内控、安全审计、《企业内部控制基本规范》与市场分析

network

内控、安全审计、《企业内部控制基本规范》与市场分析

《企业内部控制基本规范》 这段时间以来，多次被媒体问到《企业内部控制基本规范》和安全审计的话题。从我来看，国内的IT内控、安全审计市场正在逐步热起来。 有人将《企业内部控制基本规范》称作是中国版的SOX法案，可见对他的期待有多么高。虽然该规范还不能称作是完整意义上的法案，而只是规范性文件，但是他对于国内企业、尤其是大企业的公司治理、风险控制、IT内控，包括信息系统安全审计都起到了极大的推进作用。 不过，最新的消息表明，这个基本规范将要推迟半年实施。 内控需求 实际上，不仅是《企业内部控制基本规范》，包括之前国家大力开展的等级化保护建设工作，以及证券、金融、保险等行业颁布的各项风险和内控指引、要求，甚至于刑法第七修正案等，都在努力构建一个从严的企业管控外部环境。作为这种外部压力的传导，企业的IT内控和审计自然摆到了各大企业信息部门的桌面上。 可以肯定，未来企业用户，尤其是大型企业用户，会不断加强IT内控，并催生对信息系统安全审计的技术、产品和相关解决方案的需求，并带动国内安全审计市场的迅速增长。这个市场必然会持续升温，而不论《企业内部控制基本规范》如何实施，这是企业发展大势所趋。 内控与信息安全审计市场 我们可以对比国外安全审计市场，以美国为例，在SOX法案颁布之前，安全审计市场根本没有纳入Gartner、IDC的专项分析范畴，随着针对上市公司内控和信息披露的SOX法案的实施，以及象专门针对医疗行业的旨在保护医患隐私的HIPAA法案、针对联邦政府机构的FISMA法案、针对金融机构支付卡行业的PCI-DSS规范等的执行，美国的安全审计市场出现了爆炸式的增长。Gartner和IDC纷纷对其进行深入分析，并创造出了一个名为GRC（Governance,Risk Management, andCompliance）的IT细分市场。与此同时，各路安全厂商都从自身技术特点出发，提出了各种类型的安全审计产品，介入该市场，力求分一杯羹。例如各大SIEM（SecurityInformation and Event Management）厂家、NBA(Network BehaviorAnalysis)厂家和IAM(Identity and Access Management)厂家等。 深度分析 回过头来，再看看我国的《企业内部控制基本规范》， 第四十一条要求“企业应当加强对信息系统的开发与维护、访问与变更、数据输入与输出、文件存储与保管、网络安全等方面的控制，保证信息系统安全稳定运行。”这条清楚的表明的有效的安全控制是必须的，而作为内控，证明这种控制的有效性就是审计。 根据 信息系统审计与控制协会（ISACA）的定义，信息系统审计 是企业和组织IT内控过程中最关键的环节。信息系统审计通过对关键控制点的符合性测试来判断IT内控的目标及其控制措施是否有效。 有一点必须说明，内控不等于安全，更不等于信息安全审计。他们是有传导关系，但不是等价关系。其实，说到内控，在信息安全界更多提到的词应该是合规（Compliance）。国内的合规管理市场基本上还处于雏形阶段，多是定制性的项目，为了满足某些有特点或者超前需求的客户。