雖然安全認(rèn)證證書未必適合所有的從業(yè)人員或者所有的安全職位，但是獲得認(rèn)證還是有兩個好處的：首先，認(rèn)證可以敲開面試的大門；其次，你可以為那些在美國國防部方針DoD 8570.01-M指導(dǎo)下處理認(rèn)證的代理機(jī)構(gòu)工作。同樣，擁有一個認(rèn)證證書在審計領(lǐng)域中有兩個地方不僅有用，而且是必需的。它們是：支付卡行業(yè)合格安全審核員(PCI QSA)和ISO 27001審計師主任。在本文中，我們將討論一下怎樣獲得審計認(rèn)證證書，以及這樣做能給企業(yè)和自己的事業(yè)帶來什么樣的好處。

    如何成為一個內(nèi)部IT審計人員

    為了能夠?qū)徲嫴⒆C明一個公司是否遵從PCI DSS標(biāo)準(zhǔn)，你需要通過認(rèn)證成為PCI QSA。這個認(rèn)證需要通過由PCI安全標(biāo)準(zhǔn)委員會監(jiān)管的筆試、要有足夠的工作經(jīng)歷或者持有一個合格的證書（五年工作經(jīng)驗，或是獲得過一個CISA、CISM或CISSP證書），并且曾經(jīng)為已經(jīng)實施了PCI DSS評估的企業(yè)工作。

    成為合格的QSA基本上意味著你已經(jīng)決定成為顧問（或者進(jìn)一步成為專門顧問）了，因為不需要顧問的公司也不太需要QSA員工。然而，QSA培訓(xùn)對于內(nèi)部員工來說絕對很有價值，因為它可以讓員工在公司進(jìn)行審計的時候跟他們的QSA更好的交流。與大多數(shù)控制框架一樣，PCI DSS有其特殊的定義來規(guī)定它的要求，可能有些詞語跟標(biāo)準(zhǔn)的詞典定義有所不同。因此，如果企業(yè)內(nèi)部有人懂得這些細(xì)節(jié)的話，他就能夠幫助企業(yè)更好的準(zhǔn)備評估，還可能為企業(yè)節(jié)省大量的時間和金錢。另外，由于一級商家可以自我評估，所以對員工進(jìn)行QSA培訓(xùn)可以加快企業(yè)的評估過程。

    ISO 27001在歐洲很流行，這個標(biāo)準(zhǔn)現(xiàn)在也慢慢在美國公司中（特別是那些在歐盟有業(yè)務(wù)的公司中）普及，成為僅次于PCI DSS標(biāo)準(zhǔn)的企業(yè)安全認(rèn)證標(biāo)準(zhǔn)。它逐漸被看成是一個企業(yè)成熟的標(biāo)志，以及企業(yè)運行規(guī)則的展示說明。就像遵從許多其他的標(biāo)準(zhǔn)一樣，為了能夠得到ISO 27001標(biāo)準(zhǔn)認(rèn)證，企業(yè)必須請第三方審計師來進(jìn)行審計。而如果要開展ISO 27001審計工作，審計人員必須是通過認(rèn)證的ISO 27001主任審計師。

    就像PCI QSA一樣，由于認(rèn)證證書應(yīng)該由第三方發(fā)行，所以主任審計師必須是來自企業(yè)外面的顧問。上文中我們提到經(jīng)歷PCI QSA培訓(xùn)的員工可以幫助公司，同樣地，試圖取得ISO認(rèn)證證書的企業(yè)同樣可以通過對員工進(jìn)行ISO審計培訓(xùn)來獲得很大的好處。（還有一個ISO 27001執(zhí)行培訓(xùn)或認(rèn)證，也可能對企業(yè)有所幫助。）

    與PCI DSS標(biāo)準(zhǔn)類似，ISO標(biāo)準(zhǔn)中使用的術(shù)語也有其特定的定義，在許多情況下不僅會跟常規(guī)的英語不同，而且跟其他的控制框架也有不同。企業(yè)對員工進(jìn)行這方面的培訓(xùn)不僅可以更好的為ISO審計做準(zhǔn)備，而且還能讓員工跟公司外面的審計師有共同語言。遵從27001標(biāo)準(zhǔn)非常復(fù)雜，所以許多企業(yè)甚至讓有些員工通過認(rèn)證成為ISO 27001內(nèi)部審計人員；這些通過認(rèn)證的員工的觀點通常比企業(yè)外面的人員觀點更重要。

    除了上面詳細(xì)討論的監(jiān)管規(guī)則認(rèn)證以外，還有一種合格信息系統(tǒng)審計員認(rèn)證（CISA），這個認(rèn)證涵蓋了非常寬泛的審計框架范圍，其中包括用來進(jìn)行Sarbanes-Oxley (SOX)審計的COBIT 和 COSO。CISA培訓(xùn)涉及到了控制目標(biāo)、業(yè)務(wù)影響分析(BIAs)、風(fēng)險管理的賠償控制以及分析技術(shù)的所有內(nèi)容，而這些也對處理HIPAA/HITECH 或者 FTC Red Flags Rule審計很有用處。一般來講，成為審計員的好處是：首先，個人技能的增加可以讓簡歷看起來更好；其次，能夠更加深刻的理解公司需要遵從的各種規(guī)則和法律。此外，這樣的培訓(xùn)可以讓你從不同的角度來考慮為什么要執(zhí)行各種控制和怎樣執(zhí)行這些控制，以及這些控制的價值。

    也許最重要的是，審計培訓(xùn)可以讓一個人能夠跟審計師有共同的語言；還可以讓員工在別人使用特殊詞語和短語（比如“risk”或者"compensating control"）的時候能夠理解到底是什么意思，從而極大的加速審計過程。這個培訓(xùn)還可以讓員工更好的理解審計師想要什么，以及他們的目標(biāo)是什么。這些使得安全工作人員能夠更加有效的跟審計師開展合作，不僅節(jié)省了時間和金錢，而且還讓安全團(tuán)隊作為一個整體能夠更加有效的支持審計過程。

    對于許多信息安全工作人員來說，盡管IT審計需要很強(qiáng)的技術(shù)背景（尤其是PCI DSS 和 ISO 27001審計），然而轉(zhuǎn)變到審計員的角色其實不難。對于那些需要公司管理層打交道的從業(yè)人員來說，這個轉(zhuǎn)變會更加的容易。在這方面非常積極的企業(yè)已經(jīng)指定了培訓(xùn)計劃，讓他們的員工可以得到這方面的教育，這些計劃很可能會包括一個審計追蹤；如果你所在的公司還沒有這樣的一個計劃，那么請利用上面提到的信息，或許你就可以在企業(yè)中開拓一個全新的、有挑戰(zhàn)性的職業(yè)軌跡。