如何制订IT安全审计计划

话说，自从考了CISA，看IT安全审计不再是一头雾水了，要是这句算广告，那我也认栽了。

说正事，IT系统安全审计（信息系统安全审计）不是一个新鲜事物，但是一直没有被提到很高的重视程度上来。究其原因，就好比从前自然灾害时期，大家都在研究如何想方设法填饱肚子，一个人喊要注意营养均衡一样。 在中国互联网飞速发展的这20多年，IT安全问题其实一直存在，但在《网络安全法》颁布前，除了部分国际外企或上市公司的财报相关系统才会被关注到安全性，其他企业在等保合规之前对安全的感知其实并不明显。

本文从实际工作角度出发，一步步出发，看如何为企业制订一个切合实际业务的IT信息系统的安全审计计划。

一、背景

1.1 什么是IT信息系统安全审计？

保障企业核心数字资产安全的内部防线，包括信息系统安全和数据安全。

1.2前置任务：审计章程

审计章程最主要的是明确职责和获得高层授权。

在不同企业，IT安全审计的汇报对象不同，获得的职权和工作内容可能是截然不同的。

举个例子，在A集团，信息安全部门有专职的CISO 首席信息安全官，他直接向董事会汇报，IT安全审计工作覆盖集团及子公司所有IT系统和数据安全，并对IT项目的ROI（成本收益负责）有权审计IT项目的可行性和安全性，有对主要业务流程及相关信息系统建设的建议权。那么这个部门内部纠察的权利就会相对大。

在B公司，IT安全审计人员作为技术部门的一部分，组长向CTO汇报，那么具体审计的工作可能主要是：保障代码研发过程安全，review产品中涉及敏感数据的部分是否合规，审计DLP员工行为数据等。

1.3审计的专业性和独立性

在实际IT审计工作当中，专业性是第一位的，因此要非常重视审计人员的专业性提升。过期的专业知识将不能很好的帮助企业规避安全风险，而不具备相关专业性的人员来负责审计对应专题，可能会带来更大的风险。必要时邀请外部专业人员参与是预算充足时很有效的补充手段；假如没有预算，也一定要在审计前充分暴露相关风险。

有时，集团审计会从相关技术部门抽调骨干人员协助配合审计，或作为临时审计师执行审计，此时要充分考虑相关背景、规避历史参与的项目和主要利益关系，确保审计独立性。

二、审计计划的主要流程

一共由十个步骤构成，基本普适与各类企业的IT审计计划制订。

第一步，明确审计范围和目标 

范围主要指被审计的对象，比如主要是审计外部供应商系统安全，还是内部某个重要业务环节的信息系统安全，或某个产品的用户数据安全，最初的审计范围一定要有清晰的边界。

审计目标，是指为审计的对象 量出怎样的结果。如，明确审计出外部供应商在目前的流程上相对安全，或存在一定改善空间；亦或是某产品的用户数据安全基本符合GDPR欧盟最严数据安全法相关标准，可以进行海外售卖。

前面说的都是为了举出实例，那么在部门刚刚成立，对整个情况刚开始了解，还没有特别明确的审计目标时。审计目标也可以从CIA三性出发， 关注机密性、完整性、可用性。IT系统管理流程，外加合规性，将企业经营所在国或目标销售国可能涉及的外部相关法律法规都拎过来做参考。这就需要审计师具备一定的专业知识，敲重点。

第二步，明确业务重点

IT安全审计师通常有两个来源，外部审计师和内部审计师。

外部审计师常常来自四大相关RA或咨询部门，他们的优点是人员素质相对较高（毕竟四大更喜欢聪明人）、有丰富IT项目审计项目经验（可能见多识广，但不求甚解），劣势是对企业情况十分不了解，对企业内部管理和组织文化不了解的情况下，容易水土不服。

而内部审计师往往由内部产生，对内部组织非常熟悉，擅长寻找审计突破点，在进行后续沟通推进上容易发力。劣势是在专业性上稍有不足，这一点可以通过培训提升；审计方法和视野易受局限。这时如果团队中两类人才互补配合，会是很好的事情。

那么假定现在已经有了初步的团队，我们现在需要对企业/组织的业务情况也有了初步了解，以A企业为例，A是一家单纯的互联网公司，主要产品是一款UGC内容社交平台，用户主要是大陆境内及东南亚部分国家的年轻用户，用户规模超过10万。

第三步，明确相关法律法规的要求，找出审计的依据

前面说了合规性，一方面要考虑企业经营所在国或目标销售国可能涉及的外部相关法律法规；以A为例，公司主体在大陆境内，除在《网络安全法》管辖范围内，还需受《互联网新闻信息服务管理规定》《信息网络传播权保护条例》等内容相关法规统领。在跨国跨境数据安全上，还需考虑目标国相关法律情况。

第四步，实施风险评估，明确审计的重要领域

风险评估的具体方法，是安全相关专业的一个基础概念，很多文章都有提及，本文不再赘述。

基于风险评估的审计方法，主要思路就是确定高风险区域，从而提供涵盖所有重要项目领域的合理保证。

第五步，明确审计的业务流程 what

继续回到A的案例中，经过风险分析，已经明确最大的风险领域可能来自于用户UGC发布内容过程中涉及到的A、不雅内容、B侵权。可能带来的风险基于第三步分析，可能导致产品被关停、高额罚款、法律诉讼等严重后果。那么目前的业务流程中是采用了怎样的机制，来防护此类风险呢？对具体的业务流程和使用的具体手段做梳理。

第六步，明确流程中的审计目标

这里的审计目标已经是非常明确的一个句式（How 什么控制目标下的Who 审计对象）

这个业务流程中的某些可能存在高风险的环节，【有没有】采取了一些措施来确保安全，关键的控制活动【是什么】。

继续以A为例，在第五步梳理后已知，当前信息发布平台嵌入了文字和图像审核功能，功能主要由 1）AI识别 和2）人工审核和举报确认共同构成。

第七步，明确审计方案、审计方法和审计程序。 

这里主要是How to do的问题，我们前面识别了要审计的主要业务领域、主要业务流程、在流程中可能存在高风险的环节，并对当前这个环节有没有安全控制措施，安全措施是什么做了了解。

这一步我们需要制订具体的执行手段，来确认现在这些安全措施是否有效。具体的审计方案、方法和程序，后续如果有需要可以单独开一章来细说。

第八步，合理分配现有审计资源

要承认，在现实情况中，我们的审计师人力和精力是有限的，因此如何合理的进行审计资源规划，设定一个合理的工作周期，也是审计计划制订的重要部分。

第九步，执行审计

具体执行根据第七步，已经制订的审计方法和程序执行即可，一般来说是先做合规性测试、在做执行性测试。还是之前的思路，先确定有没有，再确定效果如何。如果发现没有，也不要一言定论，多了解业务现状。

第十步，沟通和报告

沟通，其实是贯穿了整个IT安全审计过程中的一项重要工作，了解业务、了解现状、发现并确认问题时都是必不可少的一项关键技能。

在正式出具报告之前，需要与被审方，就审计发现进行沟通和确认，以最终达成一致的结论为准。

有时我们所看到的不一定是我们想要的安全控制措施，但并不一定意味着实际的缺失，可能在我们没有关注到的地方，业务团队采取了另外的措施来曲线实现了我们的安全目标。

因此，一定要在最开始就与业务方，就我们的审计目标达成一致，我们审计的目的不仅仅是为了发现安全问题，而是为了更好的帮助业务提升安全水平，从专业的角度出发保障业务的安全。

 

报告，是审计文档的重要部分，根据汇报对象的不同，呈现形式应该进行精心的设计。

但请注意，这里精心设计的只是呈现形式，所有的审计过程底稿和证据文档，审计过程中不论是否是本次审计范围内的发现，是否最终与被审方达成一致，都应该被一一记录在案，以备后续使用参考。

审计工作的专业性和独立性，在文档管理中也可见一斑，所有证据和报告的保管需要设计合理的保存期限和管理制度，查阅文档的这个行为本身也应该具有相应的安全控制措施。

最后

审计结果：继续以A为例，在测试执行后，假如是这样的：

“审核功能中的AI识别模块由自家技术人员100%自研方式实现，文字通过第三方敏感词库+手工补录，图片资料采用历史数据实训+定期采购外部资料库，目前识别率97%；人工处理时长＜20mins。版权声明主要通过产品页面明显位置告知，辅以用户举报功能进行规避。”  

对IT审计师来说，这不是一个很好的答案，对吧，因为这里业务方的安全控制措施其实做的非常好，符合甚至领先于业界现状。

有些审计师会感觉说，这会不会显得我很没水平，都没发现问题。不过没关系，这个答案应该是业务老板比较想看到的。

首先，我们之前经过4.5.6步骤，识别出了重要的业务及可能发生风险的环节，每一个步骤都是经过精心设计和认真思考的。

其次，在审计过程中，我们结合业务现状，精心设计了审计的方法、程序，并执行了细致认证的测试，对审计结果确认有效。

最后，如实的测绘安全现状，证明其安全控制的有效性，这本身也是安全IT审计工作的一项职责，不是么？