理论上,IT审计员和IT工作者有同样的目标:一个安全的、设计完善的、高效的IT环境;这将最终帮助IT行业更好的服务于用户。尽管如此,在我作为IT审计员的职业生涯中,我逐渐意识到很多IT工作者秘密的将IT审计员视作他们的仇敌。
主要有以下两个主要原因:
1、 缺乏对于IT审计员所为与不所为的理解。
2、 事实上,与机械师和医生相仿,IT行业存在好的的审计员和差的计员。
为了解决第一个问题,让我们来定义一下审计员的工作。
简单说来,IT审计员主要是对我们的独立评估提供行政管理,该评估主要是针对信息、硬件资产以及IT用户免受潜在侵害的控制效率而进行的。我们帮助确定IT行业的哪些领域需要重点注意以减少其受到侵害的可能性。然而,我们并不给出我们发现的缺点的修复方法。这使我们在以后被同一个团体请去作审计时,能够保持独立性。
每当我们收到了任务,我们通过收集政策文件、工艺流程图标、相关的卖主文件以及内部的职工操作程序指南等来调查出现问题的领域。(如果某些问题不必要了,我们仍然会查一些东西填进我们的报告!)。更重要的是,我们在审计工作的范畴之内调查那些使用和管理该系统和数据的用户。
利用这些信息,我们来评估硬件软件结构、政策理论以及用户监护等。我们也评估那些潜在的威胁等,例如那些由于事故或不当行为所引起的问题等。我们仍然竭力查找那些IT能够帮助商务提高效率的领域。最后,我们得到结论并给管理者提交报告。
至少这是好的IT审计员的工作内容。不幸的是,并不是所有的审计员都是此种类型。另一种是不断的诱导你作错误决定的差的审计员-"Gotcha"。他们可能作出一些虚假的风险信息报告,浪费大家的时间。他们可能是对抗性的,他们不会和大家一样为了同一目标而奋斗。
和这种审计员合作的最好的方法是,对你们部门在设计和执行IT控制时的各种开销以及收益决定作一个能够让人清晰理解的演示。提供证据证明该商业活动是按照审计员提到的方法对IT的运作作出的下意识的决定。这将阻止这种审计员的无谓努力。
还有一种审计员,他们没有足够的知识来理解控制机制及弱点防护的技术背景。我就将这种审计员称作“无能者”( "guessers")。因为他们并不想让你知道他们到底有多少东西不懂,所以他们不会问太多的问题。最后,他们可能管理者交流一些风险控制方面的问题,虽然他们也不懂什么。同样又浪费了大家的时间。
对这种审计员要保持耐心,如果你做到了,你可以要求审计管理者在你的这个领域上提供技术培训。
然而,你没有办法来选择安排给你的审计员的类型,那么你只有了解他的目的、程序以及专业类型才能使你们的关系大方得体的开始。需要记住的是你们有一个共同的目标:为你的公司资产高效合理的提供最适合的数目的保护。
关于作者:Matt Zerega是一位西海岸IT审计员。他在能源、电力以及其他一些领域进行审计工作。可以用以下方式和他联系:AuditTrail@ciodecisions.com
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/178883/viewspace-16804/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/178883/viewspace-16804/
664
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
