内控与IT安全的关系，IT内控与安全审计的关系

随着国内内控的兴起，常常有人会问，内控跟IT安全有什么关系？为何内控话题老是被搞信息安全的人常常说起？我想，一方面，是由于内控与信息安全存在内在的联系，另外一方面，则是信息安全从业人员为了找到体现自身价值的附着点吧。

• 内控与IT的关系

企业内部控制（简称“内控”）是一个涉及普遍的概念，根据ISACA组织的定义，内部控制指“为减小风险所实施的各类政策、步骤、实务和组织结构”。内控自己与IT并没有直接关系。
可是，正是基于如下两个方面的缘由，使得内控与IT联系起来，而且还十分紧密。
1） IT内控是企业内控的必然：当今大部分企业（尤为是美国大企业、上市公司，内控一词主要来自美国）的生产经营都已经极大程度的依赖于IT。能够说，若是IT失效，企业的生产经营活动将会受到极大的影响。所以，针对企业内控有很重要一个环节就是要求IT治理与IT内控，确保IT与企业的业务战略保持一致。而在这里，信息系统审计是企业和组织IT内控过程当中最关键的环节。信息系统审计经过对关键控制点的符合性测试来判断IT内控的目标及其控制措施是否有效。所以，这就是为何IT公司，尤为是从事信息系统审计、安全审计的公司热衷于IT内控的缘由了。
2） 企业内审必须依靠IT：在内控体系中，内部审计是一个重要的机构和环节。内 部审计是一项具备独立性的经济监督活动，以会计准则和审计准则以及有关的法律法规为依据，对企业、机关、事业单位等的财政、财务收支以及经营管理进行审核 和检查，并在审核检查完毕后提出内审报告。一个标准的内部审计过程是十分繁琐和复杂的，若是不借助计算机自动化的手段，对现代企业的内审几乎不可能完成。 依托计算机信息化技术，经过对所需数据的适时采集、处理加工，造成正确的审计结论和审计评价，从而提升内审工做效率，把内审人员从烦琐的数据运算、法规查 证中解放出来，使审计工做的质量有所保证；经过对内审业务过程的计算机化管理，实现对整个内审项目的动态管理、对风险点的实时控制，实现对内审工做任务的 合理分解，整合审计资源，促进部门管理责任制的落实，从而便于业绩的考核和评估，作好风险防范。
综上所述，能够看清楚内控与IT的关系。内控首先是使得企业治理与审计相关的咨询公司重视，而后是使得与企业治理与审计相关的IT公司重视，再日后就是使得与企业IT安全治理与审计相关的安全审计相关的信息安全公司重视。
安全公司重视内控，还有一个缘由就是安全服务的须要。由于安全服务过程当中涉及到了企业治理的内容。做为企业治理的重要组成部分的IT安全治理因为其横跨企业治理与信息安全两大专有技术领域，使得安全服务相关的咨询活动显得独具价值。

• IT内控与安全审计的关系

如何在 IT 治理和 IT 内控的层面作好企业内控？个人建议是： IT内控从IT审计开始，IT审计从日志审计作起。
从与企业内控密切相关的 IT 内控的角度而言，咱们首先建议那些具备较高信息化建设水平的、已经开展了企业治理的单位进一步强化 IT 治理的力度。这些企业每每比其余企业更加依赖于 IT 和 IT 信息系统，例如金融、电信、证券、保险、电力。对这些 IT 信息系统的审计是当前的重点。信息系统审计经过对关键控制点的符合性测试来判断 IT 内控的目标及其控制措施是否有效。
另外一方面，包括《企业内部控制规范》在内的国内针对 电子政务、央企、银行、证券、基金、保险、上市公司的信息系统风险保障和内控的指引、条例和文件，都直接或者间接的指出了要将日志审计做为信息系统审计的基本技术手段。
《企业内部控制基本规范》的第四十一条要求“企业应当增强对信息系统的开发与维护、访问与变动、数据输入与输出、文件存储与保管、网络安全等方面的控制，保证信息系统安全稳定运行。”
《商业银行内部控制指引》的第一百二十六条要求“商业银行的网络设备、操做系统、数据库系统、应用程序等均当设置必要的日志。日志应当可以知足各种内部和外部审计的须要”。
《银行业信息科技风险管理指引》第二十一条明确要求商业银行信息科技部门 要“按期向信息科技管理委员会提交本银行信息安全评估报告”，“信息安全策略的制定应涉及合规性管理领域”。第二十七条指出“银行业应制定相关策略和流 程，管理全部生产系统的日志，以支持有效的审核、安全取证分析和预防欺诈。”
《证券公司内部控制指引》第一百一十七条要求“证券公司应保证信息系统日志的完备性，确保全部重大修改被完整地记录，确保开启审计留痕功能。证券公司信息系统日志应至少保存 15 年”。
《信息系统等级化保护基本要求》的技术要求中，从第二级开始，针对网络安全、主机安全、应用安全都有明确的安全审计控制点。在管理要求中，“安全事件处置”控制点从第二级开始要求对日志和告警事件进行存储；从第三级开始提出了“监控管理与安全管理中心”的控制点要求。