知己知彼，百戰百勝，馬上切換稽核角度。
稽核的目的是找到重大風險(Material Issue)

今天稽核團隊的時候在稽核外洩的部份，大部份流程是怎麼樣呢？

1. 確認稽核主體
   母公司、子公司…？

2. 確認本次稽核目標
   查什麼？查資料外洩？舞弊？日常查核？

3. 確認本次稽核範圍
   客戶資料外洩？業務部門業務賣資料或是資訊部門不慎流出還是駭客入侵？

4. 需要用到的技能與資源
   知道是哪裡出包？是哪裡需要查核？
   作業流程、政策、前次稽核結果、場地、時間、地點、溝通計劃

5. 確認稽核手法，測試控制，訪談名單、蒐集政策與標準
   定義明確稽核的項目、手法、政策、標準

6. 確認評估標準、方式、手法，誰能確認查核結果
   確認項目查核的結果 與 向誰查核的核心窗口

7. 與受稽部門之管理階層進行溝通結果溝通
   解釋說明，報告驗證與調整。

8. 稽核報告準備
   向管理階層報告此次稽核結果。

   通常保護資料的機密性/完整性/可用性的保護報告分三類：
   這裡的 SOC 指的是 Service Organization Controls，並非資安監控中心(Security Operations Center)哦。

   1. SOC 1 Report ：以自評的方式描述服務系統的適用性保護
   2. SOC 2 Report ：提供給管理階層的保護資料的詳細報告(內部Only，包含CIA)
   3. SOC 3 Report ：較少技術細節的內容，對外公開的信任服務報告

另外，重大的錯誤(Material Risk)沒有被稽核到，稱之為檢測風險(Detection Risk) 或叫 整體稽核風險(Overall audit Risk)。