ISACA Journal | IT一般控制已经过时了吗?——数据保护和财务报告内部控制
对于从事会计业务的IT审计师来说,IT一般控制的重要性是显而易见的,尤其是在财务报表的访问管理领域。十多年来,IT一般控制几乎没有变化,而美国注册会计师协会(AICPA)的信托服务标准和云安全联盟(CSA)的云控制矩阵等框架却在不断发展。国际标准化组织(ISO)标准ISO 27002的信息安全框架也在进行重大升级,包括新的控制措施。数据生命周期内的财务报告风险因素几乎没有变化,这可能吗?数据被保存在一个系统内,如数据库,其功能确保数据可以被访问和处理。然而,随着信息系统的外包和(虚拟)硬件的使用,IT环境已经发生了重大变化。为了确定IT一般控制是否需要更新,或者它们是否仍然足以覆盖大多数IT环境,检查这些适用于数据安全(主要是完整性和机密性)的控制是非常有用的。然后,可以将选取的IT一般控制与服务组织鉴证报告中经常使用和普遍接受的框架及其数据保护控制进行比较。
IT一般控制
审计师使用一套基本的(建议的)IT一般控制措施来确定控制措施,如国际审计与鉴证准则委员会(IAASB)在《国际审计准则》(ISA)315(2019年修订版)中公布的准则中所定义的控制措施。确定的控制措施可以根据其应用和IT环境的其他方面而有所不同。有关数据安全的IT一般控制措施在《国际审计准则》315附录6中定义。
在访问管理领域,能够影响数据保护的控制措施包括:
身份验证控制-确保访问IT应用或IT环境其他方面的用户没有使用其他用户的登录凭证。
授权控制-允许用户只能访问其工作职责所需的信息,这有利于适当的职责分离。
配置控制-授权新用户和修改现有用户的访问权限。
撤消控制-在终止或(岗位)调动时撤消用户访问权限。
特权访问控制-授权管理员用户或高级用户的访问。
用户访问审查控制-验证或评估用户访问权限,以便在一段时间内持续授权。
安全配置控制-每种技术一般都有关键的配置设置,帮助限制对环境的访问。
物理访问控制-授权对数据中心和硬件的物理访问,因为这种访问可能会凌驾于其他控制之上。
在变更管理领域,可能影响数据保护的控制措施包括:
数据转换控制-授权在开发、实施或升级IT环境期间进行数据转换。
在IT运营管理领域,能够影响数据保护的控制措施包括:
入侵检测控制-监测IT环境中的漏洞和/或入侵行为。
《国际审计准则》(ISA)315(2019年修订版)中提到这些控制是审计师可能考虑的IT一般控制。审计员必须进行风险评估,并使用专业判断来确定IT环境中的风险因素和适当的控制措施来缓解这些风险。ISA315中定义的IT一般控制清单与其他组织定义的IT一般控制准则相似。因此,ISA标准是IT审计师使用的IT一般控制的适当反映。
用于外包的控制框架
除了依靠信息系统进行财务报告所需的IT一般控制之外,大多数服务组织还向客户提供鉴证报告,以证明其符合控制框架。控制框架,比如那些由AICPA和CSA制定的框架,包含了比我们熟悉的IT一般控制更多的控制。当其他框架的控制被认为是无效的,或者如果鉴证报告有保留意见,就会进行影响评估,以确定这些缺陷是否会对财务报告产生负面影响。由于服务机构控制(SOC)报告通常不只涵盖IT一般控制,会计师和IT审计师必须确定额外控制的影响,而这些控制在只测试IT一般控制时一般不会被评估。
为了确定与数据保护相关的、不在IT一般控制范围内的控制措施,对可信服务标准和云控制矩阵进行了差距分析。对于可信服务标准,确定了额外的数据保护控制措施。
该实体选择、制定并执行持续或单独的评价,以确定内部控制的组成部分是否存在并发挥作用。
该实体为信息资产实施逻辑访问安全软件、基础设施和架构,以保护它们免受安全事件的影响。
该实体将信息的传输、移动和移除限制在经授权的内部和外部用户和流程中,并在传输、移动或移除过程中对其进行保护。
该实体实施控制措施,以防止或检测未经授权或恶意软件的引入并采取行动。
该实体使用检测和监控程序来识别导致引入新漏洞以及对新发现漏洞的敏感性的配置变更。
该实体监测系统组件和这些组件的运行情况,以发现表明恶意行为、自然灾害和影响该实体实现其目标的错误的异常情况;对异常情况进行分析,以确定它们是否意味着安全事件。
该实体处置机密信息以实现该实体与机密性相关的目标。
对于云控制矩阵,确定了额外的数据保护控制措施(因为该矩阵有具体和细化的控制措施,其中一些被分组),包括:
自动化应用安全测试
应用程序的漏洞修复
密码学、加密和密钥管理
安全处置/数据保留和删除
敏感数据传输
保护日志的完整性
安全监测和警报
审计日志访问和问责
记录和监测(包括故障和异常情况)。
渗透测试
通用端点管理(如存储加密、防火墙)
数据丢失防护
图片来源于公共图片库
ISO/IEC 27001/27002是一个流行的信息安全框架,但不常被用来为财务报告提供保证。ISO 27002已经更新,并将被转移到新的ISO 27001框架中。为了满足IT环境中的信息安全的最新要求,已经引入了一些控制措施,包括:
威胁情报
物理安全监控
配置管理(包括安全配置)
信息删除
数据屏蔽
防止数据泄漏
监控活动
WEB过滤
在云控制矩阵和可信服务标准的差距分析中也发现了这些控制措施。这里强调需要额外的控制措施来确保数据安全和管理数据安全风险。
需要考虑的新IT一般控制
检查可信服务标准和云控制矩阵中存在的、但未反映在IT一般控制中的控制措施,可以看出审计师还需要考虑的一些其他IT一般控制(图1)。
在测试IT环境中的应用程序、数据库、操作系统和网络组件时,应考虑传统的IT一般控制和新建议的控制。
在审计IT一般控制以确保信息系统在财务报告中的可靠性时,数据的完整性是很重要的,但机密性是否同样重要,则值得商榷。如果强大的身份验证控制已经到位,并且对数据的直接访问被严格限制在适当的个人身上,那么新的控制是否有必要?在这种情况下,未经授权的个人获取和修改数据的风险似乎很低。为了了解这些控制措施的相关性,需要仔细研究欺诈和缺乏数据完整性的风险。
额外的IT一般控制的相关性
在对信息系统执行IT审计时,关键的风险因素是数据不安全和欺诈。2016年,美国国家标准与技术研究所(NIST)描述了三种可能导致数据完整性问题的网络攻击场景:勒索软件、数据破坏和数据操纵(内部威胁)。最近的另一项研究描述了云中的多种攻击,可能导致数据完整性问题。在连接到互联网或云的信息系统中,攻击面要大得多;因此,数据安全是一个重要问题。
云平台使用的增加以及与之相关的风险因素的增加,反映在所实施的欺诈数量上。在最近的一项调查中,“近70%的遭遇欺诈的组织报告说,最具破坏性的事件来自外部攻击或内外的勾结。”同一调查表明,网络欺诈比资产挪用更常见。
结论
IT一般控制已经过时了吗?尽管专业审计师总是可以根据正在进行的风险评估来定义他们自己的控制,但IT一般控制指南已经过时了。随着IT环境的不断变化,对数据保护的要求也需要不断发展。为了解决这个问题,随着时间的推移,可信服务标准、云控制矩阵和ISO/IEC 27002等框架已经被开发出来。
在测试IT一般控制时,应考虑对IT环境中的相关应用、数据库、操作系统和网络组件进行与安全评估、数据资产保护、安全数据传输、端点保护、漏洞监测、安全监测和安全处置有关的额外控制措施。
ISACA Journal | 信息安全很重要:它与(宕机)时间有关
编者注:本文出自ISACA Journal 2022年第6期。尾注略。文章内容仅代表作者本人观点。
作者:Jouke Albeda, CISA, CISSP, RE,是一名经验丰富的IT审计师,在3angles担任总监,负责审计、风险和合规。
翻译:王岩 (Liam Wong),CISA、CDPSE、CISSP、PMP、OCM 11g/12c、PGCA、MCDBA、MCSE,ISACA微信公众号特邀通讯员。
校对:谭辰菲(William Tan),CISSP,CISA,CDPSE,CRISC, ISACA微信公众号特邀通讯员,德国商业银行信息安全经理。