信息安全审计可以使组织掌握其信息安全是否满足安全合规性要求的同时,也可以帮助组织全面了解和掌握其信息安全工作的有效性、充分性和适宜性,包括以下方面:
信息安全组织机构
信息安全需求管理
信息安全制度建设
信息科技风险管理
信息安全意识教育和培训
信息资产管理
信息安全事件管理
应急和业务连续性管理
IT外包安全管理
业务秘密保护
存储介质管理
人员安全管理
物理安全
系统安全
网络安全
数据库安全
源代码安全
应用安全
审计过程大致可分为以下几个阶段。 1、接受业务委托。接受业务委阶段的主要工作包括:了解和评价审计对象的可审性;决策是否考虑接受委托;商定业务约定条款;签订审计业务约定书等。2、计划审计工作。计划审计工作主要包括:在本期审计业务开始时开展的初步业务活动;制定总体审计策略;制定具体审计计划等。3、实施风险评估程序。主要工作包括:了解被审计单位及其环境;识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错报风险,包括确定需要特别考虑的重大错报风险(即特别风险)以及仅通过实质性程序无法应对的重大错报风险等。4、实施控制测试和实质性程序。实施进一步审计程序,包括实施控制测试 (必要时或决定测试时)和实质性程序。5、完成审计工作和编制审计报告。本阶段主要工作有:审计期初余额、比较数据、期后事项和或有事项;考虑持续经营问题和获取管理层声明;汇总审计差异,并提请被审计单位调整或披露;复核审计工作底稿和财务报表;与管理层和治理层沟通;评价审计证据,形成审计意见;编制审计报告等。欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)