晉升內(nèi)部IT審計師的策略

2014-11-08 22:15:04 大云網(wǎng)　點擊量：評論 (0)

對安全和規(guī)則遵從的審計程序逐漸被許多信息安全人員所熟悉。多年來，許多信息安全從業(yè)人員一直在探索獲得行業(yè)認證證書的利與弊，而現(xiàn)在令他們更糾結(jié)的是到底需不需要去獲得成為IT規(guī)則遵從認證審計師所必需的技術(shù)

對安全和規(guī)則遵從的審計程序逐漸被許多信息安全人員所熟悉。多年來，許多信息安全從業(yè)人員一直在探索獲得行業(yè)認證證書的利與弊，而現(xiàn)在令他們更糾結(jié)的是到底需不需要去獲得成為IT規(guī)則遵從認證審計師所必需的技術(shù)。

雖然安全認證證書未必適合所有的從業(yè)人員或者所有的安全職位，但是獲得認證還是有兩個好處的：首先，認證可以敲開面試的大門；其次，你可以為那些在美國國防部方針DoD 8570.01-M指導下處理認證的代理機構(gòu)工作。同樣，擁有一個認證證書在審計領(lǐng)域中有兩個地方不僅有用，而且是必需的。它們是：支付卡行業(yè)合格安全審核員(PCI QSA)和ISO 27001審計師主任。在本文中，我們將討論一下怎樣獲得審計認證證書，以及這樣做能給企業(yè)和自己的事業(yè)帶來什么樣的好處。

如何成為一個內(nèi)部IT審計人員

為了能夠?qū)徲嫴⒆C明一個公司是否遵從PCI DSS標準，你需要通過認證成為PCI QSA。這個認證需要通過由PCI安全標準委員會監(jiān)管的筆試、要有足夠的工作經(jīng)歷或者持有一個合格的證書（五年工作經(jīng)驗，或是獲得過一個CISA、CISM或CISSP證書），并且曾經(jīng)為已經(jīng)實施了PCI DSS評估的企業(yè)工作。

成為合格的QSA基本上意味著你已經(jīng)決定成為顧問（或者進一步成為專門顧問）了，因為不需要顧問的公司也不太需要QSA員工。然而，QSA培訓對于內(nèi)部員工來說絕對很有價值，因為它可以讓員工在公司進行審計的時候跟他們的QSA更好的交流。與大多數(shù)控制框架一樣，PCI DSS有其特殊的定義來規(guī)定它的要求，可能有些詞語跟標準的詞典定義有所不同。因此，如果企業(yè)內(nèi)部有人懂得這些細節(jié)的話，他就能夠幫助企業(yè)更好的準備評估，還可能為企業(yè)節(jié)省大量的時間和金錢。另外，由于一級商家可以自我評估，所以對員工進行QSA培訓可以加快企業(yè)的評估過程。

ISO 27001在歐洲很流行，這個標準現(xiàn)在也慢慢在美國公司中（特別是那些在歐盟有業(yè)務的公司中）普及，成為僅次于PCI DSS標準的企業(yè)安全認證標準。它逐漸被看成是一個企業(yè)成熟的標志，以及企業(yè)運行規(guī)則的展示說明。就像遵從許多其他的標準一樣，為了能夠得到ISO 27001標準認證，企業(yè)必須請第三方審計師來進行審計。而如果要開展ISO 27001審計工作，審計人員必須是通過認證的ISO 27001主任審計師。

就像PCI QSA一樣，由于認證證書應該由第三方發(fā)行，所以主任審計師必須是來自企業(yè)外面的顧問。上文中我們提到經(jīng)歷PCI QSA培訓的員工可以幫助公司，同樣地，試圖取得ISO認證證書的企業(yè)同樣可以通過對員工進行ISO審計培訓來獲得很大的好處。（還有一個ISO 27001執(zhí)行培訓或認證，也可能對企業(yè)有所幫助。）

與PCI DSS標準類似，ISO標準中使用的術(shù)語也有其特定的定義，在許多情況下不僅會跟常規(guī)的英語不同，而且跟其他的控制框架也有不同。企業(yè)對員工進行這方面的培訓不僅可以更好的為ISO審計做準備，而且還能讓員工跟公司外面的審計師有共同語言。遵從27001標準非常復雜，所以許多企業(yè)甚至讓有些員工通過認證成為ISO 27001內(nèi)部審計人員；這些通過認證的員工的觀點通常比企業(yè)外面的人員觀點更重要。

除了上面詳細討論的監(jiān)管規(guī)則認證以外，還有一種合格信息系統(tǒng)審計員認證（CISA），這個認證涵蓋了非常寬泛的審計框架范圍，其中包括用來進行Sarbanes-Oxley (SOX)審計的COBIT 和 COSO。CISA培訓涉及到了控制目標、業(yè)務影響分析(BIAs)、風險管理的賠償控制以及分析技術(shù)的所有內(nèi)容，而這些也對處理HIPAA/HITECH 或者 FTC Red Flags Rule審計很有用處。一般來講，成為審計員的好處是：首先，個人技能的增加可以讓簡歷看起來更好；其次，能夠更加深刻的理解公司需要遵從的各種規(guī)則和法律。此外，這樣的培訓可以讓你從不同的角度來考慮為什么要執(zhí)行各種控制和怎樣執(zhí)行這些控制，以及這些控制的價值。

也許最重要的是，審計培訓可以讓一個人能夠跟審計師有共同的語言；還可以讓員工在別人使用特殊詞語和短語（比如“risk”或者"compensating control"）的時候能夠理解到底是什么意思，從而極大的加速審計過程。這個培訓還可以讓員工更好的理解審計師想要什么，以及他們的目標是什么。這些使得安全工作人員能夠更加有效的跟審計師開展合作，不僅節(jié)省了時間和金錢，而且還讓安全團隊作為一個整體能夠更加有效的支持審計過程。

對于許多信息安全工作人員來說，盡管IT審計需要很強的技術(shù)背景（尤其是PCI DSS 和 ISO 27001審計），然而轉(zhuǎn)變到審計員的角色其實不難。對于那些需要公司管理層打交道的從業(yè)人員來說，這個轉(zhuǎn)變會更加的容易。在這方面非常積極的企業(yè)已經(jīng)指定了培訓計劃，讓他們的員工可以得到這方面的教育，這些計劃很可能會包括一個審計追蹤；如果你所在的公司還沒有這樣的一個計劃，那么請利用上面提到的信息，或許你就可以在企業(yè)中開拓一個全新的、有挑戰(zhàn)性的職業(yè)軌跡。