文章来源:中国内部审计协会微信公众号
安全基线,是借用“基线”的概念,类比于“木桶理论”,可以认为安全基线是安全木桶的最短板,是最低的安全要求。信息安全基线是信息系统运行的最小安全保证,是信息系统运行要满足的最基本需求。
通常,信息安全基线审计多采用表单式管理,对每项审计内容涉及的范围做出明确标注,检查内容一般分为四个选项,分别是符合、部分符合、不符合、不适用。通过填报表单模板,杜绝由于内部审计人员主观臆断或经验不足造成的审计疏漏,达到信息安全审计的标准化。虽然信息安全审计对于内部审计人员来说专业性较强,但通过表单式的审计模板,严格按照信息安全基线的内容开展审计,可以用规范化的审计管理弥补内部审计人员专业知识方面的不足。
提高安全意识加大信息安全审计力度
信息安全管理涉及的内容较多,且各项内容之间相互联系、相互影响,如机房供电会对网络与信息系统的安全运行产生影响;而机房的消防、空调、门禁等基础设施又会对机房供电产生影响等。为有效避免头痛医头、脚痛医脚的现象,内部审计部门应提高安全意识,加大信息安全审计力度,定期开展对信息安全管理的综合审计,杜绝信息安全风险隐患。
借助安全基线建设信息安全审计辅助系统
内部审计人员要充分发挥信息安全基线在信息安全审计中的作用,通过建立信息安全审计辅助管理系统,可实现对信息安全审计的信息化管理,自动提取信息安全基线中的不符合项、不符合率、管理问题数等关键要素,汇总分析信息安全审计情况,并通过图表的方式加以展现,为决策者及时提供信息安全审计意见和建议。
认真研究标准形成信息安全审计规范
出台相关安全标准和机房基础设施运维管理办法,涉及机房基础设施运行维护、电子信息系统机房基础设施运行、IT应急能力评估等,内部审计部门应及时研究安全标准和技术要求、总结信息安全审计经验,规范信息安全审计的有关概念、审计内容、工作流程和技术方法,按照上级行的各项规章制度,形成信息安全审计准则、操作指南等,制定切合自身实际的信息安全审计标准,明确重点审计范围和关注类问题。
加强技术辅导培养复合型内部审计人才
应经常性组织开展信息安全审计培训,邀请内外部专家对计算机安全、机房管理、网络管理、应急管理等方面内容进行授课。内部审计部门与科技部门可以联合开展信息技术培训,由科技人员对信息安全基线的内容进行讲解,便于内部审计人员准确把握审计尺度。加强两个部门的沟通联系,及时了解信息安全管理方面的最新动态、标准和制度,扩充内部审计人员的信息安全知识,提高内部审计人员的信息安全审计水平。
