誰在毀我？走近IT審計之有類產品叫審計

2014-11-08 22:25:23 大云網　點擊量：評論 (0)

某大型制造企業有一個旗鼓相當的競爭對手，整個市場份額基本被這兩家公司瓜分，所以兩者之間的競爭一直處于白熱化狀態。為了獲得更多的市場份額，該企業早在一年前就開始進行一款新產品的開發，預計產品出來后，

某大型制造企業有一個旗鼓相當的競爭對手，整個市場份額基本被這兩家公司瓜分，所以兩者之間的競爭一直處于白熱化狀態。為了獲得更多的市場份額，該企業早在一年前就開始進行一款新產品的開發，預計產品出來后，會給公司帶來一筆非常可觀的收益，極有可能真正領先于競爭對手。但就在開發工作接近尾聲時，市場上卻出現了與公司研發的新品有著同樣外觀、同樣技術特色的產品，只不過該產品上打著競爭對手的Logo。

　　很顯然，該企業的機密信息被競爭對手竊取了，凝聚了整個企業所有員工心血和希望的成果付諸東流，這讓高層領導大發雷霆，責令信息中心主管李強（備注，“本文人物均為化名”）不惜一切代價也要找出研發資料泄露的原因和途徑，如果可能甚至不惜借助法律武器挽回損失。

　　系列之一：有類產品叫審計

　　該制造企業的安保工作一直比較嚴格，研發人員隨身帶走產品資料的可能性為零，那么，信息是如何跑到競爭對手那里去的呢？可能是哪個員工在什么時候通過什么方式把什么信息發給了誰？泄密者是通過企業的業務系統泄露還是另有途徑？如果即便掌握了相關情況，又是否可以作為證據使用？這讓李強陷入了迷茫之中。

　　不過，面對高層領導的怒火，李強不敢有絲毫的怠慢，從各種系統日志入手，進行了地毯式地排查。經過數天的努力，李強最終將目標鎖定在研發部門的幾名員工身上。原來，為了查找資料方便，研發部門允許個別員工連接互聯網，但因為只涉及到極少數人，也沒有想到競爭對手會買通自己的研發人員，所以并沒有對核心資料采取嚴格的保密措施，甚至沒有記錄員工的訪問行為。

　　但是追查工作進展到這里，就陷入了僵局——雖然李強非常肯定出問題的人就在這幾名員工中間，但根本無法知道究竟是誰在什么時間把信息泄露出去的，更不用談通過證據追究個人和競爭對手的法律責任了。

　　無奈，李強只能向前看，希望能夠在今后的日常工作中，能夠準確掌握各種動態，以便及時調整安全策略，避免類似事件的再次發生，即便出現問題也可以做到有據可查，甚至提供足夠的證據，盡可能地挽回損失。

　　在同行的建議下，李強找到了某IT審計公司的技術專家向他推薦了IT審計類產品。

　　IT審計（Information Technology Audit），也稱作信息系統審計，它提出了針對信息系統的安全性、符合性、可靠性和有效性進行審計的理念，能夠幫助企業滿足法律法規的相關要求。

　　不過，業界始終沒有就IT審計的定義達成統一的意見，目前使用較廣的是美國信息系統審計與控制協會ISACA給出的描述。ISACA認為，IT審計是一個過程，在這個過程中IT審計師（CISA）通過獲取和評價相關證據，判斷被審查的信息系統能否保證單位或企業的資產安全、數據完整，以及能否有效地利用資源并高效地實現目標。

　　雖然對IT審計的描述沒有達成統一，但專家們對IT審計的理解至少在以下幾個方面是一致的：首先，IT審計是一個過程，這個過程需要由獲得CISA認證的IT審計師，以獨立客觀的身份執行；其次，IT審計的過程中，IT審計師需要獲取證據并分析證據，目的是檢查信息系統的安全性、可靠性、有效性以及高效性；第三，審計師得到結果并不意味IT審計過程的完結，還需要向被審計單位報告審計結果，指明審查過程中發現的、信息系統存在的問題，并針對這些問題向被審計單位的高層提供改進的建議。

　　那么，IT審計產品能夠審什么？能否對李強現在或未來的工作有所幫助？能否避免同類問題的再次發生？除了記錄，它還能做些什么？請看《走近IT審計系列之二：IT審計審什么》。