全球網(wǎng)絡(luò)安全審計(jì)現(xiàn)狀調(diào)研報(bào)告

曾繁榮

[摘要]網(wǎng)絡(luò)安全風(fēng)險(xiǎn)已成為幾乎所有組織面臨的風(fēng)險(xiǎn)管理挑戰(zhàn)之一，開(kāi)展網(wǎng)絡(luò)安全審計(jì)的必要性和重要性日益突出。為此，國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)（IIA）審計(jì)執(zhí)行中心、IIA研究基金會(huì)、Crowe Horwath聯(lián)合對(duì)全球內(nèi)審和網(wǎng)絡(luò)安全專業(yè)人員開(kāi)展調(diào)查，以把握網(wǎng)絡(luò)安全趨勢(shì)和網(wǎng)絡(luò)安全審計(jì)現(xiàn)狀，應(yīng)對(duì)未來(lái)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

[關(guān)鍵詞] 網(wǎng)絡(luò)安全 內(nèi)部審計(jì) 調(diào)研報(bào)告

引言

十年前，內(nèi)審職能發(fā)生演變是為了適應(yīng)信息技術(shù)（IT）在商業(yè)運(yùn)作各方面日益重要的作用。如今，內(nèi)審職能再次面臨調(diào)整，則是為了應(yīng)對(duì)與網(wǎng)絡(luò)安全相關(guān)的關(guān)鍵風(fēng)險(xiǎn)。雖然網(wǎng)絡(luò)安全起初只是公司內(nèi)部一個(gè)孤立、神秘的技術(shù)領(lǐng)域，但在短短幾年時(shí)間內(nèi)，迅速發(fā)展成為幾乎所有組織面臨的最重要的風(fēng)險(xiǎn)管理挑戰(zhàn)之一。內(nèi)審能否與這一迅速變化的風(fēng)險(xiǎn)領(lǐng)域同步？為回答這一問(wèn)題，國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)（IIA）審計(jì)執(zhí)行中心與IIA研究基金會(huì)、Crowe Horwath合作，聯(lián)合對(duì)內(nèi)審和網(wǎng)絡(luò)安全專業(yè)人員開(kāi)展調(diào)查，調(diào)查對(duì)象包括不同行業(yè)、不同規(guī)模組織、不同職位的相關(guān)人員，主要是首席審計(jì)執(zhí)行官、審計(jì)主任、高級(jí)經(jīng)理、經(jīng)理和內(nèi)審人員，了解當(dāng)前網(wǎng)絡(luò)安全政策和實(shí)踐進(jìn)展，以及內(nèi)審如何適應(yīng)網(wǎng)絡(luò)安全環(huán)境，從而幫助內(nèi)審部門(mén)通過(guò)建立關(guān)系、識(shí)別和調(diào)整角色、開(kāi)發(fā)或獲取所需的專業(yè)知識(shí)來(lái)應(yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)挑戰(zhàn)。

該調(diào)查報(bào)告分為三大部分（見(jiàn)表1），即網(wǎng)絡(luò)安全中的關(guān)系管理、網(wǎng)絡(luò)安全審計(jì)計(jì)劃的目標(biāo)、內(nèi)審在網(wǎng)絡(luò)安全中的角色。

一、網(wǎng)絡(luò)安全中的關(guān)系管理

內(nèi)審必須了解組織內(nèi)部的關(guān)系范疇，以便更好地保護(hù)組織。與組織內(nèi)的其他部門(mén)保持有效關(guān)系，始終是發(fā)揮內(nèi)審職能的關(guān)鍵。同時(shí)，內(nèi)審還必須與外部組織（如監(jiān)管機(jī)構(gòu)、行業(yè)標(biāo)準(zhǔn)制定機(jī)構(gòu)、專業(yè)組織及相關(guān)執(zhí)法機(jī)構(gòu)）建立并保持良好關(guān)系。與被審計(jì)單位的積極關(guān)系可以加快審計(jì)進(jìn)程，提高審計(jì)質(zhì)量。但內(nèi)審必須小心，不能讓這種關(guān)系損害自身的獨(dú)立性。不過(guò)，雖然獨(dú)立性必不可少，但對(duì)抗性關(guān)系也會(huì)妨礙內(nèi)審的效力。因而，要保持各種關(guān)系的適當(dāng)平衡，而決定和實(shí)現(xiàn)這種平衡的方式將因組織的不同而有所不同。在網(wǎng)絡(luò)安全方面，由于需要專業(yè)技術(shù)知識(shí)，因而實(shí)現(xiàn)適當(dāng)平衡可能會(huì)更加復(fù)雜化。

為評(píng)估內(nèi)審人員與網(wǎng)絡(luò)安全領(lǐng)域人員之間溝通的有效性，要求受訪者對(duì)內(nèi)審與4個(gè)特定部門(mén)，即IT、信息安全、風(fēng)險(xiǎn)管理和其他合規(guī)部門(mén)的合作經(jīng)驗(yàn)并按合作程度進(jìn)行評(píng)分。其中，0代表目前未對(duì)該領(lǐng)域進(jìn)行審計(jì)，或彼此之間無(wú)任何關(guān)系；1代表很少溝通或事先商量評(píng)估的責(zé)任；2代表與審計(jì)部門(mén)有正式的溝通，但僅限于評(píng)估要求；3代表溝通頻繁，超越了審計(jì)請(qǐng)求和評(píng)估的關(guān)系；4代表部門(mén)之間的溝通是優(yōu)先、頻繁的，包括分享想法和資源；5代表審計(jì)與其他部門(mén)之間有高度的信任，包括持續(xù)的優(yōu)先咨詢（盡管是獨(dú)立的合作伙伴）。調(diào)查顯示，一方面，內(nèi)審部門(mén)更可能與IT和信息安全部門(mén)進(jìn)行正式的審計(jì)和溝通，與風(fēng)險(xiǎn)管理、其他合規(guī)部門(mén)的正式審計(jì)和溝通則較少（見(jiàn)圖1）。同時(shí)，受訪者更多報(bào)告內(nèi)審與合規(guī)和風(fēng)險(xiǎn)管理部門(mén)有密切關(guān)系。另一方面，內(nèi)審與IT和信息安全部門(mén)保持資源共享及高度信任關(guān)系的占比最低，這說(shuō)明內(nèi)審部門(mén)與IT和信息安全部門(mén)之間的關(guān)系仍然存在實(shí)質(zhì)性障礙。

（一）信息技術(shù)

審計(jì)與信息技術(shù)部門(mén)之間的良好關(guān)系對(duì)于保障網(wǎng)絡(luò)安全很重要。這種關(guān)系可以為解決網(wǎng)絡(luò)風(fēng)險(xiǎn)提供良好基礎(chǔ)，而這需要各部門(mén)之間更多的協(xié)作。通過(guò)協(xié)作，內(nèi)審和IT團(tuán)隊(duì)可以通過(guò)聯(lián)合評(píng)估以更清楚地了解組織風(fēng)險(xiǎn)和業(yè)務(wù)目標(biāo)。但審計(jì)和IT團(tuán)隊(duì)之間的關(guān)系在許多組織中并不是完全協(xié)作的，這既可能源于IT團(tuán)隊(duì)成員對(duì)其構(gòu)建的工具、系統(tǒng)和流程具有天生的優(yōu)越感，也可能是IT審計(jì)師對(duì)網(wǎng)絡(luò)安全特征不甚了解，從而使IT部門(mén)對(duì)內(nèi)審部門(mén)缺乏信任感。調(diào)查顯示，93%的內(nèi)審部門(mén)與IT建立了工作關(guān)系，但僅28%的內(nèi)審部門(mén)與IT部門(mén)有協(xié)作關(guān)系。

（二）信息安全

除了IT功能外，信息安全部門(mén)通常還要承擔(dān)評(píng)估整個(gè)組織風(fēng)險(xiǎn)的重大責(zé)任。雖然信息安全部門(mén)和IT部門(mén)有時(shí)合署辦公，有時(shí)單獨(dú)運(yùn)行，但事實(shí)上，越來(lái)越多的監(jiān)管機(jī)構(gòu)開(kāi)始要求將這兩項(xiàng)職能分開(kāi)。

網(wǎng)絡(luò)安全通常被視為更廣泛信息安全功能的一個(gè)子集，它涉及許多靠技術(shù)以外因素驅(qū)動(dòng)的領(lǐng)域。在一個(gè)擁有無(wú)限資源的理想世界中，應(yīng)將信息安全職能和網(wǎng)絡(luò)安全職能區(qū)分開(kāi)來(lái)。但現(xiàn)實(shí)中，兩者經(jīng)常存在較大重疊，信息安全部門(mén)通常關(guān)注涉及履行網(wǎng)絡(luò)安全職責(zé)的事項(xiàng)。此外，許多組織將部分網(wǎng)絡(luò)安全計(jì)劃外包給第三方供應(yīng)商，包括托管安全服務(wù)提供商（MSSPs）和滲透測(cè)試提供商。內(nèi)審審查這些第三方提供的服務(wù)至關(guān)重要，這意味著審計(jì)必須首先了解這些服務(wù)的目標(biāo)、范圍和結(jié)果，以確定這些服務(wù)是否滿足預(yù)期、是否防控了相關(guān)風(fēng)險(xiǎn)并為組織提供了價(jià)值。

調(diào)查顯示，87%的內(nèi)審部門(mén)與信息安全部門(mén)建立了工作關(guān)系，但僅26%的內(nèi)審部門(mén)與信息安全部門(mén)有合作關(guān)系。該結(jié)果與IT部門(mén)的調(diào)查結(jié)果相似，而且是預(yù)料之中的，因?yàn)镮T部門(mén)和信息安全部門(mén)的職責(zé)通常是重疊的。

信息安全部門(mén)與內(nèi)審部門(mén)的關(guān)系相較于其他部門(mén)通常更強(qiáng)、更積極，因?yàn)樾畔踩块T(mén)更關(guān)注風(fēng)險(xiǎn)的監(jiān)測(cè)，而更少關(guān)注運(yùn)行的基礎(chǔ)設(shè)施或維護(hù)訪問(wèn)的能力。因此，信息安全團(tuán)隊(duì)能更直觀地理解內(nèi)審的功能和價(jià)值。當(dāng)審計(jì)團(tuán)隊(duì)試圖構(gòu)建其功能時(shí)，信息安全團(tuán)隊(duì)可以幫助審計(jì)團(tuán)隊(duì)獲得對(duì)IT基礎(chǔ)結(jié)構(gòu)所面臨風(fēng)險(xiǎn)的更廣闊視角。

內(nèi)審、信息安全和網(wǎng)絡(luò)安全等團(tuán)隊(duì)?wèi)?yīng)采取積極措施來(lái)加強(qiáng)彼此之間的關(guān)系，如共同贊助聯(lián)合研究項(xiàng)目或共同主辦與網(wǎng)絡(luò)安全有關(guān)的培訓(xùn)課程。此類活動(dòng)除了能提高亟需的技術(shù)專業(yè)知識(shí)以及對(duì)網(wǎng)絡(luò)安全問(wèn)題的全面認(rèn)識(shí)，還有助于最直接參與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的個(gè)人之間建立更密切的私人和專業(yè)關(guān)系。而影響這種關(guān)系的一個(gè)復(fù)雜因素是內(nèi)審人員必須保持必要的獨(dú)立性。例如，IT審計(jì)人員通常必須使用外部安全框架（如銀行法規(guī)）作為審計(jì)的基線。當(dāng)發(fā)現(xiàn)重要問(wèn)題時(shí)，審計(jì)人員必須將此問(wèn)題報(bào)告給首席信息安全官（CISO）和信息安全部門(mén)。此時(shí)，無(wú)論IT審計(jì)師和CISO多么希望維持積極關(guān)系，都難以一直維持協(xié)作的和諧關(guān)系。

（三）信息風(fēng)險(xiǎn)管理

信息安全的核心是理解、管理和減輕風(fēng)險(xiǎn)的過(guò)程。對(duì)這種風(fēng)險(xiǎn)的關(guān)注可以幫助組織內(nèi)部的風(fēng)險(xiǎn)管理團(tuán)隊(duì)與信息安全和內(nèi)審團(tuán)隊(duì)建立關(guān)鍵性關(guān)系。此外，風(fēng)險(xiǎn)管理部門(mén)應(yīng)追蹤人員、流程和技術(shù)控制的演變，以幫助緩解和控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，這一點(diǎn)至關(guān)重要。與組織的所有其他領(lǐng)域一樣，審計(jì)必須識(shí)別程序并審查風(fēng)險(xiǎn)管理，確保將網(wǎng)絡(luò)安全納入組織的企業(yè)風(fēng)險(xiǎn)管理框架之中。

內(nèi)審團(tuán)隊(duì)?wèi)?yīng)積極參與操作風(fēng)險(xiǎn)和業(yè)務(wù)風(fēng)險(xiǎn)等風(fēng)險(xiǎn)管理過(guò)程，與首席風(fēng)險(xiǎn)官等各類參與者密切合作。調(diào)查顯示，72%的內(nèi)審部門(mén)與風(fēng)險(xiǎn)管理部門(mén)建立了工作關(guān)系，而這是所有被調(diào)查部門(mén)中比例最低的，1/4以上的內(nèi)審部門(mén)未與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理部門(mén)合作。內(nèi)審有責(zé)任開(kāi)展有意識(shí)的宣傳普及工作，使組織認(rèn)識(shí)到網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理事關(guān)企業(yè)治理及風(fēng)險(xiǎn)控制。

（四）合規(guī)和其他團(tuán)隊(duì)

網(wǎng)絡(luò)安全計(jì)劃要想有效發(fā)揮作用，還必須得到合規(guī)和其他團(tuán)隊(duì)的支持。在有些組織中，災(zāi)難恢復(fù)、業(yè)務(wù)連續(xù)性規(guī)劃、事件響應(yīng)、法律和合規(guī)團(tuán)隊(duì)都是網(wǎng)絡(luò)安全工作中的關(guān)鍵角色。

內(nèi)審團(tuán)隊(duì)已認(rèn)識(shí)到眾多相關(guān)參與者的重要性，因而必須與這些團(tuán)隊(duì)合作，評(píng)估其對(duì)風(fēng)險(xiǎn)的理解及在網(wǎng)絡(luò)安全方面扮演的角色。調(diào)查顯示，受訪者認(rèn)為合規(guī)性是一種協(xié)作關(guān)系的比例最高（42%），這表明企業(yè)將網(wǎng)絡(luò)安全合規(guī)視為一個(gè)目標(biāo)，這是全面風(fēng)險(xiǎn)管理敞口的短視做法。

由于內(nèi)審旨在吸引、保留和培養(yǎng)具有網(wǎng)絡(luò)安全技能和專業(yè)知識(shí)的個(gè)人，因此必須與其他團(tuán)隊(duì)密切合作，以制定和理解適當(dāng)?shù)牧鞒毯蜆?biāo)準(zhǔn)。在與其他團(tuán)隊(duì)合作時(shí)，內(nèi)審還必須在學(xué)習(xí)和發(fā)展與保持獨(dú)立性的需求之間保持平衡。最重要的是，所有團(tuán)隊(duì)都要朝著同一個(gè)目標(biāo)努力，即組織的最終成功。

二、網(wǎng)絡(luò)安全審計(jì)計(jì)劃的目標(biāo)

隨著備受矚目的黑客攻擊事件的持續(xù)，要求內(nèi)審將重點(diǎn)放在網(wǎng)絡(luò)安全上。內(nèi)審部門(mén)面臨著提高評(píng)估組織數(shù)據(jù)和信息安全程序、個(gè)人技術(shù)控制能力的挑戰(zhàn)。在應(yīng)對(duì)挑戰(zhàn)時(shí)，有必要認(rèn)識(shí)與關(guān)注三道防線模型的持續(xù)發(fā)展，明確界定網(wǎng)絡(luò)安全審計(jì)計(jì)劃的廣義目標(biāo)以及圍繞目標(biāo)必須開(kāi)展的審計(jì)活動(dòng)。

（一）三道防線

IT、信息安全和內(nèi)審團(tuán)隊(duì)都在保護(hù)組織免受網(wǎng)絡(luò)風(fēng)險(xiǎn)的攻擊。盡管傳統(tǒng)的三道防線風(fēng)險(xiǎn)管理模型為每一種功能確定了角色，但許多組織這些部門(mén)之間（以及許多其他部門(mén)之間）的功能界限正變得日益模糊，因而有必要重新評(píng)估如何更有效地應(yīng)用該模型。

其中，第一道防線由業(yè)務(wù)流程所有者和管理層組成。對(duì)于網(wǎng)絡(luò)安全而言，它包括組織內(nèi)部的業(yè)務(wù)條線、雇員以及IT（IT負(fù)責(zé)風(fēng)險(xiǎn)所在地的數(shù)據(jù)基礎(chǔ)設(shè)施、系統(tǒng)和流程）。第二道防線（即風(fēng)險(xiǎn)管理過(guò)程的實(shí)際執(zhí)行）是信息安全部門(mén)的職責(zé)。信息安全團(tuán)隊(duì)要么安裝監(jiān)視控件來(lái)檢測(cè)惡意活動(dòng)，要么雇傭第三方供應(yīng)商來(lái)執(zhí)行此功能。當(dāng)檢測(cè)到攻擊時(shí)，信息安全團(tuán)隊(duì)還要有效響應(yīng)。但在許多組織中（尤其是未專門(mén)設(shè)立信息安全部門(mén)的組織），是由IT部門(mén)來(lái)負(fù)責(zé)信息安全監(jiān)控和響應(yīng)的。作為第三道防線，內(nèi)審負(fù)責(zé)驗(yàn)證網(wǎng)絡(luò)安全工作是否基于風(fēng)險(xiǎn)、正確識(shí)別風(fēng)險(xiǎn)并確定其優(yōu)先級(jí)，是否收集正確的信息并規(guī)定適當(dāng)?shù)捻憫?yīng)程度。但現(xiàn)實(shí)是，內(nèi)審在評(píng)估現(xiàn)有規(guī)劃時(shí)往往缺乏資源和背景，從而使許多內(nèi)審部門(mén)尋求網(wǎng)絡(luò)安全專業(yè)人士和外部供應(yīng)商來(lái)評(píng)估其網(wǎng)絡(luò)安全計(jì)劃，這些評(píng)估包括道德黑客、專業(yè)評(píng)估、風(fēng)險(xiǎn)評(píng)估和信息安全治理。當(dāng)然，這些評(píng)估也可由第二道防線來(lái)完成。

雖然三道防線的模糊性區(qū)分不一定準(zhǔn)確，但在許多情況下，內(nèi)審部門(mén)有責(zé)任更明智地制定網(wǎng)絡(luò)審計(jì)計(jì)劃，以盡量減少冗余和重復(fù)，并盡可能減少漏洞或疏忽。所有相關(guān)部門(mén)之間的關(guān)系至關(guān)重要，各道防線之間更好的協(xié)作（尤其是第二和第三道防線）能在減少重疊的同時(shí)，更清楚地描述誰(shuí)負(fù)責(zé)哪項(xiàng)關(guān)鍵職責(zé)。

（二）超越合規(guī)性

經(jīng)常令組織感到困惑的一個(gè)問(wèn)題是如何將組織的網(wǎng)絡(luò)安全審計(jì)計(jì)劃整合進(jìn)全面風(fēng)險(xiǎn)管理框架之中。例如，美國(guó)聯(lián)邦金融機(jī)構(gòu)審查委員會(huì)（FFIEC）在2014年發(fā)布網(wǎng)絡(luò)安全評(píng)估工具（CAT）時(shí)，許多銀行最初難以理解文件中列出的400多項(xiàng)個(gè)人控件。實(shí)際上，該工具概述了五個(gè)領(lǐng)域內(nèi)識(shí)別組織固有風(fēng)險(xiǎn)的全面流程，并提供了評(píng)估管理層認(rèn)為可接受的當(dāng)前與期望的網(wǎng)絡(luò)安全成熟度水平的方法，而那些將FFIEC評(píng)估作為合規(guī)性功能的組織往往難以在五個(gè)領(lǐng)域達(dá)到他們期望的成熟度水平。事實(shí)上，雖然這類工具用于檢查控件清單是否符合相關(guān)框架，但其目標(biāo)并不只在于合規(guī)性。相反，他們尋求在各種風(fēng)險(xiǎn)組件中建立適當(dāng)級(jí)別的網(wǎng)絡(luò)安全水平，因此，需要采取更加細(xì)致入微的方法，使董事會(huì)和高級(jí)管理團(tuán)隊(duì)在每個(gè)特定關(guān)注領(lǐng)域確定組織可接受的風(fēng)險(xiǎn)水平。

（三）預(yù)防、檢測(cè)和響應(yīng)的三階段戰(zhàn)略

多年網(wǎng)絡(luò)安全實(shí)踐證明，盡管許多網(wǎng)絡(luò)攻擊可以被挫敗，但不可能阻止所有攻擊，因而專業(yè)人士認(rèn)為“這不是網(wǎng)絡(luò)是否受到攻擊的問(wèn)題，而是何時(shí)受到攻擊的問(wèn)題”。這種認(rèn)識(shí)使得由預(yù)防、檢測(cè)和響應(yīng)組成的三階段防御戰(zhàn)略得到逐步發(fā)展與廣泛接受。IT和信息安全部門(mén)在盡最大努力防止絕大多數(shù)攻擊的同時(shí)，也應(yīng)該檢測(cè)到那些難以阻止的攻擊。但組織并非能預(yù)防或立即發(fā)現(xiàn)每一次攻擊，因此應(yīng)制定事故反應(yīng)計(jì)劃，以減輕關(guān)鍵數(shù)據(jù)丟失或損壞造成的損害，并加速恢復(fù)正常業(yè)務(wù)。

雖然內(nèi)審在以上三個(gè)階段戰(zhàn)略中的作用以往主要集中在預(yù)防領(lǐng)域，但業(yè)內(nèi)表現(xiàn)最好的公司將努力擴(kuò)大審計(jì)范圍，以審查、檢測(cè)和響應(yīng)相關(guān)的網(wǎng)絡(luò)安全能力。在這三個(gè)階段中，審計(jì)必須做好評(píng)估現(xiàn)有控制有效性工作。

調(diào)查顯示，預(yù)防性控制不僅是最常見(jiàn)的，而且將其用于測(cè)試的比率也最高。隨著網(wǎng)絡(luò)安全的發(fā)展，檢測(cè)和響應(yīng)的能力將與防止相關(guān)攻擊的控制同樣重要。此外，多數(shù)組織至少對(duì)其網(wǎng)絡(luò)安全進(jìn)行了基礎(chǔ)性審計(jì)，并仍有較大的發(fā)展空間（見(jiàn)圖2）。

（四）專業(yè)的網(wǎng)絡(luò)評(píng)估

盡管網(wǎng)絡(luò)安全審計(jì)的方法與內(nèi)審開(kāi)展的其他評(píng)估類似，但網(wǎng)絡(luò)評(píng)估需要深入了解相關(guān)的應(yīng)用、系統(tǒng)和技術(shù)。這些專業(yè)性評(píng)估均注重支持性技術(shù)（如網(wǎng)絡(luò)路由器和防火墻、服務(wù)器和工作站以及應(yīng)用開(kāi)發(fā)環(huán)境）和應(yīng)用本身。

開(kāi)展此類評(píng)估的責(zé)任與能力因組織而異，因而信息安全部門(mén)和內(nèi)審部門(mén)要在組織認(rèn)可的風(fēng)險(xiǎn)承受力水平基礎(chǔ)上，就評(píng)估人員和評(píng)估頻率進(jìn)行協(xié)作。

內(nèi)審應(yīng)針對(duì)網(wǎng)絡(luò)安全問(wèn)題開(kāi)展廣泛的專業(yè)評(píng)估，而兩類評(píng)估經(jīng)常被誤解：第一是脆弱性評(píng)估。通常使用自動(dòng)化工具來(lái)掃描所有系統(tǒng)以及正在運(yùn)行的相關(guān)應(yīng)用和服務(wù)，以識(shí)別諸如丟失補(bǔ)丁、默認(rèn)密碼和已知漏洞等問(wèn)題。第二是滲透測(cè)試。通過(guò)識(shí)別漏洞并將其組合（或鏈接），以獲得未經(jīng)授權(quán)的信息訪問(wèn)權(quán)或管理控制，來(lái)模擬真實(shí)的攻擊者試圖訪問(wèn)系統(tǒng)和數(shù)據(jù)。與脆弱性評(píng)估不同，滲透測(cè)試考慮了人為因素。

每個(gè)組織最終都是基于風(fēng)險(xiǎn)評(píng)估和IT基礎(chǔ)架構(gòu)來(lái)確定哪種評(píng)估或評(píng)估組合最適合其信息安全戰(zhàn)略。對(duì)于完備的脆弱性管理計(jì)劃，有必要結(jié)合使用以上兩類評(píng)估。雖然信息安全或IT團(tuán)隊(duì)通常會(huì)推動(dòng)此計(jì)劃的實(shí)施，內(nèi)審部門(mén)仍有必要審核該計(jì)劃的范圍、評(píng)估和結(jié)果。

每個(gè)組織應(yīng)自行決定審計(jì)是否具有成本效益，有無(wú)必要在組織內(nèi)部培養(yǎng)開(kāi)展這些評(píng)估的技術(shù)能力。雖然評(píng)估資源和必要的能力可能很昂貴，但對(duì)于大型組織而言，由于需要不斷測(cè)試網(wǎng)絡(luò)安全，內(nèi)部培養(yǎng)評(píng)估能力也是可取的。對(duì)于許多其他中小組織而言，外部供應(yīng)商可以更經(jīng)濟(jì)有效地執(zhí)行這些評(píng)估。為此，CAE需要在這一領(lǐng)域做出明智的決定，以確定在何種情況下以及何時(shí)開(kāi)發(fā)內(nèi)部能力是有意義的。若將此功能外包出去，內(nèi)審的相關(guān)評(píng)估仍然很重要，包括審查供應(yīng)商的選擇和資格認(rèn)證。

三、內(nèi)審在網(wǎng)絡(luò)安全中的角色

毫無(wú)疑問(wèn)，在當(dāng)今數(shù)據(jù)驅(qū)動(dòng)型經(jīng)濟(jì)中，IT扮演著更重要的角色，這是近幾十年來(lái)最重要的商業(yè)趨勢(shì)之一。與所有其他行業(yè)一樣，內(nèi)審面臨的挑戰(zhàn)是既要跟上形勢(shì)，又要提升其在保護(hù)組織關(guān)鍵業(yè)務(wù)信息安全和網(wǎng)絡(luò)可用性方面的作用。

調(diào)查顯示，內(nèi)審功能轉(zhuǎn)型既反映了這種不斷提高的適應(yīng)性，也表明內(nèi)審在IT和信息安全總體戰(zhàn)略（尤其是網(wǎng)絡(luò)安全）方面仍然有很大空間，能夠發(fā)揮更積極的作用。例如，僅20%的受訪者表示，組織在設(shè)計(jì)和策劃大型IT項(xiàng)目時(shí)曾咨詢過(guò)審計(jì)團(tuán)隊(duì)的意見(jiàn)，并且內(nèi)審在項(xiàng)目推進(jìn)過(guò)程中仍然持續(xù)地積極參與。多數(shù)受訪者表示，內(nèi)審在IT項(xiàng)目中僅起咨詢作用或作用更低，50%的組織表示內(nèi)審沒(méi)有參與到項(xiàng)目中或很少參與、參與有限（見(jiàn)圖3）。

同樣，52%的受訪者認(rèn)為，內(nèi)審部門(mén)是其組織項(xiàng)目或IT治理委員會(huì)的成員。這表明內(nèi)審必須繼續(xù)展示其可以提供增值服務(wù)、可以幫助組織更有效地管理與IT計(jì)劃相關(guān)的風(fēng)險(xiǎn)。就網(wǎng)絡(luò)安全問(wèn)題而言，董事會(huì)層面的關(guān)注度高于其他層面，但僅39%的受訪者認(rèn)為，他們的內(nèi)審部門(mén)在向董事會(huì)或?qū)徲?jì)委員會(huì)報(bào)告網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和趨勢(shì)時(shí)，超越了標(biāo)準(zhǔn)的審計(jì)報(bào)告要求。隨著對(duì)網(wǎng)絡(luò)安全問(wèn)題關(guān)注的持續(xù)增長(zhǎng)，內(nèi)部審計(jì)應(yīng)該發(fā)揮更積極主動(dòng)的作用，對(duì)這一快速增長(zhǎng)的風(fēng)險(xiǎn)領(lǐng)域開(kāi)展評(píng)估和管理。

（一）網(wǎng)絡(luò)安全框架

內(nèi)審部門(mén)在制定網(wǎng)絡(luò)安全審計(jì)計(jì)劃時(shí)，首先要采取的步驟之一是完全了解組織所使用的網(wǎng)絡(luò)安全框架。選擇該框架是一項(xiàng)管理決策，通常由IT和信息安全高管來(lái)決定，它規(guī)定了內(nèi)審的審計(jì)標(biāo)準(zhǔn)。因此，網(wǎng)絡(luò)安全框架是推動(dòng)審計(jì)計(jì)劃發(fā)展的一個(gè)關(guān)鍵因素。

所有這些框架旨在為組織提供一種管理網(wǎng)絡(luò)安全系統(tǒng)的方法，并幫助所有相關(guān)方建立共同的語(yǔ)言和術(shù)語(yǔ)。出于這些原因，所選的審計(jì)標(biāo)準(zhǔn)還為審計(jì)團(tuán)隊(duì)提供了一種實(shí)用的方法。許多特定的框架專門(mén)針對(duì)某些行業(yè)和控制環(huán)境而定制。在確定使用哪個(gè)框架時(shí)，審計(jì)團(tuán)隊(duì)除了要考慮每個(gè)框架的優(yōu)缺點(diǎn)之外，還必須考慮特定行業(yè)標(biāo)準(zhǔn)、監(jiān)管機(jī)構(gòu)指導(dǎo)和法律要求。一些組織廣泛使用的網(wǎng)絡(luò)安全框架見(jiàn)表2。同時(shí)，調(diào)查顯示，近1/4的組織沒(méi)有利用網(wǎng)絡(luò)安全框架來(lái)定義其網(wǎng)絡(luò)安全策略。而在使用網(wǎng)絡(luò)安全框架的組織中，NIST是最常用的框架，有37%的受訪者使用；其次是COBIT 5和ISO/IEC 27001，使用者分別占13%和11%（見(jiàn)圖4）。

（二）內(nèi)部審計(jì)即將發(fā)生的變化

雖然許多內(nèi)審部門(mén)將多數(shù)日常IT審計(jì)外包出去，但是內(nèi)部遷移這些功能的趨勢(shì)也很明顯。隨著內(nèi)審部門(mén)開(kāi)始開(kāi)發(fā)網(wǎng)絡(luò)安全方面的能力，其今后所面臨的許多挑戰(zhàn)將與當(dāng)初新增IT審計(jì)職能時(shí)所面臨的挑戰(zhàn)類似。

與任何IT審計(jì)功能一樣，開(kāi)始轉(zhuǎn)向網(wǎng)絡(luò)安全審計(jì)時(shí)，可能首先選擇不需要大量技術(shù)培訓(xùn)的領(lǐng)域，如政策和程序、系統(tǒng)備份、指定框架的合規(guī)性等方面。工作站的變更、補(bǔ)丁管理和審計(jì)同樣與網(wǎng)絡(luò)安全相關(guān)，且短期內(nèi)所需的培訓(xùn)可能最少，從而便于組織將它們納入內(nèi)審計(jì)劃。

除了這些廣泛的趨勢(shì)之外，許多組織出現(xiàn)了一些其他的直接機(jī)會(huì)，如內(nèi)審部門(mén)開(kāi)始更深入地了解應(yīng)用控件。在許多情況下，應(yīng)用控件的審計(jì)主要是由某種合規(guī)性需求驅(qū)動(dòng)。而對(duì)于更深入的應(yīng)用控制檢查，審計(jì)人員的注意力將特別集中在輸入控制、數(shù)據(jù)處理功能、輸出控制和訪問(wèn)管理等領(lǐng)域。隨著網(wǎng)絡(luò)安全日益成為關(guān)注焦點(diǎn)，擁有自主開(kāi)發(fā)、定制或其他非標(biāo)準(zhǔn)應(yīng)用等更先進(jìn)技術(shù)技能的審計(jì)人員將在識(shí)別風(fēng)險(xiǎn)方面發(fā)揮重要作用。

另一個(gè)預(yù)期變化領(lǐng)域是業(yè)務(wù)連續(xù)性計(jì)劃，特別是災(zāi)難恢復(fù)計(jì)劃。雖然IT審計(jì)師在這些領(lǐng)域的大部分活動(dòng)是由標(biāo)準(zhǔn)化的工作計(jì)劃和行業(yè)公認(rèn)的框架所驅(qū)動(dòng)，但可能會(huì)逐漸演變?yōu)閰f(xié)作性、風(fēng)險(xiǎn)性驅(qū)動(dòng)的工作。多數(shù)災(zāi)難恢復(fù)計(jì)劃都是從運(yùn)營(yíng)角度編寫(xiě)，重點(diǎn)是恢復(fù)生產(chǎn)或其他關(guān)鍵業(yè)務(wù)流程。在未來(lái)更注重網(wǎng)絡(luò)安全的審計(jì)中，內(nèi)審將涵蓋安全問(wèn)題，并突出在新環(huán)境中識(shí)別以往未被識(shí)別到的安全問(wèn)題以恢復(fù)運(yùn)營(yíng)能力。

目前，許多內(nèi)審部門(mén)在集中精力提高其團(tuán)隊(duì)審查政策和程序、確認(rèn)業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)文檔以及執(zhí)行合規(guī)性任務(wù)方面的技能，而中期目標(biāo)是通過(guò)留住和培訓(xùn)現(xiàn)有專業(yè)技術(shù)人員來(lái)提高其專業(yè)能力，以解決今后的網(wǎng)絡(luò)安全問(wèn)題。

（三）未來(lái)的技能需求

為進(jìn)一步開(kāi)展網(wǎng)絡(luò)安全評(píng)估，內(nèi)審尤其需要在以下三個(gè)領(lǐng)域開(kāi)發(fā)或獲得專業(yè)知識(shí)：一是系統(tǒng)管理。內(nèi)審應(yīng)該擁有包括對(duì)服務(wù)器、應(yīng)用、數(shù)據(jù)庫(kù)平臺(tái)和其他易受網(wǎng)絡(luò)安全威脅的技術(shù)理解方面專長(zhǎng)的人，若不了解這些系統(tǒng)的配置，審計(jì)這些系統(tǒng)將日益困難。二是網(wǎng)絡(luò)設(shè)計(jì)與配置。內(nèi)審應(yīng)擁有具備各種網(wǎng)絡(luò)設(shè)計(jì)（包括數(shù)據(jù)和聲音）專業(yè)知識(shí)的人。許多關(guān)鍵的保護(hù)和檢測(cè)組件已成為網(wǎng)絡(luò)的一部分，包括防火墻和訪問(wèn)控制列表（ACLs）、入侵檢測(cè)系統(tǒng)（IDSs）和網(wǎng)絡(luò)訪問(wèn)控制（NAC）解決方案。三是軟件開(kāi)發(fā)。雖然內(nèi)審部門(mén)不需要很多會(huì)編寫(xiě)代碼的人，但得到熟悉軟件開(kāi)發(fā)平臺(tái)和語(yǔ)言開(kāi)發(fā)者的協(xié)作也很重要。

調(diào)查對(duì)CAEs或?qū)徲?jì)主任進(jìn)行了采訪，要求對(duì)組織內(nèi)審團(tuán)隊(duì)以上三個(gè)領(lǐng)域的總體技術(shù)水平進(jìn)行評(píng)分。其中，具體的技術(shù)需求分別是：Microsoft Windows和Microsoft Active Director軟件、UNIX和Linux、網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)（如思科、帕洛阿爾托網(wǎng)絡(luò)）、數(shù)據(jù)庫(kù)管理（如Microsoft SQL Server、Oracle、MySQL數(shù)據(jù)庫(kù)）、安全信息和事件管理（SIEM）、電話和語(yǔ)音互聯(lián)網(wǎng)協(xié)議（VoIP）、軟件開(kāi)發(fā)、IT治理和風(fēng)險(xiǎn)、滲透測(cè)試。技能水平的判斷標(biāo)準(zhǔn)如下：新手——了解基本的網(wǎng)絡(luò)、系統(tǒng)和網(wǎng)絡(luò)安全概念；中級(jí)——較深入地了解網(wǎng)絡(luò)、系統(tǒng)管理、網(wǎng)絡(luò)監(jiān)控和滲透測(cè)試方面的知識(shí)，理解這些系統(tǒng)的工作原理以及如何管理工作進(jìn)程。高級(jí)——深入了解IT和InfoSec系統(tǒng)知識(shí)，具備網(wǎng)絡(luò)安全或IT方面的實(shí)際經(jīng)驗(yàn)。

調(diào)查顯示，受訪者對(duì)其審計(jì)團(tuán)隊(duì)在解決方案（如Microsoft Windows和Active Directory軟件、SIEM產(chǎn)品、IT治理和風(fēng)險(xiǎn)）方面的能力更有信心，對(duì)其他領(lǐng)域則缺乏信心，尤其是網(wǎng)絡(luò)設(shè)計(jì)和UNIX/Linux技能方面最為明顯，因?yàn)?4%的受訪者認(rèn)為他們的審計(jì)團(tuán)隊(duì)在這方面只有新手級(jí)別的技能。技能差距在另外兩個(gè)關(guān)鍵領(lǐng)域也很明顯，分別有57%和65%的受訪者在滲透測(cè)試和電話/VoIP方面只有新手級(jí)別的技能。此外，盡管擁有不同技能的比例有差異，但很少有企業(yè)認(rèn)為內(nèi)審團(tuán)隊(duì)?wèi)?yīng)在所有領(lǐng)域都擁有高級(jí)技能。這一調(diào)查突出了那些試圖制定關(guān)鍵技術(shù)工作計(jì)劃和控制的組織所存在的關(guān)鍵差距。

當(dāng)審計(jì)高管被問(wèn)及他們未來(lái)的招聘計(jì)劃時(shí)，52%希望在未來(lái)三年內(nèi)雇傭具有IT治理和風(fēng)險(xiǎn)專業(yè)知識(shí)的人員，但也有意回避那些技術(shù)性很強(qiáng)的領(lǐng)域（如UNIX / Linux，VoIP，軟件開(kāi)發(fā)和網(wǎng)絡(luò)），因?yàn)樗麄兏Ｍ蕾嚨谌浇鉀Q這些問(wèn)題。現(xiàn)有技術(shù)水平與未來(lái)招聘計(jì)劃之間的明顯差異表明，盡管業(yè)界預(yù)計(jì)網(wǎng)絡(luò)安全審計(jì)職責(zé)將擴(kuò)張，但許多內(nèi)審高管尚未評(píng)估自身能力。此外，必要的技術(shù)技能在不斷增長(zhǎng)和變化，未來(lái)的需求很可能包括人工智能、區(qū)塊鏈技術(shù)、量子計(jì)算機(jī)，甚至那些尚未被識(shí)別、命名或定義的專業(yè)學(xué)科。

（四）尋找和留住人才

鑒于如此渴望新技能，合乎邏輯的問(wèn)題是：內(nèi)審如何才能找到或培養(yǎng)所需要的熟練技術(shù)人才？同樣重要的是，一旦有了技術(shù)人才，如何留住他們？在更高層次上，審計(jì)部門(mén)還必須探索如何使審計(jì)專業(yè)人員進(jìn)一步參與到技術(shù)性工作中，在不損害其獨(dú)立性的情況下提供技術(shù)設(shè)計(jì)的洞察力。

有兩個(gè)潛在的因素使這些問(wèn)題的答案復(fù)雜化：一是對(duì)有關(guān)專業(yè)技能的持續(xù)高需求；二是驅(qū)動(dòng)許多網(wǎng)絡(luò)專業(yè)人士進(jìn)入內(nèi)審領(lǐng)域的職業(yè)動(dòng)機(jī)并不相同，如他們希望從事具有挑戰(zhàn)性、涉及新技術(shù)和新概念的多樣化項(xiàng)目。

更重要的是，網(wǎng)絡(luò)安全就業(yè)市場(chǎng)的高度競(jìng)爭(zhēng)性，讓最有才華的求職者在選擇下一個(gè)機(jī)會(huì)時(shí)變得相當(dāng)挑剔。最受歡迎的人才不僅受到薪酬和福利的驅(qū)動(dòng)，還受保持專業(yè)領(lǐng)先地位的機(jī)會(huì)驅(qū)動(dòng)，并面臨一系列快速變化的技術(shù)和專業(yè)挑戰(zhàn)。這樣的員工可能覺(jué)得內(nèi)審職責(zé)會(huì)限制其才能的發(fā)揮，或許更容易被研究、安全、IT或創(chuàng)業(yè)組織的工作環(huán)境所吸引。盡管近年來(lái)對(duì)網(wǎng)絡(luò)安全專業(yè)人士的需求略有下降，但仍處于較高水平。這種需求使得很難在內(nèi)審部門(mén)預(yù)算約束下提供有競(jìng)爭(zhēng)力的薪金和福利，特別是小型組織。而在大型需要專門(mén)組建信息安全團(tuán)隊(duì)的組織中，表現(xiàn)最好的人才自然會(huì)被其功能所吸引。但他們可能會(huì)發(fā)現(xiàn)，內(nèi)審很難與這些職位所承諾的智力挑戰(zhàn)相競(jìng)爭(zhēng)。

事實(shí)證明，在培養(yǎng)有效的網(wǎng)絡(luò)安全審計(jì)能力所需的人才方面，還有兩種策略是有用的。第一，審查內(nèi)審團(tuán)隊(duì)已有人才，特別是那些以往或當(dāng)前從事IT審計(jì)工作的人。大量實(shí)例表明，高績(jī)效的IT審計(jì)人員渴望向網(wǎng)絡(luò)安全專業(yè)轉(zhuǎn)型。這些候選人不僅了解公司，還有一個(gè)額外優(yōu)勢(shì)，即他們已經(jīng)對(duì)風(fēng)險(xiǎn)和審計(jì)能力有所了解，這些能力可以很容易地應(yīng)用于網(wǎng)絡(luò)安全審計(jì)。在許多情況下，從系統(tǒng)技術(shù)遷移到網(wǎng)絡(luò)安全技術(shù)所需的技術(shù)培訓(xùn)并不難獲得。此外，隨著規(guī)模較小的審計(jì)團(tuán)隊(duì)開(kāi)始使用內(nèi)部IT審計(jì)功能（通過(guò)培訓(xùn)或招聘），可以將網(wǎng)絡(luò)安全基礎(chǔ)納入變更管理、訪問(wèn)控制、IT操作和災(zāi)難恢復(fù)等領(lǐng)域，從而減少對(duì)外包資源的依賴。第二，注重關(guān)系管理。雖然要保持內(nèi)審的獨(dú)立性和客觀性，但與IT和信息安全部門(mén)建立相互合作的工作關(guān)系，可以使審計(jì)人員間接地獲得技術(shù)能力。

結(jié)論

內(nèi)審在驗(yàn)證網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理有效性方面的責(zé)任日益增長(zhǎng)。本調(diào)查報(bào)告提供了一個(gè)有價(jià)值的當(dāng)前職業(yè)狀態(tài)的快照以及潛在的未來(lái)路線圖。調(diào)查顯示，在提高利益相關(guān)者（包括IT、信息安全和廣泛的風(fēng)險(xiǎn)管理部門(mén)）之間的協(xié)作和支持水平方面仍有許多改進(jìn)空間。同時(shí)，內(nèi)審在解決網(wǎng)絡(luò)安全問(wèn)題方面不斷增強(qiáng)的責(zé)任意味著審計(jì)專業(yè)人員必須清楚地了解數(shù)據(jù)安全原則和適用其組織的網(wǎng)絡(luò)框架。鑒于對(duì)網(wǎng)絡(luò)安全相關(guān)的技術(shù)專業(yè)知識(shí)和經(jīng)驗(yàn)的需求不斷增長(zhǎng)，審計(jì)主管不僅需要持續(xù)開(kāi)發(fā)創(chuàng)造性的方法，以必要的技能吸引和留住人才，同時(shí)還要加強(qiáng)與組織其他部門(mén)的聯(lián)系，以獲得有價(jià)值的指導(dǎo)和支持。

本調(diào)查報(bào)告洞見(jiàn)了內(nèi)審處理網(wǎng)絡(luò)安全問(wèn)題的未來(lái)作用：一是持續(xù)發(fā)展關(guān)系。出于對(duì)網(wǎng)絡(luò)安全的擔(dān)憂，一些組織正在重新劃分三道防線之間的界線，而靜態(tài)關(guān)系將無(wú)法應(yīng)對(duì)新的風(fēng)險(xiǎn)。這意味著內(nèi)審與其他關(guān)鍵參與者（如IT部門(mén)、信息安全專業(yè)人員和風(fēng)險(xiǎn)管理團(tuán)隊(duì)）的關(guān)系必須持續(xù)發(fā)展。二是持續(xù)發(fā)揮內(nèi)審作用。為保持效率和信譽(yù)，內(nèi)審專業(yè)人員必須清楚地了解所涉及的更大問(wèn)題和相互依存關(guān)系。這種理解包括如何重視網(wǎng)絡(luò)安全計(jì)劃的預(yù)防、檢測(cè)和響應(yīng)以及控制和測(cè)試的充分性。內(nèi)審必須獨(dú)立評(píng)估迅速演變和升級(jí)的風(fēng)險(xiǎn)環(huán)境。由于在第一或第二道防線上失敗的代價(jià)如此之高，以至于內(nèi)審必須格外警惕。三是持續(xù)獲取網(wǎng)絡(luò)安全專業(yè)知識(shí)。隨著內(nèi)審作用的演變，需要利用目前需求量很大的具有專業(yè)技術(shù)知識(shí)的人力資源。然而，吸引和留住這些資源可能是困難和昂貴的。內(nèi)審需要重新審視與IT和信息安全專業(yè)人士的關(guān)系，以彌補(bǔ)技能短缺。

（編譯者單位：中國(guó)人民銀行贛州市中心支行，郵政編碼：341000，電子郵箱：315421032@qq.com）