特點,主要流程,目標用戶,審計依據,
特點
☆ 揭示信息安全風險的最佳手段
☆ 改進信息安全現狀的有效途徑
☆ 滿足信息安全合規要求的有力武器
主要流程
根據預先確定的審計依據(信息安全法規、標準及用戶自己的規章制度等),在規定的審計範圍內,通過檔案審核、記錄檢查、技術測試、現場訪談等活動,獲得審計證據,並對其進行客觀的評價,以確定被審計對象滿足審計依據的程度。
信息安全審計可以使組織掌握其信息安全是否滿足安全合規性要求的同時,也可以幫助組織全面了解和掌握其信息安全工作的有效性、充分性和適宜性,包括以下方面:
信息安全組織機構
信息安全需求管理
信息安全制度建設
信息科技風險管理
信息安全意識教育和培訓
信息資產管理
信息安全事件管理
應急和業務連續性管理
IT外包安全管理
業務秘密保護
存儲介質管理
人員安全管理
物理安全
網路安全
原始碼安全
套用安全
目標用戶
信息安全審計適用於各種類型、各種規模的組織,特別是對IT依賴度高的組織,如金融、電力、航空航天、軍工、物流、電子商務、政府部門等。各個行業和部門可以單獨實施信息安全審計,也可以將信息安全審計作為其它審計與信息安全相關工作的一部分內容聯合實施。如IT審計、信息安全等級保護建設、信息安全風險評估、信息安全管理體系建設等。
審計依據
ISO/IEC 27001(GB/T22080)信息安全管理體系要求;
GB/T22239信息安全等級保護基本要求;
銀監會《商業銀行信息科技風險管理指引》;
組織自己的信息安全規章制度。
