT系統內部控制就是面向 具體的業務，它是緊密圍繞信息安全審計這一核心的。同時，2006年末生效的巴賽爾新資本協定(Basel II)，要求全球銀行必須針對其市場、信用及營運等三種金融做業風險提供相應水準的資金準備，迫使各銀行必須作好風險控管(risk management)，而這部「金融做業風險」的防範也正是須要業務信息安全審計爲依託。「

信息安全審計」成爲企業內控、信息系統治理、安全風險控制等的不可或缺的關鍵手段。美國信息系統審計的權威專家Ron Weber又將它定義爲「收集並評估證據以決定一個計算機系統是否有效作到保護資產、維護數據完整、完成目標，同時最經濟的使用資源」。

信息安全審計與信息安全管理密切相關，信息安全審計的主要依據爲信息安全管理相關的標準，例如ISO/IEC 1779九、ISO 17799/2700一、COSO、COBIT、ITIL、NIST SP800系列等。這些標準其實是出於不一樣的角度提出的控制體系，基於這些控制體系能夠有效地控制信息安全風險，從而達到信息安全審計的目的，提升信息 系統的安全性。

我國的法律也針對信息安全審計制定出《企業內部控制規範》，主要內容以下：

企業內部控制規範——基本規範的內部審計機制：

第二十六條：健全內部審計機構、增強內部審計監督是營造守法、公平、正直的內部環境的重要保證。企業應當增強內部審計工做，在企業內部造成有權必有責、用權受監督的良好氛圍。

第二十七條：在董事會下設立審計委員會的企業，應當保證審計委員會成員具有良好的職業操守和專業勝任能力，審計委員會及其成員應當具備相應的獨立 性。審 計委員會應當直接對董事會負責。上市公司的審計委員會主席通常應由獨立董事擔任，非上市公司的審計委員會主席應由獨立於企業管理層的人員擔任。

第二十八條：企業應當賦予審計委員會監督企業內部控制創建和實施狀況的相應職權。審計委員會在企業內部控制創建和實施中承擔的職責通常包括：

（一）審覈企業內部控制及其實施狀況，並向董事會做出報告；
（二）指導企業內部審計機構的工做，監督檢查企業的內部審計制度及其實施狀況；
（三）處理有關 投訴與舉報，督促企業創建暢通的投訴與舉報途徑；
（四）審覈企業的財務報告及有關信息披露內容；
（五）負責內部審計與外部審計之間的溝通協調。

未設立審計委員會的企業，應當由董事會受權或者企業章程規定的有關機構承擔上述職責。

第二十九條：設立專門的內部審計機構的企業，應當保證內部審計機構具備相應的獨立性，並配備與履行內部審計職能相適應的人員和工做條件。未設立內部審計機構的企業，應當由董事會受權或者企業章程規定的有關機構承擔上述職責。

內部審計機構的組織領導體制，依照法律規定和企業章程肯定。內部審計機構不得置於財會機構的領導之下或者與財會機構合署辦公。

內部審計機構依照法律規定和企業受權開展審計監督，其工做範圍不該受到人爲限制。內部審計機構對審計過程當中發現的重大問題，視具體狀況，能夠直接向審計委員會或者董事會報告。

內部審計人員應當具有內審人員從業資格，擁有與工做職責相匹配備的道德操守和專業勝任能力。

現在，信息技術愈來愈多的應用於企業業務的各個環節，併成爲推進業務發展的關鍵因素，如何保證企業中全部信息系統的良好運做，怎樣有效的實施安全審計項目將成爲企業面臨的最大挑戰。