来源: 发布日期:2015.07.01 点击量:
安言咨询在开展企业信息安全风险审计时,会重点关注企业内部针对信息系统的一般控制和应用控制。两大部分审计关注内容如下图所示:
在一般控制审计部分,主要关注通用类的信息安全风险,包括组织架构、岗位职责、供应商管理、基础设施安全、业务连续性、项目安全风险管理、网络安全等方面;
在应用控制审计部分,主要关注针对特定信息系统的不同风险,包括业务相关风险跟踪、输入输出控制、信息系统性能、数据安全、代码安全、系统自身的特定风险;
信息安全风险审计工作过程
信息安全风险审计工作过程可分为审计准备、审计实施、报告编写、讨论定稿四大阶段。各阶段主要工作如下图所示:
在审计准备阶段,安言咨询的审计团队将完成审计计划编制,向被审计对象发出审计告知书和前期资料调阅清单,根据被审计对象在审计团队进场前提供的资料开展初步风险分析,并下一阶段进驻现场开展工作做好准备。
做审计实施阶段,审计团队将开展现场制度调阅、信息安全相关人员访谈、关键场所现场检查等工作,并就现场审计过程中发现的问题进行事实确认书,在玩成审计所需各类信息收集之后,本阶段工作终止,进入下一阶段的报告稿编写。
在报告编写阶段,审计团队将整理现场审计期间记录的审计底稿,结合现场审计前的初步风险分析结果,开展更为详尽的风险分析工作,根据风险分析结果,编写信息安全审计报告初稿,在公司内部完成报告初稿审核并提交被审计对象。
在讨论定稿阶段,审计团队将就审计报告的征求意见稿与被审计对象进行沟通,根据被审计对象提供的反馈,结合被审计对象提供的补充资料,对审计报告征求意见稿进行修订完善并最终出具正式报告。
信息安全合规检查工作内容
在信息安全合规检查方面,安言咨询的顾问团队可根据客户方需要满足的不同来源合规要求对客户自身开展信息安全合规检查,也可以根据客户业务发展和风险管理需要,对客户的下属企业、分支机构、外包机构等开展合规检查,通过开展合股检查,可以了解被检查对象对于各类合规要求的符合情况,并针对检查发现的问题提供改进参考。
信息安全合规检查依据
合规检查的检查依据包括但不限于以下类别:
1. 行业主管部门或监管机构发布的合规要求(如人民银行、银监会、保监会等)
2. 母公司或集团公司发布的各类合规要求
3. 上市企业需要遵循的合规要求
4. 跨国企业需要遵循的境外合规要求
5. 企业针对外包方提出的各类管理要求
6. 其它企业需要满足的合规要求等
信息安全合规检查工作方式
安言咨询的信息安全检查一般遵循如下步骤开展
1. 检查准备在检查准备阶段,安言咨询的检查团队将根据被检查对象需要遵循的合规要求,梳理形成信息安全合规检查表并形成资料清单,同时根据被检查对象的实际工作安排,制定信息安全合规检查计划,与被检查对象就检查日程安排达成一致并完成相关准备工作后,即可开始现场检查工作。
2. 现场检查
在确认被检查对象完成相关准备工作后,检查团队将进驻被检查对象办公现场,根据信息安全合规检查表开展现场检查工作,通过开展人员访谈、制度调阅、重要场所实地查看等方式进行现场检查工作。在现场检查期间,信息安全合规检查的委托方(被检查对象自身、被检查对象母公司、客户、监管机构等)可派代表全程跟随检查,方便开展现场协调及过程监督工作。
完成现场检查后,检查团队会将被检查对象的现状与合规要求进行比对,客观反映被检查对象现状与合规要求之间的差距。
4. 报告编写
完成现场检查后,检查团队将根据现场检查情况编写信息安全合规检查报告,针对现场检查发现问题进行分析,并就发现的问题提出改进建议。最终定稿的检查报告将提交给合规检查的委托方,至此整个信息安全合规检查项目顺利完成。
相关客户案例:
版权所有©上海安言信息技术有限公司 2014-2015