【涨知识】信息科技风险审计的三大技巧及四项工具

百家 作者:绿盟科技 2017-08-02 11:13:05

本文以外部审计机构的视角介绍绿盟科技开展信息科技风险审计项目的实施过程,结合实施经验识别审计重点,通过使用符合性测试、实质性测试方法,强调拓展审计发现。小编在此分享实施技巧,希望给予审计人员带来思路启发。

之前我们对信息科技风险审计项目实施过程、审计重点两部分内容进行了阐述,本期将继续对剩余的实施技巧、实用工具等部分内容进行展开。

实施技巧

a.

项目汇报、宣贯:管理层支持,全员参与

信息科技风险计划、识别、分析、处置、跟踪等相关工作不仅是风险管理部的工作,信息技术实现、安全保障不仅是信息科技部或是信息安全组的职责。信息科技治理是由上而下,需要管理层支持。项目组人员可以争取高级管理层、业务部门、科技部门、风险管理部门、审计部门参与到审计工作中。

b.

信息来源:多个层面收集,拓展审计发现

信息来源由三个层面组成:

◎ 高级管理层,各委员会信息科技风险管理相关议题;

◎ 部门,三道防线各部门信息科技风险管理相关报告;

◎ 信息系统,其操作日志,及对应系统、网络设备日志;

c.

技术评估:发挥技术优势,拓展审计发现

技术评估内容主要包括漏洞扫描、基线检查、代码审计。其中漏扫和基检是绿盟科技传统技术评估方法。项目组需要做好技术评估前期沟通,说明漏扫的技术目的、方式和风险。代码审计是对系统源代码进行审计,找出编程缺陷,并提供改进建议及最佳安全编码实践。代码审计工作采用“工具扫描+人工验证”的方式,在了解业务流和各模块功能和结构的情况下,检查代码在程序编写上的安全性和脆弱性以及结构性的安全问题。

实用工具

a.调阅清单:合规调阅,定期统计状态

信项目组在计划准备阶段和实施阶段使用调阅清单,开展非制度规范类资料调阅。为了跟踪调阅状态,表格包含了状态字段(未有、已有、现场已查阅、无记录),并在每周定期更新进展状态。调阅清单样张如下图:

b.线索表:汇总梳理线索,拓展审计发现

项目组在现场实施阶段使用线索表,通过汇总梳理线索和跟踪发现,判断对应情况是否属于问题,或仅为观察项。跟踪结果(问题项、观察项、建议项)。

c.审计表:总结汇总、统一审计意见

项目组在现场实施阶段使用审计表,将审计过程发现的客观情况逐项填写在“现状描述”和“信息来源”中,对客户“管理成熟度”进行选择,将会根据“管理成熟度”的值自动生成“成熟度赋值”、“符合性分析”、“风险评级”、“差距分析雷达图”结果。

d.跟踪记录单:认真整改,持续跟踪

根据项目实施过程,整改跟踪过程属于其中必要的一个环节。只是发现问题而未及时进行整改,不仅风险不会降低,由于问题已经在一定范围内公开,反而可能提高风险,造成信息安全事件。因而,认真完成整改工作成为必然。但待整改问题分布广泛,且属于多个部门和责任人;对于整改方案经常会做出调整,需要召集多部门人员集中讨论确定方案。项目组必须严密跟踪整改进展,通过统计关键指标并适时调整整改计划,才能保证项目整体实施效果。整改状态的关键指标有:

◎ 有无反馈回复意见;

◎ 有无提供整改方案;

◎ 有无明确整改完成日期;

总结

本文通过介绍商业银行信息科技风险外部审计项目实施过程,结合纵向、横向对比及绿盟科技实施经验,明确审计重点,分享实施技巧和实用工具。笔者希望能给正在研究和正在实施信息科技风险审计服务的人员提供思路和方法。

更多详情请点击“阅读原文”





请点击屏幕右上方“…”

关注绿盟科技公众号
NSFOCUS-weixin

↑↑↑长按二维码,下载绿盟云APP

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接