晉升內(nèi)部IT審計師的策略
對安全和規(guī)則遵從的審計程序逐漸被許多信息安全人員所熟悉。多年來,許多信息安全從業(yè)人員一直在探索獲得行業(yè)認(rèn)證證書的利與弊,而現(xiàn)在令他們更糾結(jié)的是到底需不需要去獲得成為IT規(guī)則遵從認(rèn)證審計師所必需的技術(shù)
對安全和規(guī)則遵從的審計程序逐漸被許多信息安全人員所熟悉。多年來,許多信息安全從業(yè)人員一直在探索獲得行業(yè)認(rèn)證證書的利與弊,而現(xiàn)在令他們更糾結(jié)的是到底需不需要去獲得成為IT規(guī)則遵從認(rèn)證審計師所必需的技術(shù)。
雖然安全認(rèn)證證書未必適合所有的從業(yè)人員或者所有的安全職位,但是獲得認(rèn)證還是有兩個好處的:首先,認(rèn)證可以敲開面試的大門;其次,你可以為那些在美國國防部方針DoD 8570.01-M指導(dǎo)下處理認(rèn)證的代理機(jī)構(gòu)工作。同樣,擁有一個認(rèn)證證書在審計領(lǐng)域中有兩個地方不僅有用,而且是必需的。它們是:支付卡行業(yè)合格安全審核員(PCI QSA)和ISO 27001審計師主任。在本文中,我們將討論一下怎樣獲得審計認(rèn)證證書,以及這樣做能給企業(yè)和自己的事業(yè)帶來什么樣的好處。
如何成為一個內(nèi)部IT審計人員
為了能夠?qū)徲嫴⒆C明一個公司是否遵從PCI DSS標(biāo)準(zhǔn),你需要通過認(rèn)證成為PCI QSA。這個認(rèn)證需要通過由PCI安全標(biāo)準(zhǔn)委員會監(jiān)管的筆試、要有足夠的工作經(jīng)歷或者持有一個合格的證書(五年工作經(jīng)驗,或是獲得過一個CISA、CISM或CISSP證書),并且曾經(jīng)為已經(jīng)實施了PCI DSS評估的企業(yè)工作。
成為合格的QSA基本上意味著你已經(jīng)決定成為顧問(或者進(jìn)一步成為專門顧問)了,因為不需要顧問的公司也不太需要QSA員工。然而,QSA培訓(xùn)對于內(nèi)部員工來說絕對很有價值,因為它可以讓員工在公司進(jìn)行審計的時候跟他們的QSA更好的交流。與大多數(shù)控制框架一樣,PCI DSS有其特殊的定義來規(guī)定它的要求,可能有些詞語跟標(biāo)準(zhǔn)的詞典定義有所不同。因此,如果企業(yè)內(nèi)部有人懂得這些細(xì)節(jié)的話,他就能夠幫助企業(yè)更好的準(zhǔn)備評估,還可能為企業(yè)節(jié)省大量的時間和金錢。另外,由于一級商家可以自我評估,所以對員工進(jìn)行QSA培訓(xùn)可以加快企業(yè)的評估過程。
ISO 27001在歐洲很流行,這個標(biāo)準(zhǔn)現(xiàn)在也慢慢在美國公司中(特別是那些在歐盟有業(yè)務(wù)的公司中)普及,成為僅次于PCI DSS標(biāo)準(zhǔn)的企業(yè)安全認(rèn)證標(biāo)準(zhǔn)。它逐漸被看成是一個企業(yè)成熟的標(biāo)志,以及企業(yè)運行規(guī)則的展示說明。就像遵從許多其他的標(biāo)準(zhǔn)一樣,為了能夠得到ISO 27001標(biāo)準(zhǔn)認(rèn)證,企業(yè)必須請第三方審計師來進(jìn)行審計。而如果要開展ISO 27001審計工作,審計人員必須是通過認(rèn)證的ISO 27001主任審計師。
就像PCI QSA一樣,由于認(rèn)證證書應(yīng)該由第三方發(fā)行,所以主任審計師必須是來自企業(yè)外面的顧問。上文中我們提到經(jīng)歷PCI QSA培訓(xùn)的員工可以幫助公司,同樣地,試圖取得ISO認(rèn)證證書的企業(yè)同樣可以通過對員工進(jìn)行ISO審計培訓(xùn)來獲得很大的好處。(還有一個ISO 27001執(zhí)行培訓(xùn)或認(rèn)證,也可能對企業(yè)有所幫助。)
與PCI DSS標(biāo)準(zhǔn)類似,ISO標(biāo)準(zhǔn)中使用的術(shù)語也有其特定的定義,在許多情況下不僅會跟常規(guī)的英語不同,而且跟其他的控制框架也有不同。企業(yè)對員工進(jìn)行這方面的培訓(xùn)不僅可以更好的為ISO審計做準(zhǔn)備,而且還能讓員工跟公司外面的審計師有共同語言。遵從27001標(biāo)準(zhǔn)非常復(fù)雜,所以許多企業(yè)甚至讓有些員工通過認(rèn)證成為ISO 27001內(nèi)部審計人員;這些通過認(rèn)證的員工的觀點通常比企業(yè)外面的人員觀點更重要。
除了上面詳細(xì)討論的監(jiān)管規(guī)則認(rèn)證以外,還有一種合格信息系統(tǒng)審計員認(rèn)證(CISA),這個認(rèn)證涵蓋了非常寬泛的審計框架范圍,其中包括用來進(jìn)行Sarbanes-Oxley (SOX)審計的COBIT 和 COSO。CISA培訓(xùn)涉及到了控制目標(biāo)、業(yè)務(wù)影響分析(BIAs)、風(fēng)險管理的賠償控制以及分析技術(shù)的所有內(nèi)容,而這些也對處理HIPAA/HITECH 或者 FTC Red Flags Rule審計很有用處。一般來講,成為審計員的好處是:首先,個人技能的增加可以讓簡歷看起來更好;其次,能夠更加深刻的理解公司需要遵從的各種規(guī)則和法律。此外,這樣的培訓(xùn)可以讓你從不同的角度來考慮為什么要執(zhí)行各種控制和怎樣執(zhí)行這些控制,以及這些控制的價值。
也許最重要的是,審計培訓(xùn)可以讓一個人能夠跟審計師有共同的語言;還可以讓員工在別人使用特殊詞語和短語(比如“risk”或者"compensating control")的時候能夠理解到底是什么意思,從而極大的加速審計過程。這個培訓(xùn)還可以讓員工更好的理解審計師想要什么,以及他們的目標(biāo)是什么。這些使得安全工作人員能夠更加有效的跟審計師開展合作,不僅節(jié)省了時間和金錢,而且還讓安全團(tuán)隊作為一個整體能夠更加有效的支持審計過程。
對于許多信息安全工作人員來說,盡管IT審計需要很強(qiáng)的技術(shù)背景(尤其是PCI DSS 和 ISO 27001審計),然而轉(zhuǎn)變到審計員的角色其實不難。對于那些需要公司管理層打交道的從業(yè)人員來說,這個轉(zhuǎn)變會更加的容易。在這方面非常積極的企業(yè)已經(jīng)指定了培訓(xùn)計劃,讓他們的員工可以得到這方面的教育,這些計劃很可能會包括一個審計追蹤;如果你所在的公司還沒有這樣的一個計劃,那么請利用上面提到的信息,或許你就可以在企業(yè)中開拓一個全新的、有挑戰(zhàn)性的職業(yè)軌跡。

責(zé)任編輯:葉雨田
免責(zé)聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
我要收藏
個贊
- 相關(guān)閱讀
- 泛在電力物聯(lián)網(wǎng)
- 電動汽車
- 儲能技術(shù)
- 智能電網(wǎng)
- 電力通信
- 電力軟件
- 高壓技術(shù)
-
權(quán)威發(fā)布 | 新能源汽車產(chǎn)業(yè)頂層設(shè)計落地:鼓勵“光儲充放”,有序推進(jìn)氫燃料供給體系建設(shè)
2020-11-03新能源,汽車,產(chǎn)業(yè),設(shè)計 -
中國自主研制的“人造太陽”重力支撐設(shè)備正式啟運
2020-09-14核聚變,ITER,核電 -
探索 | 既耗能又可供能的數(shù)據(jù)中心 打造融合型綜合能源系統(tǒng)
2020-06-16綜合能源服務(wù),新能源消納,能源互聯(lián)網(wǎng)
-
新基建助推 數(shù)據(jù)中心建設(shè)將迎爆發(fā)期
2020-06-16數(shù)據(jù)中心,能源互聯(lián)網(wǎng),電力新基建 -
泛在電力物聯(lián)網(wǎng)建設(shè)下看電網(wǎng)企業(yè)數(shù)據(jù)變現(xiàn)之路
2019-11-12泛在電力物聯(lián)網(wǎng) -
泛在電力物聯(lián)網(wǎng)建設(shè)典型實踐案例
2019-10-15泛在電力物聯(lián)網(wǎng)案例
-
新基建之充電樁“火”了 想進(jìn)這個行業(yè)要“心里有底”
2020-06-16充電樁,充電基礎(chǔ)設(shè)施,電力新基建 -
燃料電池汽車駛?cè)雽こ0傩占疫€要多久?
-
備戰(zhàn)全面電動化 多部委及央企“定調(diào)”充電樁配套節(jié)奏
-
權(quán)威發(fā)布 | 新能源汽車產(chǎn)業(yè)頂層設(shè)計落地:鼓勵“光儲充放”,有序推進(jìn)氫燃料供給體系建設(shè)
2020-11-03新能源,汽車,產(chǎn)業(yè),設(shè)計 -
中國自主研制的“人造太陽”重力支撐設(shè)備正式啟運
2020-09-14核聚變,ITER,核電 -
能源革命和電改政策紅利將長期助力儲能行業(yè)發(fā)展
-
探索 | 既耗能又可供能的數(shù)據(jù)中心 打造融合型綜合能源系統(tǒng)
2020-06-16綜合能源服務(wù),新能源消納,能源互聯(lián)網(wǎng) -
5G新基建助力智能電網(wǎng)發(fā)展
2020-06-125G,智能電網(wǎng),配電網(wǎng) -
從智能電網(wǎng)到智能城市