誰在毀我？走近IT審計之有類產(chǎn)品叫審計

2014-11-08 22:25:23 大云網(wǎng)　點擊量：評論 (0)

某大型制造企業(yè)有一個旗鼓相當(dāng)?shù)母偁帉κ?，整個市場份額基本被這兩家公司瓜分，所以兩者之間的競爭一直處于白熱化狀態(tài)。為了獲得更多的市場份額，該企業(yè)早在一年前就開始進(jìn)行一款新產(chǎn)品的開發(fā)，預(yù)計產(chǎn)品出來后，

某大型制造企業(yè)有一個旗鼓相當(dāng)?shù)母偁帉κ?，整個市場份額基本被這兩家公司瓜分，所以兩者之間的競爭一直處于白熱化狀態(tài)。為了獲得更多的市場份額，該企業(yè)早在一年前就開始進(jìn)行一款新產(chǎn)品的開發(fā)，預(yù)計產(chǎn)品出來后，會給公司帶來一筆非?？捎^的收益，極有可能真正領(lǐng)先于競爭對手。但就在開發(fā)工作接近尾聲時，市場上卻出現(xiàn)了與公司研發(fā)的新品有著同樣外觀、同樣技術(shù)特色的產(chǎn)品，只不過該產(chǎn)品上打著競爭對手的Logo。

　　很顯然，該企業(yè)的機密信息被競爭對手竊取了，凝聚了整個企業(yè)所有員工心血和希望的成果付諸東流，這讓高層領(lǐng)導(dǎo)大發(fā)雷霆，責(zé)令信息中心主管李強（備注，“本文人物均為化名”）不惜一切代價也要找出研發(fā)資料泄露的原因和途徑，如果可能甚至不惜借助法律武器挽回?fù)p失。

　　系列之一：有類產(chǎn)品叫審計

　　該制造企業(yè)的安保工作一直比較嚴(yán)格，研發(fā)人員隨身帶走產(chǎn)品資料的可能性為零，那么，信息是如何跑到競爭對手那里去的呢？可能是哪個員工在什么時候通過什么方式把什么信息發(fā)給了誰？泄密者是通過企業(yè)的業(yè)務(wù)系統(tǒng)泄露還是另有途徑？如果即便掌握了相關(guān)情況，又是否可以作為證據(jù)使用？這讓李強陷入了迷茫之中。

　　不過，面對高層領(lǐng)導(dǎo)的怒火，李強不敢有絲毫的怠慢，從各種系統(tǒng)日志入手，進(jìn)行了地毯式地排查。經(jīng)過數(shù)天的努力，李強最終將目標(biāo)鎖定在研發(fā)部門的幾名員工身上。原來，為了查找資料方便，研發(fā)部門允許個別員工連接互聯(lián)網(wǎng)，但因為只涉及到極少數(shù)人，也沒有想到競爭對手會買通自己的研發(fā)人員，所以并沒有對核心資料采取嚴(yán)格的保密措施，甚至沒有記錄員工的訪問行為。

　　但是追查工作進(jìn)展到這里，就陷入了僵局——雖然李強非?？隙ǔ鰡栴}的人就在這幾名員工中間，但根本無法知道究竟是誰在什么時間把信息泄露出去的，更不用談通過證據(jù)追究個人和競爭對手的法律責(zé)任了。

　　無奈，李強只能向前看，希望能夠在今后的日常工作中，能夠準(zhǔn)確掌握各種動態(tài)，以便及時調(diào)整安全策略，避免類似事件的再次發(fā)生，即便出現(xiàn)問題也可以做到有據(jù)可查，甚至提供足夠的證據(jù)，盡可能地挽回?fù)p失。

　　在同行的建議下，李強找到了某IT審計公司的技術(shù)專家向他推薦了IT審計類產(chǎn)品。

　　IT審計（Information Technology Audit），也稱作信息系統(tǒng)審計，它提出了針對信息系統(tǒng)的安全性、符合性、可靠性和有效性進(jìn)行審計的理念，能夠幫助企業(yè)滿足法律法規(guī)的相關(guān)要求。

　　不過，業(yè)界始終沒有就IT審計的定義達(dá)成統(tǒng)一的意見，目前使用較廣的是美國信息系統(tǒng)審計與控制協(xié)會ISACA給出的描述。ISACA認(rèn)為，IT審計是一個過程，在這個過程中IT審計師（CISA）通過獲取和評價相關(guān)證據(jù)，判斷被審查的信息系統(tǒng)能否保證單位或企業(yè)的資產(chǎn)安全、數(shù)據(jù)完整，以及能否有效地利用資源并高效地實現(xiàn)目標(biāo)。

　　雖然對IT審計的描述沒有達(dá)成統(tǒng)一，但專家們對IT審計的理解至少在以下幾個方面是一致的：首先，IT審計是一個過程，這個過程需要由獲得CISA認(rèn)證的IT審計師，以獨立客觀的身份執(zhí)行；其次，IT審計的過程中，IT審計師需要獲取證據(jù)并分析證據(jù)，目的是檢查信息系統(tǒng)的安全性、可靠性、有效性以及高效性；第三，審計師得到結(jié)果并不意味IT審計過程的完結(jié)，還需要向被審計單位報告審計結(jié)果，指明審查過程中發(fā)現(xiàn)的、信息系統(tǒng)存在的問題，并針對這些問題向被審計單位的高層提供改進(jìn)的建議。

　　那么，IT審計產(chǎn)品能夠?qū)徥裁矗磕芊駥顝姮F(xiàn)在或未來的工作有所幫助？能否避免同類問題的再次發(fā)生？除了記錄，它還能做些什么？請看《走近IT審計系列之二：IT審計審什么》。

免責(zé)聲明：本文僅代表作者個人觀點，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

我要收藏

個贊

產(chǎn)品