|
|
|
|
|
|
來源: 發布日期:2015.07.01 點擊量:
安言咨詢在開展企業信息安全風險審計時,會重點關注企業內部針對信息系統的一般控制和應用控制。兩大部分審計關注內容如下圖所示:
在一般控制審計部分,主要關注通用類的信息安全風險,包括組織架構、崗位職責、供應商管理、基礎設施安全、業務連續性、項目安全風險管理、網絡安全等方面;
在應用控制審計部分,主要關注針對特定信息系統的不同風險,包括業務相關風險跟蹤、輸入輸出控制、信息系統性能、數據安全、代碼安全、系統自身的特定風險;
信息安全風險審計工作過程
信息安全風險審計工作過程可分為審計準備、審計實施、報告編寫、討論定稿四大階段。各階段主要工作如下圖所示:
在審計準備階段,安言咨詢的審計團隊將完成審計計劃編制,向被審計對象發出審計告知書和前期資料調閱清單,根據被審計對象在審計團隊進場前提供的資料開展初步風險分析,并下一階段進駐現場開展工作做好準備。
做審計實施階段,審計團隊將開展現場制度調閱、信息安全相關人員訪談、關鍵場所現場檢查等工作,并就現場審計過程中發現的問題進行事實確認書,在玩成審計所需各類信息收集之后,本階段工作終止,進入下一階段的報告稿編寫。
在報告編寫階段,審計團隊將整理現場審計期間記錄的審計底稿,結合現場審計前的初步風險分析結果,開展更為詳盡的風險分析工作,根據風險分析結果,編寫信息安全審計報告初稿,在公司內部完成報告初稿審核并提交被審計對象。
在討論定稿階段,審計團隊將就審計報告的征求意見稿與被審計對象進行溝通,根據被審計對象提供的反饋,結合被審計對象提供的補充資料,對審計報告征求意見稿進行修訂完善并最終出具正式報告。
信息安全合規檢查工作內容
在信息安全合規檢查方面,安言咨詢的顧問團隊可根據客戶方需要滿足的不同來源合規要求對客戶自身開展信息安全合規檢查,也可以根據客戶業務發展和風險管理需要,對客戶的下屬企業、分支機構、外包機構等開展合規檢查,通過開展合股檢查,可以了解被檢查對象對于各類合規要求的符合情況,并針對檢查發現的問題提供改進參考。
信息安全合規檢查依據
合規檢查的檢查依據包括但不限于以下類別:
1. 行業主管部門或監管機構發布的合規要求(如人民銀行、銀監會、保監會等)
2. 母公司或集團公司發布的各類合規要求
3. 上市企業需要遵循的合規要求
4. 跨國企業需要遵循的境外合規要求
5. 企業針對外包方提出的各類管理要求
6. 其它企業需要滿足的合規要求等
信息安全合規檢查工作方式
安言咨詢的信息安全檢查一般遵循如下步驟開展
1. 檢查準備在檢查準備階段,安言咨詢的檢查團隊將根據被檢查對象需要遵循的合規要求,梳理形成信息安全合規檢查表并形成資料清單,同時根據被檢查對象的實際工作安排,制定信息安全合規檢查計劃,與被檢查對象就檢查日程安排達成一致并完成相關準備工作后,即可開始現場檢查工作。
2. 現場檢查
在確認被檢查對象完成相關準備工作后,檢查團隊將進駐被檢查對象辦公現場,根據信息安全合規檢查表開展現場檢查工作,通過開展人員訪談、制度調閱、重要場所實地查看等方式進行現場檢查工作。在現場檢查期間,信息安全合規檢查的委托方(被檢查對象自身、被檢查對象母公司、客戶、監管機構等)可派代表全程跟隨檢查,方便開展現場協調及過程監督工作。
3. 差距分析
完成現場檢查后,檢查團隊會將被檢查對象的現狀與合規要求進行比對,客觀反映被檢查對象現狀與合規要求之間的差距。
4. 報告編寫
完成現場檢查后,檢查團隊將根據現場檢查情況編寫信息安全合規檢查報告,針對現場檢查發現問題進行分析,并就發現的問題提出改進建議。最終定稿的檢查報告將提交給合規檢查的委托方,至此整個信息安全合規檢查項目順利完成。
相關客戶案例: