通过开展信息安全风险审计及合规检查,通过了解企业信息安全管理现状,面临的外部风险,同时结合企业需要满足的外部合规要求开展信息安全专项审计或合规检查,揭示企业面临的信息安全及合规风险,最终出具信息安全风险审计报告或者合规检查报告。确保企业能够客观知晓自身面临的各类风险,并未后续改进措施的制定和推动落地提供参考。 信息安全风险审计关注要点 安言咨询在开展企业信息安全风险审计时,会重点关注企业内部针对信息系统的一般控制和应用控制。两大部分审计关注内容如下图所示: 在一般控制审计部分,主要关注通用类的信息安全风险,包括组织架构、岗位职责、供应商管理、基础设施安全、业务连续性、项目安全风险管理、网络安全等方面; 在应用控制审计部分,主要关注针对特定信息系统的不同风险,包括业务相关风险跟踪、输入输出控制、信息系统性能、数据安全、代码安全、系统自身的特定风险; 信息安全风险审计工作过程 信息安全风险审计工作过程可分为审计准备、审计实施、报告编写、讨论定稿四大阶...