基于風(fēng)險(xiǎn)的審計(jì)方法:模擬案例研究
模擬案例研究:執(zhí)行基于風(fēng)險(xiǎn)的審計(jì)的方法
現(xiàn)在我們理解了整個(gè)審計(jì)的大體內(nèi)容,那么我們來進(jìn)行一個(gè)場景模擬,把所有的內(nèi)容都聯(lián)系在一起。在這個(gè)例子中,我們將站在一定高度、簡單的瀏覽一遍一家專營辦公材料、辦公家具、標(biāo)識(shí)以及打印媒體服務(wù)的特許經(jīng)銷商的審計(jì)過程。該公司位于東海岸的12家連鎖店都接受信用卡付款,并通過電子商務(wù)系統(tǒng)使用他們的網(wǎng)上商店。我們把它稱作Office Company公司。
Office Company確定了所有的資產(chǎn)并通過類型、價(jià)值和復(fù)雜性對(duì)他們進(jìn)行了分類。下面的風(fēng)險(xiǎn)排名表格使用上文提到的標(biāo)準(zhǔn)對(duì)風(fēng)險(xiǎn)進(jìn)行了排名。
在對(duì)審計(jì)范圍內(nèi)的幾個(gè)審計(jì)實(shí)體進(jìn)行排名之后,Office Company發(fā)現(xiàn)它的主要顧慮是公司防火墻和PCI DSS規(guī)則遵從。具體來說,公司擔(dān)心的是“建立和維護(hù)一個(gè)安全環(huán)境”這項(xiàng)PCI DSS要求,因?yàn)楣咀罱チ酥饕姆阑饓芾韱T。公司把防火墻列為機(jī)密(需要嚴(yán)格控制,以防止未授權(quán)的訪問)、危險(xiǎn)程度級(jí)別1(需要高級(jí)別的保護(hù),對(duì)于業(yè)務(wù)運(yùn)行生死攸關(guān))。在審計(jì)計(jì)劃中,審計(jì)團(tuán)隊(duì)決定集中力量審計(jì)公司的防火墻和上面提到的PCI DSS要求。
在準(zhǔn)備階段,審計(jì)人員發(fā)現(xiàn)之前的防火墻管理員很少記錄防火墻的變化,幾個(gè)月內(nèi)都沒有更新網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),而且沒有培訓(xùn)新員工。為了保護(hù)電子商業(yè)數(shù)據(jù),防止監(jiān)管處罰,審計(jì)團(tuán)隊(duì)同意對(duì)每組防火墻規(guī)則進(jìn)行一次全面整頓。審計(jì)團(tuán)隊(duì)打算評(píng)估入口和出口的過濾,其中包括每條規(guī)則的記錄,以及所有封鎖和允許的端口、協(xié)議和服務(wù)等。
在評(píng)估階段,審計(jì)團(tuán)隊(duì)發(fā)現(xiàn)企業(yè)內(nèi)部使用的防火墻即將到期,并且供應(yīng)商的支持快到盡頭。這只是許多發(fā)現(xiàn)中的一個(gè),但卻是最重要的發(fā)現(xiàn),需要立即引起注意。審計(jì)團(tuán)隊(duì)跟管理人員進(jìn)行合作,確定防火墻資產(chǎn)的價(jià)值以及升級(jí)他們需要的成本。在風(fēng)險(xiǎn)減輕階段,審計(jì)小組認(rèn)為如果不替換現(xiàn)在的防火墻系統(tǒng),那么所帶來的風(fēng)險(xiǎn)非常具有破壞性。
Office Company估計(jì)企業(yè)防火墻價(jià)值一百五十萬美元,“供應(yīng)商支持到期”增加了威脅和漏洞計(jì)算系數(shù),分別為0.4和0.7,那么風(fēng)險(xiǎn)為420000美元。這是因?yàn)楣?yīng)商的支持消失之后,威脅程度(預(yù)計(jì)損失和年發(fā)生率)會(huì)增加,不足性也會(huì)增加。Office Company做了40萬美元的預(yù)算,用來續(xù)簽合同、培訓(xùn)、測試以及采用新型防火墻產(chǎn)品。審計(jì)小組隨后決定追加投資兩萬美元外聘一家公司來測試和驗(yàn)證這些控制的有效性。
在報(bào)告階段,審計(jì)團(tuán)隊(duì)與管理團(tuán)隊(duì)重新闡述了公司的防火墻和PCI DSS問題。他們還闡述了升級(jí)防火墻需要采取的措施,以及后續(xù)重要事件的日期。為了提供積極的觀點(diǎn),他們指出了一些管理人員能夠現(xiàn)場更正的現(xiàn)存防火墻架構(gòu)中的不足。其中一個(gè)方面就是防火墻的“默認(rèn)拒絕”規(guī)則。就像Dr. Anton Chuvakin在他的新書中推薦的那樣,對(duì)于PCI規(guī)則遵從,審計(jì)團(tuán)隊(duì)可以讓防火墻管理員在防火墻上實(shí)施“隱形規(guī)則”,丟棄所有以防火墻設(shè)備自身為目標(biāo)的入站和出站流量。另外,報(bào)告還闡述了審計(jì)中發(fā)現(xiàn)的其他領(lǐng)域,其中包括基礎(chǔ)設(shè)施設(shè)備上的認(rèn)證服務(wù)器使用以及偶然發(fā)生的計(jì)劃改變等。
總結(jié)
本指南重點(diǎn)介紹了基于風(fēng)險(xiǎn)的審計(jì)的核心內(nèi)容。從風(fēng)險(xiǎn)評(píng)估以及風(fēng)險(xiǎn)排名過程,一直到評(píng)估和報(bào)告發(fā)現(xiàn),重要的是要采取著重實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)基礎(chǔ)態(tài)度。這個(gè)模型可以重塑并不斷發(fā)展,能夠跟得上技術(shù)更新和漏洞更新的腳步。審計(jì)團(tuán)隊(duì)一定要注意風(fēng)險(xiǎn)排名過程中使用的估計(jì)數(shù)字。審計(jì)人員在威脅以及風(fēng)險(xiǎn)分析中必須保持真實(shí),應(yīng)該盡可能的使用可以測量的數(shù)據(jù)。每年都使用這個(gè)方法進(jìn)行審計(jì),企業(yè)就能夠?qū)崿F(xiàn)安全。
【編輯推薦】