【IT168 信息化】

　　专家机构眼中的云审计

　　2010年，ISACA推出云计算管理审计/保证程序 (Cloud Computing Management Audit/Assurance Program)，规定审计过程中使用的工具、模板以及流程;同时，ISACA还在该程序中规定了审计过程中应该关注的审查点以及遵循的标准，从而保证审计师能够完整、真实地记录有关数据。云计算管理审计/保证程序重点关注云计算治理的影响、服务供应商及客户之间的合同履约以及对云计算控制等具体问题。通过制定该程序，ISACA希望实现以下目标：

　　1) 为云计算服务提供商的客户提供对服务提供商内部控制的有效性和安全性评估;

　　2) 识别客户组织其它与服务提供商的接口是否存在内部控制缺陷;

　　3) 评估客户的质量和能力情况与服务提供商的内部控制项相关的证明。

　　2010年底，云安全联盟宣布启动CloudCERT项目，该项目是对CloudAudit(云审计)、Cloud Control Matrix(云控制矩阵)、Consensus Assessment Initiative Questionnaire CAIQ (一致性评估问卷)等三个项目进行整合，目的是在全球范围内提升云服务提供商和用户之间日趋复杂的安全事件处理和响应过程实践。

　　由CISCO数据中心云与虚拟方案部门的主管Hoff领导的工业研究小组，为云供应商推出了一套新型的应用程序接口(API)草案，CloudAudit 1.0，以标准的方式为云用户描述运行性能的详细自动化状态以及用户服务器的安全状态。目前，CloudAudit 1.0已经被纳入Internet工程任务组(IETF)独立组织提交的文档知识库，并且开始引起一些云供应商的关注。

　　财务人员眼中的云审计

　　在财务审计人员眼中，云审计就是利用第三方提供的“云计算”基础平台，实现审计信息的数字化，从而促进信息共享以及沟通，优化资源利用等目标。“云审计”是一个系统平台，不仅可以归集和管理审计所需的各类资料和数据，对容纳的数据时时更新和有机集合，而且能够智能控制对审计模型的选择和使用，保证审计过程的质量。

　　通过使用第三方提供的云审计平台和服务，财务审计业务在节约时间、资料共享、信息沟通以及质量控制等四个方面收获价值。因此，在财务审计人员眼中，云审计只是传统审计业务发展进程中具有普及价值的一个解决方案，是传统审计向“无IT基础设施”阶段的一次迈进。

　　安全人员眼中的云审计

　　安全审计是信息安全技术领域的一个重要内容。我国信息系统安全等级保护制度要求，安全等级在二级及以上的信息系统必须部署实施安全审计机制，并且按照等级要求对安全事件信息进行有效记录、分析和存储。

　　在信息安全人员眼中，云审计是通过堆砌和组合安全审计技术产品，有效记录、分析和响应发生在“云”上的信息安全事件，保证“云”以及“云”中资源被安全访问和使用，从而实现保护用户数据安全的目标。

　　总之，在安全审计人员眼中，云审计只是安全审计机制在云计算基础设施及系统平台的配置和应用，是对传统安全审计产品使用环境的迁移，就技术产品自身的功能和结构而言，并未发生任何改变。