晉升內部IT審計師的策略

2014-11-08 22:15:04 大云網　點擊量：評論 (0)

對安全和規則遵從的審計程序逐漸被許多信息安全人員所熟悉。多年來，許多信息安全從業人員一直在探索獲得行業認證證書的利與弊，而現在令他們更糾結的是到底需不需要去獲得成為IT規則遵從認證審計師所必需的技術

對安全和規則遵從的審計程序逐漸被許多信息安全人員所熟悉。多年來，許多信息安全從業人員一直在探索獲得行業認證證書的利與弊，而現在令他們更糾結的是到底需不需要去獲得成為IT規則遵從認證審計師所必需的技術。

雖然安全認證證書未必適合所有的從業人員或者所有的安全職位，但是獲得認證還是有兩個好處的：首先，認證可以敲開面試的大門；其次，你可以為那些在美國國防部方針DoD 8570.01-M指導下處理認證的代理機構工作。同樣，擁有一個認證證書在審計領域中有兩個地方不僅有用，而且是必需的。它們是：支付卡行業合格安全審核員(PCI QSA)和ISO 27001審計師主任。在本文中，我們將討論一下怎樣獲得審計認證證書，以及這樣做能給企業和自己的事業帶來什么樣的好處。

如何成為一個內部IT審計人員

為了能夠審計并證明一個公司是否遵從PCI DSS標準，你需要通過認證成為PCI QSA。這個認證需要通過由PCI安全標準委員會監管的筆試、要有足夠的工作經歷或者持有一個合格的證書（五年工作經驗，或是獲得過一個CISA、CISM或CISSP證書），并且曾經為已經實施了PCI DSS評估的企業工作。

成為合格的QSA基本上意味著你已經決定成為顧問（或者進一步成為專門顧問）了，因為不需要顧問的公司也不太需要QSA員工。然而，QSA培訓對于內部員工來說絕對很有價值，因為它可以讓員工在公司進行審計的時候跟他們的QSA更好的交流。與大多數控制框架一樣，PCI DSS有其特殊的定義來規定它的要求，可能有些詞語跟標準的詞典定義有所不同。因此，如果企業內部有人懂得這些細節的話，他就能夠幫助企業更好的準備評估，還可能為企業節省大量的時間和金錢。另外，由于一級商家可以自我評估，所以對員工進行QSA培訓可以加快企業的評估過程。

ISO 27001在歐洲很流行，這個標準現在也慢慢在美國公司中（特別是那些在歐盟有業務的公司中）普及，成為僅次于PCI DSS標準的企業安全認證標準。它逐漸被看成是一個企業成熟的標志，以及企業運行規則的展示說明。就像遵從許多其他的標準一樣，為了能夠得到ISO 27001標準認證，企業必須請第三方審計師來進行審計。而如果要開展ISO 27001審計工作，審計人員必須是通過認證的ISO 27001主任審計師。

就像PCI QSA一樣，由于認證證書應該由第三方發行，所以主任審計師必須是來自企業外面的顧問。上文中我們提到經歷PCI QSA培訓的員工可以幫助公司，同樣地，試圖取得ISO認證證書的企業同樣可以通過對員工進行ISO審計培訓來獲得很大的好處。（還有一個ISO 27001執行培訓或認證，也可能對企業有所幫助。）

與PCI DSS標準類似，ISO標準中使用的術語也有其特定的定義，在許多情況下不僅會跟常規的英語不同，而且跟其他的控制框架也有不同。企業對員工進行這方面的培訓不僅可以更好的為ISO審計做準備，而且還能讓員工跟公司外面的審計師有共同語言。遵從27001標準非常復雜，所以許多企業甚至讓有些員工通過認證成為ISO 27001內部審計人員；這些通過認證的員工的觀點通常比企業外面的人員觀點更重要。

除了上面詳細討論的監管規則認證以外，還有一種合格信息系統審計員認證（CISA），這個認證涵蓋了非常寬泛的審計框架范圍，其中包括用來進行Sarbanes-Oxley (SOX)審計的COBIT 和 COSO。CISA培訓涉及到了控制目標、業務影響分析(BIAs)、風險管理的賠償控制以及分析技術的所有內容，而這些也對處理HIPAA/HITECH 或者 FTC Red Flags Rule審計很有用處。一般來講，成為審計員的好處是：首先，個人技能的增加可以讓簡歷看起來更好；其次，能夠更加深刻的理解公司需要遵從的各種規則和法律。此外，這樣的培訓可以讓你從不同的角度來考慮為什么要執行各種控制和怎樣執行這些控制，以及這些控制的價值。

也許最重要的是，審計培訓可以讓一個人能夠跟審計師有共同的語言；還可以讓員工在別人使用特殊詞語和短語（比如“risk”或者"compensating control"）的時候能夠理解到底是什么意思，從而極大的加速審計過程。這個培訓還可以讓員工更好的理解審計師想要什么，以及他們的目標是什么。這些使得安全工作人員能夠更加有效的跟審計師開展合作，不僅節省了時間和金錢，而且還讓安全團隊作為一個整體能夠更加有效的支持審計過程。

對于許多信息安全工作人員來說，盡管IT審計需要很強的技術背景（尤其是PCI DSS 和 ISO 27001審計），然而轉變到審計員的角色其實不難。對于那些需要公司管理層打交道的從業人員來說，這個轉變會更加的容易。在這方面非常積極的企業已經指定了培訓計劃，讓他們的員工可以得到這方面的教育，這些計劃很可能會包括一個審計追蹤；如果你所在的公司還沒有這樣的一個計劃，那么請利用上面提到的信息，或許你就可以在企業中開拓一個全新的、有挑戰性的職業軌跡。