通過了解企業(yè)信息安全管理現(xiàn)狀,面臨的外部風險,同時結(jié)合企業(yè)需要滿足的外部合規(guī)要求開展信息安全專項審計或合規(guī)檢查,揭示企業(yè)面臨的信息安全及合規(guī)風險,最終出具信息安全風險審計報告或者合規(guī)檢查報告。確保企業(yè)能夠客觀知曉自身面臨的各類風險,并為后續(xù)改進措施的制定和推動落地提供參考。
一、信息安全風險審計關(guān)注要點:
在一般控制審計部分,主要關(guān)注通用類的信息安全風險,包括組織架構(gòu)、崗位職責、供應(yīng)商管理、基礎(chǔ)設(shè)施安全、業(yè)務(wù)連續(xù)性、項目安全風險管理、網(wǎng)絡(luò)安全等方面;
在應(yīng)用控制審計部分,主要關(guān)注針對特定信息系統(tǒng)的不同風險,包括業(yè)務(wù)相關(guān)風險跟蹤、輸入輸出控制、信息系統(tǒng)性能、數(shù)據(jù)安全、代碼安全、系統(tǒng)自身的特定風險;
二、信息安全風險審計工作過程
風險審計工作過程可分為審計準備、審計實施、報告編寫、討論定稿四大階段:
1、在審計準備階段,潤星完成審計計劃編制,向被審計對象發(fā)出審計計劃和前期資料調(diào)閱清單,在審計團隊進場前提供的資料開展初步風險分析,并下一階段進駐現(xiàn)場開展工作做好準備。
2、做審計實施階段,審計團隊將開展現(xiàn)場制度調(diào)閱、信息安全相關(guān)人員訪談、關(guān)鍵場所現(xiàn)場檢查等工作,并就現(xiàn)場審計過程中發(fā)現(xiàn)的問題進行事實確認書,審計所需各類信息收集之后,本階段工作終止,進入下一階段的報告稿編寫。
3、在報告編寫階段,將整理現(xiàn)場審計期間記錄的審計底稿,結(jié)合現(xiàn)場審計前的初步風險分析結(jié)果,開展更為詳盡的風險分析工作,根據(jù)風險分析結(jié)果,編寫信息安全審計報告初稿,在公司內(nèi)部完成報告初稿審核并提交被審計對象。
4、在討論定稿階段,審計團隊將就審計報告的征求意見稿與被審計對象進行溝通,根據(jù)被審計對象提供的反饋,結(jié)合被審計對象提供的補充資料,對審計報告征求意見稿進行修訂完善并最終出具正式報告。
三、信息安全合規(guī)檢查工作內(nèi)容
潤星顧問團隊可根據(jù)客戶方需要滿足的不同來源合規(guī)要求對客戶自身開展信息安全合規(guī)檢查,也可以根據(jù)客戶業(yè)務(wù)發(fā)展和風險管理需要,對客戶的下屬企業(yè)、分支機構(gòu)、外包機構(gòu)等開展合規(guī)檢查,通過開展合規(guī)檢查,了解被檢查對象對于各類合規(guī)要求的符合情況,并針對檢查發(fā)現(xiàn)的問題提供改進參考。
信息安全合規(guī)檢查的檢查依據(jù)包括但不限于以下類別:
1.行業(yè)主管部門或監(jiān)管機構(gòu)發(fā)布的合規(guī)要求(如人民銀行、銀監(jiān)會、保監(jiān)會等)
2.母公司或集團公司發(fā)布的各類合規(guī)要求
3.上市企業(yè)需要遵循的合規(guī)要求
4.跨國企業(yè)需要遵循的境外合規(guī)要求
5.企業(yè)針對外包方提出的各類管理要求
6.其它企業(yè)需要滿足的合規(guī)要求等
四、信息安全檢查一般遵循如下步驟開展
1. 檢查準備
在檢查準備階段,根據(jù)被檢查對象需要遵循的合規(guī)要求,梳理形成信息安全合規(guī)檢查表并形成資料清單,同時根據(jù)被檢查對象的實際工作安排,制定信息安全合規(guī)檢查計劃。
2. 現(xiàn)場檢查
在確認被檢查對象完成相關(guān)準備工作后,潤星團隊進駐對方辦公現(xiàn)場,根據(jù)信息安全合規(guī)檢查表開展現(xiàn)場檢查工作,通過開展人員訪談、制度調(diào)閱、重要場所實地查看等方式進行現(xiàn)場檢查工作。
3. 差距分析
完成現(xiàn)場檢查后,對現(xiàn)狀與合規(guī)要求進行比對,客觀反映現(xiàn)狀與合規(guī)要求之間的差距。
4. 報告編寫
完成現(xiàn)場檢查后,根據(jù)現(xiàn)場檢查情況編寫信息安全合規(guī)檢查報告,對現(xiàn)場檢查發(fā)現(xiàn)問題進行分析,并就發(fā)現(xiàn)的問題提出改進建議。