iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 17
1
Security

資訊系統安全稽核與 CISA 的簡單應用系列 第 17

[Day 17]稽核技巧 (Evidence collection)

  • 分享至 

  • xImage
  •  

前言

證據能有效的證明是否有達成標準或規範,然而為了確保證據的公信力及有效性才能有說服力

https://ithelp.ithome.com.tw/upload/images/20191001/20077752OxsovZNMtO.png


審計的證據

利用抽樣技巧

相關性

審查內容的日期、驗證信息的來源,如果有任何簽名,則應該詢問誰簽名的

可靠性

外部證據較內部證據更可靠、書面信息比口頭報告更可靠、原始文件比影印本更可靠

充分性

找到資料要更多面向,避免缺漏

查找方式

  • 系統組織結構 : 是否有職責分離
    * 系統政策程序 : 是否遵守規範
    * 系統標準 : 是否依照SOP
    * 系統文件 : 外部供應商SLA、功能要求、可行性分析、測試報告、更改日誌...
    * 人員面談 : 面談清單
    * 觀察流程和員工表現 : 職能是否符合、流程相關控制、安全意識、職責分離


https://www.isaca.org/Journal/archives/2012/Volume-3/Pages/Audit-Evidence-Refresher.aspx?utm_referrer=


上一篇
[Day 16] 稽核技巧 (Interviewing)
下一篇
[Day 18] 稽核技巧 (Checklist)
系列文
資訊系統安全稽核與 CISA 的簡單應用30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言