網(wǎng)絡(luò)安全審計(jì)的新要求和啟示

李朝暉 劉陽(yáng)

[摘要]2019年，德勤企業(yè)管理咨詢有限公司（以下簡(jiǎn)稱德勤咨詢）官網(wǎng)發(fā)布《全球風(fēng)險(xiǎn)管理調(diào)查（第11版）》（Global Risk Management Survey 11th），再次強(qiáng)調(diào)了網(wǎng)絡(luò)安全的重要性。隨著互聯(lián)網(wǎng)時(shí)代的深入發(fā)展，互聯(lián)網(wǎng)以其方便、快捷、及時(shí)的特點(diǎn)在各個(gè)領(lǐng)域應(yīng)用開來(lái)，但“科技是把雙刃劍”，互聯(lián)網(wǎng)在帶來(lái)諸多益處的同時(shí)，也不可避免地帶來(lái)一些網(wǎng)絡(luò)安全問(wèn)題。

[關(guān)鍵詞]網(wǎng)絡(luò)安全 ? ?內(nèi)部審計(jì) ? ?風(fēng)險(xiǎn)管理 ? ?啟示

有效應(yīng)對(duì)不斷升級(jí)的全球網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，美

國(guó)、澳大利亞審計(jì)署在網(wǎng)絡(luò)安全審計(jì)方面進(jìn)行了研究和探索，并形成一套行之有效的審計(jì)方法。德勤咨詢調(diào)查顯示，67%的受訪者認(rèn)為網(wǎng)絡(luò)安全將成為影響業(yè)務(wù)開展最主要的三種風(fēng)險(xiǎn)之一，但是只有50%的受訪者對(duì)網(wǎng)絡(luò)安全持樂(lè)觀態(tài)度。為此，筆者編譯了美國(guó)、澳大利亞審計(jì)署、安永公司和德勤咨詢的部分審計(jì)報(bào)告，總結(jié)了其關(guān)于網(wǎng)絡(luò)安全審計(jì)的主要做法，并結(jié)合中國(guó)人民銀行（以下簡(jiǎn)稱人民銀行）網(wǎng)絡(luò)安全現(xiàn)狀，提出加強(qiáng)和改進(jìn)人民銀行網(wǎng)絡(luò)安全審計(jì)工作的建議。

一、主要觀點(diǎn)綜述

（一）網(wǎng)絡(luò)安全的重要性日益增加

德勤咨詢認(rèn)為，對(duì)于機(jī)構(gòu)而言，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理在防止破壞性攻擊、經(jīng)濟(jì)損失、來(lái)自客戶的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、敏感數(shù)據(jù)的丟失及惡意攻擊等方面作用較大。當(dāng)面對(duì)來(lái)自國(guó)家行動(dòng)方的威脅或來(lái)自第三方的安全風(fēng)險(xiǎn)時(shí)，德勤咨詢指出，機(jī)構(gòu)的風(fēng)險(xiǎn)管理制度缺乏有效性，目前具有挑戰(zhàn)性的問(wèn)題是如何保持超前于不斷變換的業(yè)務(wù)需求（如移動(dòng)社交、云計(jì)算）和有效應(yīng)對(duì)來(lái)自高級(jí)黑客的威脅。

（二）解決數(shù)據(jù)風(fēng)險(xiǎn)和IT系統(tǒng)風(fēng)險(xiǎn)是首要任務(wù)

對(duì)于金融服務(wù)業(yè)來(lái)說(shuō)，如何解決不斷變化的數(shù)據(jù)風(fēng)險(xiǎn)和IT風(fēng)險(xiǎn)，是一項(xiàng)具有挑戰(zhàn)性的任務(wù)。因?yàn)椴徽搹臄?shù)據(jù)源頭還是終端客戶上看，數(shù)據(jù)風(fēng)險(xiǎn)和IT系統(tǒng)風(fēng)險(xiǎn)都是一個(gè)持續(xù)存在的問(wèn)題。調(diào)查報(bào)告指出，提高網(wǎng)絡(luò)安全水平最重要的是提高數(shù)據(jù)的質(zhì)量、數(shù)據(jù)傳輸?shù)募皶r(shí)性和可靠性。同時(shí)，增強(qiáng)IT系統(tǒng)的建設(shè)和基礎(chǔ)技術(shù)設(shè)施的構(gòu)建，并在數(shù)據(jù)控制、數(shù)據(jù)檢查和數(shù)據(jù)治理等方面采取有效的控制措施。

（三）數(shù)字風(fēng)險(xiǎn)管理的潛力巨大

一些高新技術(shù)的出現(xiàn)和應(yīng)用，提高了風(fēng)險(xiǎn)管理的效率性和有效性，云計(jì)算、大數(shù)據(jù)分析和業(yè)務(wù)過(guò)程建模工具（BPM）這些高新技術(shù)最常被機(jī)構(gòu)使用。德勤咨詢認(rèn)為，RPA（機(jī)器人流程自動(dòng)化）在風(fēng)險(xiǎn)數(shù)據(jù)、風(fēng)險(xiǎn)報(bào)告和監(jiān)管報(bào)告方面的應(yīng)用最為常見。雖然RPA的自動(dòng)執(zhí)行重復(fù)性手動(dòng)任務(wù)的功能能夠有效控制成本和提高準(zhǔn)確性，但只有少部分受訪者表示所在機(jī)構(gòu)正在使用這一技術(shù)。盡管目前新興技術(shù)的使用率不高，但大部分受訪者認(rèn)為，新技術(shù)會(huì)為風(fēng)險(xiǎn)治理帶來(lái)好處，特別是在提高運(yùn)營(yíng)效率、降低錯(cuò)誤率、加強(qiáng)風(fēng)險(xiǎn)分析和檢測(cè)、及時(shí)改進(jìn)報(bào)告等方面。

二、國(guó)外審計(jì)機(jī)構(gòu)開展網(wǎng)絡(luò)安全審計(jì)的主要做法

（一）美國(guó)審計(jì)署關(guān)于網(wǎng)絡(luò)安全審計(jì)的主要做法

美國(guó)審計(jì)署（GAO）在官網(wǎng)發(fā)表的《網(wǎng)絡(luò)安全：機(jī)構(gòu)需要全面建立風(fēng)險(xiǎn)管理計(jì)劃并應(yīng)對(duì)挑戰(zhàn)》（Agencies Need to Fully Establish Risk Management Programs and Address Challenges）一文提到，聯(lián)邦機(jī)構(gòu)面臨越來(lái)越多的網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)安全方面威脅。為防范這些威脅，各機(jī)構(gòu)通過(guò)有效識(shí)別、優(yōu)先排序和管理其網(wǎng)絡(luò)風(fēng)險(xiǎn)，采取基于風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全方法。美國(guó)審計(jì)署整理了組織在網(wǎng)絡(luò)安全管理上的挑戰(zhàn)：需要招聘和留住關(guān)鍵的網(wǎng)絡(luò)安全管理人員;明確管理運(yùn)營(yíng)與網(wǎng)絡(luò)安全之間的競(jìng)爭(zhēng)優(yōu)先等級(jí);建立并實(shí)施一致的政策和程序;搜集質(zhì)量風(fēng)險(xiǎn)數(shù)據(jù);制訂全機(jī)構(gòu)風(fēng)險(xiǎn)管理戰(zhàn)略;將網(wǎng)絡(luò)風(fēng)險(xiǎn)納入企業(yè)風(fēng)險(xiǎn)管理。

針對(duì)這些挑戰(zhàn)，美國(guó)審計(jì)署提出有效應(yīng)對(duì)措施：一是確定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的作用，即各機(jī)構(gòu)應(yīng)建立網(wǎng)絡(luò)安全風(fēng)險(xiǎn)執(zhí)行部門，形式可以是個(gè)人或團(tuán)體對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行全機(jī)構(gòu)監(jiān)督，并促進(jìn)利益相關(guān)方之間的合作，采用一致的應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理戰(zhàn)略。二是制定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理戰(zhàn)略，即機(jī)構(gòu)應(yīng)該制定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理戰(zhàn)略，為風(fēng)險(xiǎn)管理提供基礎(chǔ)，并為基于風(fēng)險(xiǎn)的決策劃定界限。該戰(zhàn)略應(yīng)包括機(jī)構(gòu)風(fēng)險(xiǎn)承受力的說(shuō)明、如何評(píng)估風(fēng)險(xiǎn)、可接受的風(fēng)險(xiǎn)應(yīng)對(duì)策略及機(jī)構(gòu)打算如何檢測(cè)一段時(shí)間內(nèi)的風(fēng)險(xiǎn)。三是基于信息系統(tǒng)的風(fēng)險(xiǎn)管理政策，即確定在執(zhí)行風(fēng)險(xiǎn)管理框架方面發(fā)揮個(gè)人關(guān)鍵作用;對(duì)整個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行評(píng)估;查明和記錄可以由多個(gè)信息系統(tǒng)集成的共同安全控制。四是進(jìn)行全機(jī)構(gòu)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，即各機(jī)構(gòu)需定期評(píng)估網(wǎng)絡(luò)安全和隱私風(fēng)險(xiǎn)，并不斷更新結(jié)果;機(jī)構(gòu)一級(jí)的風(fēng)險(xiǎn)評(píng)估主要基于從全系統(tǒng)一級(jí)風(fēng)險(xiǎn)評(píng)估結(jié)果得到綜合信息、持續(xù)檢測(cè)和任何相關(guān)方戰(zhàn)略風(fēng)險(xiǎn)。

（二）澳大利亞審計(jì)署關(guān)于網(wǎng)絡(luò)安全審計(jì)的主要做法

一是開發(fā)與組織風(fēng)險(xiǎn)管理流程一致的IT安全策略和流程。二是確保IT安全控制框架內(nèi)的流程有效，以縮減IT安全環(huán)境與澳大利亞政府預(yù)期之間的差距，并有助于確定系統(tǒng)是否在可接受的風(fēng)險(xiǎn)水平下運(yùn)行。三是明確管理IT設(shè)備的物理和環(huán)境安全控制流程和標(biāo)準(zhǔn)。四是確保網(wǎng)絡(luò)系統(tǒng)安全穩(wěn)定運(yùn)行，以充分解決IT安全風(fēng)險(xiǎn)。五是確保安全標(biāo)準(zhǔn)能夠應(yīng)用于審計(jì)跟蹤的使用和監(jiān)控。

（三）安永關(guān)于網(wǎng)絡(luò)安全審計(jì)的主要做法

安永在《內(nèi)部審計(jì)有六種方式可以減輕企業(yè)數(shù)字化風(fēng)險(xiǎn)》（Six Ways Internal Audit Can Help Mitigate Digital Risk ）一文中提到，面對(duì)與日俱增的網(wǎng)絡(luò)風(fēng)險(xiǎn)應(yīng)采取措施，制訂網(wǎng)絡(luò)審計(jì)計(jì)劃，解決以下問(wèn)題：一是安全意識(shí)，即評(píng)估用戶安全意識(shí)，以提高其對(duì)企業(yè)信息和系統(tǒng)未經(jīng)授權(quán)的物理或邏輯訪問(wèn)的意識(shí)和敏感度。二是資產(chǎn)管理，即保留能夠保護(hù)實(shí)體網(wǎng)絡(luò)的防護(hù)設(shè)備。三是供應(yīng)商風(fēng)險(xiǎn)管理，即定期評(píng)估第三方服務(wù)供應(yīng)商。四是事件響應(yīng)，即評(píng)估管理者在異?；顒?dòng)時(shí)所采用的應(yīng)急措施。

（四）德勤咨詢關(guān)于網(wǎng)絡(luò)安全審計(jì)的主要做法

德勤咨詢?cè)诠倬W(wǎng)上發(fā)布的《信息技術(shù)中的風(fēng)險(xiǎn)》（Information Technology Risks in Financial Services）提到，為防范網(wǎng)絡(luò)攻擊、數(shù)據(jù)隱私泄露等問(wèn)題的發(fā)生，管理層需要了解網(wǎng)絡(luò)風(fēng)險(xiǎn)事件的潛在可能性和影響以及應(yīng)對(duì)這些風(fēng)險(xiǎn)應(yīng)該采取的措施。管理層必須保持警惕，查找新出現(xiàn)的威脅，建立有效的實(shí)施機(jī)制以減輕這些威脅。針對(duì)網(wǎng)絡(luò)安全管理中出現(xiàn)的一系列問(wèn)題，德勤提出下列解決措施：一是成立董事會(huì)及資訊科技風(fēng)險(xiǎn)委員會(huì);二是要求董事會(huì)擁有具備科技專業(yè)知識(shí)的成員;三是進(jìn)行內(nèi)部審計(jì);四是增加透明度;五是發(fā)揮三道防線的重要作用;六是重視數(shù)字化安全管理。

三、對(duì)人民銀行網(wǎng)絡(luò)安全審計(jì)的啟示

（一）人民銀行網(wǎng)絡(luò)安全審計(jì)的重要性

一是有利于維護(hù)人民銀行的網(wǎng)絡(luò)安全。隨著人民銀行信息系統(tǒng)集中化的發(fā)展，網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)也在不斷攀升，網(wǎng)絡(luò)安全審計(jì)工作的必要性日益突顯。人民銀行要開展網(wǎng)絡(luò)安全審計(jì)工作，通過(guò)提高審計(jì)頻率和擴(kuò)大審計(jì)范圍，降低數(shù)據(jù)信息的網(wǎng)絡(luò)風(fēng)險(xiǎn)和安全隱患，以維護(hù)網(wǎng)絡(luò)安全，防止機(jī)密文件泄露，避免造成不可挽回的損失。

二是有利于監(jiān)督安全部門更好地履行職責(zé)。開展網(wǎng)絡(luò)安全審計(jì)工作，有利于督促網(wǎng)絡(luò)安全管理部門監(jiān)督管理各業(yè)務(wù)部門的保密信息，控制數(shù)據(jù)信息安全、操作等方面的風(fēng)險(xiǎn)。同時(shí)，網(wǎng)絡(luò)安全審計(jì)工作的開展，能夠提高網(wǎng)絡(luò)安全在安全管理工作中的比重，促使網(wǎng)絡(luò)安全部門更好地履行職責(zé)。

三是有利于促進(jìn)網(wǎng)絡(luò)安全技術(shù)的更新?lián)Q代。過(guò)時(shí)的網(wǎng)絡(luò)安全維護(hù)技術(shù)，易使人民銀行網(wǎng)絡(luò)數(shù)據(jù)和信息系統(tǒng)遭受攻擊，增大網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)。近年來(lái)，隨著TCP/IP協(xié)議、數(shù)據(jù)庫(kù)漏洞、黑客入侵、爬蟲等風(fēng)險(xiǎn)的增大，網(wǎng)絡(luò)安全防范技術(shù)水平需要進(jìn)一步提高。開展網(wǎng)絡(luò)安全審計(jì)工作，有利于加強(qiáng)對(duì)新興網(wǎng)絡(luò)安全技術(shù)的關(guān)注，促使網(wǎng)絡(luò)安全技術(shù)實(shí)現(xiàn)更新升級(jí)。

（二）開展網(wǎng)絡(luò)安全審計(jì)面臨的挑戰(zhàn)

一是網(wǎng)絡(luò)安全審計(jì)標(biāo)準(zhǔn)不夠健全。網(wǎng)絡(luò)安全包含的內(nèi)容較為廣泛，具體包括網(wǎng)絡(luò)設(shè)備安全、網(wǎng)絡(luò)軟件安全和網(wǎng)絡(luò)信息安全等，但是審計(jì)對(duì)于網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和風(fēng)險(xiǎn)評(píng)估系統(tǒng)建設(shè)還不夠成熟，相關(guān)網(wǎng)絡(luò)安全審計(jì)規(guī)范還未制定，無(wú)法全方位、多角度地對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行審計(jì)。

二是網(wǎng)絡(luò)安全管理技術(shù)不夠成熟。目前，網(wǎng)絡(luò)安全管理的主要技術(shù)手段是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)測(cè)評(píng)。這兩種評(píng)估方法主觀性較強(qiáng)，評(píng)估結(jié)果往往會(huì)由于評(píng)估人員的個(gè)人經(jīng)驗(yàn)、技術(shù)水平和從業(yè)經(jīng)歷而受到影響，未能利用數(shù)字管理對(duì)數(shù)據(jù)和信息進(jìn)行集中處理，網(wǎng)絡(luò)安全管理方式在效率性與精確性上有所欠缺。人民銀行應(yīng)該加快云計(jì)算、大數(shù)據(jù)分析等技術(shù)的應(yīng)用，以提高網(wǎng)絡(luò)安全審計(jì)效率。

三是網(wǎng)絡(luò)安全審計(jì)技術(shù)有待提高。計(jì)算機(jī)網(wǎng)絡(luò)偏向于數(shù)字化智能設(shè)備，對(duì)各種網(wǎng)絡(luò)漏洞和安全隱患的檢測(cè)更加依賴于技術(shù)，同時(shí)對(duì)網(wǎng)絡(luò)安全狀態(tài)的檢查、維護(hù)也更加需要專業(yè)化知識(shí)。由于人民銀行內(nèi)審部門專門的網(wǎng)絡(luò)技術(shù)人才較少，給深入開展網(wǎng)絡(luò)安全審計(jì)工作增加了難度。

（三）開展網(wǎng)絡(luò)安全審計(jì)需注意的事項(xiàng)

一是注意把握網(wǎng)絡(luò)安全與組織運(yùn)行效率之間的平衡。良好的網(wǎng)絡(luò)安全防范環(huán)境有助于保護(hù)組織的數(shù)據(jù)和信息安全，避免重大機(jī)密泄露、影響組織利益。但是過(guò)度防范網(wǎng)絡(luò)安全會(huì)影響組織的工作效率，造成工作效率低下，所以把握網(wǎng)絡(luò)安全與組織工作效率之間的平衡至關(guān)重要。

二是重視發(fā)揮數(shù)字安全管理的作用。網(wǎng)絡(luò)安全管理是一項(xiàng)復(fù)雜工程，借助數(shù)字安全管理會(huì)給組織帶來(lái)許多便利。使用數(shù)字管理可以提高運(yùn)行效率、降低錯(cuò)誤率、加強(qiáng)風(fēng)險(xiǎn)分析和檢測(cè)等，大大降低網(wǎng)絡(luò)安全管理的工作量，提高工作效率。目前，使用最多的技術(shù)是云計(jì)算、大數(shù)據(jù)分析和業(yè)務(wù)過(guò)程建模工具等，人民銀行需加快應(yīng)用這些網(wǎng)絡(luò)安全技術(shù)。

三是注意保持審計(jì)部門自身的獨(dú)立性。審計(jì)部門在開展網(wǎng)絡(luò)安全審計(jì)工作時(shí)，既要與網(wǎng)絡(luò)安全部門進(jìn)行協(xié)作，了解網(wǎng)絡(luò)安全管理工作的實(shí)施流程和工作詳情，確保審計(jì)工作的全面性和精確性，又要保持審計(jì)工作的獨(dú)立性，公正如實(shí)地反映網(wǎng)絡(luò)安全工作情況。

（作者單位：中國(guó)人民銀行克拉瑪依市中心支行，郵政編碼：834000，電子郵箱：249637587@qq.com）

主要參考文獻(xiàn)

Edward Hida.Global Risk Management Survey， 11th edition executive summary [OL]. World Economic Forum ， 2019（1）