论文部分内容阅读
[摘要]2019年,德勤企业管理咨询有限公司(以下简称德勤咨询)官网发布《全球风险管理调查(第11版)》(Global Risk Management Survey 11th),再次强调了网络安全的重要性。随着互联网时代的深入发展,互联网以其方便、快捷、及时的特点在各个领域应用开来,但“科技是把双刃剑”,互联网在带来诸多益处的同时,也不可避免地带来一些网络安全问题。
[关键词]网络安全 内部审计 风险管理 启示
有效应对不断升级的全球网络安全风险,美
国、澳大利亚审计署在网络安全审计方面进行了研究和探索,并形成一套行之有效的审计方法。德勤咨询调查显示,67%的受访者认为网络安全将成为影响业务开展最主要的三种风险之一,但是只有50%的受访者对网络安全持乐观态度。为此,笔者编译了美国、澳大利亚审计署、安永公司和德勤咨询的部分审计报告,总结了其关于网络安全审计的主要做法,并结合中国人民银行(以下简称人民银行)网络安全现状,提出加强和改进人民银行网络安全审计工作的建议。
一、主要观点综述
(一)网络安全的重要性日益增加
德勤咨询认为,对于机构而言,网络安全风险管理在防止破坏性攻击、经济损失、来自客户的网络安全风险、敏感数据的丢失及恶意攻击等方面作用较大。当面对来自国家行动方的威胁或来自第三方的安全风险时,德勤咨询指出,机构的风险管理制度缺乏有效性,目前具有挑战性的问题是如何保持超前于不断变换的业务需求(如移动社交、云计算)和有效应对来自高级黑客的威胁。
(二)解决数据风险和IT系统风险是首要任务
对于金融服务业来说,如何解决不断变化的数据风险和IT风险,是一项具有挑战性的任务。因为不论从数据源头还是终端客户上看,数据风险和IT系统风险都是一个持续存在的问题。调查报告指出,提高网络安全水平最重要的是提高数据的质量、数据传输的及时性和可靠性。同时,增强IT系统的建设和基础技术设施的构建,并在数据控制、数据检查和数据治理等方面采取有效的控制措施。
(三)数字风险管理的潜力巨大
一些高新技术的出现和应用,提高了风险管理的效率性和有效性,云计算、大数据分析和业务过程建模工具(BPM)这些高新技术最常被机构使用。德勤咨询认为,RPA(机器人流程自动化)在风险数据、风险报告和监管报告方面的应用最为常见。虽然RPA的自动执行重复性手动任务的功能能够有效控制成本和提高准确性,但只有少部分受访者表示所在机构正在使用这一技术。尽管目前新兴技术的使用率不高,但大部分受访者认为,新技术会为风险治理带来好处,特别是在提高运营效率、降低错误率、加强风险分析和检测、及时改进报告等方面。
二、国外审计机构开展网络安全审计的主要做法
(一)美国审计署关于网络安全审计的主要做法
美国审计署(GAO)在官网发表的《网络安全:机构需要全面建立风险管理计划并应对挑战》(Agencies Need to Fully Establish Risk Management Programs and Address Challenges)一文提到,联邦机构面临越来越多的网络系统和数据安全方面威胁。为防范这些威胁,各机构通过有效识别、优先排序和管理其网络风险,采取基于风险的网络安全方法。美国审计署整理了组织在网络安全管理上的挑战:需要招聘和留住关键的网络安全管理人员;明确管理运营与网络安全之间的竞争优先等级;建立并实施一致的政策和程序;搜集质量风险数据;制订全机构风险管理战略;将网络风险纳入企业风险管理。
针对这些挑战,美国审计署提出有效应对措施:一是确定网络安全风险的作用,即各机构应建立网络安全风险执行部门,形式可以是个人或团体对网络安全风险进行全机构监督,并促进利益相关方之间的合作,采用一致的应对网络安全风险管理战略。二是制定网络安全风险管理战略,即机构应该制定网络安全风险管理战略,为风险管理提供基础,并为基于风险的决策划定界限。该战略应包括机构风险承受力的说明、如何评估风险、可接受的风险应对策略及机构打算如何检测一段时间内的风险。三是基于信息系统的风险管理政策,即确定在执行风险管理框架方面发挥个人关键作用;对整个机构的网络风险进行评估;查明和记录可以由多个信息系统集成的共同安全控制。四是进行全机构网络安全风险评估,即各机构需定期评估网络安全和隐私风险,并不断更新结果;机构一级的风险评估主要基于从全系统一级风险评估结果得到综合信息、持续檢测和任何相关方战略风险。
(二)澳大利亚审计署关于网络安全审计的主要做法
一是开发与组织风险管理流程一致的IT安全策略和流程。二是确保IT安全控制框架内的流程有效,以缩减IT安全环境与澳大利亚政府预期之间的差距,并有助于确定系统是否在可接受的风险水平下运行。三是明确管理IT设备的物理和环境安全控制流程和标准。四是确保网络系统安全稳定运行,以充分解决IT安全风险。五是确保安全标准能够应用于审计跟踪的使用和监控。
(三)安永关于网络安全审计的主要做法
安永在《内部审计有六种方式可以减轻企业数字化风险》(Six Ways Internal Audit Can Help Mitigate Digital Risk )一文中提到,面对与日俱增的网络风险应采取措施,制订网络审计计划,解决以下问题:一是安全意识,即评估用户安全意识,以提高其对企业信息和系统未经授权的物理或逻辑访问的意识和敏感度。二是资产管理,即保留能够保护实体网络的防护设备。三是供应商风险管理,即定期评估第三方服务供应商。四是事件响应,即评估管理者在异常活动时所采用的应急措施。
(四)德勤咨询关于网络安全审计的主要做法
[关键词]网络安全 内部审计 风险管理 启示
有效应对不断升级的全球网络安全风险,美
国、澳大利亚审计署在网络安全审计方面进行了研究和探索,并形成一套行之有效的审计方法。德勤咨询调查显示,67%的受访者认为网络安全将成为影响业务开展最主要的三种风险之一,但是只有50%的受访者对网络安全持乐观态度。为此,笔者编译了美国、澳大利亚审计署、安永公司和德勤咨询的部分审计报告,总结了其关于网络安全审计的主要做法,并结合中国人民银行(以下简称人民银行)网络安全现状,提出加强和改进人民银行网络安全审计工作的建议。
一、主要观点综述
(一)网络安全的重要性日益增加
德勤咨询认为,对于机构而言,网络安全风险管理在防止破坏性攻击、经济损失、来自客户的网络安全风险、敏感数据的丢失及恶意攻击等方面作用较大。当面对来自国家行动方的威胁或来自第三方的安全风险时,德勤咨询指出,机构的风险管理制度缺乏有效性,目前具有挑战性的问题是如何保持超前于不断变换的业务需求(如移动社交、云计算)和有效应对来自高级黑客的威胁。
(二)解决数据风险和IT系统风险是首要任务
对于金融服务业来说,如何解决不断变化的数据风险和IT风险,是一项具有挑战性的任务。因为不论从数据源头还是终端客户上看,数据风险和IT系统风险都是一个持续存在的问题。调查报告指出,提高网络安全水平最重要的是提高数据的质量、数据传输的及时性和可靠性。同时,增强IT系统的建设和基础技术设施的构建,并在数据控制、数据检查和数据治理等方面采取有效的控制措施。
(三)数字风险管理的潜力巨大
一些高新技术的出现和应用,提高了风险管理的效率性和有效性,云计算、大数据分析和业务过程建模工具(BPM)这些高新技术最常被机构使用。德勤咨询认为,RPA(机器人流程自动化)在风险数据、风险报告和监管报告方面的应用最为常见。虽然RPA的自动执行重复性手动任务的功能能够有效控制成本和提高准确性,但只有少部分受访者表示所在机构正在使用这一技术。尽管目前新兴技术的使用率不高,但大部分受访者认为,新技术会为风险治理带来好处,特别是在提高运营效率、降低错误率、加强风险分析和检测、及时改进报告等方面。
二、国外审计机构开展网络安全审计的主要做法
(一)美国审计署关于网络安全审计的主要做法
美国审计署(GAO)在官网发表的《网络安全:机构需要全面建立风险管理计划并应对挑战》(Agencies Need to Fully Establish Risk Management Programs and Address Challenges)一文提到,联邦机构面临越来越多的网络系统和数据安全方面威胁。为防范这些威胁,各机构通过有效识别、优先排序和管理其网络风险,采取基于风险的网络安全方法。美国审计署整理了组织在网络安全管理上的挑战:需要招聘和留住关键的网络安全管理人员;明确管理运营与网络安全之间的竞争优先等级;建立并实施一致的政策和程序;搜集质量风险数据;制订全机构风险管理战略;将网络风险纳入企业风险管理。
针对这些挑战,美国审计署提出有效应对措施:一是确定网络安全风险的作用,即各机构应建立网络安全风险执行部门,形式可以是个人或团体对网络安全风险进行全机构监督,并促进利益相关方之间的合作,采用一致的应对网络安全风险管理战略。二是制定网络安全风险管理战略,即机构应该制定网络安全风险管理战略,为风险管理提供基础,并为基于风险的决策划定界限。该战略应包括机构风险承受力的说明、如何评估风险、可接受的风险应对策略及机构打算如何检测一段时间内的风险。三是基于信息系统的风险管理政策,即确定在执行风险管理框架方面发挥个人关键作用;对整个机构的网络风险进行评估;查明和记录可以由多个信息系统集成的共同安全控制。四是进行全机构网络安全风险评估,即各机构需定期评估网络安全和隐私风险,并不断更新结果;机构一级的风险评估主要基于从全系统一级风险评估结果得到综合信息、持续檢测和任何相关方战略风险。
(二)澳大利亚审计署关于网络安全审计的主要做法
一是开发与组织风险管理流程一致的IT安全策略和流程。二是确保IT安全控制框架内的流程有效,以缩减IT安全环境与澳大利亚政府预期之间的差距,并有助于确定系统是否在可接受的风险水平下运行。三是明确管理IT设备的物理和环境安全控制流程和标准。四是确保网络系统安全稳定运行,以充分解决IT安全风险。五是确保安全标准能够应用于审计跟踪的使用和监控。
(三)安永关于网络安全审计的主要做法
安永在《内部审计有六种方式可以减轻企业数字化风险》(Six Ways Internal Audit Can Help Mitigate Digital Risk )一文中提到,面对与日俱增的网络风险应采取措施,制订网络审计计划,解决以下问题:一是安全意识,即评估用户安全意识,以提高其对企业信息和系统未经授权的物理或逻辑访问的意识和敏感度。二是资产管理,即保留能够保护实体网络的防护设备。三是供应商风险管理,即定期评估第三方服务供应商。四是事件响应,即评估管理者在异常活动时所采用的应急措施。
(四)德勤咨询关于网络安全审计的主要做法