信息系统审计是否应该演变为信息系统持续监测?

Anantha当地
作者: Anantha当地, CISA, CISM, CIA
发表日期: 2022年5月6日

这个世界上没有什么是静止的. 万物都在进化,而当事物进化时,改进也会随之发生.

很久以前只有质量控制(QC). 货物生产出来后,如果发现有缺陷,将接受检验, 它们将被拒绝或退回返工. 当数量巨大时,采用统计质量控制方法,并对样品进行检验. 

这种QC的做法并没有多大帮助, 而且生产出来的产品质量仍然很差,前后不一. 在朱兰和戴明等思想领袖的指导下,世界各地的管理开始从单纯的QC转向质量保证(QA)和质量管理体系(QMS)。, 是什么让质量成为整个制造过程中每一步不可或缺的组成部分,而不仅仅是在最后.

沿着同样的脉络, security in information systems should not just be an add-on component into a solution; it should be built into the solution at every stage of design, 体系结构, 编码, 测试和部署. 敏捷的最新发展, DevOps和DevSecOps显示了在构建和部署软件的过程中嵌入和集成必要元素的方向变化.

那么信息系统审计呢? 如质量控制, 是否期望在部署解决方案并找到漏洞后进行is审计? 如果是这样,效果如何? 在这些漏洞被发现之前,可能已经发生了很多事情.

早期的信息系统审计, 每次我都会完成一次审计,并写一份报告,指出所有的不足和差距, 我想知道为什么我没有在设计和开发阶段帮助信息系统团队和开发人员. 多年来,这种转变发生得很慢.

在当前以敏捷模式和DevSecOps环境开发数字解决方案的背景下, 解决方案的变化主要是由用户需求和营销努力驱动的, 而且发生得很快. 在这种情况下,对解决方案进行一次性定期审核根本无法解决问题.

现在需要的是持续监测. 信息系统审计员需要找到一种方法来评估所做的更改,并通过监测来跟踪这些更改. 软件中修改不当的结果经常反映在数据和日志中. 因此,监视还需要持续查看数据和日志. 在自动化领域取得了如此大的进步, 应该可以构建例程来帮助审计员完成这些任务.

编者按: 想要进一步了解这个话题,请阅读Anantha当地最近在《澳门赌场官方下载》上发表的文章, 信息系统审计的演变 ISACA学报,第1卷,2022年.

《澳门赌场官方下载》今年创刊50周年! 与我们一起庆祝,不要忘记,您仍然可以通过访问您的 偏好中心 选择加入!

ISACA杂志