|
|
|
|
|
|
通過開展信息安全風險審計及合規檢查,通過了解企業信息安全管理現狀,面臨的外部風險,同時結合企業需要滿足的外部合規要求開展信息安全專項審計或合規檢查,揭示企業面臨的信息安全及合規風險,最終出具信息安全風險審計報告或者合規檢查報告。確保企業能夠客觀知曉自身面臨的各類風險,并未后續改進措施的制定和推動落地提供參考。 信息安全風險審計關注要點 安言咨詢在開展企業信息安全風險審計時,會重點關注企業內部針對信息系統的一般控制和應用控制。兩大部分審計關注內容如下圖所示: 在一般控制審計部分,主要關注通用類的信息安全風險,包括組織架構、崗位職責、供應商管理、基礎設施安全、業務連續性、項目安全風險管理、網絡安全等方面; 在應用控制審計部分,主要關注針對特定信息系統的不同風險,包括業務相關風險跟蹤、輸入輸出控制、信息系統性能、數據安全、代碼安全、系統自身的特定風險; 信息安全風險審計工作過程 信息安全風險審計工作過程可分為審計準備、審計實施、報告編寫、討論定稿四大階...
