法规遵从战略：晋升内部IT审计师的策略

【TechTarget中国原创】对安全和规则遵从的审计程序逐渐被许多信息安全人员所熟悉。多年来，许多信息安全从业人员一直在探索获得行业认证证书的利与弊，而现在令他们更纠结的是到底需不需要去获得成为IT规则遵从认证审计师所必需的技术。

 

　　虽然安全认证证书未必适合所有的从业人员或者所有的安全职位，但是获得认证还是有两个好处的：首先，认证可以敲开面试的大门；其次，你可以为那些在美国国防部方针DoD 8570.01-M指导下处理认证的代理机构工作。同样，拥有一个认证证书在审计领域中有两个地方不仅有用，而且是必需的。它们是：支付卡行业合格安全审核员(PCI QSA)和ISO 27001审计师主任。在本文中，我们将讨论一下怎样获得审计认证证书，以及这样做能给企业和自己的事业带来什么样的好处。

 

　　如何成为一个内部IT审计人员

 

　　为了能够审计并证明一个公司是否遵从PCI DSS标准，你需要通过认证成为PCI QSA。这个认证需要通过由PCI安全标准委员会监管的笔试、要有足够的工作经历或者持有一个合格的证书（五年工作经验，或是获得过一个CISA、CISM或CISSP证书），并且曾经为已经实施了PCI DSS评估的企业工作。

 

　　成为合格的QSA基本上意味着你已经决定成为顾问（或者进一步成为专门顾问）了，因为不需要顾问的公司也不太需要QSA员工。然而，QSA培训对于内部员工来说绝对很有价值，因为它可以让员工在公司进行审计的时候跟他们的QSA更好的交流。与大多数控制框架一样，PCI DSS有其特殊的定义来规定它的要求，可能有些词语跟标准的词典定义有所不同。因此，如果企业内部有人懂得这些细节的话，他就能够帮助企业更好的准备评估，还可能为企业节省大量的时间和金钱。另外，由于一级商家可以自我评估，所以对员工进行QSA培训可以加快企业的评估过程。

 

　　ISO 27001在欧洲很流行，这个标准现在也慢慢在美国公司中（特别是那些在欧盟有业务的公司中）普及，成为仅次于PCI DSS标准的企业安全认证标准。它逐渐被看成是一个企业成熟的标志，以及企业运行规则的展示说明。就像遵从许多其他的标准一样，为了能够得到ISO 27001标准认证，企业必须请第三方审计师来进行审计。而如果要开展ISO 27001审计工作，审计人员必须是通过认证的ISO 27001主任审计师。

 

　　就像PCI QSA一样，由于认证证书应该由第三方发行，所以主任审计师必须是来自企业外面的顾问。上文中我们提到经历PCI QSA培训的员工可以帮助公司，同样地，试图取得ISO认证证书的企业同样可以通过对员工进行ISO审计培训来获得很大的好处。（还有一个ISO 27001执行培训或认证，也可能对企业有所帮助。）

 

　　与PCI DSS标准类似，ISO标准中使用的术语也有其特定的定义，在许多情况下不仅会跟常规的英语不同，而且跟其他的控制框架也有不同。企业对员工进行这方面的培训不仅可以更好的为ISO审计做准备，而且还能让员工跟公司外面的审计师有共同语言。遵从27001标准非常复杂，所以许多企业甚至让有些员工通过认证成为ISO 27001内部审计人员；这些通过认证的员工的观点通常比企业外面的人员观点更重要。

 

　　除了上面详细讨论的监管规则认证以外，还有一种合格信息系统审计员认证（CISA），这个认证涵盖了非常宽泛的审计框架范围，其中包括用来进行Sarbanes-Oxley (SOX)审计的COBIT 和 COSO。CISA培训涉及到了控制目标、业务影响分析(BIAs)、风险管理的赔偿控制以及分析技术的所有内容，而这些也对处理HIPAA/HITECH 或者 FTC Red Flags Rule审计很有用处。一般来讲，成为审计员的好处是：首先，个人技能的增加可以让简历看起来更好；其次，能够更加深刻的理解公司需要遵从的各种规则和法律。此外，这样的培训可以让你从不同的角度来考虑为什么要执行各种控制和怎样执行这些控制，以及这些控制的价值。

 

　　也许最重要的是，审计培训可以让一个人能够跟审计师有共同的语言；还可以让员工在别人使用特殊词语和短语（比如“risk”或者"compensating control"）的时候能够理解到底是什么意思，从而极大的加速审计过程。这个培训还可以让员工更好的理解审计师想要什么，以及他们的目标是什么。这些使得安全工作人员能够更加有效的跟审计师开展合作，不仅节省了时间和金钱，而且还让安全团队作为一个整体能够更加有效的支持审计过程。

 

　　对于许多信息安全工作人员来说，尽管IT审计需要很强的技术背景（尤其是PCI DSS 和 ISO 27001审计），然而转变到审计员的角色其实不难。对于那些需要公司管理层打交道的从业人员来说，这个转变会更加的容易。在这方面非常积极的企业已经指定了培训计划，让他们的员工可以得到这方面的教育，这些计划很可能会包括一个审计追踪；如果你所在的公司还没有这样的一个计划，那么请利用上面提到的信息，或许你就可以在企业中开拓一个全新的、有挑战性的职业轨迹。