ISACA Journal
Volume 5, 2,017 

Translated Articles 

以更少的資源做更多的事情 

Ian Cooke, CISA, CRISC, CGEIT, COBIT Assessor and Implementer, CFE, CPTE, DipFM, ITIL Foundation, Six Sigma Green Belt 

內部稽核協會(IIA)將內部稽核定義為一項獨立、客觀的確認及顧問諮詢活動,主要在增加價值並改善組織的運作。1 然而,在許多組織中,內部稽核被視為是確保法令遵循所要求的(必要)成本,比如美國健康保險可攜性及責任法案(HIPAA)、2002年美國沙賓法案、歐盟個人資料保護指令、支付卡產業資料安全標準(PCI DSS)等法規,這些都聚焦在讓稽核人員持續保持在最低符合法令遵循限度的成本上。即使在對內部稽核有更加先進觀點的企業裡,也不可能時常找到具有合適技能的人,儘管如此,資訊稽核人員仍被期望應該了解創新技術、了解新的法規及確保充分涵蓋整個稽核領域包括新的應用系統作業, 那麼資訊稽核該如何持續增加價值呢? 我們怎樣才能以更少的資源做到更多的事情?

建立一個資料分類計畫

ISACA將資訊安全定義為”確保在企業內部,保護資訊不會洩露給未經授權的使用者(機密性)、不適當的修改(完整性)和需要時無法存取(可用性)”;2 因此,根據這些需求對資料進行分類是合理的( 而且,它確實是司空見慣的)。一份簡短而精心編寫的「資料分類指引」是美國聯邦資訊處理標準期刊3(FIPS PUB 199),針對聯邦資訊和資訊系統的安全分類, 一份資料分類方案範本如圖1所示。

圖 1

分類應用程序

下一步是根據他們所處理的資料來對應用系統作業進行分類,實際上,需要證實每個系統在處理資料是否符合機密性、完整性、或可用性的規範,最好的方法是設計出一個問卷去詢問每個應用系統作業的營運主管,這些問題應該與企業相關,問題範例請見圖2所示。

圖 2

圖 3受訪者應被要求對每個他們回答 “是”的問題,應指出它們的影響程度:高、中或低。 接著,這些評估應該給予量化加權,而總評分數可以用來對應用系統作業評等(圖3),同樣,應根據企業的需求和問題的數量來設定分數。

在整個作業流程結束時,應該有一份對企業所有應用系統作業的清單,就每個應用系統作業的機密性、完整性和可用性進行如高、中或低評等,這些評等是用來決定要實施的控制。

應用系統作業被評分數越高,這項控制作業對企業越重要,因此,花費更多時間來保護、甚至稽核這些應用系統作業比被評分數較低的更有意義;而且,評等將主導控制的類型。 例如,當較高評分的機密性應用系統作業可能被要求使用加密系統,同時較高評分的可用性應用系統作業可能需要叢集或某些故障轉移,當然,應用系統作業是可能在三種類別中全被評分為高等級的。

建立準則

我在上一篇專欄4 中談論到準則規範的概念,簡要地說,“準則”被定義 為用於衡量和呈現主題的標準和基準,而資訊稽核人員會評估這項主題,5 如果使用的準則與企業已經建立的準則相同,資訊稽核人員將能增加更多的價值,如果此類準則(包括定義所有應用系統作業所需基準線控制的文件 -“應用系統作業標準”)尚未定義,那高度的 建議去稽核第二道防線6 職能責任,並要求他們盡快建置,這份文件應由第一道防線權責部門認可,再由內部稽核進行複核。

除了增加更多價值之外,對相同定義標準進行查核也會減少與受查單位的摩擦,並且應該避免使用“我們不在此處應用該標準”的舊式論點,此外,如果受查單位知道該標準,他們更願意去遵循它。

根據規範進行內部控制作業自我評估

ISACA 將內控自評(CSA)定義為由有關單位的成員進行控制的評估,這是一種管理技術,可以向利害關係人、客戶和第三方組織確保內部控制制度是可信賴的。7

自從企業現在有一個明確的應用系統作業標準,並且正在尋求增加內部稽核提供的確保,因此依照標準建立CSA 問卷是很合理的。

CSA 應要求受查單位回答有關應用系統作業標準的問題,為每個答案提供百分比分數(分數越高,受訪者對相關控制越滿意),此外,每個問題都應標記為基準線(即,所有應用系統作業都需要此問題)或與機密性、完整性或可用性相關。

這應該會產生一個應用系統作業列表,其中包含每個安全區域的百分比分數(4)。

圖 4

稽核落差

理想分數(100%)與實際分數之間的結果差距在數值方面可能很小,但可能對企業構成重大風險。例如,應用系統作業C 可能已被歸類為高機密性,22 %似乎不是一個極大的缺陷,但它可能代表重要控制中的失敗,例如使用已不被採用的加密協議,因此,評估落差是非常重要,這可以透過內部稽核針對問題中的控制進行簡短、敏銳、集中的查核,建議(如果有的話)是必須做出的,並且依正常方式遵循,8 當然,確認這些建議的執行將在下次應用系統作業進行 CSA(內控自評)作業時提高評分。

向審計委員會報告

當多數個應用系統作業執行CSA 作業流程時,最好的做法是將CSA 結果向審計委員會報告,這將讓過程與結果透明並且使得資訊稽核人員對整體控制環境發表意見,此外,隨著CSA 的重複進行,可以追踪應用系統作業的評分,隨著控制作業的實施和風險的減輕而改善,或者隨著新風險的出現而降低評分。

每年稽核應用系統作業百分比

CSA 總是存在結果不準確的風險,或者隨著時間,受查單位會變得有點自滿,這可能會導致CSA 結果不可靠,為了因應這種狀況,我建議每年對決定應用系統作業的百分比進行全面查核,這 應該有助於保持CSA 的可信度。

結論

透過機密性、完整性和可用性對應用系統作業進行分類,使資訊稽核人員能夠確保在適當的時間將有限的資源用於正確的風險因素上。此外,按照議定的標準執行CSA 可以增加保障範圍,並有助於確保三道防線都朝著同一方向發展。最後,向審計委員會報告結果可提高透明度,並允許讓資訊稽核人員就整體控制環境發表意見。這些項目共同為企業增添了實質價值。

Author’s Note

The author wishes to acknowledge Frank Ennis and Paul Rochford, CISA, CRISC, CISSP, CISSP-ISSAP, of An Post for their contribution to many of the concepts used in this article.

Endnotes

1 The Institute of Internal Auditors, About Internal Auditing, https://global.theiia.org/about/about-internal-auditing/pages/about-internal-auditing.aspx
2 ISACA, COBIT 5 for Information Security, USA, 2012, p.19, www.isaca.org/COBIT/Pages/Information-Security-Product-Page.aspx
3 National Institute of Standards and Technology Computer Security Division, Standards for Security Categorization of Federal Information and Information Systems, Federal Information Processing Standards (FIPS) Publication 199, USA, February 2004, http://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.199.pdf
4 Cooke, I.; “Audit Programs,” ISACA Journal, vol. 4, 2017, www.isaca.org/Journal/archives/Pages/default.aspx
5 ISACA, Information Technology Assurance Framework (ITAF), www.isaca.org/Knowledge-Center/ITAF-IS-Assurance-Audit-/IS-Audit-and-Assurance/Pages/ObjectivesScopeandAuthorityofITAudit.aspx
6 Chartered Institute of Internal Auditors, Governance of Risk: Three lines of Defence, https://www.iia.org.uk/resources/audit-committees/governance-of-risk-three-lines-of-defence/
7 ISACA, CISA Review Manual 26th Edition, USA, 2016
8 Cooke, I.; “Enhancing the Audit Follow-up Process Using COBIT 5,” ISACA Journal, vol. 6, 2016, www.isaca.org/Journal/archives/Pages/default.aspx

作者: Ian Cooke, CISA, CRISC, CGEIT, COBIT Assessor and Implementer, CFE, CPTE, DipFM, ITIL Foundation, Six Sigma Green Belt
Is the group IT audit manager with An Post (the Irish Post Office based in Dublin, Ireland) and has 30 years of experience in all aspects of information systems. Cooke has served on several ISACA committees and is a current member of ISACA’s CGEIT Exam Item Development Working Group. He is the community leader for the Oracle Databases, SQL Server Databases, and Audit Tools and Techniques discussions in the ISACA Knowledge Center. Cooke assisted in the updates of the CISA Review Manual for the 2016 job practices and was a subject matter expert for ISACA’s CISA Online Review Course. He is the recipient of the 2017 John W. Lainhart IV Common Body of Knowledge Award for contributions to the development and enhancement of ISACA publications and certification training modules. He welcomes comments or suggestions for articles via email at Ian_J_Cooke@hotmail.com, Twitter (@COOKEI), or on the Audit Tools and Techniques topic in the ISACA Knowledge Center. Opinions expressed in this column are his own and do not necessarily represent the views of An Post.

譯者: 莊盛祺,兆益數位股份有限公司總經理,中華民國電腦稽核協會專業發展委員會委員

Quality Statement:
This Work is translated into Chinese Traditional from the English language version of Volume 5, 2017of the ISACA Journal articles by the Taiwan Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the ISACA. The Taiwan Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.

品質聲明:
ISACA臺灣分會在ISACA總會的授權之下,摘錄ISACA Journal 2017,Volume 5中的文章進行翻譯。譯文的準確度及與原文的差異性則由臺灣分會獨立負責。

Copyright
© 2017 of Information Systems Audit and Control Association (“ISACA”). All rights reserved. No part of this article may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

版權聲明:
© 2017 of Information Systems Audit and Control Association (“ISACA”). 版權所有,非經ISACA書面授權,不得以任何形式使用、影印、重製、修改、散布、展示、儲存於檢索系統、或以任何方式(電子、機械、影印、或錄影等方式)發送。

Disclaimer:
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

免責聲明:
ISACA Journal係由ISACA出版。ISACA 為一服務資訊科技專業人士的自願性組織,其會員則有權獲得每 ISACA JOURNAL 摘譯文章 15 年出版的ISACA Journal。

ISACA Journal收錄的文章及刊物僅代表作者與廣告商的意見,其意見可能與ISACA以及資訊科技治理機構與相關委員會之政策和官方聲明相左,也可能與作者的雇主或本刊編輯有所不同。ISACA Journal 則無法保證內容的原創性。

若為非商業用途之課堂教學,則允許教師免費複印單篇文章。若為其他用途之複製,重印或再版,則必須獲得ISACA的書面許可。如有需要,欲複印ISACA Journal 者需向Copyright Clearance Center(版權批准中心,地址:27 Congress St., Salem, MA 01970) 付費,每篇文章收取2.50 元美金固定費用,每頁收取 0.25 美金。欲複印文章者則需支付CCC 上述費用,並說明ISACA Journal 之ISSN 編碼(1526-7407)、文章之出版日期、卷號、起訖頁碼。除了個人使用或內部參考之外,其他未經ISACA 或版權所有者許可之複製行為則嚴明禁止。

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.