信息安全审计

信息安全审计【信息安全审计】信息安全审计,揭示信息安全风险的最佳手段,改进信息安全现状的有效途径,满足信息安全合规要求的有力武器 。
特点☆ 揭示信息安全风险的最佳手段☆ 改进信息安全现状的有效途径☆ 满足信息安全合规要求的有力武器主要流程根据预先确定的审计依据(信息安全法规、标準及用户自己的规章制度等),在规定的审计範围内,通过档案审核、记录检查、技术测试、现场访谈等活动,获得审计证据,并对其进行客观的评价,以确定被审计对象满足审计依据的程度 。信息安全审计可以使组织掌握其信息安全是否满足安全合规性要求的同时,也可以帮助组织全面了解和掌握其信息安全工作的有效性、充分性和适宜性,包括以下方面:信息安全组织机构信息安全需求管理信息安全制度建设信息科技风险管理信息安全意识教育和培训信息资产管理信息安全事件管理应急和业务连续性管理IT外包安全管理业务秘密保护存储介质管理人员安全管理物理安全系统安全网路安全资料库安全原始码安全套用安全目标用户信息安全审计适用于各种类型、各种规模的组织,特别是对IT依赖度高的组织,如金融、电力、航空航天、军工、物流、电子商务、政府部门等 。各个行业和部门可以单独实施信息安全审计,也可以将信息安全审计作为其它审计与信息安全相关工作的一部分内容联合实施 。如IT审计、信息安全等级保护建设、信息安全风险评估、信息安全管理体系建设等 。审计依据ISO/IEC 27001(GB/T22080)信息安全管理体系要求;GB/T22239信息安全等级保护基本要求;银监会《商业银行信息科技风险管理指引》;组织自己的信息安全规章制度 。