肖競譯

目錄

內(nèi)部審計(jì)成為網(wǎng)絡(luò)技術(shù)方面值得信賴的顧問

依靠團(tuán)隊(duì)合作

最高層給予的支持

相關(guān)問題

結(jié)論

附件1：有效的CAE通過為利益相關(guān)者提供咨詢建議脫穎而出

附件2：成為網(wǎng)絡(luò)技術(shù)方面值得信賴的顧問

內(nèi)部審計(jì)成為網(wǎng)絡(luò)技術(shù)方面值得信賴的顧問

網(wǎng)絡(luò)安全是處在高速發(fā)展中的復(fù)雜領(lǐng)域，盡管想要理解其中的所有內(nèi)容可能是不現(xiàn)實(shí)的，但作為首席審計(jì)執(zhí)行官（CAE）或者內(nèi)部審計(jì)負(fù)責(zé)人來說，有必要對(duì)網(wǎng)絡(luò)安全有所了解。實(shí)際上，考慮到網(wǎng)絡(luò)技術(shù)帶來的風(fēng)險(xiǎn)，在這個(gè)值得關(guān)注、富有挑戰(zhàn)的領(lǐng)域里，一位具有相關(guān)知識(shí)的CAE完全可以將內(nèi)部審計(jì)部門打造成為組織中值得信賴的顧問。

有關(guān)網(wǎng)絡(luò)安全的統(tǒng)計(jì)數(shù)據(jù)令人感到震驚，以2015年的數(shù)據(jù)為例：

在該年度中，平均一次數(shù)據(jù)泄露造成的損失可以達(dá)到379萬美元，而2014年這個(gè)數(shù)字還只有352萬，相比2013年的數(shù)據(jù)更是高出了整整23個(gè)百分點(diǎn)。

這些損失主要來自客戶非正常流失、營銷成本提高、聲譽(yù)損失和商家良好聲譽(yù)遭受的損害。

網(wǎng)絡(luò)攻擊者在攻破防護(hù)進(jìn)入組織系統(tǒng)環(huán)境之后，平均205天之后才會(huì)被察覺。即使這種行為最終被發(fā)現(xiàn)，69%遭受攻擊的組織也不是由自己的員工發(fā)現(xiàn)，而是從第三方了解到有關(guān)情況。

僅在2015年上半年，就爆出888起信息泄露事件，將近246萬條記錄被竊取。這些信息泄露事件中至少有半數(shù)無法確定到底有多少記錄和數(shù)據(jù)被非法訪問或盜取。

這樣的情況發(fā)生在世界的每一個(gè)角落。2015年上半年，大部分信息泄露事件發(fā)生在北美（707起），緊隨其后的是英國（94起）和亞洲（63起）。如果按照泄露的記錄數(shù)量排序，最嚴(yán)重的10起數(shù)據(jù)泄露事件有一半發(fā)生在非美公司中。

面對(duì)這樣的數(shù)據(jù)，難怪RSA信息安全公司的總裁Amit Yoran會(huì)說：“網(wǎng)絡(luò)安全行業(yè)正在衰落，它已經(jīng)完全失敗了?！?/p>

然而沒有人會(huì)質(zhì)疑網(wǎng)絡(luò)安全“用于保護(hù)與互聯(lián)網(wǎng)連接的系統(tǒng)中的數(shù)據(jù)免遭丟失、破壞、非法獲取和濫用的各種措施”的重要性。許多有識(shí)之士已經(jīng)在這個(gè)行業(yè)中工作了多年，他們的期望非常現(xiàn)實(shí)：一般來說，業(yè)界并不認(rèn)為能夠完全消滅網(wǎng)絡(luò)攻擊。正如哥倫比亞洛斯安第斯大學(xué)法學(xué)院的杰出教授Jeimy Cano所說，如今的數(shù)據(jù)環(huán)境已經(jīng)“注定會(huì)遭遇失敗”。網(wǎng)絡(luò)安全是一項(xiàng)將破壞降到最低限度的工作，其目標(biāo)是盡可能地阻擋網(wǎng)絡(luò)攻擊，在不可避免被攻破的情況下，在犯罪分子找到核心機(jī)密信息之前發(fā)現(xiàn)他們。

依靠團(tuán)隊(duì)合作

這并不只是網(wǎng)絡(luò)安全專家的工作。必須全面、系統(tǒng)地考慮有關(guān)網(wǎng)絡(luò)安全的問題，因?yàn)橐坏┚W(wǎng)絡(luò)安全出現(xiàn)漏洞，其后果可能是無法進(jìn)行最基本的交易，可能是知識(shí)產(chǎn)權(quán)被竊取，也可能是巨大的聲譽(yù)損失。這并不只是一項(xiàng)技術(shù)風(fēng)險(xiǎn)，而是一項(xiàng)重要的經(jīng)營風(fēng)險(xiǎn)，因此內(nèi)部審計(jì)人員在其中應(yīng)當(dāng)能夠發(fā)揮重要的作用。能否獲得成功很大程度上取決于董事會(huì)或?qū)徲?jì)委員會(huì)對(duì)此投入了多少關(guān)注和CAE采用何種方式來應(yīng)對(duì)。對(duì)CAE來說，網(wǎng)絡(luò)安全問題的爆發(fā)也是一個(gè)千載難逢的良機(jī)，讓他們的工作不再僅僅局限于確保網(wǎng)絡(luò)安全審計(jì)業(yè)務(wù)按計(jì)劃正常開展，而是可以針對(duì)經(jīng)營活動(dòng)提出預(yù)見性和戰(zhàn)略性的觀點(diǎn)，真正成為可信賴的顧問。CAE能夠提出的意見包括網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是什么、對(duì)經(jīng)營活動(dòng)和組織聲譽(yù)會(huì)造成什么影響等，由此促成管理層和高層領(lǐng)導(dǎo)及時(shí)、具有針對(duì)性的討論，從而為網(wǎng)絡(luò)安全爭取到應(yīng)有的關(guān)注和資源。

CAE還可以與首席信息官（CIO）和首席信息安全官（CISO）建立起密切合作關(guān)系，這樣的關(guān)系可以幫助CAE更好地了解IT和數(shù)據(jù)安全團(tuán)隊(duì)到底需要些什么，內(nèi)部審計(jì)又能為他們提供些什么。FirstRand有限公司的CAE Jenitha John 指出，CISO希望內(nèi)部審計(jì)能夠以誠懇和主動(dòng)的態(tài)度說明與數(shù)據(jù)安全環(huán)境有關(guān)的最新趨勢和熱點(diǎn)問題——這也展現(xiàn)了值得信賴的顧問積極主動(dòng)的一面。她認(rèn)為內(nèi)部審計(jì)應(yīng)當(dāng)“明確指出與組織面對(duì)的信息泄露問題及其影響密切相關(guān)的事項(xiàng)”。

按照IIA執(zhí)行副秘書長兼CIO Charles Redding的說法，CIO的需求與CISO既有相似的一面，但也有所區(qū)別。他指出，CIO更習(xí)慣于從技術(shù)角度看待網(wǎng)絡(luò)安全問題。內(nèi)部審計(jì)可以通過提供信息，拓寬執(zhí)行官的思路，“幫助他們?cè)u(píng)估風(fēng)險(xiǎn)，并確定風(fēng)險(xiǎn)偏好”。

CAE同樣也認(rèn)為內(nèi)部審計(jì)和CIO之間的合作非常重要：“當(dāng)Charles和我都在辦公室里的時(shí)候，我們會(huì)一直談?wù)擄L(fēng)險(xiǎn)和網(wǎng)絡(luò)安全。我覺得作為CAE來說，不能跟CIO保持密切的聯(lián)系，就意味著不可能獲得成功?！?/p>

沙特基礎(chǔ)工業(yè)集團(tuán)（SABIC）的副總裁兼首席審計(jì)執(zhí)行官Gregory Grocholski也表示團(tuán)隊(duì)之間的協(xié)作非常有必要，但他指出CAE在網(wǎng)絡(luò)安全方面扮演的角色絕不僅止于推動(dòng)部門之間的協(xié)作。CAE必須認(rèn)識(shí)到，數(shù)據(jù)既可能以結(jié)構(gòu)性的方式存在（應(yīng)用程序），也可能以非結(jié)構(gòu)性的方式被存儲(chǔ)（Excel、Word等），不論是哪種情況，都有可能成為網(wǎng)絡(luò)攻擊的對(duì)象。

CAE必須熟悉數(shù)據(jù)進(jìn)出組織的路徑，并確保組織各個(gè)層級(jí)都對(duì)這些路徑進(jìn)行檢查，關(guān)閉沒有必要的路徑，設(shè)置適當(dāng)?shù)目刂疲私怙L(fēng)險(xiǎn)可能帶來的影響，并確立風(fēng)險(xiǎn)偏好。無論什么時(shí)候，CAE都應(yīng)當(dāng)關(guān)注如何預(yù)防，而不僅僅是在發(fā)生問題后如何應(yīng)對(duì)。

最高層給予的支持

幾乎在所有的組織里，在每一個(gè)重大項(xiàng)目中，來自高層的認(rèn)同都是重中之重。但董事會(huì)對(duì)于網(wǎng)絡(luò)安全工作的支持還沒有做到毫無保留。根據(jù)一項(xiàng)最近開展的調(diào)查結(jié)果，26%的受訪者表示他們的CIO或者CISO每年只向董事會(huì)匯報(bào)一次有關(guān)安全的問題，甚至還有幾乎同樣數(shù)量（28%）的受訪者所在的組織中，根本沒有這樣的匯報(bào)機(jī)制。大約三分之一的受訪者指出董事會(huì)中沒有專門的委員會(huì)或人員負(fù)責(zé)監(jiān)管網(wǎng)絡(luò)風(fēng)險(xiǎn)，只有15%提到審計(jì)委員會(huì)會(huì)關(guān)注網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

對(duì)網(wǎng)絡(luò)安全的傳統(tǒng)觀念正在發(fā)生改變。董事會(huì)逐漸開始要求獲得更多有關(guān)網(wǎng)絡(luò)安全和組織內(nèi)部相關(guān)風(fēng)險(xiǎn)的信息，這不僅僅是因?yàn)樗麄冋J(rèn)識(shí)到網(wǎng)絡(luò)攻擊可能帶來的巨大潛在風(fēng)險(xiǎn)，監(jiān)管部門的要求也讓他們感受到壓力。2014年6月，美國證券交易監(jiān)督委員會(huì)主席Luis Aguilar指出：“董事會(huì)對(duì)于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的管理至關(guān)重要，只有做到這點(diǎn)，公司才能采取適當(dāng)?shù)拇胧﹣眍A(yù)防和應(yīng)對(duì)網(wǎng)絡(luò)攻擊可能造成的破壞……忽視或者貶低網(wǎng)絡(luò)安全監(jiān)管責(zé)任重要性的董事會(huì)只會(huì)讓自己暴露在風(fēng)險(xiǎn)中。”

董事會(huì)、審計(jì)委員會(huì)和高級(jí)管理層需要適當(dāng)?shù)男畔⒉拍苡行男新氊?zé)。內(nèi)部審計(jì)由于擁有可以自由獲取信息的獨(dú)特地位，能夠幫助他們獲得有關(guān)網(wǎng)絡(luò)安全的資訊。John認(rèn)為CAE的角色定位非常清楚：“CAE必須向適當(dāng)?shù)闹卫頇C(jī)構(gòu)提交審計(jì)業(yè)務(wù)中發(fā)現(xiàn)的信息，這樣他們才會(huì)對(duì)問題予以關(guān)注，并持續(xù)監(jiān)控后續(xù)改進(jìn)措施的落實(shí)情況?！卑拇罄麃啽ｋU(xiǎn)集團(tuán)有限公司（IAG）的首席審計(jì)執(zhí)行官Lee Sullivan指出，他的報(bào)告能夠通過獨(dú)立客觀的觀點(diǎn)，幫助董事會(huì)了解“IAG應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的準(zhǔn)備程度”。

CAE想要最有效地履行與網(wǎng)絡(luò)安全相關(guān)的職責(zé)，就必須關(guān)注整個(gè)行業(yè)的趨勢，如監(jiān)管要求的變化、購買險(xiǎn)種的新要求、新的訴訟案例，并且從內(nèi)部審計(jì)的角度對(duì)這些新趨勢進(jìn)行思考。他們還需要對(duì)人員和團(tuán)隊(duì)（如應(yīng)急團(tuán)隊(duì)和開展風(fēng)險(xiǎn)評(píng)估的第三方人員等）的配置是否有能力處理網(wǎng)絡(luò)安全專業(yè)問題進(jìn)行確認(rèn)。

CAE也應(yīng)當(dāng)對(duì)目前正在開展的網(wǎng)絡(luò)安全項(xiàng)目提出建議，說明這些項(xiàng)目做得如何：是否能夠降低面對(duì)的風(fēng)險(xiǎn);是否能夠有效利用資源，并將其優(yōu)先投入最重大的風(fēng)險(xiǎn)領(lǐng)域;是否足夠嚴(yán)格有力，能夠發(fā)現(xiàn)和防范威脅。弗吉尼亞大學(xué)的首席審計(jì)執(zhí)行官Carolyn Saint指出，內(nèi)部審計(jì)參與網(wǎng)絡(luò)安全項(xiàng)目可以通過向更高層傳遞對(duì)于資源的需求，從而幫助管理層更好地實(shí)現(xiàn)目標(biāo)。

相關(guān)問題

網(wǎng)絡(luò)安全問題與生俱來的挑戰(zhàn)性讓“網(wǎng)絡(luò)恢復(fù)能力”這個(gè)概念進(jìn)入了我們的視線。網(wǎng)絡(luò)恢復(fù)能力是指事前、事中、事后采取的一系列措施，其目的是為了保持信息和溝通系統(tǒng)（以及依賴這些系統(tǒng)的機(jī)構(gòu)和人員）能夠在發(fā)生針對(duì)互聯(lián)網(wǎng)相關(guān)資源的持續(xù)攻擊時(shí)，依然能夠保持足夠的恢復(fù)能力。這樣的措施包括加強(qiáng)網(wǎng)絡(luò)安全方面的知識(shí)，提高所有員工的網(wǎng)絡(luò)安全意識(shí)，從而使得組織內(nèi)部的人員能夠更好地理解相關(guān)風(fēng)險(xiǎn)的本質(zhì)和影響，形成一道對(duì)抗網(wǎng)絡(luò)攻擊的可靠防線。CAE要在這項(xiàng)工作中發(fā)揮領(lǐng)導(dǎo)作用，必須做到在內(nèi)部審計(jì)人員中提升相關(guān)知識(shí)和強(qiáng)化網(wǎng)絡(luò)風(fēng)險(xiǎn)意識(shí)。根據(jù)IIA 2016年北美內(nèi)部審計(jì)脈搏調(diào)查的結(jié)果，內(nèi)部審計(jì)人員缺少網(wǎng)絡(luò)安全專業(yè)知識(shí)是阻礙內(nèi)部審計(jì)應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的最大原因。

弗吉尼亞大學(xué)的首席信息安全官Jason Belford認(rèn)為網(wǎng)絡(luò)恢復(fù)能力是網(wǎng)絡(luò)安全的一項(xiàng)重要指標(biāo)——盡管二者是相對(duì)獨(dú)立的兩個(gè)概念，但我們不能將其完全割裂開來看待。該大學(xué)分管IT的副校長Ron Hutchins也同意這一說法：“我們追求的是高度的有效性和可靠性，但我們也認(rèn)可并不是所有的職能都需要相同程度的保護(hù)?！?/p>

此外，南非共和國開普敦市政府信息系統(tǒng)和技術(shù)總監(jiān)Andre Stelzner對(duì)這個(gè)概念做了簡明的總結(jié)：“一個(gè)具有較強(qiáng)網(wǎng)絡(luò)恢復(fù)能力的組織總是知道自己的薄弱環(huán)節(jié)在哪里。”顯然，要確保安全并具有恢復(fù)能力，最好的方法就是首先了解自己的缺陷，以及應(yīng)該采取哪些行動(dòng)來降低這些風(fēng)險(xiǎn)，制定計(jì)劃以應(yīng)對(duì)網(wǎng)絡(luò)攻擊，并從攻擊造成的損害中迅速恢復(fù)過來。

隱私和保密同樣是網(wǎng)絡(luò)安全的關(guān)鍵要素，因?yàn)樗鼈兩婕霸S多關(guān)鍵問題：哪些數(shù)據(jù)受到了處理？這些數(shù)據(jù)如何儲(chǔ)存？儲(chǔ)存在哪里？哪些人有權(quán)通過哪些方式使用這些數(shù)據(jù)？對(duì)澳大利亞保險(xiǎn)集團(tuán)來說，保持客戶的信任一直是工作的重中之重，因此首席客戶官也與首席保密官和首席數(shù)據(jù)安全官協(xié)作，來保護(hù)客戶數(shù)據(jù)的安全。在許多組織中，保密部門也會(huì)參與制定組織的相關(guān)規(guī)范、編制流程和政策;保密部門往往還會(huì)負(fù)責(zé)對(duì)其他員工進(jìn)行網(wǎng)絡(luò)安全方面的培訓(xùn)。

內(nèi)部審計(jì)應(yīng)當(dāng)把這些負(fù)責(zé)保密工作的機(jī)構(gòu)和個(gè)人也作為自己的關(guān)鍵利益相關(guān)者，在所有相關(guān)的審計(jì)項(xiàng)目中，對(duì)有關(guān)保密規(guī)定的遵循情況進(jìn)行考察。對(duì)保密職能部門的檢查和觀察也能夠進(jìn)一步提供有關(guān)組織網(wǎng)絡(luò)安全方面的信息。數(shù)據(jù)的所有者、技術(shù)的使用者、保密/法務(wù)團(tuán)隊(duì)需要在組織的大框架下保持緊密的對(duì)話與協(xié)作，如果做不到這一點(diǎn)，就可能出現(xiàn)需要關(guān)注的問題。

結(jié)論

CAE和信息技術(shù)/安全負(fù)責(zé)人的意見非常明確：網(wǎng)絡(luò)安全是一個(gè)無法逃避的問題。用Cano的話來說：“這是一次新的工業(yè)革命，是一個(gè)轉(zhuǎn)型的新紀(jì)元，主宰它的是數(shù)據(jù)、無盡的破壞和重建。”那些不希望成為下一個(gè)信息泄露犧牲品的組織需要確保自己能夠獲得足夠的專業(yè)知識(shí)，給予防控部門足夠的資源，密切關(guān)注相關(guān)法律法規(guī)，追蹤全球網(wǎng)絡(luò)攻擊的趨勢，集合所有利益相關(guān)者的力量與信息泄露和損失做不屈不撓的斗爭，任何一方面的短板都會(huì)導(dǎo)致令人遺憾的后果。

作為備受信賴的顧問，CAE在達(dá)成這一目標(biāo)的過程中能夠扮演非常關(guān)鍵的角色。要想真正做到這一點(diǎn)，CAE必須具備并展現(xiàn)自己在網(wǎng)絡(luò)安全方面的專業(yè)能力，從而建立起信任，利用自己的溝通技巧和敏銳嗅覺向正確的對(duì)象在正確的時(shí)間提出正確的問題：公司在網(wǎng)絡(luò)安全方面的政策和態(tài)度是否保持了一致性？現(xiàn)有的規(guī)定和流程能否支持這個(gè)態(tài)度？其他組織在做什么？我們跟他們相比做得怎么樣？提問還需要積極、專注地聆聽來配合，再輔以對(duì)行業(yè)知識(shí)、商業(yè)頭腦和科技思維的運(yùn)用，最終就能找到問題的答案。

在網(wǎng)絡(luò)安全方面獲得成功的前提是認(rèn)識(shí)到殘酷的現(xiàn)狀：組織內(nèi)部或外部有人正在不斷嘗試獲得公司的有關(guān)數(shù)據(jù)。他們絕不會(huì)手下留情，所以成為這些犯罪分子目標(biāo)的組織也不應(yīng)當(dāng)?shù)粢暂p心。Grocholski的話恰到好處地總結(jié)了當(dāng)下的現(xiàn)實(shí)：“我們生活在一個(gè)數(shù)字化的世界中，像保護(hù)你的家園和家人一樣保護(hù)你的信息。”

附件1

有效的CAE通過為利益相關(guān)者

提供咨詢建議脫穎而出

澳大利亞保險(xiǎn)集團(tuán)

在澳大利亞保險(xiǎn)集團(tuán)有限公司（IAG），首席信息安全官Jeff Jacobs對(duì)整個(gè)組織的網(wǎng)絡(luò)安全管理負(fù)總責(zé)。為了降低IAG面對(duì)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，他與首席審計(jì)執(zhí)行官Lee Sullivan、第二道防線各個(gè)部門和負(fù)責(zé)保密的團(tuán)隊(duì)都保持了緊密的合作關(guān)系。

Sullivan和Jacobs最近共同推動(dòng)建立了一項(xiàng)網(wǎng)絡(luò)安全方面的戰(zhàn)略。Jacobs主導(dǎo)了戰(zhàn)略內(nèi)容的制定，包括對(duì)目前的狀態(tài)和能力進(jìn)行評(píng)估、發(fā)現(xiàn)新的風(fēng)險(xiǎn)、明確戰(zhàn)略性障礙，并制定了一套具體的實(shí)施路徑和計(jì)劃來應(yīng)對(duì)上述風(fēng)險(xiǎn)。而Sullivan則指派內(nèi)部審計(jì)的一個(gè)團(tuán)隊(duì)在這項(xiàng)戰(zhàn)略開始實(shí)施后不久對(duì)其成果進(jìn)行了獨(dú)立審核。為此他們達(dá)成一致意見，同意在信息安全部門和內(nèi)部審計(jì)部門使用同一套網(wǎng)絡(luò)安全框架，以確保在向高級(jí)管理層和董事會(huì)匯報(bào)時(shí)使用同樣的術(shù)語，并保持傳遞信息的一致性，使得整個(gè)審核流程能夠順利推進(jìn)。

在實(shí)施戰(zhàn)略的過程中克服的挑戰(zhàn)包括：

◆ 確保最基礎(chǔ)的東西是正確的——最好的例子是通過一系列基本原則，明確網(wǎng)絡(luò)安全方面，哪些情形可以接受，哪些情況不可接受。

◆ 提高發(fā)現(xiàn)問題和應(yīng)對(duì)問題的能力，而不僅僅是關(guān)注保護(hù)——現(xiàn)實(shí)已經(jīng)證明光靠組織投資防護(hù)工具并不能保證萬無一失。實(shí)際上，按照J(rèn)acobs的說法，“我們永遠(yuǎn)不可能生活在完全的保護(hù)之下，因此如果真的發(fā)生數(shù)據(jù)泄露的情況，我們需要變得更加善于發(fā)現(xiàn)問題并迅速做出反應(yīng)?！?/p>

◆ 從設(shè)計(jì)上強(qiáng)化網(wǎng)絡(luò)安全——網(wǎng)絡(luò)安全往往是在問題發(fā)生后才引起人們的注意。設(shè)計(jì)者和程序開發(fā)者在提出解決方案之初就應(yīng)該將安全問題考慮在內(nèi)。

◆ 網(wǎng)絡(luò)安全意識(shí)——即便擁有最完善的技術(shù)、流程和充分的專業(yè)知識(shí)，人的因素永遠(yuǎn)可能成為薄弱的一環(huán)。人們需要思考安全問題，意識(shí)到危險(xiǎn)的存在，從而能夠更加適當(dāng)?shù)靥幚磉@些威脅。

IAG內(nèi)部基本上已經(jīng)形成了共識(shí)，外部的威脅正在變得更加嚴(yán)峻、更加復(fù)雜，需要一套有效的網(wǎng)絡(luò)安全框架來應(yīng)對(duì)。但與上述戰(zhàn)略在推進(jìn)中涉及的其他部分相比，應(yīng)當(dāng)向網(wǎng)絡(luò)安全能力建設(shè)投入多少資源并沒有一個(gè)清晰的認(rèn)識(shí)。組織中的有些人可能會(huì)認(rèn)為對(duì)網(wǎng)絡(luò)安全的關(guān)注會(huì)拖慢計(jì)劃中的數(shù)據(jù)化進(jìn)程。但Jacobs表達(dá)了不同意見：“這并不是一個(gè)二選一的難題，我們必須兩手抓，兩手都要硬。”

弗吉尼亞大學(xué)

弗吉尼亞大學(xué)的首席審計(jì)執(zhí)行官Carolyn Saint、首席信息官Virginia Evans、首席信息安全官Jason Belford、分管IT的副校長Ron Hutchins和IT審計(jì)處處長Gerald Cannon共同致力于推進(jìn)Hutchins稱之為“三足凳”的工作流程來處理網(wǎng)絡(luò)安全問題：建立規(guī)定、執(zhí)行規(guī)定及審計(jì)對(duì)規(guī)定的落實(shí)情況。這套工作流程的關(guān)鍵在于參與每個(gè)環(huán)節(jié)的職能部門相互之間都是獨(dú)立的，但是仍然保持協(xié)作的關(guān)系。正如Evans所說：“要想妥善地解決網(wǎng)絡(luò)安全問題，唯一的辦法就是以團(tuán)隊(duì)精神開展協(xié)作?！?/p>

Saint采取了一種基于標(biāo)準(zhǔn)框架的工作方式，由內(nèi)部審計(jì)對(duì)網(wǎng)絡(luò)安全進(jìn)行全面和標(biāo)準(zhǔn)化的覆蓋，確保內(nèi)部審計(jì)不但考察是否存在相關(guān)措施，還會(huì)評(píng)估措施的有效性。Evans也說：“之前的審計(jì)團(tuán)隊(duì)只關(guān)注合規(guī)，而現(xiàn)在更加積極地去尋找風(fēng)險(xiǎn)。”

Belford、Hutchins和Evans都認(rèn)為現(xiàn)在內(nèi)部審計(jì)這種合作者、咨詢者的角色對(duì)組織來說極為有益。他們覺得現(xiàn)在的模式更類似于一種寫作，讓人感覺與內(nèi)部審計(jì)“站在同一陣營”，而不是傳統(tǒng)印象中內(nèi)部審計(jì)就是想“要你好看”。

Saint承認(rèn)讓CIO和CISO了解內(nèi)部審計(jì)的角色和價(jià)值需要一個(gè)溝通和交流的過程，但這就是CAE工作的一部分。她補(bǔ)充道：“CAE的工作之一就是確保組織的各個(gè)層面都了解風(fēng)險(xiǎn)的存在?！?/p>

該所大學(xué)為了遵循美國聯(lián)邦信息安全管理法案（FISMA）的要求，除了上述人員之外，還有其他跨部門的代表也加入進(jìn)來，工作力度甚至超過了一般的網(wǎng)絡(luò)安全措施。盡管已經(jīng)做出了一些成績，但與“通過計(jì)劃性的工作方式建立起可不斷改善的環(huán)境，從而真正達(dá)到FISMA”的要求還有一些距離。

無論如何，各部門之間的協(xié)力絕不可少。正如Saint指出的那樣：“網(wǎng)絡(luò)安全是每一份審計(jì)計(jì)劃的重中之重，在未來幾年中估計(jì)都是如此?！?/p>

開普敦市

南非共和國開普敦市政府的網(wǎng)絡(luò)安全團(tuán)隊(duì)認(rèn)識(shí)到科技的發(fā)展永遠(yuǎn)比控制措施快一步，因此需要不斷投入資源來增加新的預(yù)防、偵測和修正措施。即便如此，誰也不能保證能夠逃過攻擊，所以能否獲得成功就取決于整個(gè)團(tuán)隊(duì)能以多快的速度發(fā)現(xiàn)安全漏洞，以及應(yīng)對(duì)威脅的手段有多么有效、迅速和經(jīng)濟(jì)。

這個(gè)團(tuán)隊(duì)由首席審計(jì)執(zhí)行官Lindiwe Ndaba、信息系統(tǒng)高級(jí)審計(jì)經(jīng)理Etienne Postings以及信息系統(tǒng)和技術(shù)總監(jiān)Andre Stelzner組成。他們選擇了基于風(fēng)險(xiǎn)的工作方式來應(yīng)對(duì)網(wǎng)絡(luò)安全問題。第一步就是仔細(xì)梳理不同職能和不同機(jī)構(gòu)發(fā)現(xiàn)的組織面對(duì)的IT風(fēng)險(xiǎn)，在此基礎(chǔ)上，通過IT審計(jì)人員和CIO就組織的網(wǎng)絡(luò)風(fēng)險(xiǎn)趨勢、組織外部的相關(guān)風(fēng)險(xiǎn)和可能會(huì)對(duì)組織產(chǎn)生影響的全球性趨勢交換意見作為補(bǔ)充。

Stelzner指出實(shí)現(xiàn)網(wǎng)絡(luò)安全需要團(tuán)隊(duì)中的每個(gè)成員都盡可能地發(fā)揮自己的能力。出于這個(gè)原因，他認(rèn)為內(nèi)部審計(jì)應(yīng)當(dāng)是一個(gè)獨(dú)立的確認(rèn)機(jī)構(gòu)，對(duì)組織的安全狀況進(jìn)行鑒證，對(duì)IT部門為了降低風(fēng)險(xiǎn)而建立的規(guī)定、系統(tǒng)和服務(wù)進(jìn)行檢查。但他自己也承認(rèn)，目前還只是“對(duì)是否遵循IT部門自己制定的規(guī)定進(jìn)行評(píng)估，而不是對(duì)每一個(gè)安全方面的措施都進(jìn)行測試”。

內(nèi)部審計(jì)和安全團(tuán)隊(duì)的緊密合作也反映了團(tuán)隊(duì)精神。內(nèi)部審計(jì)的代表會(huì)參加安全論壇會(huì)議，而正是在這些會(huì)議上會(huì)對(duì)一般性問題和解決方案進(jìn)行討論。所有人都秉持著同一個(gè)目標(biāo)：使工作、系統(tǒng)和流程盡可能變得更安全。

與Saint提到網(wǎng)絡(luò)安全在內(nèi)部審計(jì)計(jì)劃中的重要性相似的是，Ndaba和Postings也認(rèn)為，在開普敦市政府，“網(wǎng)絡(luò)安全和IT審計(jì)一直是內(nèi)部審計(jì)戰(zhàn)略清單上的重要組成部分”。

附件2

成為網(wǎng)絡(luò)技術(shù)方面值得信賴的顧問

作為網(wǎng)絡(luò)技術(shù)方面值得信賴的顧問，CAE需要在組織中推動(dòng)變革。在認(rèn)識(shí)和理解、風(fēng)險(xiǎn)管理以及確認(rèn)活動(dòng)等方面投入特別關(guān)注有助于CAE成為網(wǎng)絡(luò)技術(shù)方面真正值得信賴的顧問。