資訊保安對於企業的資訊科技部門是越來越重要,有很多企業己經開始將資訊保安從日常的資訊科技拆分,以避免資訊科技部門因日常繁重的技術支援無法同時兼顧資訊保安的應對。
而資訊保安和IT審計是密不可分的。如果說資訊保安是日常的防御工事,那IT審計就是比起防御更能預先部署的可預視的一環。
過往IT審計可能只是審計內控的其中一環,由內審計部門兼任,但隨着IT審計的重要性越來越重,更多的企業決策人開始將IT審計作為一個主要兼獨立的審計項目來規劃。
過往會將資訊保安、資訊科技和IT審計三者獨立成互不統屬的部門,多數只會在誇國大企業、銀行或者保險業這些財力較優厚的企業才會見到。但現在卻有開始向其他上市公司,新興科網公司等發展的趨勢。
筆者接觸很多不同公司的董事會,傾談間也發現董事會對於IT審計的重視,可能源以以下幾項:
1. 內控的角色越來越重要,尤其上市公司受股東的問責
2. 近年不論私營或公營機構被攻擊的報導,直接影響公司聲譽,稍一不慎,可能輸掉多年來建立的客戶信心
3. 審計的花費相比起受攻擊後的重建成本及損失,可能只是二十份之一甚至更少,在商言商,這花費還是值得的
ISACA早前就有一位會友發表過一份文章The Increasing Importance of IT Audits to the BoD,提到IT審計對董事會的重要:
當年也提到關於董事會對於資安的挑戰的疑慮。
筆者在此不特別覆述Laura的論點,有興趣的朋友可以循以上連結閱讀。筆者十分同意她提到的,董事會未必人人也懂得資安,而只倚靠內部IT部門的報告亦未能清楚公司對於資安的防御能力(因為每個人也有盲點,所以自我審視的評估方式未必是最好的)。
透過獨立的IT審計,除了能確保審計結果不會偏頗外,提供IT審計服務的公司有穩定且可信的做法和流程。他們除了有合適的工具,也有符合國家或全球通用的合規方式,如美國政府的NIST,全球通用的ISO27001標準等等。
獨立IT審計會更客觀了解企業的IT情況,並且能如實反映達標和不達標的相關項目。一些IT審計報告除了直接向董事會滙報,免卻一些偏頗、隱瞞的情況,更會提出潛在風險,讓董事會理解實情。
要明白,全球並沒有一家企業沒有潛在風險,只是風險的處理方式有很多方法,比如降低風險、轉移風險,甚至接受風險。舉例說企業可以選擇加購額外保安方案去降低風險、購買cyber insurance轉移風險,或者準備劇本,當風險發生時有承受風險的能力。
這亦是筆者近年看到越來越多中小型的上市公司董事會,也會將IT審計層面提升到一個獨立和恆常每年度都需要的一個審計環節的原因。
英文版刊於領英
https://www.linkedin.com/pulse/importance-audit-board-directors-yuman-chau-zlzbc/