iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 2
0
Security

資訊系統安全稽核與 CISA 的簡單應用系列 第 2

[Day 02] 資訊系統稽核流程 (Introduction)

  • 分享至 

  • xImage
  •  

前言

進行審計終極目標是可以向利益相關方(股東)保證組織在財務、法規及營運都運作正常,而非找麻煩、只關注文字格式等,與破切需要改善的問題無關。例如急診分類先集中資源把最需要的地方,達到最高效益


圖片來源: 急診五級檢傷分類標準 請把急診資源留給最需要的人

典型的審計流程(Typical Audit Process Phases)


根據 ISACA, Information Systems Auditing: Tools and Techniques: Creating Audit Programs
https://www.isaca.org/Knowledge-Center/Research/Documents/IS-auditing-creating-audit-programs_whp_eng_0316.PDF

https://ithelp.ithome.com.tw/upload/images/20190910/20077752umVG0aFCZc.png

Step-by-step guide to the Audit Process
https://ithelp.ithome.com.tw/upload/images/20190909/20077752boQKDTWi0S.jpg
圖片參考
https://www.cmpe.boun.edu.tr/~ozturan/etm555/dataaudit/html/steps/index.htm

審計的內容 總結一句話: 確保公司能賺錢、不會違反法規被罰
1.合法合規、符合行業標準
2.符合公司的治理標準及相關政策程序
3.符合A(可用性).I(完整性).C(機密性)
4.是否有達到公司目標

審計過程要求Auditor收集證據,評估內部的優勢和劣勢,適當提出做得好的部分(Good point)有助於激勵受稽核的對象,在審計報告(audit report)中提出有缺陷的地方(weaknesses)和客觀的補救建議(recommendations)。

適當提出被稽核方有得好的部分是非常重要的,再重複一次終極目標是確保組織有效營運,稽核與執行單位如果一直保持對立狀況,只會讓執行單位拼命做假資料。

稽核方提供建議規劃讓執行方能達到目標,這是一個很好訂定雙邊KPI的方向

  • 抓大放小 讓其依成熟度慢慢改善有 (些稽核員會視情況逐漸提高要求,所以會有以前過關的項目之後被列為缺失或建議改善)

  • 獎懲 讓實行者有動力繼續執行,以達到持續正向成長。

常常有情況是明天要稽核了,發現簿冊一堆沒簽名,大家開始輪流簽名,缺的資料隨便填資料。
類似造假的情況層出不窮。有時是步驟太多容易跳過,可以設置簡單的Control,例如需要按確認、鑰匙放櫃子打開會留紀錄,就算當下沒有完整填寫,事後也會因容易查出而補填。


利用Jenkins,再寫個Script,讓User登入去點執行,既可以做稽核紀錄、還可以做簡易防呆(只能選擇規定的清單),曾利用這方式讓helpdesk人員也能依Ticket單協助開關VPN帳號。
https://ithelp.ithome.com.tw/upload/images/20190916/200777521Xusvt3MvF.png
《關鍵技術-使用 Jenkins》
http://book.tpml.edu.tw/webpac/bookDetail.do?id=591064


上一篇
[Day 01] 資訊系統安全稽核與 CISA 的簡單應用
下一篇
[Day 03] 資訊系統稽核流程 (Case)
系列文
資訊系統安全稽核與 CISA 的簡單應用30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言