iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 7
0

知己知彼,百戰百勝,馬上切換稽核角度。
稽核的目的是找到重大風險(Material Issue)

今天稽核團隊的時候在稽核外洩的部份,大部份流程是怎麼樣呢?

  1. 確認稽核主體
    母公司、子公司…?

  2. 確認本次稽核目標
    查什麼?查資料外洩?舞弊?日常查核?

  3. 確認本次稽核範圍
    客戶資料外洩?業務部門業務賣資料或是資訊部門不慎流出還是駭客入侵?

  4. 需要用到的技能與資源
    知道是哪裡出包?是哪裡需要查核?
    作業流程、政策、前次稽核結果、場地、時間、地點、溝通計劃

  5. 確認稽核手法,測試控制,訪談名單、蒐集政策與標準
    定義明確稽核的項目、手法、政策、標準

  6. 確認評估標準、方式、手法,誰能確認查核結果
    確認項目查核的結果 與 向誰查核的核心窗口

  7. 與受稽部門之管理階層進行溝通結果溝通
    解釋說明,報告驗證與調整。

  8. 稽核報告準備
    向管理階層報告此次稽核結果。

    通常保護資料的機密性/完整性/可用性的保護報告分三類:
    這裡的 SOC 指的是 Service Organization Controls,並非資安監控中心(Security Operations Center)哦。

    1. SOC 1 Report :以自評的方式描述服務系統的適用性保護
    2. SOC 2 Report :提供給管理階層的保護資料的詳細報告(內部Only,包含CIA)
    3. SOC 3 Report :較少技術細節的內容,對外公開的信任服務報告

另外,重大的錯誤(Material Risk)沒有被稽核到,稱之為檢測風險(Detection Risk) 或叫 整體稽核風險(Overall audit Risk)。


上一篇
[Day06]存取權限
下一篇
[Day11]管理流程變更步驟
系列文
CISSP 快速入門32

2 則留言

0
彭偉鎧
iT邦新手 5 級 ‧ 2018-10-22 19:40:08

是嗎?

虎虎 iT邦新手 3 級‧ 2018-10-23 00:32:38 檢舉

就我拿到的講義是這樣,大大那邊有其他的流程嗎 @"@?

虎虎 iT邦新手 3 級‧ 2018-10-23 01:19:25 檢舉

我是參考 Domain 6 裡面有談到外部稽核的流程啦,
大大覺得不同的地方是在哪裡呢(?)

專業稽核不會也不應該去找甚麼風險的,稽核是"事後稽核",怎麼可能去找甚麼風險,風險是事前的控制,怎麼會是事後呢?那誰應該去找風險?是各單位經理人應該要去做的事情,如果經理人自己都後知後覺,還要稽核幫你找,那麼經理人就可以要他考慮換工作了,當然如果公司有設風控長,那就由風控長去指派任務,就連ISO導入也不敢寫甚麼由稽核去找到重大風險,你這篇從頭就錯了! 你們書本也寫錯了,內部稽核絕對是照公司的流程去複核流程是不是有問題,稽核可以建議跟協助公司改善流程,但是,行政權還是歸給行政權,監察權跟司法權不能逾越這個界線。

0
Sergeyau
iT邦研究生 3 級 ‧ 2018-10-23 06:50:59

每次提到SOC Report都要特別強調和SOC中心不一樣^^
所以後來我都說 S-O-C Report (念個別字母),加以區別

虎虎 iT邦新手 3 級‧ 2018-10-23 20:37:05 檢舉

對,我們上課 & 讀書會的時候,也有不少人搞錯… XDDD

我要留言

立即登入留言