首页 > 人工智能 > 正文

谁在毁我?走近IT审计之有类产品叫审计

2010-11-16 09:45:53  来源:IT168

摘要:IT审计(Information Technology Audit),也称作信息系统审计,它提出了针对信息系统的安全性、符合性、可靠性和有效性进行审计的理念,能够帮助企业满足法律法规的相关要求。
关键词: IT审计

  某大型制造企业有一个旗鼓相当的竞争对手,整个市场份额基本被这两家公司瓜分,所以两者之间的竞争一直处于白热化状态。为了获得更多的市场份额,该企业早在一年前就开始进行一款新产品的开发,预计产品出来后,会给公司带来一笔非常可观的收益,极有可能真正领先于竞争对手。但就在开发工作接近尾声时,市场上却出现了与公司研发的新品有着同样外观、同样技术特色的产品,只不过该产品上打着竞争对手的Logo。

  很显然,该企业的机密信息被竞争对手窃取了,凝聚了整个企业所有员工心血和希望的成果付诸东流,这让高层领导大发雷霆,责令信息中心主管李强(备注,“本文人物均为化名”)不惜一切代价也要找出研发资料泄露的原因和途径,如果可能甚至不惜借助法律武器挽回损失。

  系列之一:有类产品叫审计

  该制造企业的安保工作一直比较严格,研发人员随身带走产品资料的可能性为零,那么,信息是如何跑到竞争对手那里去的呢?可能是哪个员工在什么时候通过什么方式把什么信息发给了谁?泄密者是通过企业的业务系统泄露还是另有途径?如果即便掌握了相关情况,又是否可以作为证据使用?这让李强陷入了迷茫之中。

  不过,面对高层领导的怒火,李强不敢有丝毫的怠慢,从各种系统日志入手,进行了地毯式地排查。经过数天的努力,李强最终将目标锁定在研发部门的几名员工身上。原来,为了查找资料方便,研发部门允许个别员工连接互联网,但因为只涉及到极少数人,也没有想到竞争对手会买通自己的研发人员,所以并没有对核心资料采取严格的保密措施,甚至没有记录员工的访问行为。

  但是追查工作进展到这里,就陷入了僵局——虽然李强非常肯定出问题的人就在这几名员工中间,但根本无法知道究竟是谁在什么时间把信息泄露出去的,更不用谈通过证据追究个人和竞争对手的法律责任了。

  无奈,李强只能向前看,希望能够在今后的日常工作中,能够准确掌握各种动态,以便及时调整安全策略,避免类似事件的再次发生,即便出现问题也可以做到有据可查,甚至提供足够的证据,尽可能地挽回损失。

  在同行的建议下,李强找到了某IT审计公司的技术专家向他推荐了IT审计类产品。

  IT审计(Information Technology Audit),也称作信息系统审计,它提出了针对信息系统的安全性、符合性、可靠性和有效性进行审计的理念,能够帮助企业满足法律法规的相关要求。

  不过,业界始终没有就IT审计的定义达成统一的意见,目前使用较广的是美国信息系统审计与控制协会ISACA给出的描述。ISACA认为,IT审计是一个过程,在这个过程中IT审计师(CISA)通过获取和评价相关证据,判断被审查的信息系统能否保证单位或企业的资产安全、数据完整,以及能否有效地利用资源并高效地实现目标。

  虽然对IT审计的描述没有达成统一,但专家们对IT审计的理解至少在以下几个方面是一致的:首先,IT审计是一个过程,这个过程需要由获得CISA认证的IT审计师,以独立客观的身份执行;其次,IT审计的过程中,IT审计师需要获取证据并分析证据,目的是检查信息系统的安全性、可靠性、有效性以及高效性;第三,审计师得到结果并不意味IT审计过程的完结,还需要向被审计单位报告审计结果,指明审查过程中发现的、信息系统存在的问题,并针对这些问题向被审计单位的高层提供改进的建议。

  那么,IT审计产品能够审什么?能否对李强现在或未来的工作有所帮助?能否避免同类问题的再次发生?除了记录,它还能做些什么?请看《走近IT审计系列之二:IT审计审什么》。

 


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:chengc

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。