模拟案例研究：执行基于风险的审计的方法

　　现在我们理解了整个审计的大体内容，那么我们来进行一个场景模拟，把所有的内容都联系在一起。在这个例子中，我们将站在一定高度、简单的浏览一遍一家专营办公材料、办公家具、标识以及打印媒体服务的特许经销商的审计过程。该公司位于东海岸的12家连锁店都接受信用卡付款，并通过电子商务系统使用他们的网上商店。我们把它称作Office Company公司。

　　Office Company确定了所有的资产并通过类型、价值和复杂性对他们进行了分类。下面的风险排名表格使用上文提到的标准对风险进行了排名。

　　在对审计范围内的几个审计实体进行排名之后，Office Company发现它的主要顾虑是公司防火墙和PCI DSS规则遵从。具体来说，公司担心的是“建立和维护一个安全环境”这项PCI DSS要求，因为公司最近失去了主要的防火墙管理员。公司把防火墙列为机密（需要严格控制，以防止未授权的访问）、危险程度级别1（需要高级别的保护，对于业务运行生死攸关）。在审计计划中，审计团队决定集中力量审计公司的防火墙和上面提到的PCI DSS要求。

　　在准备阶段，审计人员发现之前的防火墙管理员很少记录防火墙的变化，几个月内都没有更新网络的拓扑结构，而且没有培训新员工。为了保护电子商业数据，防止监管处罚，审计团队同意对每组防火墙规则进行一次全面整顿。审计团队打算评估入口和出口的过滤，其中包括每条规则的记录，以及所有封锁和允许的端口、协议和服务等。

　　在评估阶段，审计团队发现企业内部使用的防火墙即将到期，并且供应商的支持快到尽头。这只是许多发现中的一个，但却是最重要的发现，需要立即引起注意。审计团队跟管理人员进行合作，确定防火墙资产的价值以及升级他们需要的成本。在风险减轻阶段，审计小组认为如果不替换现在的防火墙系统，那么所带来的风险非常具有破坏性。

　　Office Company估计企业防火墙价值一百五十万美元，“供应商支持到期”增加了威胁和漏洞计算系数，分别为0.4和0.7，那么风险为420000美元。这是因为供应商的支持消失之后，威胁程度（预计损失和年发生率）会增加，不足性也会增加。Office Company做了40万美元的预算，用来续签合同、培训、测试以及采用新型防火墙产品。审计小组随后决定追加投资两万美元外聘一家公司来测试和验证这些控制的有效性。

　　在报告阶段，审计团队与管理团队重新阐述了公司的防火墙和PCI DSS问题。他们还阐述了升级防火墙需要采取的措施，以及后续重要事件的日期。为了提供积极的观点，他们指出了一些管理人员能够现场更正的现存防火墙架构中的不足。其中一个方面就是防火墙的“默认拒绝”规则。就像Dr. Anton Chuvakin在他的新书中推荐的那样，对于PCI规则遵从，审计团队可以让防火墙管理员在防火墙上实施“隐形规则”，丢弃所有以防火墙设备自身为目标的入站和出站流量。另外，报告还阐述了审计中发现的其他领域，其中包括基础设施设备上的认证服务器使用以及偶然发生的计划改变等。

　　总结

　　本指南重点介绍了基于风险的审计的核心内容。从风险评估以及风险排名过程，一直到评估和报告发现，重要的是要采取着重实现业务目标的风险基础态度。这个模型可以重塑并不断发展，能够跟得上技术更新和漏洞更新的脚步。审计团队一定要注意风险排名过程中使用的估计数字。审计人员在威胁以及风险分析中必须保持真实，应该尽可能的使用可以测量的数据。每年都使用这个方法进行审计，企业就能够实现安全。

　　基于风险的审计方法：风险评估

　　基于风险的审计方法：审计阶段