• 《企业内部控制基本规范》

这段时间以来,多次被媒体问到《企业内部控制基本规范》和安全审计的话题。从我来看,国内的IT内控、安全审计市场正在逐步热起来。
有人将《企业内部控制基本规范》称作是中国版的SOX法案,可见对他的期待有多么高。虽然该规范还不能称作是完整意义上的法案,而只是规范性文件,但是他对于国内企业、尤其是大企业的公司治理、风险控制、IT内控,包括信息系统安全审计都起到了极大的推进作用。
不过,最新的消息表明,这个基本规范将要推迟半年实施
 

  • 内控需求
     

实际上,不仅是《企业内部控制基本规范》,包括之前国家大力开展的等级化保护建设工作,以及证券、金融、保险等行业颁布的各项风险和内控指引、要求,甚至于刑法第七修正案等,都在努力构建一个从严的企业管控外部环境。作为这种外部压力的传导,企业的IT内控和审计自然摆到了各大企业信息部门的桌面上。
可以肯定,未来企业用户,尤其是大型企业用户,会不断加强IT内控,并催生对信息系统安全审计的技术、产品和相关解决方案的需求,并带动国内安全审计市场的迅速增长。这个市场必然会持续升温,而不论《企业内部控制基本规范》如何实施,这是企业发展大势所趋。
 

  • 内控与信息安全审计市场
     

我们可以对比国外安全审计市场,以美国为例,在SOX法案颁布之前,安全审计市场根本没有纳入Gartner、IDC的专项分析范畴,随着针对上市公司内控和信息披露的SOX法案的实施,以及象专门针对医疗行业的旨在保护医患隐私的HIPAA法案、针对联邦政府机构的FISMA法案、针对金融机构支付卡行业的PCI-DSS规范等的执行,美国的安全审计市场出现了爆炸式的增长。Gartner和IDC纷纷对其进行深入分析,并创造出了一个名为GRC(Governance,Risk Management, andCompliance)的IT细分市场。与此同时,各路安全厂商都从自身技术特点出发,提出了各种类型的安全审计产品,介入该市场,力求分一杯羹。例如各大SIEM(SecurityInformation and Event Management)厂家、NBA(Network BehaviorAnalysis)厂家和IAM(Identity and Access Management)厂家等。
 

  • 深度分析
     

回过头来,再看看我国的《企业内部控制基本规范》, 第四十一条要求“企业应当加强对信息系统的开发与维护、访问与变更、数据输入与输出、文件存储与保管、网络安全等方面的控制,保证信息系统安全稳定运行。”这条清楚的表明的有效的安全控制是必须的,而作为内控,证明这种控制的有效性就是审计。
根据 信息系统审计与控制协会(ISACA的定义,信息系统审计 是企业和组织IT内控过程中最关键的环节。信息系统审计通过对关键控制点的符合性测试来判断IT内控的目标及其控制措施是否有效。
有一点必须说明,内控不等于安全,更不等于信息安全审计。他们是有传导关系,但不是等价关系。其实,说到内控,在信息安全界更多提到的词应该是合规(Compliance)。国内的合规管理市场基本上还处于雏形阶段,多是定制性的项目,为了满足某些有特点或者超前需求的客户。