全球網絡安全審計現狀調研報告

曾繁榮

[摘要]網絡安全風險已成為幾乎所有組織面臨的風險管理挑戰之一，開展網絡安全審計的必要性和重要性日益突出。為此，國際內部審計師協會（IIA）審計執行中心、IIA研究基金會、Crowe Horwath聯合對全球內審和網絡安全專業人員開展調查，以把握網絡安全趨勢和網絡安全審計現狀，應對未來網絡安全風險。

[關鍵詞] 網絡安全 內部審計 調研報告

引言

十年前，內審職能發生演變是為了適應信息技術（IT）在商業運作各方面日益重要的作用。如今，內審職能再次面臨調整，則是為了應對與網絡安全相關的關鍵風險。雖然網絡安全起初只是公司內部一個孤立、神秘的技術領域，但在短短幾年時間內，迅速發展成為幾乎所有組織面臨的最重要的風險管理挑戰之一。內審能否與這一迅速變化的風險領域同步？為回答這一問題，國際內部審計師協會（IIA）審計執行中心與IIA研究基金會、Crowe Horwath合作，聯合對內審和網絡安全專業人員開展調查，調查對象包括不同行業、不同規模組織、不同職位的相關人員，主要是首席審計執行官、審計主任、高級經理、經理和內審人員，了解當前網絡安全政策和實踐進展，以及內審如何適應網絡安全環境，從而幫助內審部門通過建立關系、識別和調整角色、開發或獲取所需的專業知識來應對網絡風險挑戰。

該調查報告分為三大部分（見表1），即網絡安全中的關系管理、網絡安全審計計劃的目標、內審在網絡安全中的角色。

一、網絡安全中的關系管理

內審必須了解組織內部的關系范疇，以便更好地保護組織。與組織內的其他部門保持有效關系，始終是發揮內審職能的關鍵。同時，內審還必須與外部組織（如監管機構、行業標準制定機構、專業組織及相關執法機構）建立并保持良好關系。與被審計單位的積極關系可以加快審計進程，提高審計質量。但內審必須小心，不能讓這種關系損害自身的獨立性。不過，雖然獨立性必不可少，但對抗性關系也會妨礙內審的效力。因而，要保持各種關系的適當平衡，而決定和實現這種平衡的方式將因組織的不同而有所不同。在網絡安全方面，由于需要專業技術知識，因而實現適當平衡可能會更加復雜化。

為評估內審人員與網絡安全領域人員之間溝通的有效性，要求受訪者對內審與4個特定部門，即IT、信息安全、風險管理和其他合規部門的合作經驗并按合作程度進行評分。其中，0代表目前未對該領域進行審計，或彼此之間無任何關系；1代表很少溝通或事先商量評估的責任；2代表與審計部門有正式的溝通，但僅限于評估要求；3代表溝通頻繁，超越了審計請求和評估的關系；4代表部門之間的溝通是優先、頻繁的，包括分享想法和資源；5代表審計與其他部門之間有高度的信任，包括持續的優先咨詢（盡管是獨立的合作伙伴）。調查顯示，一方面，內審部門更可能與IT和信息安全部門進行正式的審計和溝通，與風險管理、其他合規部門的正式審計和溝通則較少（見圖1）。同時，受訪者更多報告內審與合規和風險管理部門有密切關系。另一方面，內審與IT和信息安全部門保持資源共享及高度信任關系的占比最低，這說明內審部門與IT和信息安全部門之間的關系仍然存在實質性障礙。

（一）信息技術

審計與信息技術部門之間的良好關系對于保障網絡安全很重要。這種關系可以為解決網絡風險提供良好基礎，而這需要各部門之間更多的協作。通過協作，內審和IT團隊可以通過聯合評估以更清楚地了解組織風險和業務目標。但審計和IT團隊之間的關系在許多組織中并不是完全協作的，這既可能源于IT團隊成員對其構建的工具、系統和流程具有天生的優越感，也可能是IT審計師對網絡安全特征不甚了解，從而使IT部門對內審部門缺乏信任感。調查顯示，93%的內審部門與IT建立了工作關系，但僅28%的內審部門與IT部門有協作關系。

（二）信息安全

除了IT功能外，信息安全部門通常還要承擔評估整個組織風險的重大責任。雖然信息安全部門和IT部門有時合署辦公，有時單獨運行，但事實上，越來越多的監管機構開始要求將這兩項職能分開。

網絡安全通常被視為更廣泛信息安全功能的一個子集，它涉及許多靠技術以外因素驅動的領域。在一個擁有無限資源的理想世界中，應將信息安全職能和網絡安全職能區分開來。但現實中，兩者經常存在較大重疊，信息安全部門通常關注涉及履行網絡安全職責的事項。此外，許多組織將部分網絡安全計劃外包給第三方供應商，包括托管安全服務提供商（MSSPs）和滲透測試提供商。內審審查這些第三方提供的服務至關重要，這意味著審計必須首先了解這些服務的目標、范圍和結果，以確定這些服務是否滿足預期、是否防控了相關風險并為組織提供了價值。

調查顯示，87%的內審部門與信息安全部門建立了工作關系，但僅26%的內審部門與信息安全部門有合作關系。該結果與IT部門的調查結果相似，而且是預料之中的，因為IT部門和信息安全部門的職責通常是重疊的。

信息安全部門與內審部門的關系相較于其他部門通常更強、更積極，因為信息安全部門更關注風險的監測，而更少關注運行的基礎設施或維護訪問的能力。因此，信息安全團隊能更直觀地理解內審的功能和價值。當審計團隊試圖構建其功能時，信息安全團隊可以幫助審計團隊獲得對IT基礎結構所面臨風險的更廣闊視角。

內審、信息安全和網絡安全等團隊應采取積極措施來加強彼此之間的關系，如共同贊助聯合研究項目或共同主辦與網絡安全有關的培訓課程。此類活動除了能提高亟需的技術專業知識以及對網絡安全問題的全面認識，還有助于最直接參與網絡安全風險管理的個人之間建立更密切的私人和專業關系。而影響這種關系的一個復雜因素是內審人員必須保持必要的獨立性。例如，IT審計人員通常必須使用外部安全框架（如銀行法規）作為審計的基線。當發現重要問題時，審計人員必須將此問題報告給首席信息安全官（CISO）和信息安全部門。此時，無論IT審計師和CISO多么希望維持積極關系，都難以一直維持協作的和諧關系。

（三）信息風險管理

信息安全的核心是理解、管理和減輕風險的過程。對這種風險的關注可以幫助組織內部的風險管理團隊與信息安全和內審團隊建立關鍵性關系。此外，風險管理部門應追蹤人員、流程和技術控制的演變，以幫助緩解和控制網絡安全風險，這一點至關重要。與組織的所有其他領域一樣，審計必須識別程序并審查風險管理，確保將網絡安全納入組織的企業風險管理框架之中。

內審團隊應積極參與操作風險和業務風險等風險管理過程，與首席風險官等各類參與者密切合作。調查顯示，72%的內審部門與風險管理部門建立了工作關系，而這是所有被調查部門中比例最低的，1/4以上的內審部門未與網絡安全風險管理部門合作。內審有責任開展有意識的宣傳普及工作，使組織認識到網絡安全風險管理事關企業治理及風險控制。

（四）合規和其他團隊

網絡安全計劃要想有效發揮作用，還必須得到合規和其他團隊的支持。在有些組織中，災難恢復、業務連續性規劃、事件響應、法律和合規團隊都是網絡安全工作中的關鍵角色。

內審團隊已認識到眾多相關參與者的重要性，因而必須與這些團隊合作，評估其對風險的理解及在網絡安全方面扮演的角色。調查顯示，受訪者認為合規性是一種協作關系的比例最高（42%），這表明企業將網絡安全合規視為一個目標，這是全面風險管理敞口的短視做法。

由于內審旨在吸引、保留和培養具有網絡安全技能和專業知識的個人，因此必須與其他團隊密切合作，以制定和理解適當的流程和標準。在與其他團隊合作時，內審還必須在學習和發展與保持獨立性的需求之間保持平衡。最重要的是，所有團隊都要朝著同一個目標努力，即組織的最終成功。

二、網絡安全審計計劃的目標

隨著備受矚目的黑客攻擊事件的持續，要求內審將重點放在網絡安全上。內審部門面臨著提高評估組織數據和信息安全程序、個人技術控制能力的挑戰。在應對挑戰時，有必要認識與關注三道防線模型的持續發展，明確界定網絡安全審計計劃的廣義目標以及圍繞目標必須開展的審計活動。

（一）三道防線

IT、信息安全和內審團隊都在保護組織免受網絡風險的攻擊。盡管傳統的三道防線風險管理模型為每一種功能確定了角色，但許多組織這些部門之間（以及許多其他部門之間）的功能界限正變得日益模糊，因而有必要重新評估如何更有效地應用該模型。

其中，第一道防線由業務流程所有者和管理層組成。對于網絡安全而言，它包括組織內部的業務條線、雇員以及IT（IT負責風險所在地的數據基礎設施、系統和流程）。第二道防線（即風險管理過程的實際執行）是信息安全部門的職責。信息安全團隊要么安裝監視控件來檢測惡意活動，要么雇傭第三方供應商來執行此功能。當檢測到攻擊時，信息安全團隊還要有效響應。但在許多組織中（尤其是未專門設立信息安全部門的組織），是由IT部門來負責信息安全監控和響應的。作為第三道防線，內審負責驗證網絡安全工作是否基于風險、正確識別風險并確定其優先級，是否收集正確的信息并規定適當的響應程度。但現實是，內審在評估現有規劃時往往缺乏資源和背景，從而使許多內審部門尋求網絡安全專業人士和外部供應商來評估其網絡安全計劃，這些評估包括道德黑客、專業評估、風險評估和信息安全治理。當然，這些評估也可由第二道防線來完成。

雖然三道防線的模糊性區分不一定準確，但在許多情況下，內審部門有責任更明智地制定網絡審計計劃，以盡量減少冗余和重復，并盡可能減少漏洞或疏忽。所有相關部門之間的關系至關重要，各道防線之間更好的協作（尤其是第二和第三道防線）能在減少重疊的同時，更清楚地描述誰負責哪項關鍵職責。

（二）超越合規性

經常令組織感到困惑的一個問題是如何將組織的網絡安全審計計劃整合進全面風險管理框架之中。例如，美國聯邦金融機構審查委員會（FFIEC）在2014年發布網絡安全評估工具（CAT）時，許多銀行最初難以理解文件中列出的400多項個人控件。實際上，該工具概述了五個領域內識別組織固有風險的全面流程，并提供了評估管理層認為可接受的當前與期望的網絡安全成熟度水平的方法，而那些將FFIEC評估作為合規性功能的組織往往難以在五個領域達到他們期望的成熟度水平。事實上，雖然這類工具用于檢查控件清單是否符合相關框架，但其目標并不只在于合規性。相反，他們尋求在各種風險組件中建立適當級別的網絡安全水平，因此，需要采取更加細致入微的方法，使董事會和高級管理團隊在每個特定關注領域確定組織可接受的風險水平。

（三）預防、檢測和響應的三階段戰略

多年網絡安全實踐證明，盡管許多網絡攻擊可以被挫敗，但不可能阻止所有攻擊，因而專業人士認為“這不是網絡是否受到攻擊的問題，而是何時受到攻擊的問題”。這種認識使得由預防、檢測和響應組成的三階段防御戰略得到逐步發展與廣泛接受。IT和信息安全部門在盡最大努力防止絕大多數攻擊的同時，也應該檢測到那些難以阻止的攻擊。但組織并非能預防或立即發現每一次攻擊，因此應制定事故反應計劃，以減輕關鍵數據丟失或損壞造成的損害，并加速恢復正常業務。

雖然內審在以上三個階段戰略中的作用以往主要集中在預防領域，但業內表現最好的公司將努力擴大審計范圍，以審查、檢測和響應相關的網絡安全能力。在這三個階段中，審計必須做好評估現有控制有效性工作。

調查顯示，預防性控制不僅是最常見的，而且將其用于測試的比率也最高。隨著網絡安全的發展，檢測和響應的能力將與防止相關攻擊的控制同樣重要。此外，多數組織至少對其網絡安全進行了基礎性審計，并仍有較大的發展空間（見圖2）。

（四）專業的網絡評估

盡管網絡安全審計的方法與內審開展的其他評估類似，但網絡評估需要深入了解相關的應用、系統和技術。這些專業性評估均注重支持性技術（如網絡路由器和防火墻、服務器和工作站以及應用開發環境）和應用本身。

開展此類評估的責任與能力因組織而異，因而信息安全部門和內審部門要在組織認可的風險承受力水平基礎上，就評估人員和評估頻率進行協作。

內審應針對網絡安全問題開展廣泛的專業評估，而兩類評估經常被誤解：第一是脆弱性評估。通常使用自動化工具來掃描所有系統以及正在運行的相關應用和服務，以識別諸如丟失補丁、默認密碼和已知漏洞等問題。第二是滲透測試。通過識別漏洞并將其組合（或鏈接），以獲得未經授權的信息訪問權或管理控制，來模擬真實的攻擊者試圖訪問系統和數據。與脆弱性評估不同，滲透測試考慮了人為因素。

每個組織最終都是基于風險評估和IT基礎架構來確定哪種評估或評估組合最適合其信息安全戰略。對于完備的脆弱性管理計劃，有必要結合使用以上兩類評估。雖然信息安全或IT團隊通常會推動此計劃的實施，內審部門仍有必要審核該計劃的范圍、評估和結果。

每個組織應自行決定審計是否具有成本效益，有無必要在組織內部培養開展這些評估的技術能力。雖然評估資源和必要的能力可能很昂貴，但對于大型組織而言，由于需要不斷測試網絡安全，內部培養評估能力也是可取的。對于許多其他中小組織而言，外部供應商可以更經濟有效地執行這些評估。為此，CAE需要在這一領域做出明智的決定，以確定在何種情況下以及何時開發內部能力是有意義的。若將此功能外包出去，內審的相關評估仍然很重要，包括審查供應商的選擇和資格認證。

三、內審在網絡安全中的角色

毫無疑問，在當今數據驅動型經濟中，IT扮演著更重要的角色，這是近幾十年來最重要的商業趨勢之一。與所有其他行業一樣，內審面臨的挑戰是既要跟上形勢，又要提升其在保護組織關鍵業務信息安全和網絡可用性方面的作用。

調查顯示，內審功能轉型既反映了這種不斷提高的適應性，也表明內審在IT和信息安全總體戰略（尤其是網絡安全）方面仍然有很大空間，能夠發揮更積極的作用。例如，僅20%的受訪者表示，組織在設計和策劃大型IT項目時曾咨詢過審計團隊的意見，并且內審在項目推進過程中仍然持續地積極參與。多數受訪者表示，內審在IT項目中僅起咨詢作用或作用更低，50%的組織表示內審沒有參與到項目中或很少參與、參與有限（見圖3）。

同樣，52%的受訪者認為，內審部門是其組織項目或IT治理委員會的成員。這表明內審必須繼續展示其可以提供增值服務、可以幫助組織更有效地管理與IT計劃相關的風險。就網絡安全問題而言，董事會層面的關注度高于其他層面，但僅39%的受訪者認為，他們的內審部門在向董事會或審計委員會報告網絡安全風險和趨勢時，超越了標準的審計報告要求。隨著對網絡安全問題關注的持續增長，內部審計應該發揮更積極主動的作用，對這一快速增長的風險領域開展評估和管理。

（一）網絡安全框架

內審部門在制定網絡安全審計計劃時，首先要采取的步驟之一是完全了解組織所使用的網絡安全框架。選擇該框架是一項管理決策，通常由IT和信息安全高管來決定，它規定了內審的審計標準。因此，網絡安全框架是推動審計計劃發展的一個關鍵因素。

所有這些框架旨在為組織提供一種管理網絡安全系統的方法，并幫助所有相關方建立共同的語言和術語。出于這些原因，所選的審計標準還為審計團隊提供了一種實用的方法。許多特定的框架專門針對某些行業和控制環境而定制。在確定使用哪個框架時，審計團隊除了要考慮每個框架的優缺點之外，還必須考慮特定行業標準、監管機構指導和法律要求。一些組織廣泛使用的網絡安全框架見表2。同時，調查顯示，近1/4的組織沒有利用網絡安全框架來定義其網絡安全策略。而在使用網絡安全框架的組織中，NIST是最常用的框架，有37%的受訪者使用；其次是COBIT 5和ISO/IEC 27001，使用者分別占13%和11%（見圖4）。

（二）內部審計即將發生的變化

雖然許多內審部門將多數日常IT審計外包出去，但是內部遷移這些功能的趨勢也很明顯。隨著內審部門開始開發網絡安全方面的能力，其今后所面臨的許多挑戰將與當初新增IT審計職能時所面臨的挑戰類似。

與任何IT審計功能一樣，開始轉向網絡安全審計時，可能首先選擇不需要大量技術培訓的領域，如政策和程序、系統備份、指定框架的合規性等方面。工作站的變更、補丁管理和審計同樣與網絡安全相關，且短期內所需的培訓可能最少，從而便于組織將它們納入內審計劃。

除了這些廣泛的趨勢之外，許多組織出現了一些其他的直接機會，如內審部門開始更深入地了解應用控件。在許多情況下，應用控件的審計主要是由某種合規性需求驅動。而對于更深入的應用控制檢查，審計人員的注意力將特別集中在輸入控制、數據處理功能、輸出控制和訪問管理等領域。隨著網絡安全日益成為關注焦點，擁有自主開發、定制或其他非標準應用等更先進技術技能的審計人員將在識別風險方面發揮重要作用。

另一個預期變化領域是業務連續性計劃，特別是災難恢復計劃。雖然IT審計師在這些領域的大部分活動是由標準化的工作計劃和行業公認的框架所驅動，但可能會逐漸演變為協作性、風險性驅動的工作。多數災難恢復計劃都是從運營角度編寫，重點是恢復生產或其他關鍵業務流程。在未來更注重網絡安全的審計中，內審將涵蓋安全問題，并突出在新環境中識別以往未被識別到的安全問題以恢復運營能力。

目前，許多內審部門在集中精力提高其團隊審查政策和程序、確認業務連續性和災難恢復文檔以及執行合規性任務方面的技能，而中期目標是通過留住和培訓現有專業技術人員來提高其專業能力，以解決今后的網絡安全問題。

（三）未來的技能需求

為進一步開展網絡安全評估，內審尤其需要在以下三個領域開發或獲得專業知識：一是系統管理。內審應該擁有包括對服務器、應用、數據庫平臺和其他易受網絡安全威脅的技術理解方面專長的人，若不了解這些系統的配置，審計這些系統將日益困難。二是網絡設計與配置。內審應擁有具備各種網絡設計（包括數據和聲音）專業知識的人。許多關鍵的保護和檢測組件已成為網絡的一部分，包括防火墻和訪問控制列表（ACLs）、入侵檢測系統（IDSs）和網絡訪問控制（NAC）解決方案。三是軟件開發。雖然內審部門不需要很多會編寫代碼的人，但得到熟悉軟件開發平臺和語言開發者的協作也很重要。

調查對CAEs或審計主任進行了采訪，要求對組織內審團隊以上三個領域的總體技術水平進行評分。其中，具體的技術需求分別是：Microsoft Windows和Microsoft Active Director軟件、UNIX和Linux、網絡設計與實現（如思科、帕洛阿爾托網絡）、數據庫管理（如Microsoft SQL Server、Oracle、MySQL數據庫）、安全信息和事件管理（SIEM）、電話和語音互聯網協議（VoIP）、軟件開發、IT治理和風險、滲透測試。技能水平的判斷標準如下：新手——了解基本的網絡、系統和網絡安全概念；中級——較深入地了解網絡、系統管理、網絡監控和滲透測試方面的知識，理解這些系統的工作原理以及如何管理工作進程。高級——深入了解IT和InfoSec系統知識，具備網絡安全或IT方面的實際經驗。

調查顯示，受訪者對其審計團隊在解決方案（如Microsoft Windows和Active Directory軟件、SIEM產品、IT治理和風險）方面的能力更有信心，對其他領域則缺乏信心，尤其是網絡設計和UNIX/Linux技能方面最為明顯，因為74%的受訪者認為他們的審計團隊在這方面只有新手級別的技能。技能差距在另外兩個關鍵領域也很明顯，分別有57%和65%的受訪者在滲透測試和電話/VoIP方面只有新手級別的技能。此外，盡管擁有不同技能的比例有差異，但很少有企業認為內審團隊應在所有領域都擁有高級技能。這一調查突出了那些試圖制定關鍵技術工作計劃和控制的組織所存在的關鍵差距。

當審計高管被問及他們未來的招聘計劃時，52%希望在未來三年內雇傭具有IT治理和風險專業知識的人員，但也有意回避那些技術性很強的領域（如UNIX / Linux，VoIP，軟件開發和網絡），因為他們更希望依賴第三方解決這些問題。現有技術水平與未來招聘計劃之間的明顯差異表明，盡管業界預計網絡安全審計職責將擴張，但許多內審高管尚未評估自身能力。此外，必要的技術技能在不斷增長和變化，未來的需求很可能包括人工智能、區塊鏈技術、量子計算機，甚至那些尚未被識別、命名或定義的專業學科。

（四）尋找和留住人才

鑒于如此渴望新技能，合乎邏輯的問題是：內審如何才能找到或培養所需要的熟練技術人才？同樣重要的是，一旦有了技術人才，如何留住他們？在更高層次上，審計部門還必須探索如何使審計專業人員進一步參與到技術性工作中，在不損害其獨立性的情況下提供技術設計的洞察力。

有兩個潛在的因素使這些問題的答案復雜化：一是對有關專業技能的持續高需求；二是驅動許多網絡專業人士進入內審領域的職業動機并不相同，如他們希望從事具有挑戰性、涉及新技術和新概念的多樣化項目。

更重要的是，網絡安全就業市場的高度競爭性，讓最有才華的求職者在選擇下一個機會時變得相當挑剔。最受歡迎的人才不僅受到薪酬和福利的驅動，還受保持專業領先地位的機會驅動，并面臨一系列快速變化的技術和專業挑戰。這樣的員工可能覺得內審職責會限制其才能的發揮，或許更容易被研究、安全、IT或創業組織的工作環境所吸引。盡管近年來對網絡安全專業人士的需求略有下降，但仍處于較高水平。這種需求使得很難在內審部門預算約束下提供有競爭力的薪金和福利，特別是小型組織。而在大型需要專門組建信息安全團隊的組織中，表現最好的人才自然會被其功能所吸引。但他們可能會發現，內審很難與這些職位所承諾的智力挑戰相競爭。

事實證明，在培養有效的網絡安全審計能力所需的人才方面，還有兩種策略是有用的。第一，審查內審團隊已有人才，特別是那些以往或當前從事IT審計工作的人。大量實例表明，高績效的IT審計人員渴望向網絡安全專業轉型。這些候選人不僅了解公司，還有一個額外優勢，即他們已經對風險和審計能力有所了解，這些能力可以很容易地應用于網絡安全審計。在許多情況下，從系統技術遷移到網絡安全技術所需的技術培訓并不難獲得。此外，隨著規模較小的審計團隊開始使用內部IT審計功能（通過培訓或招聘），可以將網絡安全基礎納入變更管理、訪問控制、IT操作和災難恢復等領域，從而減少對外包資源的依賴。第二，注重關系管理。雖然要保持內審的獨立性和客觀性，但與IT和信息安全部門建立相互合作的工作關系，可以使審計人員間接地獲得技術能力。

結論

內審在驗證網絡安全風險管理有效性方面的責任日益增長。本調查報告提供了一個有價值的當前職業狀態的快照以及潛在的未來路線圖。調查顯示，在提高利益相關者（包括IT、信息安全和廣泛的風險管理部門）之間的協作和支持水平方面仍有許多改進空間。同時，內審在解決網絡安全問題方面不斷增強的責任意味著審計專業人員必須清楚地了解數據安全原則和適用其組織的網絡框架。鑒于對網絡安全相關的技術專業知識和經驗的需求不斷增長，審計主管不僅需要持續開發創造性的方法，以必要的技能吸引和留住人才，同時還要加強與組織其他部門的聯系，以獲得有價值的指導和支持。

本調查報告洞見了內審處理網絡安全問題的未來作用：一是持續發展關系。出于對網絡安全的擔憂，一些組織正在重新劃分三道防線之間的界線，而靜態關系將無法應對新的風險。這意味著內審與其他關鍵參與者（如IT部門、信息安全專業人員和風險管理團隊）的關系必須持續發展。二是持續發揮內審作用。為保持效率和信譽，內審專業人員必須清楚地了解所涉及的更大問題和相互依存關系。這種理解包括如何重視網絡安全計劃的預防、檢測和響應以及控制和測試的充分性。內審必須獨立評估迅速演變和升級的風險環境。由于在第一或第二道防線上失敗的代價如此之高，以至于內審必須格外警惕。三是持續獲取網絡安全專業知識。隨著內審作用的演變，需要利用目前需求量很大的具有專業技術知識的人力資源。然而，吸引和留住這些資源可能是困難和昂貴的。內審需要重新審視與IT和信息安全專業人士的關系，以彌補技能短缺。

（編譯者單位：中國人民銀行贛州市中心支行，郵政編碼：341000，電子郵箱：315421032@qq.com）