誰在毀我？走近IT審計(jì)之有類產(chǎn)品叫審計(jì)

2014-11-08 22:25:23 大云網(wǎng)　點(diǎn)擊量：評論 (0)

某大型制造企業(yè)有一個(gè)旗鼓相當(dāng)?shù)母偁帉κ郑麄€(gè)市場份額基本被這兩家公司瓜分，所以兩者之間的競爭一直處于白熱化狀態(tài)。為了獲得更多的市場份額，該企業(yè)早在一年前就開始進(jìn)行一款新產(chǎn)品的開發(fā)，預(yù)計(jì)產(chǎn)品出來后，會(huì)給公司帶來一筆非常可觀的收益，極有可能真正領(lǐng)先于競爭對手。但就在開發(fā)工作接近尾聲時(shí)，市場上卻出現(xiàn)了與公司研發(fā)的新品有著同樣外觀、同樣技術(shù)特色的產(chǎn)品，只不過該產(chǎn)品上打著競爭對手的Logo。

　　很顯然，該企業(yè)的機(jī)密信息被競爭對手竊取了，凝聚了整個(gè)企業(yè)所有員工心血和希望的成果付諸東流，這讓高層領(lǐng)導(dǎo)大發(fā)雷霆，責(zé)令信息中心主管李強(qiáng)（備注，“本文人物均為化名”）不惜一切代價(jià)也要找出研發(fā)資料泄露的原因和途徑，如果可能甚至不惜借助法律武器挽回?fù)p失。

　　系列之一：有類產(chǎn)品叫審計(jì)

　　該制造企業(yè)的安保工作一直比較嚴(yán)格，研發(fā)人員隨身帶走產(chǎn)品資料的可能性為零，那么，信息是如何跑到競爭對手那里去的呢？可能是哪個(gè)員工在什么時(shí)候通過什么方式把什么信息發(fā)給了誰？泄密者是通過企業(yè)的業(yè)務(wù)系統(tǒng)泄露還是另有途徑？如果即便掌握了相關(guān)情況，又是否可以作為證據(jù)使用？這讓李強(qiáng)陷入了迷茫之中。

　　不過，面對高層領(lǐng)導(dǎo)的怒火，李強(qiáng)不敢有絲毫的怠慢，從各種系統(tǒng)日志入手，進(jìn)行了地毯式地排查。經(jīng)過數(shù)天的努力，李強(qiáng)最終將目標(biāo)鎖定在研發(fā)部門的幾名員工身上。原來，為了查找資料方便，研發(fā)部門允許個(gè)別員工連接互聯(lián)網(wǎng)，但因?yàn)橹簧婕暗綐O少數(shù)人，也沒有想到競爭對手會(huì)買通自己的研發(fā)人員，所以并沒有對核心資料采取嚴(yán)格的保密措施，甚至沒有記錄員工的訪問行為。

　　但是追查工作進(jìn)展到這里，就陷入了僵局——雖然李強(qiáng)非常肯定出問題的人就在這幾名員工中間，但根本無法知道究竟是誰在什么時(shí)間把信息泄露出去的，更不用談通過證據(jù)追究個(gè)人和競爭對手的法律責(zé)任了。

　　無奈，李強(qiáng)只能向前看，希望能夠在今后的日常工作中，能夠準(zhǔn)確掌握各種動(dòng)態(tài)，以便及時(shí)調(diào)整安全策略，避免類似事件的再次發(fā)生，即便出現(xiàn)問題也可以做到有據(jù)可查，甚至提供足夠的證據(jù)，盡可能地挽回?fù)p失。

　　在同行的建議下，李強(qiáng)找到了某IT審計(jì)公司的技術(shù)專家向他推薦了IT審計(jì)類產(chǎn)品。

　　IT審計(jì)（Information Technology Audit），也稱作信息系統(tǒng)審計(jì)，它提出了針對信息系統(tǒng)的安全性、符合性、可靠性和有效性進(jìn)行審計(jì)的理念，能夠幫助企業(yè)滿足法律法規(guī)的相關(guān)要求。

　　不過，業(yè)界始終沒有就IT審計(jì)的定義達(dá)成統(tǒng)一的意見，目前使用較廣的是美國信息系統(tǒng)審計(jì)與控制協(xié)會(huì)ISACA給出的描述。ISACA認(rèn)為，IT審計(jì)是一個(gè)過程，在這個(gè)過程中IT審計(jì)師（CISA）通過獲取和評價(jià)相關(guān)證據(jù)，判斷被審查的信息系統(tǒng)能否保證單位或企業(yè)的資產(chǎn)安全、數(shù)據(jù)完整，以及能否有效地利用資源并高效地實(shí)現(xiàn)目標(biāo)。

　　雖然對IT審計(jì)的描述沒有達(dá)成統(tǒng)一，但專家們對IT審計(jì)的理解至少在以下幾個(gè)方面是一致的：首先，IT審計(jì)是一個(gè)過程，這個(gè)過程需要由獲得CISA認(rèn)證的IT審計(jì)師，以獨(dú)立客觀的身份執(zhí)行；其次，IT審計(jì)的過程中，IT審計(jì)師需要獲取證據(jù)并分析證據(jù)，目的是檢查信息系統(tǒng)的安全性、可靠性、有效性以及高效性；第三，審計(jì)師得到結(jié)果并不意味IT審計(jì)過程的完結(jié)，還需要向被審計(jì)單位報(bào)告審計(jì)結(jié)果，指明審查過程中發(fā)現(xiàn)的、信息系統(tǒng)存在的問題，并針對這些問題向被審計(jì)單位的高層提供改進(jìn)的建議。

　　那么，IT審計(jì)產(chǎn)品能夠?qū)徥裁矗磕芊駥顝?qiáng)現(xiàn)在或未來的工作有所幫助？能否避免同類問題的再次發(fā)生？除了記錄，它還能做些什么？請看《走近IT審計(jì)系列之二：IT審計(jì)審什么》。

責(zé)任編輯：葉雨田

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊

產(chǎn)品