多变环境下的企业安全合规与审计机制 问题讨论 北京 2016.07.14 自我介绍 王新杰 o 全国信息安全标准化技术委员会（TC260）第二届委员 o 全国金融标准化技术委员会(TC180)第三届专家委员 o 中国合格评定认可委员会ISMS/ITSMS评审技术专家 o 全国信息技术标准化技术委员会ITSS工作组成员 o 国际信息安全标准化组织ISO/IEC JTC1/SC27注册专家 o 国际信息系统安全认证联盟(ISC)2中国顾问 o 亚洲信息安全论坛（RAISE Forum）成员 联系方式：wangxinjie@powertime.cn 13701275907 1 主要内容 1. 问题 2. 问题 3. 问题 4. …… 2 听众调查 序号 听众来自 1 安全企业（包括产品和服务） 2 非安全企业 比例 3 多变环境？ 生产工具 生产资料 营业模式 IT环境 …… 人在变 “变”是当下世界唯一不变的主题！ 4 合什么规？ 网络安全法 等保 27001 27017 29101 22301 PCI DSS 监管要求 …… 5 审计？ 信息系统 审计 计算机辅助 审计 审计 IT 财务 财务 信息化 传统审计 又一个交叉领域：“IT”+“审计” 6 诸多叫法 信息科技审计 信息科技风险审计 信息系统审计 IT审计 信息系统控制审计 专项审计名称  信息安全审计  信息科技外包审计  数据中心审计  数据质量审计  业务连续性审计  系统投产变更审计 今天的讨论，统一用“信息系统审计”这一术语 7 实践？ o o o o 1960s，美国开始信息技术审计实践； 1977年，ISACA CobiT发布，至2013年已是5.0版； 2001年1月，GAO发布FISCAM，2009年2月发布第二版； 2002年7月25日，美国发布SOX法案，其中404条款提出内部控制要求； o 至今，全球企业受美国SOX法案影响，纷纷开展信息系统审计； 8 国内实践 9 专业人员教育培训 注册信息安全审计师 CISP - Auditor 10 异同？ o 风险评估 o 安全测评 o 等保测评 o ISMS审核 o 安全审查 …… 11 机制？ 输入 输出 12 企业：区别对待？ 谁来保护小微企业信息安全！ 13 治理？ 14 “君子务本” 企业信息安全要务什么“本”！ 15 企业信息系统审计机制建设的探索者 王新杰，wangxinjie@powertime.cn，13701275907 Best Efforts in Everything We Do. 17