首页。 / 资源 / 新闻及趋势 / 澳门赌场官方软件 / 2021 / 审核导航部门的IT治理

审核导航部门的IT治理

穆 拉蒙 Coz Fernandez
作者: 穆 拉蒙 Coz Fernandez博士.D.
发表日期: 2021年3月29日

对导航部门的IT治理进行审计是一项挑战. 在新的导航系统中,相互依赖关系和利益相关者的数量使这个过程变得非常复杂, 而且,越来越多的将系统的大部分分包出去的趋势隐藏了大量合同和其他法律文件中的一些相互依赖关系和其他细节. 这迫使审核员成为真正的文档考古学家,以评估组织的IT治理. 了解导航行业的网络审计概念非常重要, 确定导致供应链导航部门项目复杂性的一些因素,并认识到这些因素是如何造成的 COBIT® 能对执行的不同分析做出贡献吗.

航运业的网络审计

以欧洲航天局(ESA)的内部审计职能为例, 负责协调和管理ESA管理下的导航项目的网络审计. 相关项目的预算为每年数亿欧元. 主要目标是评估资讯保安管理系统的合规性水平,以及由不同参与者实施的保安措施. 这包括审查已定义的安全需求和已建立的安全策略, 欧盟和不同成员国的指导方针, 特别强调国际网络安全标准. 它还包括欧空局每年与数十家澳门赌场官方下载合作进行的网络安全审计的协调,以及所执行的网络安全和风险评估的状态. 它还包括对It治理的几个分析.

根据欧盟空间政策,1, 2 全球导航卫星系统(GNSS)计划在欧洲经济中发挥着重要作用, 按照当前价格计算,2021-2027年太空计划的预算估计为150亿欧元.3 它包括在设计和开发两个主要导航系统期间内部审计责任范围内的两个大型系统:伽利略和欧洲地球静止导航覆盖服务(EGNOS)。.

欧洲主要的导航系统

伽利略计划是欧洲对最先进的全球卫星导航系统的倡议,该系统在民用控制下提供保证高精度的全球定位服务. 同时提供自主导航定位服务, 根据伽利略计划建立的系统同时可与其他GNSS系统如全球定位系统(GPS)和全球导航卫星系统(GLONASS)互操作。, 美国和俄罗斯的全球卫星导航系统. 该系统, 一旦完全部署, 将由30颗卫星组成,以交错方式部署, 位于23的3个圆形中地球轨道(MEO)平面上,地球上空222公里高度及相关地面基础设施.4

一旦伽利略系统全面投入使用,它将提供以下服务:

  • 开放服务(OS)-定位精度可达1米
  • 高精度服务(HAS)-额外的导航信号和不同频带的增值服务
  • 公共规管服务-对于需要高水平服务连续性的敏感应用程序,仅限政府授权用户使用
  • 搜救服务(SAR)-通过探测信标发出的紧急信号,并将信息传递给救援协调中心,帮助将遇险信号转发给救援协调中心

EGNOS是欧洲基于卫星的增强服务(SBAS),它补充了由美国GPS或伽利略提供的现有卫星导航服务. 它已被部署为航空提供生命安全导航服务, 欧洲大部分地区的海上和陆地用户.5

EGNOS支持多种服务,包括:

  • 开放服务(OS) -免费向欧洲公众开放
  • 生命安全服务(SoL)-为欧洲所有SoL用户澳门赌场官方下载提供最严格的空间信号性能
  • EGNOS数据存取系统(EDAS)-代表为专业用户提供额外的数据,这些数据不是由地球静止卫星广播的EGNOS信号提供的,而是由其他分发渠道提供的.

EGNOS提高了GNSS定位信息的精度和可靠性, 同时还提供了关于信号连续性和可用性的关键完整性信息. 此外,EGNOS还能传输极其精确的通用时间信号.

航运行业供应链的复杂性

协调网络安全审计活动的最大挑战之一是负责导航系统开发和测试的供应链的复杂性. 图1 说明了欧空局管理的与导航系统和网络内部审计活动有关的合同的供应链结构. 供应链的第一级是负责开发和测试系统的程序. 每个项目都有自己的供应链结构:第一级是总承包商,第二级及以下由总承包商的所有分包商组成. 最后一层包括向不同的分包商和主承包商提供商业现成产品的所有供应商.

图1 -欧空局导航计划中的供应链结构

审核导航部门中的IT治理-图1
资料来源:欧洲空间局导航局. 经许可转载.

请注意, 图1 仅反映一个样本,有4个层次的供应链. 图2 说明了与欧空局管理的与伽利略计划相关的一些合同相关的指标. 这说明了管理网络内部审计活动的复杂性. 就第一份合同而言, 有240个独特的主要供应商, 15个分包商级别(总承包商以下的分包商数量), 供应链本身有6个层次.

图2 -欧空局导航计划中伽利略计划的供应链

审核导航部门中的IT治理-图2
资料来源:欧洲空间局导航局. 经许可转载.

COBIT作为主要的IT治理框架

网络审计包括保安和安全要求. 执行所有相关的任务和活动需要执行几个分析. 这包括对国际标准的符合性分析, 如国际标准化组织(ISO)/国际电工委员会(IEC)标准ISO/IEC 270006 系列检查管理的安全性或ISO/IEC 223017 检查业务连续性流程, 以及通用成熟度模型认证(Common Maturity Model Certification, CMMC)等国际模式8 评估承包商和管理分类数据的成熟度或IEC技术规范(TS) IEC TS 624439 系列,执行审计相关的工业通信网络和安全的网络和系统.

在IT治理评估中,ESA使用的主要框架是 COBIT® 2019. 它定义了构建和维护治理系统的组件, including processes; organizational structures; policies and procedures; information flows; culture and behaviors; skills; and infrastructure. COBIT 2019帮助ESA监控治理和管理目标的遵从性. 这些目标可分为5个领域:

  1. 评估、指导和监督(EDM)
  2. 协调、计划和组织(APO)
  3. 构建、获取和实现(BAI)
  4. 交付、服务及支援(DSS)
  5. 监测、评价和评估(MEA)

一个模拟程序的例子在 图3,由欧空局内部审计职能的计算机辅助审计技术(CAAT)提供。. 它包括一些年度分析,例如用于澳门赌场官方下载It治理的流程的遵从性百分比.

图3 - ESA中IT治理评估的示例

审核导航部门中的IT治理-图3
资料来源:欧洲空间局导航局. 经许可转载.

采用国际公认的框架(如COBIT)可以极大地帮助创建IT治理问题的结构化方法,并消除来自供应链过程的部分复杂性. 需要在计划或项目中尽早确定相互依赖和关系,并理解它们如何对整体IT治理做出贡献,并在系统的整个生命周期中不断进行评估.

结论

在欧空局管理下的欧洲导航项目中,基于庞大的预算和供应链结构,网络审计的概念是复杂的. COBIT 2019框架用于通过识别供应链中的相互依赖关系和关系以及理解它们如何对整体IT治理做出贡献来协助和促进IT治理审计功能.

尾注

1 欧洲理事会,”欧盟空间政策2020年12月
2 欧洲理事会,”欧盟制定其未来空间政策计划2019年3月13日
3 欧洲理事会,”欧盟2021-2027年长期预算和一揽子复苏计划
4 欧洲航天局,”什么是伽利略?
5 欧洲全球导航卫星系统局,”什么是EGNOS?2020年5月20日
6 国际标准化组织(ISO)/国际电工委员会(IEC), ISO / IEC 27001 资讯安全管理、瑞士
7 国际标准化组织(ISO), ISO 22301:2019 安全与 Resilience-Business Continuity M26层 Systems-Requirements2019年,瑞士
8 国防部副部长办公室, 获取和维持, 网络安全成熟度模型认证(CMMC), 2020年3月18日
9  国际电工委员会技术规范(TS) Iec its 62443- 1:1: 2009 工业通信网络。网络和系统安全。第1-1部分:术语,概念和模型2009年,瑞士

穆 拉蒙 Coz Fernandez博士.D.

在资讯及通讯科技(ICT)方面有超过20年的经验, 审计和网络安全. 他目前是欧洲航天局的网络内部审计员. 他负责的审计范围包括每年价值超过10亿欧元的计划和项目,以及在20多个国家部署的系统. 他是马德里康普顿斯大学的一名研究员, 西班牙),并在几个机构担任教授, 大学和商学院. 他是几家国际期刊的审稿人,也是许多委员会和IT协会的成员. 可以联系到他 穆.拉蒙.Coz@esa.int.