某大型制造企业有一个旗鼓相当的竞争对手,整个市场份额基本被这两家公司瓜分,所以两者之间的竞争一直处于白热化状态。为了获得更多的市场份额,该企业早在一年前就开始进行一款新产品的开发,预计产品出来后,会给公司带来一笔非常可观的收益,极有可能真正领先于竞争对手。但就在开发工作接近尾声时,市场上却出现了与公司研发的新品有着同样外观、同样技术特色的产品,只不过该产品上打着竞争对手的Logo。
很显然,该企业的机密信息被竞争对手窃取了,凝聚了整个企业所有员工心血和希望的成果付诸东流,这让高层领导大发雷霆,责令信息中心主管李强(备注,“本文人物均为化名”)不惜一切代价也要找出研发资料泄露的原因和途径,如果可能甚至不惜借助法律武器挽回损失。
系列之一:有类产品叫审计
该制造企业的安保工作一直比较严格,研发人员随身带走产品资料的可能性为零,那么,信息是如何跑到竞争对手那里去的呢?可能是哪个员工在什么时候通过什么方式把什么信息发给了谁?泄密者是通过企业的业务系统泄露还是另有途径?如果即便掌握了相关情况,又是否可以作为证据使用?这让李强陷入了迷茫之中。
不过,面对高层领导的怒火,李强不敢有丝毫的怠慢,从各种系统日志入手,进行了地毯式地排查。经过数天的努力,李强最终将目标锁定在研发部门的几名员工身上。原来,为了查找资料方便,研发部门允许个别员工连接互联网,但因为只涉及到极少数人,也没有想到竞争对手会买通自己的研发人员,所以并没有对核心资料采取严格的保密措施,甚至没有记录员工的访问行为。
但是追查工作进展到这里,就陷入了僵局——虽然李强非常肯定出问题的人就在这几名员工中间,但根本无法知道究竟是谁在什么时间把信息泄露出去的,更不用谈通过证据追究个人和竞争对手的法律责任了。
无奈,李强只能向前看,希望能够在今后的日常工作中,能够准确掌握各种动态,以便及时调整安全策略,避免类似事件的再次发生,即便出现问题也可以做到有据可查,甚至提供足够的证据,尽可能地挽回损失。
在同行的建议下,李强找到了某IT审计公司的技术专家向他推荐了IT审计类产品。
IT审计(InformationTechnologyAudit),也称作信息系统审计,它提出了针对信息系统的安全性、符合性、可靠性和有效性进行审计的理念,能够帮助企业满足法律法规的相关要求。
不过,业界始终没有就IT审计的定义达成统一的意见,目前使用较广的是美国信息系统审计与控制协会ISACA给出的描述。ISACA认为,IT审计是一个过程,在这个过程中IT审计师(CISA)通过获取和评价相关证据,判断被审查的信息系统能否保证单位或企业的资产安全、数据完整,以及能否有效地利用资源并高效地实现目标。
虽然对IT审计的描述没有达成统一,但专家们对IT审计的理解至少在以下几个方面是一致的:首先,IT审计是一个过程,这个过程需要由获得CISA认证的IT审计师,以独立客观的身份执行;其次,IT审计的过程中,IT审计师需要获取证据并分析证据,目的是检查信息系统的安全性、可靠性、有效性以及高效性;第三,审计师得到结果并不意味IT审计过程的完结,还需要向被审计单位报告审计结果,指明审查过程中发现的、信息系统存在的问题,并针对这些问题向被审计单位的高层提供改进的建议。
那么,IT审计产品能够审什么?能否对李强现在或未来的工作有所帮助?能否避免同类问题的再次发生?除了记录,它还能做些什么?请看《走近IT审计系列之二:IT审计审什么》。