模擬案例研究：執行基于風險的審計的方法

現在我們理解了整個審計的大體內容，那么我們來進行一個場景模擬，把所有的內容都聯系在一起。在這個例子中，我們將站在一定高度、簡單的瀏覽一遍一家專營辦公材料、辦公家具、標識以及打印媒體服務的特許經銷商的審計過程。該公司位于東海岸的12家連鎖店都接受信用卡付款，并通過電子商務系統使用他們的網上商店。我們把它稱作Office Company公司。

Office Company確定了所有的資產并通過類型、價值和復雜性對他們進行了分類。下面的風險排名表格使用上文提到的標準對風險進行了排名。

在對審計范圍內的幾個審計實體進行排名之后，Office Company發現它的主要顧慮是公司防火墻和PCI DSS規則遵從。具體來說，公司擔心的是“建立和維護一個安全環境”這項PCI DSS要求，因為公司最近失去了主要的防火墻管理員。公司把防火墻列為機密（需要嚴格控制，以防止未授權的訪問）、危險程度級別1（需要高級別的保護，對于業務運行生死攸關）。在審計計劃中，審計團隊決定集中力量審計公司的防火墻和上面提到的PCI DSS要求。

在準備階段，審計人員發現之前的防火墻管理員很少記錄防火墻的變化，幾個月內都沒有更新網絡的拓撲結構，而且沒有培訓新員工。為了保護電子商業數據，防止監管處罰，審計團隊同意對每組防火墻規則進行一次全面整頓。審計團隊打算評估入口和出口的過濾，其中包括每條規則的記錄，以及所有封鎖和允許的端口、協議和服務等。

在評估階段，審計團隊發現企業內部使用的防火墻即將到期，并且供應商的支持快到盡頭。這只是許多發現中的一個，但卻是最重要的發現，需要立即引起注意。審計團隊跟管理人員進行合作，確定防火墻資產的價值以及升級他們需要的成本。在風險減輕階段，審計小組認為如果不替換現在的防火墻系統，那么所帶來的風險非常具有破壞性。

Office Company估計企業防火墻價值一百五十萬美元，“供應商支持到期”增加了威脅和漏洞計算系數，分別為0.4和0.7，那么風險為420000美元。這是因為供應商的支持消失之后，威脅程度（預計損失和年發生率）會增加，不足性也會增加。Office Company做了40萬美元的預算，用來續簽合同、培訓、測試以及采用新型防火墻產品。審計小組隨后決定追加投資兩萬美元外聘一家公司來測試和驗證這些控制的有效性。

在報告階段，審計團隊與管理團隊重新闡述了公司的防火墻和PCI DSS問題。他們還闡述了升級防火墻需要采取的措施，以及后續重要事件的日期。為了提供積極的觀點，他們指出了一些管理人員能夠現場更正的現存防火墻架構中的不足。其中一個方面就是防火墻的“默認拒絕”規則。就像Dr. Anton Chuvakin在他的新書中推薦的那樣，對于PCI規則遵從，審計團隊可以讓防火墻管理員在防火墻上實施“隱形規則”，丟棄所有以防火墻設備自身為目標的入站和出站流量。另外，報告還闡述了審計中發現的其他領域，其中包括基礎設施設備上的認證服務器使用以及偶然發生的計劃改變等。

總結

本指南重點介紹了基于風險的審計的核心內容。從風險評估以及風險排名過程，一直到評估和報告發現，重要的是要采取著重實現業務目標的風險基礎態度。這個模型可以重塑并不斷發展，能夠跟得上技術更新和漏洞更新的腳步。審計團隊一定要注意風險排名過程中使用的估計數字。審計人員在威脅以及風險分析中必須保持真實，應該盡可能的使用可以測量的數據。每年都使用這個方法進行審計，企業就能夠實現安全。  

【編輯推薦】

1. 國內網絡安全風險評估市場與技術操作
2. 企業實施信息安全審計的關鍵流程