01信息安全审计的背景与概述
在这个依托计算机与网络的信息生产时代,云计算、物联网、大数据,互联网+等新型应用和服务层出不穷,在使人们能够高效便捷地获取信息、提高企业运行管理效率和节约成本的同时,也带来了新的信息安全问题。我们可以经常从新闻中得知世界各地发生的信息安全事件:大规模的黑客攻击、云服务中断导致的连锁服务崩溃、设备遭到病毒和恶意软件感染、个人信息和企业商业机密泄露。可以说,信息安全关系着社会中的每一个成员,更不用说是依赖信息生存发展的企业公司。
在网络大数据时代中,对于身处其中的我们每个人而言,个人隐私信息无时无刻不暴露在各类电子设备、软件和网络中,个人隐私已经成为了当代人的基本诉求之一。而对企业而言,如何在合法合规的前提下采集、存储及处理用户的个人数据是一个重要课题;同时,企业内部的信息资产也同样面临泄漏风险,因此建立并实施有效的信息安全管理体系已成为保护公司资产安全的当务之急。此时,信息安全审计应运而生,企业通过开展信息安全审计,以揭示面临的安全风险,并针对薄弱项改进现状,以保障公司的信息资产的安全性,同时符合各领域的合规要求。
信息安全审计,顾名思义,是一种为了合理保证企业信息安全管理的有效性而诞生的审计形式。信息安全审计可以使被审计单位了解其信息安全是否满足信息安全合规性要求的同时,也可以帮助被审计单位全面掌握其信息安全工作的有效性、充分性和适当性,并进行更好的改进,从而帮助企业更好地预防并及时发现信息安全风险。
由于当代环境下,任何企业的经营必然离不开网络和信息系统,信息安全审计对于各种类型、各种规模的企业或组织均可适用。信息安全审计可以单独进行,也可与信息安全相关的工作联合进行,例如信息安全等级保护建设、信息安全风险评估、信息安全管理体系建设、系统上线实施、常态化系统安全监控、云平台迁移、容灾建设等等,以达到动态化评估,在项目设计过程中考虑安全(SecuritybyDesign)的目的。
和常见的审计工作一样,信息安全审计也可以分为内部和外部审计。对于较小的公司,内部审计师的角色可能由组织内的高级IT经理或信息安全经理担任。而大公司可能会设立一个独立于信息系统管理部门的、评价信息系统安全性的内部审计机构,并且聘请拥有相关背景的注册信息系统审计师或注册信息安全专业人士,对公司信息系统安全管理进行监控,减少信息安全潜在风险。
02信息安全审计的内容与标准
信息安全审计的范围十分广泛,其目的亦可根据企业在不同阶段的发展目标而存在不同的侧重点,在以下领域均可进行开展:信息安全管理组织与制度,访问控制管理,网络安全、漏洞扫描、渗透测试、代码安全扫描、机房及设备物理安全、应用系统安全、信息系统日志管理、加密传输和加密设备管理、补丁管理、IT项目开发管理,乃至隐私数据安全、数据库和操作系统安全、信息资产分级和管理、数据资产全生命周期管理评估、信息安全事件管理、业务连续性,甚至人力安全、IT外包安全管理、信息安全意识教育等均包括在信息安全的审计范围内。
*信息安全管理体系:
*信息安全运营体系:
*信息安全监督体系:
信息安全审计的主要依据为信息安全管理相关的标准。目前国外的信息安全审计已经处于一个较为成熟的应用阶段,主要得益于欧美较早起步的标准组织的设立,各标准组织均建立了比较完善的信息安全管理标准和规范。有了规范和标准来支撑,信息安全审计得以有针对性的进行开展。除了标准的信息安全标准外,部分行业制定了适用于本行业内部的信息安全标准,例如医疗保健、金融行业和汽车行业。下面列举一些当前国内外施行的通用或特定行业的信息安全标准:
01ISO标准
国际标准化组织(ISO)制定并发布了一系列旨在确保质量、可靠性和安全性的指南。经过多年的发展,信息安全管理体系国际标准已经出版了一系列的标准,ISO/IEC系列标准是目前世界上应用最广泛与典型的信息安全管理标准之一,其中ISO/IEC是可用于认证的标准,其他标准可为实施信息安全管理的组织提供实施的指南。目前最新的版本为年10月ISO组织发布的ISO/IEC:-信息安全管理体系标准,包括14个控制领域、35个控制目标和项控制措施,是一个全方位的信息安全保障标准。
02中国《网络安全法》
自年6月1日起开始施行的《中华人民共和国网络安全法》是中国第一部全面规范网络空间安全管理方面问题的基础性法律,且有与之对应的一系列实施细则和标准在逐步出台或更新。《网络安全法》中规定了中国实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,在安全管理制度和操作规程、防病毒和网络攻击、检测网络运行、记录网络安全事件、数据备份和加密等方面履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。年中国正式发布了网络安全等级保护制度2.0标准,等保2.0扩大了保护对象的范围,将网络基础设施、重要信息系统、大型互联网站、大数据中心、云计算平台、物联网系统、工业控制系统、公众服务平台等全部纳入等级保护对象。
03GB/T《个人信息安全规范》
GB/T《个人信息安全规范》公开多轮征求意见,同时辅助《网络安全审查办法》、《数据安全管理办法(征求意见稿)》、《儿童个人信息网络保护规定》在内的多部法律法规及国家标准密集出台、快速更新甚至正式实施,充分反映了中国政府在个人信息保护领域立法十分活跃的态势。
04中国《数据安全法》
《中华人民共和国数据安全法》已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议于年6月10日通过,自年9月1日起施行。是一部条件比较成熟的数据安全相关法律,提出国家将对数据实行分级分类保护、开展数据活动必须履行数据安全保护义务承担社会责任等。《数据安全法》坚持安全与发展并重,在规范数据活动的同时,对支持促进数据安全与发展的措施、推进政务数据开放利用等作出相应规定,通过促进数据依法合理有效利用,充分发挥数据的基础资源作用和创新引擎作用,加快形成以创新为主要引领和支撑的数字经济,更好服务我国经济社会发展。
05欧盟GDPR《通用数据保护条例》
欧盟于年5月25日正式发布GDPR《通用数据保护条例》,这是一项保护欧盟公民个人隐私和数据的法律,其适用范围包括欧盟成员国境内企业的个人数据、也包括欧盟境外企业处理欧盟公民的个人数据。
06英国DPA《数据保护法》
年5月23日,英国正式通过新修订的DPA《数据保护法》。该法将废除年颁布的《数据保护法》,重新建立英国数据保护框架以促进GDPR在英国的有效落实,并在GDPR框架下对某些条款做出裁剪规定。同时,确保英国在脱欧之后与欧盟在个人数据保护方面保持一致,以促进英国与欧盟国家的数据流动。
该法主要内容包括:
1)加强数据主体对其个人数据的控制权。
2)加强数据控制者义务。此外,该法还为刑事司法机构出于执法目的而处理数据设计了专门的执法框架,要求在执法过程中同样需要保护个人数据。
07HIPAA安全规则
HIPAA安全规则中涵盖了有关保护患者个人健康信息(PHI)的隐私保护标准和实施指南。HIPAA从安全策略、物理防护、数据访问、网络安全保护几个方面,对可识别个人身份的健康数据和健康相关数据,包括保险和账单信息、诊断数据、临床护理数据、影像等实验室结果以及测试结果进行保护,适用于直接接触病人医院、医疗服务提供商、研究机构和保险公司以及它们的商业伙伴;
08PCIDSS标准
PCIDSS合规性标准是针对第三方支付行业(支付卡行业)的数据安全标准,提高持卡人数据安全,确保客户信用卡信息在每次进行交易时都受到保护,PCIDSS信息安全标准有6大目标,12个大类要求,具体从信息安全管理体系、网络安全、物理安全、数据加密、漏洞管理、存储控制等几大方面提出了安全要求;
在进行常规信息安全审计前,对于企业内外部的信息安全审计师而言,应先确定审计范围,包括与信息安全有关的所有公司资产,包括数据库内的数据、计算机设备、电话、网络、电子邮件和任何与访问有关的项目,如门禁卡、令牌和密码等。在执行审计程序时,除了检查企业在制度层面应当建立信息安全相关标准中要求建立的制度和流程外,还应检查企业是否按照制度规定可靠地执行了相应的程序。在审计过程中检查企业在具体的制度执行或控制实施细节时,往往会发现企业某些控制执行不到位的情况,存在潜在的信息安全风险。例如,某企业的门禁系统权限存在漏洞:不及时禁用或删除离职人员的门禁权限,并且存放内部机密信息和个人隐私数据的区域的门禁权限没有限制为仅有相应部门岗位的人员拥有。还有较为普遍的发现是企业缺乏防窥防窃听相关的控制措施,当员工远程办公时,尤其在公共场合的情况下,没有明确的对公司信息资产的保护措施。对于这些存在信息安全风险的不符合事项,审计人员也需要结合企业整体信息安全保护的其他措施及整体情况评估控制风险,例如针对远程办公的信息安全风险,审计师可以结合企业在远程访问权限控制、防火墙配置、办公终端监控、信息加密、员工培训等方面的控制措施,统一评估后确定风险水平,并给出相应的改进建议。
而针对各企业日益频发的安全事件,我们总结了八大根因如下:
为了更好的防范安全事件,控制企业内各级别人员访问权限,尤其控制高权限人员的访问权限,同时实施完善的日志监控及密钥管理措施,是企业防患于未然的高性价比的选择。
03信息安全内部审计的未来展望
在中国,随着全球化贸易的发展,也随着信息化向各行各业进行全面渗透,国内面临的信息安全威胁日益严峻,信息保护相关法规的需求也在不断增长。因此,信息安全不仅越来越关系到经济和社会的方方面面,也逐渐成为了维护国家安全的战场之一。我国围绕信息安全问题建立起的法律体系近年来从无到有,并还在不断完善细化并落实,代表了信息安全的重要性已经被提升到了前所未有的高度,而对于内部审计师的来说,也将在相关法规完善、企业安全需求提升的过程中,承担更多的对企业信息安全管理过程中的监督职能。
此外,随着信息安全的观念越来越深入,企业对信息安全的需求必然在不久的将来从被动的满足合规要求到趋向于赋能业务安全稳步发展;信息安全建设纳入企业战略目标和规划的同时,内部审计师将更多地运用相关的测试技术与审计方法,为企业在信息化、数字化的进程中保驾护航。
董茜雯为普华永道风险与控制服务部门经理,拥有超过5年的内控流程合规审计及信息安全咨询服务经验,为国际注册信息系统审计师(CISA)、国际注册数据隐私保护工程师(CDPSE)。曾为互联网、电子商务、金融等多个行业客户提供内控流程合规审计、信息安全管理体系咨询、信息科技风险管理、安全开发咨询、信息安全体系规划等多个领域的安全咨询服务经验。对国内外网络安全标准、数据及隐私安全、ISO体系等方面拥有较为丰富的理论和实践经验。
严辰昕在普华永道风险与控制服务部门担任顾问职务,在工作中参与了多个信息安全合规审计及咨询项目,在信息安全审计、数据及隐私安全、ISO体系建设等方面积累了一定经验,并且十分
联系电话: