通過了解企業(yè)信息安全管理現(xiàn)狀，面臨的外部風險，同時結(jié)合企業(yè)需要滿足的外部合規(guī)要求開展信息安全專項審計或合規(guī)檢查，揭示企業(yè)面臨的信息安全及合規(guī)風險，最終出具信息安全風險審計報告或者合規(guī)檢查報告。確保企業(yè)能夠客觀知曉自身面臨的各類風險，并為后續(xù)改進措施的制定和推動落地提供參考。

一、信息安全風險審計關(guān)注要點:

在一般控制審計部分，主要關(guān)注通用類的信息安全風險，包括組織架構(gòu)、崗位職責、供應(yīng)商管理、基礎(chǔ)設(shè)施安全、業(yè)務(wù)連續(xù)性、項目安全風險管理、網(wǎng)絡(luò)安全等方面；

在應(yīng)用控制審計部分，主要關(guān)注針對特定信息系統(tǒng)的不同風險，包括業(yè)務(wù)相關(guān)風險跟蹤、輸入輸出控制、信息系統(tǒng)性能、數(shù)據(jù)安全、代碼安全、系統(tǒng)自身的特定風險；

二、信息安全風險審計工作過程

風險審計工作過程可分為審計準備、審計實施、報告編寫、討論定稿四大階段：

1、在審計準備階段，潤星完成審計計劃編制，向被審計對象發(fā)出審計計劃和前期資料調(diào)閱清單，在審計團隊進場前提供的資料開展初步風險分析，并下一階段進駐現(xiàn)場開展工作做好準備。

2、做審計實施階段，審計團隊將開展現(xiàn)場制度調(diào)閱、信息安全相關(guān)人員訪談、關(guān)鍵場所現(xiàn)場檢查等工作，并就現(xiàn)場審計過程中發(fā)現(xiàn)的問題進行事實確認書，審計所需各類信息收集之后，本階段工作終止，進入下一階段的報告稿編寫。

3、在報告編寫階段，將整理現(xiàn)場審計期間記錄的審計底稿，結(jié)合現(xiàn)場審計前的初步風險分析結(jié)果，開展更為詳盡的風險分析工作，根據(jù)風險分析結(jié)果，編寫信息安全審計報告初稿，在公司內(nèi)部完成報告初稿審核并提交被審計對象。

4、在討論定稿階段，審計團隊將就審計報告的征求意見稿與被審計對象進行溝通，根據(jù)被審計對象提供的反饋，結(jié)合被審計對象提供的補充資料，對審計報告征求意見稿進行修訂完善并最終出具正式報告。

三、信息安全合規(guī)檢查工作內(nèi)容

潤星顧問團隊可根據(jù)客戶方需要滿足的不同來源合規(guī)要求對客戶自身開展信息安全合規(guī)檢查，也可以根據(jù)客戶業(yè)務(wù)發(fā)展和風險管理需要，對客戶的下屬企業(yè)、分支機構(gòu)、外包機構(gòu)等開展合規(guī)檢查，通過開展合規(guī)檢查，了解被檢查對象對于各類合規(guī)要求的符合情況，并針對檢查發(fā)現(xiàn)的問題提供改進參考。

信息安全合規(guī)檢查的檢查依據(jù)包括但不限于以下類別：

1.行業(yè)主管部門或監(jiān)管機構(gòu)發(fā)布的合規(guī)要求（如人民銀行、銀監(jiān)會、保監(jiān)會等）

2.母公司或集團公司發(fā)布的各類合規(guī)要求

3.上市企業(yè)需要遵循的合規(guī)要求

4.跨國企業(yè)需要遵循的境外合規(guī)要求

5.企業(yè)針對外包方提出的各類管理要求

6.其它企業(yè)需要滿足的合規(guī)要求等

四、信息安全檢查一般遵循如下步驟開展

1. 檢查準備

在檢查準備階段，根據(jù)被檢查對象需要遵循的合規(guī)要求，梳理形成信息安全合規(guī)檢查表并形成資料清單，同時根據(jù)被檢查對象的實際工作安排，制定信息安全合規(guī)檢查計劃。

2. 現(xiàn)場檢查

在確認被檢查對象完成相關(guān)準備工作后，潤星團隊進駐對方辦公現(xiàn)場，根據(jù)信息安全合規(guī)檢查表開展現(xiàn)場檢查工作，通過開展人員訪談、制度調(diào)閱、重要場所實地查看等方式進行現(xiàn)場檢查工作。

3. 差距分析

完成現(xiàn)場檢查后，對現(xiàn)狀與合規(guī)要求進行比對，客觀反映現(xiàn)狀與合規(guī)要求之間的差距。

4. 報告編寫

完成現(xiàn)場檢查后，根據(jù)現(xiàn)場檢查情況編寫信息安全合規(guī)檢查報告，對現(xiàn)場檢查發(fā)現(xiàn)問題進行分析，并就發(fā)現(xiàn)的問題提出改進建議。