李朝晖 刘阳

[摘要]2019年，德勤企业管理咨询有限公司（以下简称德勤咨询）官网发布《全球风险管理调查（第11版）》（Global Risk Management Survey 11th），再次强调了网络安全的重要性。随着互联网时代的深入发展，互联网以其方便、快捷、及时的特点在各个领域应用开来，但“科技是把双刃剑”，互联网在带来诸多益处的同时，也不可避免地带来一些网络安全问题。

[关键词]网络安全    内部审计    风险管理    启示

有效应对不断升级的全球网络安全风险，美

国、澳大利亚审计署在网络安全审计方面进行了研究和探索，并形成一套行之有效的审计方法。德勤咨询调查显示，67%的受访者认为网络安全将成为影响业务开展最主要的三种风险之一，但是只有50%的受访者对网络安全持乐观态度。为此，笔者编译了美国、澳大利亚审计署、安永公司和德勤咨询的部分审计报告，总结了其关于网络安全审计的主要做法，并结合中国人民银行（以下简称人民银行）网络安全现状，提出加强和改进人民银行网络安全审计工作的建议。

一、主要观点综述

（一）网络安全的重要性日益增加

德勤咨询认为，对于机构而言，网络安全风险管理在防止破坏性攻击、经济损失、来自客户的网络安全风险、敏感数据的丢失及恶意攻击等方面作用较大。当面对来自国家行动方的威胁或来自第三方的安全风险时，德勤咨询指出，机构的风险管理制度缺乏有效性，目前具有挑战性的问题是如何保持超前于不断变换的业务需求（如移动社交、云计算）和有效应对来自高级黑客的威胁。

（二）解决数据风险和IT系统风险是首要任务

对于金融服务业来说，如何解决不断变化的数据风险和IT风险，是一项具有挑战性的任务。因为不论从数据源头还是终端客户上看，数据风险和IT系统风险都是一个持续存在的问题。调查报告指出，提高网络安全水平最重要的是提高数据的质量、数据传输的及时性和可靠性。同时，增强IT系统的建设和基础技术设施的构建，并在数据控制、数据检查和数据治理等方面采取有效的控制措施。

（三）数字风险管理的潜力巨大

一些高新技术的出现和应用，提高了风险管理的效率性和有效性，云计算、大数据分析和业务过程建模工具（BPM）这些高新技术最常被机构使用。德勤咨询认为，RPA（机器人流程自动化）在风险数据、风险报告和监管报告方面的应用最为常见。虽然RPA的自动执行重复性手动任务的功能能够有效控制成本和提高准确性，但只有少部分受访者表示所在机构正在使用这一技术。尽管目前新兴技术的使用率不高，但大部分受访者认为，新技术会为风险治理带来好处，特别是在提高运营效率、降低错误率、加强风险分析和检测、及时改进报告等方面。

二、国外审计机构开展网络安全审计的主要做法

（一）美国审计署关于网络安全审计的主要做法

美国审计署（GAO）在官网发表的《网络安全：机构需要全面建立风险管理计划并应对挑战》（Agencies Need to Fully Establish Risk Management Programs and Address Challenges）一文提到，联邦机构面临越来越多的网络系统和数据安全方面威胁。为防范这些威胁，各机构通过有效识别、优先排序和管理其网络风险，采取基于风险的网络安全方法。美国审计署整理了组织在网络安全管理上的挑战：需要招聘和留住关键的网络安全管理人员;明确管理运营与网络安全之间的竞争优先等级;建立并实施一致的政策和程序;搜集质量风险数据;制订全机构风险管理战略;将网络风险纳入企业风险管理。

针对这些挑战，美国审计署提出有效应对措施：一是确定网络安全风险的作用，即各机构应建立网络安全风险执行部门，形式可以是个人或团体对网络安全风险进行全机构监督，并促进利益相关方之间的合作，采用一致的应对网络安全风险管理战略。二是制定网络安全风险管理战略，即机构应该制定网络安全风险管理战略，为风险管理提供基础，并为基于风险的决策划定界限。该战略应包括机构风险承受力的说明、如何评估风险、可接受的风险应对策略及机构打算如何检测一段时间内的风险。三是基于信息系统的风险管理政策，即确定在执行风险管理框架方面发挥个人关键作用;对整个机构的网络风险进行评估;查明和记录可以由多个信息系统集成的共同安全控制。四是进行全机构网络安全风险评估，即各机构需定期评估网络安全和隐私风险，并不断更新结果;机构一级的风险评估主要基于从全系统一级风险评估结果得到综合信息、持续檢测和任何相关方战略风险。

（二）澳大利亚审计署关于网络安全审计的主要做法

一是开发与组织风险管理流程一致的IT安全策略和流程。二是确保IT安全控制框架内的流程有效，以缩减IT安全环境与澳大利亚政府预期之间的差距，并有助于确定系统是否在可接受的风险水平下运行。三是明确管理IT设备的物理和环境安全控制流程和标准。四是确保网络系统安全稳定运行，以充分解决IT安全风险。五是确保安全标准能够应用于审计跟踪的使用和监控。

（三）安永关于网络安全审计的主要做法

安永在《内部审计有六种方式可以减轻企业数字化风险》（Six Ways Internal Audit Can Help Mitigate Digital Risk ）一文中提到，面对与日俱增的网络风险应采取措施，制订网络审计计划，解决以下问题：一是安全意识，即评估用户安全意识，以提高其对企业信息和系统未经授权的物理或逻辑访问的意识和敏感度。二是资产管理，即保留能够保护实体网络的防护设备。三是供应商风险管理，即定期评估第三方服务供应商。四是事件响应，即评估管理者在异常活动时所采用的应急措施。

（四）德勤咨询关于网络安全审计的主要做法

德勤咨询在官网上发布的《信息技术中的风险》（Information Technology Risks in Financial Services）提到，为防范网络攻击、数据隐私泄露等问题的发生，管理层需要了解网络风险事件的潜在可能性和影响以及应对这些风险应该采取的措施。管理层必须保持警惕，查找新出现的威胁，建立有效的实施机制以减轻这些威胁。针对网络安全管理中出现的一系列问题，德勤提出下列解决措施：一是成立董事会及资讯科技风险委员会;二是要求董事会拥有具备科技专业知识的成员;三是进行内部审计;四是增加透明度;五是发挥三道防线的重要作用;六是重視数字化安全管理。

三、对人民银行网络安全审计的启示

（一）人民银行网络安全审计的重要性

一是有利于维护人民银行的网络安全。随着人民银行信息系统集中化的发展，网络安全的风险也在不断攀升，网络安全审计工作的必要性日益突显。人民银行要开展网络安全审计工作，通过提高审计频率和扩大审计范围，降低数据信息的网络风险和安全隐患，以维护网络安全，防止机密文件泄露，避免造成不可挽回的损失。

二是有利于监督安全部门更好地履行职责。开展网络安全审计工作，有利于督促网络安全管理部门监督管理各业务部门的保密信息，控制数据信息安全、操作等方面的风险。同时，网络安全审计工作的开展，能够提高网络安全在安全管理工作中的比重，促使网络安全部门更好地履行职责。

三是有利于促进网络安全技术的更新换代。过时的网络安全维护技术，易使人民银行网络数据和信息系统遭受攻击，增大网络安全的风险。近年来，随着TCP/IP协议、数据库漏洞、黑客入侵、爬虫等风险的增大，网络安全防范技术水平需要进一步提高。开展网络安全审计工作，有利于加强对新兴网络安全技术的关注，促使网络安全技术实现更新升级。

（二）开展网络安全审计面临的挑战

一是网络安全审计标准不够健全。网络安全包含的内容较为广泛，具体包括网络设备安全、网络软件安全和网络信息安全等，但是审计对于网络安全的风险评估标准和风险评估系统建设还不够成熟，相关网络安全审计规范还未制定，无法全方位、多角度地对网络安全风险进行审计。

二是网络安全管理技术不够成熟。目前，网络安全管理的主要技术手段是网络安全风险评估和等级保护测评。这两种评估方法主观性较强，评估结果往往会由于评估人员的个人经验、技术水平和从业经历而受到影响，未能利用数字管理对数据和信息进行集中处理，网络安全管理方式在效率性与精确性上有所欠缺。人民银行应该加快云计算、大数据分析等技术的应用，以提高网络安全审计效率。

三是网络安全审计技术有待提高。计算机网络偏向于数字化智能设备，对各种网络漏洞和安全隐患的检测更加依赖于技术，同时对网络安全状态的检查、维护也更加需要专业化知识。由于人民银行内审部门专门的网络技术人才较少，给深入开展网络安全审计工作增加了难度。

（三）开展网络安全审计需注意的事项

一是注意把握网络安全与组织运行效率之间的平衡。良好的网络安全防范环境有助于保护组织的数据和信息安全，避免重大机密泄露、影响组织利益。但是过度防范网络安全会影响组织的工作效率，造成工作效率低下，所以把握网络安全与组织工作效率之间的平衡至关重要。

二是重视发挥数字安全管理的作用。网络安全管理是一项复杂工程，借助数字安全管理会给组织带来许多便利。使用数字管理可以提高运行效率、降低错误率、加强风险分析和检测等，大大降低网络安全管理的工作量，提高工作效率。目前，使用最多的技术是云计算、大数据分析和业务过程建模工具等，人民银行需加快应用这些网络安全技术。

三是注意保持审计部门自身的独立性。审计部门在开展网络安全审计工作时，既要与网络安全部门进行协作，了解网络安全管理工作的实施流程和工作详情，确保审计工作的全面性和精确性，又要保持审计工作的独立性，公正如实地反映网络安全工作情况。

（作者单位：中国人民银行克拉玛依市中心支行，邮政编码：834000，电子邮箱：249637587@qq.com）

主要参考文献

Edward Hida.Global Risk Management Survey， 11th edition executive summary [OL]. World Economic Forum ， 2019（1）