欢迎访问时代新威

语言版本:中文 | 英文       了解我们  在线咨询

•    揭示信息安全风险的最佳手段
•    改进信息安全现状的有效途径
•    满足信息安全合规要求的有力武器

根据事先确定的审计依据(信息安全法规、标准及制度等),在规定的审计范围内,通过文件审核,记录检查,技术测试、现场访谈等活动,获得审计证据,并对其进行客观的评价,以确定被审计对象满足审计依据的程度。

信息安全审计可以使组织掌握其信息安全合规性要求满足情况的同时,也可以帮助组织全面了解和掌握其信息安全工作的有效性、充分性和适宜性,包括:
•    信息安全组织机构
•    信息安全需求管理
•    信息安全制度建设
•    信息科技风险管理
•    信息安全意识教育和培训
•    信息资产管理
•    信息安全事件管理
•    应急和业务连续性管理
•    IT外包安全管理
•    业务秘密保护
•    存储介质管理
•    人员安全管理
•    物理安全
•    系统安全
•    网络安全
•    数据库安全
•    源代码安全
•    应用安全 

适用范围
信息安全审计适用于各种类型、各种规模的组织,特别是对信息安全要求高的组织,如金融、电力、航空航天、军工、物流、电子商务、政府部门等。
各个行业和部门可以单独实施信息安全审计,也可以将信息安全审计作为其它相关工作的一部分内容联合实施。如IT审计、信息安全等级保护建设、信息安全风险评估、信息安全管理体系建设等。

审计依据
•    ISO/IEC 27001 (GB/T22080)信息安全管理体系要求
•    GB/T22239 信息安全等级保护基本要求
•    银监会《商业银行信息科技风险管理指引》
•    组织自己的信息安全规章制度