如何规范和推进企业内部的信息安全审计工作？| 总第196周

‍‍

0x1 本周话题TOP1

各位大佬，你们公司内部的信息安全审计工作是怎么规范和推进的呀，有专门的信息安全审计么？

A1：金融是有三道防线的，我接触到的很多其他行业的上市公司也有单独的审计部门。安全审计应该是等级保护的基本要求吧。

A2：如果我说公司的审计部去年取消了，你们信么？

A3：信。感觉有些公司所谓安全审计就是个摆设，也没人去搞。

A4：单独的信息安全审计部应该比较少吧，合规稽核部充当审计角色比较多。

A5：一般很少，基本上是安全人员，或者混在IT审计中，我了解到合规往往和风险一起搭伙的较多。

A6：有啊，一般的内审部门的IT审计团队会做信息安全审计的。

Q：信息安全审计的侧重点应该是啥？审计哪些点呢？

A7：堡垒机操作、dlp、权限这些都可以审计，没有审计发现不了问题，三员其中之一就是审计员。

A8：建议基于监管要求做合规类的专项审计，比如《网上银行系统信息安全通用规范》，也可以做基于风险驱动的，其他比较全面的参考资料有：《第3205号内部审计实务指南——信息系统审计》、《审计署关于印发信息系统审计的指南》。

Q：如果企业单独做信息安全审计怎么搞？IT审计毕竟范围有点略大。

A9：除非有特别的规定要求，一般都是包含在IT审计内吧。

A10：安全是一个跨领域横切面的关切( Cross-Cutting Concern )，银行领域的IT审计包括8大领域，这个8大领域来自银保监的信息科技风险监管指引。信息安全是其中一个领域，但其他领域，比如系统开发测试，运维，外包等都和安全息息相关。所以平时的IT审计项目是有安全相关的内容，此外也有安排专门的信息安全专项审计。

A11：信息安全较多的是标准，但都是推荐标准（GBT）不适宜做审计内容。如果非要做单独的信息安全审计，可以参考《网络安全法》、《数据安全法》等法律法规，及行业发布的某些要求文件，恰好昨天跟某咨询机构的人聊过这个问题，他们是这样解释的。

Q：ISO27001那套内审管理评审的流程运转起来不知道能满足吗？

A12：看你是要做专项还是全面审计：全面的就按照27001那套去看，而且也做iso年审的话，里面资料会有个内审检查表，拿过来落实；专项就看你们的关注点，我个人觉得这个审计还是比较灵活的，主要看你们哪些地方是重点。

A13：理论是上想做个常态化的，例如季度性的审计。

A14：那这种我理解就是专项的咯，每季度搞个全面的不得搞死人，可以每季度几个领域或者每月一个专项领域，一年覆盖全面。

A15：ISO、等保应该都算信息安全专项审计，还都是外审，体现外部第三方对本公司的认可。公司内部信息安全审计建议以事件驱动，或者重点关注和风险容忍度低的领域去策划，比如管理员特权和一般用户权限管理，公司保密信息管理等。

A16：我这边可能目前侧重点在运维和安全设备运营这块儿。

A17：运维有很多可以查，比如设备资产管理，系统权限管理。安全设备运营看是否有运维标准制度，运维动作与制度的符合性，设备是否进行了加固，设备账号管理，规则变化是否走了变更，全生命周期的看可能存在风险的地方。

A18：运维本身的制度会更多，如果连制度都没有，那就要提没有机制和流程的major问题，如果没有现成制度，建议参考自己行业的安全规范和最佳实践。

原文始发于微信公众号（君哥的体历）：如何规范和推进企业内部的信息安全审计工作？| 总第196周