審計是一項涉及到不同知識的專業,當中尤其以 IT 審計最為複雜,因而衍生出一些專門提供 IT 審計服務的公司;這些公司的主要責任就是指出不足之處並製作報告,為企業作出建議。例如指出公司是否因系統老舊而影響業務生產力?是否有潛在漏洞而為公司來不可預計的危機?IT 方案的管理工作/方法是否過時或欠效率?除此之外,有時候公司亦會借助 IT 審計的結果而協助取得專業認證,例如是知名的 ISO27001 等等;不論其目的如何,當某天管理層告知你準備進行 IT 審計,亦代表著比程式更麻煩的審計員將會向你「招手」。
IT 審計目標
IT 審計在香港基本上只有大型企業才會進行,尤其是金融銀行業,往往更需借助每年一次的 IT 審計工作,從而得知企業當中暗藏的 IT 問題;而更重要的就是需借助審計報告從中展示出一種負責的態度;除了避開責任危機以及以上對審計的簡單概述之外,IT 審計工作大致上可分為三大目標:
1. 評估來自 IT 設備所提供的資料,例如是一些數據性資料的可靠性,這對於金融機構尤為重要。
2. 評估企業的 IT 設備,例如當中落實的政策是否符合當地的法規以及公司既定的政策,同時亦會評估設備效能是否達到應有的水平。
3. 檢查是否有老舊的 IT 設備、檢查 IT 資源分配是否平均、審視 IT 設備是否有應有的效能、評估使用以及管理上的使用情況、檢查設備是否有漏洞等等。
為甚麼要進行 IT 審計
IT Audit 讓企業避開責任危機 – 對於大企業,她們並不計較審計工作動輒數十萬花費,反而更害怕因為沒有做足審計工作而引起一連串問題以及法律責任,同時部份公司更因為需要遵循認證要求而需定期進行審計工作。
提供顯淺易明的報告 – IT 審計工作更可為企業的所有 IT 設備作出一個概括的報告,而這份報告對於不懂得 IT 的管理層而言,便是一個能較為理解企業 IT 實際情況以及問題所在的方法。
發現問題修補漏洞 – 現實之中,很多企業均需依賴 IT,然而卻很多時對於 IT 設備的運作方式不清楚;同時很多公司的員工對於 IT 保安的意識仍十分不足,因而可能導致很多安全隱憂;而對於 IT 設備管理人員來說,亦有可能因設備眾多而導致管理上出現混亂,久而久之即使設備出現了異常情況亦來不及進行修正工作;而這亦是審計工作之中的一個重要部份,審計過程之中將會協助指出整個企業之中的 IT 安全盲點,從而協助企業發現問題並為企業提供修補建議。
改善 IT 設備管理 – 很多公司,尤其是規模愈大的公司,其內部的 IT 管理往往會愈混亂,這點可能大家不相信,然而卻是常見情況。而 IT 審計的其中一個工作就是指出 IT 管理上的問題,並就此作出建議,最終做到優化 IT 設備的管理效率。
提交報告的痛苦
雖然 IT 審計工作可經由外判公司代為處理,不過要成功地完成審計,員工很多時都需要作出配合。例如內部的 IT 員工可能需要花時間提交不同的 Log 紀錄、用户紀錄等等,總之就是需要提交一些證明,讓審計工作得以順利進行。傳統上,我們可經由檢視不同的 Log 報告以發現問題所在,不過查找 Log 本身相信已是一項違反 IT 管理效率的動作,事關 Log 往往會顯示一些較難理解的資訊,所以 IT 人亦需要花上一定時間找出 Log 的背後意義。
Security information and event management (SIEM) 簡化過程
幸好現時坊間已出現所謂的 SIEM 方案,這些方案本身能識別企業最常用的應用 Log 並將之轉化為容易理解的內容;至於針對那些本身不具 Log 功能的應用,部份方案亦可直接將用户的動作進行側錄,這樣便可讓管理員清楚用户的每一個動作,並可以此作為紀錄及日後審計工作的佐證。
