公司面临着广泛的政府法规和法律要求。上市公司必须根据“萨班斯 - 奥克斯利法案”定期审计其财务报表和信息技术(IT)系统。支付卡行业数据安全标准要求审核处理信用卡的公司,以确保其计算机系统安全配置。公司雇用第三方审计公司来检查他们的系统并验证是否符合这些标准。
任务
到达公司后,审计师会寻找一些基本的东西。这些包括记录在案的政策和流程以及遵循这些政策和程序的证据。公司的政策越详细,审计师就越容易完成他的工作。公司必须建立一个框架来构建其政策和流程。 IT审核员熟悉标准,例如IT控制目标(COBIT)或ISO 27001.这些标准通过提供如何保护敏感数据的清单来指导公司。审计人员使用这些清单来确保彻底审计。
样本文档,政策和程序清单
- 确定是否存在变更管理流程并正式记录。
- 确定更改管理操作是否具有系统所有者的当前列表。
- 确定管理和协调变更的责任。
- 确定升级和调查未经授权的更改的过程。
- 确定组织内的变更管理流程。
样品变更启动和批准清单
- 验证方法是否用于启动和批准更改。
- 确定是否为更改请求分配了优先级。
- 验证估计的完成时间并传达成本。
- 评估用于控制和监控更改的过程。
样本IT安全核对表。
- 确认已禁用所有不必要且不安全的协议。
- 验证最小密码长度是否设置为7个字符。
- 验证是否使用了复杂密码。
- 确保系统是最新的修补程序和Service Pack。
- 验证密码时效是否设置为60天或更短。
