網絡安全審計新要求和啟示

前言：尋找寫作靈感？中文期刊網用心挑選的網絡安全審計新要求和啟示，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

[摘要]2019年，德勤企業管理咨詢有限公司（以下簡稱德勤咨詢）官網《全球風險管理調查（第11版）》（GlobalRiskManagementSurvey11th），再次強調了網絡安全的重要性。隨著互聯網時代的深入發展，互聯網以其方便、快捷、及時的特點在各個領域應用開來，但“科技是把雙刃劍”，互聯網在帶來諸多益處的同時，也不可避免地帶來一些網絡安全問題。

[關鍵詞]網絡安全;內部審計;風險管理;啟示

為有效應對不斷升級的全球網絡安全風險，美國、澳大利亞審計署在網絡安全審計方面進行了研究和探索，并形成一套行之有效的審計方法。德勤咨詢調查顯示，67%的受訪者認為網絡安全將成為影響業務開展最主要的三種風險之一，但是只有50%的受訪者對網絡安全持樂觀態度。為此，筆者編譯了美國、澳大利亞審計署、安永公司和德勤咨詢的部分審計報告，總結了其關于網絡安全審計的主要做法，并結合中國人民銀行（以下簡稱人民銀行）網絡安全現狀，提出加強和改進人民銀行網絡安全審計工作的建議。

一、主要觀點綜述

（一）網絡安全的重要性日益增加

德勤咨詢認為，對于機構而言，網絡安全風險管理在防止破壞性攻擊、經濟損失、來自客戶的網絡安全風險、敏感數據的丟失及惡意攻擊等方面作用較大。當面對來自國家行動方的威脅或來自第三方的安全風險時，德勤咨詢指出，機構的風險管理制度缺乏有效性,目前具有挑戰性的問題是如何保持超前于不斷變換的業務需求(如移動社交、云計算)和有效應對來自高級黑客的威脅。

（二）解決數據風險和IT系統風險是首要任務

對于金融服務業來說，如何解決不斷變化的數據風險和IT風險，是一項具有挑戰性的任務。因為不論從數據源頭還是終端客戶上看，數據風險和IT系統風險都是一個持續存在的問題。調查報告指出，提高網絡安全水平最重要的是提高數據的質量、數據傳輸的及時性和可靠性。同時，增強IT系統的建設和基礎技術設施的構建，并在數據控制、數據檢查和數據治理等方面采取有效的控制措施。

（三）數字風險管理的潛力巨大

一些高新技術的出現和應用，提高了風險管理的效率性和有效性，云計算、大數據分析和業務過程建模工具(BPM)這些高新技術最常被機構使用。德勤咨詢認為，RPA（機器人流程自動化）在風險數據、風險報告和監管報告方面的應用最為常見。雖然RPA的自動執行重復性手動任務的功能能夠有效控制成本和提高準確性，但只有少部分受訪者表示所在機構正在使用這一技術。盡管目前新興技術的使用率不高，但大部分受訪者認為，新技術會為風險治理帶來好處，特別是在提高運營效率、降低錯誤率、加強風險分析和檢測、及時改進報告等方面。

二、國外審計機構開展網絡安全審計的主要做法

（一）美國審計署關于網絡安全審計的主要做法

美國審計署（GAO）在官網發表的《網絡安全：機構需要全面建立風險管理計劃并應對挑戰》（AgenciesNeedtoFullyEstablishRiskManagementProgramsandAddressChallenges）一文提到，聯邦機構面臨越來越多的網絡系統和數據安全方面威脅。為防范這些威脅，各機構通過有效識別、優先排序和管理其網絡風險，采取基于風險的網絡安全方法。美國審計署整理了組織在網絡安全管理上的挑戰：需要招聘和留住關鍵的網絡安全管理人員；明確管理運營與網絡安全之間的競爭優先等級；建立并實施一致的政策和程序；搜集質量風險數據；制訂全機構風險管理戰略；將網絡風險納入企業風險管理。針對這些挑戰，美國審計署提出有效應對措施：一是確定網絡安全風險的作用，即各機構應建立網絡安全風險執行部門，形式可以是個人或團體對網絡安全風險進行全機構監督，并促進利益相關方之間的合作，采用一致的應對網絡安全風險管理戰略。二是制定網絡安全風險管理戰略，即機構應該制定網絡安全風險管理戰略，為風險管理提供基礎，并為基于風險的決策劃定界限。該戰略應包括機構風險承受力的說明、如何評估風險、可接受的風險應對策略及機構打算如何檢測一段時間內的風險。三是基于信息系統的風險管理政策，即確定在執行風險管理框架方面發揮個人關鍵作用；對整個機構的網絡風險進行評估；查明和記錄可以由多個信息系統集成的共同安全控制。四是進行全機構網絡安全風險評估，即各機構需定期評估網絡安全和隱私風險，并不斷更新結果；機構一級的風險評估主要基于從全系統一級風險評估結果得到綜合信息、持續檢測和任何相關方戰略風險。

（二）澳大利亞審計署關于網絡安全審計的主要做法

一是開發與組織風險管理流程一致的IT安全策略和流程。二是確保IT安全控制框架內的流程有效，以縮減IT安全環境與澳大利亞政府預期之間的差距，并有助于確定系統是否在可接受的風險水平下運行。三是明確管理IT設備的物理和環境安全控制流程和標準。四是確保網絡系統安全穩定運行，以充分解決IT安全風險。五是確保安全標準能夠應用于審計跟蹤的使用和監控。

（三）安永關于網絡安全審計的主要做法

安永在《內部審計有六種方式可以減輕企業數字化風險》（SixWaysInternalAuditCanHelpMitigateDigitalRisk）一文中提到，面對與日俱增的網絡風險應采取措施，制訂網絡審計計劃，解決以下問題：一是安全意識，即評估用戶安全意識，以提高其對企業信息和系統未經授權的物理或邏輯訪問的意識和敏感度。二是資產管理，即保留能夠保護實體網絡的防護設備。三是供應商風險管理，即定期評估第三方服務供應商。四是事件響應，即評估管理者在異常活動時所采用的應急措施。

（四)德勤咨詢關于網絡安全審計的主要做法

德勤咨詢在官網上的《信息技術中的風險》(InformationTechnologyRisksinFinancialServices)提到，為防范網絡攻擊、數據隱私泄露等問題的發生，管理層需要了解網絡風險事件的潛在可能性和影響以及應對這些風險應該采取的措施。管理層必須保持警惕，查找新出現的威脅，建立有效的實施機制以減輕這些威脅。針對網絡安全管理中出現的一系列問題，德勤提出下列解決措施：一是成立董事會及資訊科技風險委員會；二是要求董事會擁有具備科技專業知識的成員；三是進行內部審計；四是增加透明度；五是發揮三道防線的重要作用；六是重視數字化安全管理。

三、對人民銀行網絡安全審計的啟示

（一）人民銀行網絡安全審計的重要性

一是有利于維護人民銀行的網絡安全。隨著人民銀行信息系統集中化的發展，網絡安全的風險也在不斷攀升，網絡安全審計工作的必要性日益突顯。人民銀行要開展網絡安全審計工作，通過提高審計頻率和擴大審計范圍，降低數據信息的網絡風險和安全隱患，以維護網絡安全，防止機密文件泄露，避免造成不可挽回的損失。二是有利于監督安全部門更好地履行職責。開展網絡安全審計工作，有利于督促網絡安全管理部門監督管理各業務部門的保密信息，控制數據信息安全、操作等方面的風險。同時，網絡安全審計工作的開展，能夠提高網絡安全在安全管理工作中的比重，促使網絡安全部門更好地履行職責。三是有利于促進網絡安全技術的更新換代。過時的網絡安全維護技術，易使人民銀行網絡數據和信息系統遭受攻擊，增大網絡安全的風險。近年來，隨著TCP/IP協議、數據庫漏洞、黑客入侵、爬蟲等風險的增大，網絡安全防范技術水平需要進一步提高。開展網絡安全審計工作，有利于加強對新興網絡安全技術的關注，促使網絡安全技術實現更新升級。

（二）開展網絡安全審計面臨的挑戰

一是網絡安全審計標準不夠健全。網絡安全包含的內容較為廣泛，具體包括網絡設備安全、網絡軟件安全和網絡信息安全等，但是審計對于網絡安全的風險評估標準和風險評估系統建設還不夠成熟，相關網絡安全審計規范還未制定，無法全方位、多角度地對網絡安全風險進行審計。二是網絡安全管理技術不夠成熟。目前，網絡安全管理的主要技術手段是網絡安全風險評估和等級保護測評。這兩種評估方法主觀性較強，評估結果往往會由于評估人員的個人經驗、技術水平和從業經歷而受到影響，未能利用數字管理對數據和信息進行集中處理，網絡安全管理方式在效率性與精確性上有所欠缺。人民銀行應該加快云計算、大數據分析等技術的應用，以提高網絡安全審計效率。三是網絡安全審計技術有待提高。計算機網絡偏向于數字化智能設備，對各種網絡漏洞和安全隱患的檢測更加依賴于技術，同時對網絡安全狀態的檢查、維護也更加需要專業化知識。由于人民銀行內審部門專門的網絡技術人才較少，給深入開展網絡安全審計工作增加了難度。

（三）開展網絡安全審計需注意的事項

一是注意把握網絡安全與組織運行效率之間的平衡。良好的網絡安全防范環境有助于保護組織的數據和信息安全，避免重大機密泄露、影響組織利益。但是過度防范網絡安全會影響組織的工作效率，造成工作效率低下，所以把握網絡安全與組織工作效率之間的平衡至關重要。二是重視發揮數字安全管理的作用。網絡安全管理是一項復雜工程，借助數字安全管理會給組織帶來許多便利。使用數字管理可以提高運行效率、降低錯誤率、加強風險分析和檢測等，大大降低網絡安全管理的工作量，提高工作效率。目前，使用最多的技術是云計算、大數據分析和業務過程建模工具等，人民銀行需加快應用這些網絡安全技術。三是注意保持審計部門自身的獨立性。審計部門在開展網絡安全審計工作時，既要與網絡安全部門進行協作，了解網絡安全管理工作的實施流程和工作詳情，確保審計工作的全面性和精確性，又要保持審計工作的獨立性，公正如實地反映網絡安全工作情況。

作者:李朝暉 劉陽 單位:中國人民銀行克拉瑪依市中心支行