“基于風險的審計”（Risk-based auditing）這個話題涉及的范圍很廣泛，它可以應(yīng)用到許多領(lǐng)域，比如金融以及信息技術(shù)（IT）等。本文將從企業(yè)IT的角度來介紹基于風險的審計。文章內(nèi)容涉及到基于風險的審計的要求，以及在審計之前、審計之中、審計之后需要采取的必要步驟。另外，本文還討論了減輕風險的方法，并對控制選擇和控制有效性測量進行了分析。這篇文章為那些開發(fā)內(nèi)部IT審計程序或者正在尋找安全風險評估方法的企業(yè)提供了一個簡單的基于風險的審計方法。

為什么要進行基于風險的審計？方法論以及背景

審計是企業(yè)安全策略中重要的組成部分。審計能夠讓工作人員滿足監(jiān)管規(guī)則的要求，驗證現(xiàn)有的控制能否保護業(yè)務(wù)功能，并且決定什么時候需要新的控制?；陲L險的審計與那種審計人員只用一個檢查清單和一支筆來決定是否遵從規(guī)則的審計活動不同，它需要理解企業(yè)的業(yè)務(wù)功能和目標，這樣才能夠真正深入到系統(tǒng)和網(wǎng)絡(luò)之中。

美國信息系統(tǒng)審計和控制協(xié)會（Information Systems Audit and Control Association，即ISACA）指出，“在基于風險的審計方法中，信息系統(tǒng)的審計人員不只是依靠風險；他們還依靠內(nèi)部和運行控制，以及對被審計公司或者業(yè)務(wù)的了解?！币虼耍L險審計提供了更加徹底的業(yè)務(wù)風險評估，使得管理人員能夠根據(jù)他們的風險承受能力做出明智的決定。進行基于風險的審計的原因是為了保持企業(yè)的IT決策和行動跟企業(yè)可接受的風險水平相一致，而且風險評估過程有助于確定風險門檻。

基于風險的審計方法：風險評估

風險承受能力或者可接受的風險是指一個企業(yè)愿意接受的風險暴露數(shù)量。也就是說，企業(yè)必須設(shè)置一個門檻，以確定何時以及何地執(zhí)行各種控制來減輕風險。對于決定哪些控制是“錦上添花”，哪些是必要的保護業(yè)務(wù)功能的控制來說，這個過程是必不可少的。比如由國際標準化組織（ISO）以及美國國家標準和技術(shù)局（NIST）提出的幾個風險管理方法，可以給管理人員提供好的可接受的風險評估結(jié)果。某種程度上，這些方法通常還包括明確資產(chǎn)、威脅、漏洞以及控制等。

確定資產(chǎn)

企業(yè)不能保護他們不知道的東西，所以他們必須明確企業(yè)的所有資產(chǎn)，而且要特別注意那些最關(guān)鍵的東西。資產(chǎn)統(tǒng)計列表出來之后，企業(yè)必須使用某種分類方法或者企業(yè)標準把它們進行分類。一般來說，可以參考以下標準對資產(chǎn)進行分類和評估：

◆類型：信息、硬件、軟件、服務(wù)等

◆價值：業(yè)務(wù)價值和競爭價值

◆復雜性：不正常的企業(yè)管理費用、兼容性，或者操作要求

◆壽命：操作周期、折舊歷史以及預期的生命期限
　　
確定危險程度和保密級別

對資產(chǎn)進行分類之后，接著就是分配資產(chǎn)的危險程度級別和保密級別。以保密性、完整性和可用性要求為基礎(chǔ)的危險程度和保密級別分類能夠為各類資產(chǎn)指定各種特殊控制。下面的標準提供了一個簡單的危險程度級別和保密級別分類方法：

◆級別1（高級保護）：對于業(yè)務(wù)運行的維持來說生死攸關(guān)（例如，股票交易公司的股票交易服務(wù)器）。

◆級別2（中級保護）：對于支持業(yè)務(wù)運行來說很重要（例如，股票交易公司的郵件服務(wù)器）。

◆級別3（基本保護）：對于日常業(yè)務(wù)運行來說是必要的（例如，股票交易公司的打印服務(wù)器）。
　　
按照保密要求進行的級別分類：

◆秘密：未經(jīng)授權(quán)的披露會給公司帶來毀滅性的后果（比如，商業(yè)秘密、源代碼等。）

◆私人：未經(jīng)授權(quán)的披露會影響公司的形象（比如，人事資料、金融信息等。）

◆公開：不會給公司帶來負面影響（比如，新型服務(wù)、領(lǐng)導層信息等。）
　　
威脅以及漏洞的確定

對資產(chǎn)進行確定、分類和分配危險程度級別以后，下一步就是確定他們的威脅和漏洞。威脅的根源是漏洞。漏洞是指人、過程以及技術(shù)上的弱點，可以被威脅所利用。比如，惡意軟件（malware）就是一個威脅，它能夠利用沒打補丁的系統(tǒng)中的漏洞。另外一個潛在的威脅是燈火管制，能夠利用缺乏發(fā)電機的建筑。威脅可以按照業(yè)務(wù)、技術(shù)、物理以及管理進行分類。對于企業(yè)來說，不僅要知道他們的威脅和漏洞，而且還要了解這些威脅和漏洞，確定它們能夠帶來的風險級別以及應(yīng)對措施。

風險計算

風險計算對于決定資源的最佳利用來說至關(guān)重要。一個簡單的風險計算公式為：風險=資產(chǎn)價值*威脅*漏洞。請注意，這個描述中的資產(chǎn)價值要比它的初始投資成本大得多。資產(chǎn)的價值隨著資源的利用而增加。資產(chǎn)開發(fā)、測試、運行和維護中應(yīng)用了各種資源。另外，資產(chǎn)中存儲的信息也有價值。舉個例子，讓我們來看一下可以接受客戶信息的網(wǎng)絡(luò)服務(wù)器。如果包含客戶信息的數(shù)據(jù)庫被破解，那么就可能招致法律制裁和名譽損失。另外，商業(yè)秘密的丟失能夠?qū)е率袌龇蓊~減少、競爭力下降。因此，計算資產(chǎn)價值時必須考慮所有能夠影響其價值的因素。

在計算威脅值時，你需要考慮其預估損失（PL）和年發(fā)生率（ARO）。PL是指威脅發(fā)生時資產(chǎn)暴露的百分比。也就是說，如果惡意軟件破解了含有客戶信息的數(shù)據(jù)庫，而且預計有60%的數(shù)據(jù)丟失，那么PL就是60%。然后我們來看下這個威脅的ARO，即一年中威脅發(fā)生的次數(shù)。在這個例子中，預計的年發(fā)生率大概是每兩年一次，即0.5。那么我們的危險計算系數(shù)為0.3（PL x ARO）。

在確定風險之前，你還需要計算不足性（DL）。DL是指有控制的情況下無效保護的數(shù)量。也就是說，如果現(xiàn)在保護公司數(shù)據(jù)庫的殺毒技術(shù)80%有效，那么就有20%的不足性。有了這個數(shù)據(jù)，連同資產(chǎn)價值和威脅計算系數(shù)一起，我們就能計算風險。在這個例子中，讓我們假設(shè)數(shù)據(jù)庫的價值是50萬美元。那么，風險=500000美元*0.3*0.2=30000美元。在這種情況下，我們就可以證明投資30000美元來保護這個關(guān)鍵的數(shù)據(jù)庫是值得的。

此風險評估過程讓審計團隊以風險為基礎(chǔ)區(qū)分責任的優(yōu)先級，同時能夠側(cè)重于那些顯著影響業(yè)務(wù)運行的關(guān)鍵資產(chǎn)。這個風險評估過程可以與審計范圍中的風險排名相結(jié)合。請記住，這些活動需要進行一定的估計，因為每個攻擊或者威脅載體都是不同的。

審計范圍

審計范圍包括審計團隊可能進行評估的所有潛在審計實體以及所有審計過程。從本質(zhì)上講，審計范圍包括推動企業(yè)業(yè)務(wù)目標的人員、過程以及技術(shù)。比如，審計范圍內(nèi)的潛在領(lǐng)域包括基礎(chǔ)設(shè)施、應(yīng)用程序、過程、架構(gòu)、監(jiān)管規(guī)則遵從、框架、政策以及邊界保護等。除了上文提到的用貨幣因素確定風險級別以外，另一種方法就是使用風險排名表對風險進行排名。

風險排名是利用判斷對審計實體進行評分的過程。風險排名表通過分配給各個風險領(lǐng)域的顧慮等級量表（rating scale）和數(shù)值進行計算。比如，下面的表格把網(wǎng)絡(luò)應(yīng)用程序看成是高風險領(lǐng)域。而且表格把網(wǎng)絡(luò)應(yīng)用程序復雜性列為高級別顧慮，顧慮級別為3。而分配給復雜性的值是1.75；因此，1.75 x 3.0 = 5.25，即為網(wǎng)絡(luò)應(yīng)用程序復雜性的風險值。

上面的表格是一個高級別風險排名的例子。有了排名標準以后，排在前面的25%的審計實體應(yīng)該認為是高風險的，并且必須在本年中進行審計。根據(jù)這個表格，所有的網(wǎng)絡(luò)應(yīng)用程序和網(wǎng)絡(luò)服務(wù)器都必須在今年進行審計。更全面的風險排名表格能夠?qū)μ囟ǖ木W(wǎng)絡(luò)應(yīng)用程序進行排名，或者把每個支付卡行業(yè)安全標準PCI DSS的要求作為自己的審計實體。表格中列出的實體的細節(jié)詳細程度取決于審計范圍的大小和進行深入風險排名評估的可用資源。而每年的風險評估和排名過程則決定了審計計劃。

審計計劃

審計計劃列出了年度審計日程表、范圍、目標以及開始審計所需要的資源。審計計劃是根據(jù)風險評估結(jié)果以及風險排名創(chuàng)建的。風險評估真正推進了這個過程，因為它幫助審計團隊明確不足性、未解決的弱點，以及擔心的領(lǐng)域。除了上面的表格中顯示的風險排名標準以外，其他潛在的標準有：最近的技術(shù)更新、最近的合并、最近的收購、新的監(jiān)管規(guī)則等等。審計計劃定義了角色和責任、審計團隊的方法、后勤保障以及工作指標。對于要開始審計的審計團隊來說，審計計劃其實就是一個由管理層批準的工作計劃。

【編輯推薦】

1. 如何有效提升企業(yè)安全審計應(yīng)用水平
2. 企業(yè)實施信息安全審計的關(guān)鍵流程