随着国家经济的高速发展和战略部署，加快了企业数字化转型的脚步，网络信息安全也愈发受到重视，亟需从业者不断创新、寻找创造性的方法监测、检测并保护数字资产。面对世界形势式的风云变幻，传统的IT审计方法将不再可行，审计人员需要具备创新能力，定制测试程序评估多云环境的控制，并积极解决潜在的风险。

IT审计师需在技术方面持续进步，可重点关注以下五大关键领域：

一、云安全态势管理（CSPM）

这一专业术语是由Gartner首次提出，指通过识别、帮助缓解云配置错误，实现安全管理自动化，并提供合规性保证的安全解决方案。企业持续依赖和利用这些工具来改善安全和合规状况，使得云安全态势管理的市场也在高速增长。

很多CSPM供应商都提供兼具多种功能的全套解决方案。审计人员需要了解CSPM工具的具体功能，以及它们在云环境中是如何进行设置的。审计的重要考虑因素为：(1)查看云中哪些元素被监控。(2)数据如何从源头摄取到CSPM。(3)如何处理识别出的风险和警报。一般情况下，自动和手动控制相结合的方式可用于有效评估CSPM的使用情况。

二、云原生DevOps

这一概念仅是指对云原生应用的管理，包括在云中运行并使用DevOps原则构建的微服务和容器。一般传统的测试策略将不再有效。由于不同公司有不同的工作实践和方法，审计工作就不能采用一刀切的方法。

审计人员在制定最佳测试策略之前需要了解整个流程，包括从知道一行代码如何部署在云中运行的工作负载上，到区分手动和自动部分、找出流程中的控制。虽然工具链中的某些组件可能有所不同，但CI/CD管道主要是基于一个类似的框架建立的，为的是向客户快速发布功能。为了实现这一点，实际部署到生产中的变化可能是完全自动化的，或者由做出改变的开发者发起。因此，检查不相容岗位分离的老办法不再有用，必须找到适当的制衡来确保覆盖了相关的风险。

三、漏洞管理

漏洞管理通常是指识别、评估、管理和报告整个IT环境中安全漏洞的持续过程。漏洞管理不单单是安全项目的基础构成部分，也是大多数控制框架和标准中的一大要求。然而，这一话题在业内不常被讨论，IT审计师的培训过程中也很少被提及，使得IT审计人员不清楚应该关注哪些属性、评估哪些证据。

企业需要进行网络和基础设施层面的漏洞扫描以及定期渗透测试，一些具有成熟漏洞计划的公司还会采用其它多种技术来发现系统漏洞，如静态和动态应用程序扫描、bug赏金和红队等了解各种漏洞扫描类型的范围，同时还需确保所有可能的环境是否被完全包括以及充分评估。除此之外，如何处理所发现的漏洞，并确定时间表也是同样重要。审计的考虑必须包括对漏洞进行风险排序的步骤，记录和跟踪报告，以及在规定的服务等级协议内的决议。

四、隐私工程

随着全球各地对隐私方面的重视，公司也需将隐私实践纳入到日常运作中以实现合规性。隐私工程是企业内部新兴的一项职能，指由来自产品管理、工程、法律和GRC的专业人员组成的跨职能小组，任务是通过设计原则实现隐私，并将适用法律法规的隐私要求纳入产品或服务。这些都是通过包括数据隔离、多租户和自动化在内的技术组合实现的。

审计角度来看评估隐私合规性是一项非常困难的工作。一些关键的要求，如数据最小化、跟踪同意和处理数据主体请求，理论上可能感觉很容易实现，实践中实施起来却非常困难。如果使用程序化的方法，包括隐私即代码和自动化概念，就可以省时省力地推动保障隐私。审计人员需遵循各种实施机制，并制定适当的测试步骤以确保满足相关的隐私原则。

五、情绪智力（EI）

一个优秀的网络安全审计人员不仅需要扎实的技术能力，同时需要良好的沟通和建立关系，这一点已经得到了业界的广泛认同。

这其中的一项关键技能就是情绪智力。IT审计人员需时刻保持头脑清醒、敏锐警觉，思考问题有逻辑，并具有怀疑精神。相关研究表明，情绪智力是处理审计期间面对的情绪和压力的关键因素。研究还发现情绪智力与审计人员的判断有很大关系。培养强烈的自我意识和调节自己的各种负面反应非常重要，每个人都有一套提高自己情绪智力的方法。由此看来情绪智力是需要我们不断提高的关键能力。

作为一个优秀的IT审计师，需要清楚地了解各种安全相关流程的实施以及环境中不同平台和服务之间的相互联系，然后确定相关和各自特有的风险，持续学习，不断创新，提高解决风险问题的能力。

CISA国际注册信息系统审计师培训（5月19-23日 北京班）

专家讲座 席位仅剩10个，快快找我报名！

[1]