基于風(fēng)險(xiǎn)的審計(jì)方法:風(fēng)險(xiǎn)評(píng)估
“基于風(fēng)險(xiǎn)的審計(jì)”(Risk-based auditing)這個(gè)話題涉及的范圍很廣泛,它可以應(yīng)用到許多領(lǐng)域,比如金融以及信息技術(shù)(IT)等。本文將從企業(yè)IT的角度來(lái)介紹基于風(fēng)險(xiǎn)的審計(jì)。文章內(nèi)容涉及到基于風(fēng)險(xiǎn)的審計(jì)的要求,以及在審計(jì)之前、審計(jì)之中、審計(jì)之后需要采取的必要步驟。另外,本文還討論了減輕風(fēng)險(xiǎn)的方法,并對(duì)控制選擇和控制有效性測(cè)量進(jìn)行了分析。這篇文章為那些開(kāi)發(fā)內(nèi)部IT審計(jì)程序或者正在尋找安全風(fēng)險(xiǎn)評(píng)估方法的企業(yè)提供了一個(gè)簡(jiǎn)單的基于風(fēng)險(xiǎn)的審計(jì)方法。
為什么要進(jìn)行基于風(fēng)險(xiǎn)的審計(jì)?方法論以及背景
審計(jì)是企業(yè)安全策略中重要的組成部分。審計(jì)能夠讓工作人員滿足監(jiān)管規(guī)則的要求,驗(yàn)證現(xiàn)有的控制能否保護(hù)業(yè)務(wù)功能,并且決定什么時(shí)候需要新的控制。基于風(fēng)險(xiǎn)的審計(jì)與那種審計(jì)人員只用一個(gè)檢查清單和一支筆來(lái)決定是否遵從規(guī)則的審計(jì)活動(dòng)不同,它需要理解企業(yè)的業(yè)務(wù)功能和目標(biāo),這樣才能夠真正深入到系統(tǒng)和網(wǎng)絡(luò)之中。
美國(guó)信息系統(tǒng)審計(jì)和控制協(xié)會(huì)(Information Systems Audit and Control Association,即ISACA)指出,“在基于風(fēng)險(xiǎn)的審計(jì)方法中,信息系統(tǒng)的審計(jì)人員不只是依靠風(fēng)險(xiǎn);他們還依靠?jī)?nèi)部和運(yùn)行控制,以及對(duì)被審計(jì)公司或者業(yè)務(wù)的了解。”因此,風(fēng)險(xiǎn)審計(jì)提供了更加徹底的業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估,使得管理人員能夠根據(jù)他們的風(fēng)險(xiǎn)承受能力做出明智的決定。進(jìn)行基于風(fēng)險(xiǎn)的審計(jì)的原因是為了保持企業(yè)的IT決策和行動(dòng)跟企業(yè)可接受的風(fēng)險(xiǎn)水平相一致,而且風(fēng)險(xiǎn)評(píng)估過(guò)程有助于確定風(fēng)險(xiǎn)門(mén)檻。
基于風(fēng)險(xiǎn)的審計(jì)方法:風(fēng)險(xiǎn)評(píng)估
風(fēng)險(xiǎn)承受能力或者可接受的風(fēng)險(xiǎn)是指一個(gè)企業(yè)愿意接受的風(fēng)險(xiǎn)暴露數(shù)量。也就是說(shuō),企業(yè)必須設(shè)置一個(gè)門(mén)檻,以確定何時(shí)以及何地執(zhí)行各種控制來(lái)減輕風(fēng)險(xiǎn)。對(duì)于決定哪些控制是“錦上添花”,哪些是必要的保護(hù)業(yè)務(wù)功能的控制來(lái)說(shuō),這個(gè)過(guò)程是必不可少的。比如由國(guó)際標(biāo)準(zhǔn)化組織(ISO)以及美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)局(NIST)提出的幾個(gè)風(fēng)險(xiǎn)管理方法,可以給管理人員提供好的可接受的風(fēng)險(xiǎn)評(píng)估結(jié)果。某種程度上,這些方法通常還包括明確資產(chǎn)、威脅、漏洞以及控制等。
確定資產(chǎn)
企業(yè)不能保護(hù)他們不知道的東西,所以他們必須明確企業(yè)的所有資產(chǎn),而且要特別注意那些最關(guān)鍵的東西。資產(chǎn)統(tǒng)計(jì)列表出來(lái)之后,企業(yè)必須使用某種分類(lèi)方法或者企業(yè)標(biāo)準(zhǔn)把它們進(jìn)行分類(lèi)。一般來(lái)說(shuō),可以參考以下標(biāo)準(zhǔn)對(duì)資產(chǎn)進(jìn)行分類(lèi)和評(píng)估:
◆類(lèi)型:信息、硬件、軟件、服務(wù)等
◆價(jià)值:業(yè)務(wù)價(jià)值和競(jìng)爭(zhēng)價(jià)值
◆復(fù)雜性:不正常的企業(yè)管理費(fèi)用、兼容性,或者操作要求
◆壽命:操作周期、折舊歷史以及預(yù)期的生命期限
確定危險(xiǎn)程度和保密級(jí)別
對(duì)資產(chǎn)進(jìn)行分類(lèi)之后,接著就是分配資產(chǎn)的危險(xiǎn)程度級(jí)別和保密級(jí)別。以保密性、完整性和可用性要求為基礎(chǔ)的危險(xiǎn)程度和保密級(jí)別分類(lèi)能夠?yàn)楦黝?lèi)資產(chǎn)指定各種特殊控制。下面的標(biāo)準(zhǔn)提供了一個(gè)簡(jiǎn)單的危險(xiǎn)程度級(jí)別和保密級(jí)別分類(lèi)方法:
◆級(jí)別1(高級(jí)保護(hù)):對(duì)于業(yè)務(wù)運(yùn)行的維持來(lái)說(shuō)生死攸關(guān)(例如,股票交易公司的股票交易服務(wù)器)。
◆級(jí)別2(中級(jí)保護(hù)):對(duì)于支持業(yè)務(wù)運(yùn)行來(lái)說(shuō)很重要(例如,股票交易公司的郵件服務(wù)器)。
◆級(jí)別3(基本保護(hù)):對(duì)于日常業(yè)務(wù)運(yùn)行來(lái)說(shuō)是必要的(例如,股票交易公司的打印服務(wù)器)。
按照保密要求進(jìn)行的級(jí)別分類(lèi):
◆秘密:未經(jīng)授權(quán)的披露會(huì)給公司帶來(lái)毀滅性的后果(比如,商業(yè)秘密、源代碼等。)
◆私人:未經(jīng)授權(quán)的披露會(huì)影響公司的形象(比如,人事資料、金融信息等。)
◆公開(kāi):不會(huì)給公司帶來(lái)負(fù)面影響(比如,新型服務(wù)、領(lǐng)導(dǎo)層信息等。)
威脅以及漏洞的確定
對(duì)資產(chǎn)進(jìn)行確定、分類(lèi)和分配危險(xiǎn)程度級(jí)別以后,下一步就是確定他們的威脅和漏洞。威脅的根源是漏洞。漏洞是指人、過(guò)程以及技術(shù)上的弱點(diǎn),可以被威脅所利用。比如,惡意軟件(malware)就是一個(gè)威脅,它能夠利用沒(méi)打補(bǔ)丁的系統(tǒng)中的漏洞。另外一個(gè)潛在的威脅是燈火管制,能夠利用缺乏發(fā)電機(jī)的建筑。威脅可以按照業(yè)務(wù)、技術(shù)、物理以及管理進(jìn)行分類(lèi)。對(duì)于企業(yè)來(lái)說(shuō),不僅要知道他們的威脅和漏洞,而且還要了解這些威脅和漏洞,確定它們能夠帶來(lái)的風(fēng)險(xiǎn)級(jí)別以及應(yīng)對(duì)措施。
風(fēng)險(xiǎn)計(jì)算
風(fēng)險(xiǎn)計(jì)算對(duì)于決定資源的最佳利用來(lái)說(shuō)至關(guān)重要。一個(gè)簡(jiǎn)單的風(fēng)險(xiǎn)計(jì)算公式為:風(fēng)險(xiǎn)=資產(chǎn)價(jià)值*威脅*漏洞。請(qǐng)注意,這個(gè)描述中的資產(chǎn)價(jià)值要比它的初始投資成本大得多。資產(chǎn)的價(jià)值隨著資源的利用而增加。資產(chǎn)開(kāi)發(fā)、測(cè)試、運(yùn)行和維護(hù)中應(yīng)用了各種資源。另外,資產(chǎn)中存儲(chǔ)的信息也有價(jià)值。舉個(gè)例子,讓我們來(lái)看一下可以接受客戶信息的網(wǎng)絡(luò)服務(wù)器。如果包含客戶信息的數(shù)據(jù)庫(kù)被破解,那么就可能招致法律制裁和名譽(yù)損失。另外,商業(yè)秘密的丟失能夠?qū)е率袌?chǎng)份額減少、競(jìng)爭(zhēng)力下降。因此,計(jì)算資產(chǎn)價(jià)值時(shí)必須考慮所有能夠影響其價(jià)值的因素。
在計(jì)算威脅值時(shí),你需要考慮其預(yù)估損失(PL)和年發(fā)生率(ARO)。PL是指威脅發(fā)生時(shí)資產(chǎn)暴露的百分比。也就是說(shuō),如果惡意軟件破解了含有客戶信息的數(shù)據(jù)庫(kù),而且預(yù)計(jì)有60%的數(shù)據(jù)丟失,那么PL就是60%。然后我們來(lái)看下這個(gè)威脅的ARO,即一年中威脅發(fā)生的次數(shù)。在這個(gè)例子中,預(yù)計(jì)的年發(fā)生率大概是每?jī)赡暌淮危?.5。那么我們的危險(xiǎn)計(jì)算系數(shù)為0.3(PL x ARO)。
在確定風(fēng)險(xiǎn)之前,你還需要計(jì)算不足性(DL)。DL是指有控制的情況下無(wú)效保護(hù)的數(shù)量。也就是說(shuō),如果現(xiàn)在保護(hù)公司數(shù)據(jù)庫(kù)的殺毒技術(shù)80%有效,那么就有20%的不足性。有了這個(gè)數(shù)據(jù),連同資產(chǎn)價(jià)值和威脅計(jì)算系數(shù)一起,我們就能計(jì)算風(fēng)險(xiǎn)。在這個(gè)例子中,讓我們假設(shè)數(shù)據(jù)庫(kù)的價(jià)值是50萬(wàn)美元。那么,風(fēng)險(xiǎn)=500000美元*0.3*0.2=30000美元。在這種情況下,我們就可以證明投資30000美元來(lái)保護(hù)這個(gè)關(guān)鍵的數(shù)據(jù)庫(kù)是值得的。
此風(fēng)險(xiǎn)評(píng)估過(guò)程讓審計(jì)團(tuán)隊(duì)以風(fēng)險(xiǎn)為基礎(chǔ)區(qū)分責(zé)任的優(yōu)先級(jí),同時(shí)能夠側(cè)重于那些顯著影響業(yè)務(wù)運(yùn)行的關(guān)鍵資產(chǎn)。這個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程可以與審計(jì)范圍中的風(fēng)險(xiǎn)排名相結(jié)合。請(qǐng)記住,這些活動(dòng)需要進(jìn)行一定的估計(jì),因?yàn)槊總€(gè)攻擊或者威脅載體都是不同的。
審計(jì)范圍
審計(jì)范圍包括審計(jì)團(tuán)隊(duì)可能進(jìn)行評(píng)估的所有潛在審計(jì)實(shí)體以及所有審計(jì)過(guò)程。從本質(zhì)上講,審計(jì)范圍包括推動(dòng)企業(yè)業(yè)務(wù)目標(biāo)的人員、過(guò)程以及技術(shù)。比如,審計(jì)范圍內(nèi)的潛在領(lǐng)域包括基礎(chǔ)設(shè)施、應(yīng)用程序、過(guò)程、架構(gòu)、監(jiān)管規(guī)則遵從、框架、政策以及邊界保護(hù)等。除了上文提到的用貨幣因素確定風(fēng)險(xiǎn)級(jí)別以外,另一種方法就是使用風(fēng)險(xiǎn)排名表對(duì)風(fēng)險(xiǎn)進(jìn)行排名。
風(fēng)險(xiǎn)排名是利用判斷對(duì)審計(jì)實(shí)體進(jìn)行評(píng)分的過(guò)程。風(fēng)險(xiǎn)排名表通過(guò)分配給各個(gè)風(fēng)險(xiǎn)領(lǐng)域的顧慮等級(jí)量表(rating scale)和數(shù)值進(jìn)行計(jì)算。比如,下面的表格把網(wǎng)絡(luò)應(yīng)用程序看成是高風(fēng)險(xiǎn)領(lǐng)域。而且表格把網(wǎng)絡(luò)應(yīng)用程序復(fù)雜性列為高級(jí)別顧慮,顧慮級(jí)別為3。而分配給復(fù)雜性的值是1.75;因此,1.75 x 3.0 = 5.25,即為網(wǎng)絡(luò)應(yīng)用程序復(fù)雜性的風(fēng)險(xiǎn)值。
上面的表格是一個(gè)高級(jí)別風(fēng)險(xiǎn)排名的例子。有了排名標(biāo)準(zhǔn)以后,排在前面的25%的審計(jì)實(shí)體應(yīng)該認(rèn)為是高風(fēng)險(xiǎn)的,并且必須在本年中進(jìn)行審計(jì)。根據(jù)這個(gè)表格,所有的網(wǎng)絡(luò)應(yīng)用程序和網(wǎng)絡(luò)服務(wù)器都必須在今年進(jìn)行審計(jì)。更全面的風(fēng)險(xiǎn)排名表格能夠?qū)μ囟ǖ木W(wǎng)絡(luò)應(yīng)用程序進(jìn)行排名,或者把每個(gè)支付卡行業(yè)安全標(biāo)準(zhǔn)PCI DSS的要求作為自己的審計(jì)實(shí)體。表格中列出的實(shí)體的細(xì)節(jié)詳細(xì)程度取決于審計(jì)范圍的大小和進(jìn)行深入風(fēng)險(xiǎn)排名評(píng)估的可用資源。而每年的風(fēng)險(xiǎn)評(píng)估和排名過(guò)程則決定了審計(jì)計(jì)劃。
審計(jì)計(jì)劃
審計(jì)計(jì)劃列出了年度審計(jì)日程表、范圍、目標(biāo)以及開(kāi)始審計(jì)所需要的資源。審計(jì)計(jì)劃是根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果以及風(fēng)險(xiǎn)排名創(chuàng)建的。風(fēng)險(xiǎn)評(píng)估真正推進(jìn)了這個(gè)過(guò)程,因?yàn)樗鼛椭鷮徲?jì)團(tuán)隊(duì)明確不足性、未解決的弱點(diǎn),以及擔(dān)心的領(lǐng)域。除了上面的表格中顯示的風(fēng)險(xiǎn)排名標(biāo)準(zhǔn)以外,其他潛在的標(biāo)準(zhǔn)有:最近的技術(shù)更新、最近的合并、最近的收購(gòu)、新的監(jiān)管規(guī)則等等。審計(jì)計(jì)劃定義了角色和責(zé)任、審計(jì)團(tuán)隊(duì)的方法、后勤保障以及工作指標(biāo)。對(duì)于要開(kāi)始審計(jì)的審計(jì)團(tuán)隊(duì)來(lái)說(shuō),審計(jì)計(jì)劃其實(shí)就是一個(gè)由管理層批準(zhǔn)的工作計(jì)劃。
【編輯推薦】
