陳圣-合規視角下的信息安全審計（23頁）.pdf

1、合規視角下的信息安全審計陳 圣 陳 圣 分享者資料01 信息安全審計概況目錄02 外部合規監管動態及審計實施03 合規視角下信息安全審計的風險應對信息安全審計概況合規視角下的信息安全審計01 揭示信息安全風險的最佳手段信息安全現狀的有效途徑滿足信息安全合規要求的有力武器信息安全審計 什么是信息安全審計成為企業內控、信息系統治理、安全風險控制等的不可或缺的關鍵手段企業自身內控制的需要中央網信辦、國家發改委、工信部、公安部、國家密碼管理局、國家保密局、國家國防科工局、國家版權局、全國信息安全標準化技術委員會、全國信息技術標準化技術委員會、國家市場監督管理總局直屬的中國網絡安全審查技術與認證中心、國

2、家質檢總局授權的中國信息安全產品測評認證中心、公安部計算機信息系統安全產品質量監督檢驗中心及安全標準和產品測評認證、銀保監、證監會、保監會、人行、清結算、銀聯行業監管部門的要求用戶、衣食父母、友商、競爭對手用戶等相關方的期望為什么要做信息安全審計？目標可靠性合規性安全性經濟性信息安全審計的目標一般性控制審計信息安全審計的內容IT治理IT組織模式、架構、崗位職責組織IT供應商管理、版權與知識產權非核心業務服務水平保障供應商機房環境與防災主機、通訊網絡、存儲、訪問控制基礎設施資產、風險、威脅、策略和保障措施業務連續性對IT連續性的要求、備份與恢復業務連續性開發與獲取過程的質量、安全變更管理IT項目

3、管控網絡配置、日志檢查漏洞掃描、滲透測試網絡安全l實體安全控制l訪問控制l應用軟件開發和變更控制l系統軟件控制l職責分離控制l服務連續性控制信息安全審計的內容應用性控制審計l授權控制l完整性控制l準確性控制l數據文件和處理的完整性控制用戶問題跟蹤功能測試、代碼分析、場景模擬或者跟蹤業務輸入控制輸出控制IO可用性可靠性性能業務數據、日志真實性、一致性、準確性數據安全性、規范性流程邏輯性、后門代碼業務流程與線下活動接口與數據業務系統外部合規監管動態及審計實施合規視角下的信息安全審計02歐盟加拿大巴西010203外部合規監管動態（國外）美國04南非 05英國06德國07日本0820172018201

4、92020202105.01 06.27 08.27 民法典各編草案提請審議，確立保護隱私和個人信息基本原則09.07 個人信息保護法列入十三屆人大立法規劃09.17 信息安全技術 金融信息服務安全規范01.20 移動互聯網應用收集個人信息基本規范個人信息告知同意指南公開征求意見02.13 03.19 移動互聯網APP收集使用個人信息自評估指南公開征求意見05.28 07.03 數據安全法（草案）公開征求意見10.01 10.24 個人信息保護法（草案）正式發布11.11 06.01 06.01 高法、高檢關于辦理侵犯公民信息刑事案件適用法律若干問題的解釋10.01 01.25 四部門聯合開展

5、“APP違法違規收集使用個人信息專項治理行動”03.01 APP違法違規收集使用個人信息自評估指南發布05.28 數據安全管理辦法公開征求意見06.01移動互聯網應用基本業務功能必要信息規范發布06.13個人信息出境安全評估辦法（征求意見稿）09.10 10.01 兒童個人信息網絡保護規定施行12.30 06.01 外部合規監管動態（國內）外部監管與信息安全審計的關系p 部門p 應用系統p 單位制度p 行業規范p 標準法規p 審計組長p 審計人員p 審計計劃p 審計發現p 審計結論p 審計報告p 風險提醒p 風險建議p 不合格項跟蹤p 不符合項整改確定目的范圍明確審計依據組建審計小組實施現場審

6、計報告審計發現后續審計活動DATADATA信息系統安全等級保護是以 GB 178591999（強制標準）為基礎的一系列標準族，關于信息安全等級保護工作的實施意見公通字 200466 描述其應用范圍主要為國家重點保護涉及國家安全、經濟命脈、社會穩定的基礎信息網絡和重要信息系統。信息系統安全等級保護標準ISMS 包括了 ISO/IEC 27000 至 ISO/IEC 27059 的60 個標準，不但給出了“建立、實施、運行、監視、評審、保持和改進信息安全的”“基于業務風險（的）方法”，而且還給出了要求、實用規則、第三方認證審核指南以及相關安全域的具體指南等，第三方認證機構的存在為信息安全管理有效性

7、提供了客觀的評價數據。信息安全管理體系（Information Security Management System,ISMS）標準信息安全審計實施信息安全審計實施過程中的整合合規視角下信息安全審計的風險應對合規視角下的信息安全審計03。確保知識產權和生產知識方面的數據得到充分保護保持生產質量，減少人力監督缺乏有經驗的人員來實施和操作高度自動化的流程驅動在自動化和數字化方面，關注發展和最新技術對過程的正確理解，以識別、評估和減輕與數字化過程相關的風險具有變革管理和變革方面的專門知識具有數據訪問、完整性、更改協議和安全性等一般IT控制方面的專門知識具有數據分析方面的專業知識，包括數據提取、數據處

8、理和編寫信安審計報告如 何 做審 計幫 助評估數字轉型的目標和業務計劃是否已經實現協助各組織設計、實施和評估對數字化進程和系統的治理和控制框架利用信安審計報告中確定的風險和結果來推動數字化/工業4.0議程，并概述流程自動化的機會。利用更多的信息來進行審計程序，提供更高水平的意見或建議。數據安全和監管風險-在公共云上持有的數據被委托給第三方的治理和控制操作風險，共享云服務模型通常提供有限的可定制性，從而產生更大的集成風險。金融風險-私有云服務需要大量的初始投資，而共享服務可能因規劃不善和業務需求的變化而有所不同供應商風險-對云供應商面臨的風險的脆弱性，包括監管、災難恢復、聲譽和財務風險。驅動在I

9、T審計領域有深入的經驗，如日志記錄和監控、網絡配置、數據管理、IT資產保護、漏洞評估和訪問控制開發控制以減輕與云使用相關的關鍵風險的經驗在使用云服務時，具有特定于數據保護和隱私要求的風險和緩解控制方面的專門知識云使用指南和標準方面的專門知識。云安全聯盟如 何 做審 計幫 助對用于操作云平臺的現有治理框架進行獨立評估。協助組織確定和定義適當的云計算認證或提供意見和建議，以創建適合用途的云計算治理框架(即 ISO27001認證)。代表組織對任何第三方云服務提供商進行獨立評估，以識別數據安全風險。與第三方云計算服務提供商對服務級別協議(SLA)進行審查，并評估合同遵守情況。對云計算設置進行與內部和外

10、部法規相關的獨立審查。歐盟-GDPR。組織必須證明持續的數據保護合規。例如，這可以包括：有義務在72小時內報告個人數據違規情況通過設計相關流程和系統實現數據隱私任命組織內獨立的數據保護官要求獲得數據主體對其個人數據的使用的明確或明確的同意歐盟-GDPR對該組織底線的潛在影響可能包括高達全球營業額4%或高達2000萬歐元的罰款，以及聲譽風險的增加。驅動對本組織運作的現有監管環境(即。地方數據隱私立法)深入了解影響本組織的歐盟-GDPR要求關于如何有效執行歐盟-GDPR戰略和確保長期遵守的基準和良好做法實例評估歐盟-GDPR如何影響該組織在歐盟以外的子公司、附屬公司或商業伙伴的能力如 何 做審 計

11、幫 助評估歐盟-GDPR對組織戰略目標的影響，更具體地說，對信息治理戰略和預算的影響。評估組織當前數據保護合規程度和改進領域，例如進行數據保護影響評估(DPIA)或協助任命強制性數據保護官(DPO)。評估業務伙伴或第三方供應商的合規情況，并了解他們正在采取哪些合規舉措。評估數據保護風險暴露情況以及應采取哪些行動來減輕新出現的風險。將歐盟-GDPR要求納入年度審計方案，以協助本組織更好地遵守歐盟-GDPR。42%遭受網絡攻擊成功的受訪者因此遭受了經濟損失（42%的業務流程中斷、33%的保密信息披露和25%的聲譽損害）。82%的網絡應對計劃不包括攻擊供應商或商業伙伴等事件。28%的受訪者有網絡保險

12、。44%的受訪者表示，他們沒有工具來執行他們對供應商的控制框架，34%的受訪者不需要第三方合同中的特定網絡安全措施。驅動具有從安全角度審計IT系統的專業知識，包括數據安全、網絡安全、訪問管理等。對第三方IT依賴和專業知識的良好理解，審查第三方網絡安全提供商，包括服務級別協議(SLA)合同。適用于第三方供應商的采購程序和任何附加控制系統能夠對關鍵系統進行滲透測試，以識別潛在的IT控制弱點如 何 做審 計幫 助根據最佳實踐行業標準對組織的網絡安全流程進行風險評估，并提供流程改進建議。對選定的IT資產進行滲透測試。審查現有流程，以評估管理層是否考慮了不斷變化的IT環境所構成的關鍵威脅。評估修訂后的網絡安全模型的實施情況，如多層防御機制、增強的安全漏洞檢測和數據加密方法。評估第三方安全提供商充分應對新出現的網絡安全風險的能力。