信息安全与内部控制 – 作者:celery

企业信息系统建设过程中不断出现的信息系统安全事件不仅导致企业产生资金损失，也会带来信誉风险。如何降低安全事件的发生率并减少损失，是需要长期面对的问题。与此同时，IT审计师对信息系统安全事件的调查分析是一项非常艰苦的工作，需要从业务和技术等多方面入手，才能找到问题的直接原因和根本原因。

• 安全体系建设

信息安全体系建设是个宏观的概念，属于高层次内部控制，涉及企业IT治理和IT战略。

具体来说，信息安全体系建设是组织在特定范围内，将安全管理和安全技术的措施、功能、系统等相互关联在一起，为了实现特定的安全建设目标，而形成的一个整体过程。组织以总体安全策略为指导，通过评估信息系统风险，制定保护措施，为公司信息系统提供全面的保护，尽可能的降低安全风险，从而提高组织级的整体安全防护水平，为业务发展提供信息安全保护。

信息安全体系建设通常包括安全技术与安全管理两个部分，就像常说的“三分靠技术，七分靠管理”；其中安全技术手段是安全管理的基础，安全管理是安全技术手段发挥作用的关键，安全保护措施的正确实施需要同时有管理手段的监管及技术手段来验证，两种手段相互配合，缺一不可。实际开展工作的过程中，IT技术人员容易出现重技术而轻管理的现象，间接导致信息系统的风险增加、信息安全事件发生频率加大的情况。

• 安全意识提升

安全意识，就是人们头脑中建立起来的生产必须安全的观念，也就是人们在生产活动中各种各样有可能对自己或他人造成伤害的外在环境条件的一种戒备和警觉的心理状态。

通过提升员工认知可能存在的安全问题，认识信息安全事故对组织的危害，恪守正确的行为方式，形成员工对安全的普遍认知。通过强化员工安全意识、督促关键行为转化，保障有效支撑业务高效稳定运行。

例如，金融系统员工的安全意识培训主要是在经济领域，对信息系统安全培训不够充分，对信息系统知识教育不够全面，对信息系统风险缺乏认识。很多员工对信息系统安全缺乏足够的了解和学习，只有通过不断的培训和长期的教育，在组织内形成的良好的企业文化氛围，才能让全体员工逐步养成良好的安全意识，减少各类安全事件的发生。

• 一般控制措施

一般控制是为了实现信息处理目标，保证信息系统的安全，对整个信息系统以及外部各种环境要素实施的具有普遍影响的控制措施。主要包括程序开发，程序变更、程序和数据访问以及计算机运行四个方面。一般控制的每一方面措施都会对信息系统的建设带来巨大影响，涉及到大量的技术规范和处理流程，是进行信息系统建设和信息系统风险管理不可或缺的部分。

通过定期开展一般控制检查、尽职监督检查等措施，建立和完善对一般控制的监督机制，保证一般控制有效并发挥作用。同时，还需要不断优化技术规则和流程，形成“重规则”、“轻流程”的良好实践，进一步加强一般控制的作用。

• 应用控制措施

应用控制是指主要在业务流程层面运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关。 具体而言，应用控制主要关注信息处理目标的四个要素：完整性、准确性、经过授权和访问限制。应用控制通常包括检查数据计算的准确性，审核账户和试算平衡表，设置对输入数据和数字序号的自动检査，以及对例外报告进行人工干预。

应用控制通过在应用系统中实现和检验业务规则来发挥作用，这就要求业务人员在需求描述的过程中尽可能将业务规则进行全面而详细的说明。应有系统在设计和实现过程中通常分为前端（界面）、渠道、中台、后台等多个逻辑层次，在哪个层次实现应有控制措施是必须要论证和解决的问题。从安全角度出发，一项应用控制可能需要在多个逻辑层次进行实施才能更好的发挥效用，增强系统的健壮性。

综上所述，信息安全与内部控制密不可分，并且安全事件的发生适用“木桶短板原则”，往往是由于系统控制中薄弱环节被威胁源攻击造成的。只有对信息系统全生命周期进行管理，从业务和技术等多个视角进行风险分析，并根据评估结果采取必要的安全防范措施，才能减少各类安全和生产事件的发生。

来源：freebuf.com 2020-08-05 14:47:05 by: celery