iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 20
0
Security

資訊系統安全稽核與 CISA 的簡單應用系列 第 20

[Day 20] 稽核報告 (Report)

  • 分享至 

  • xImage
  •  

前言

稽核結果必須以正式方式記錄下來,並在審核結束時提交給組織。如果正確記錄了審計結果,則將為組織提供有關其數據保護系統狀態的許多有價值的信息

  • 關於組織的哪些領域以及何時進行審核的正式記錄。
  • 指示組織中那些似乎符合法令要求的區域。
  • 組織中那些似乎不符合該法案的領域的詳細信息,以及每次不遵守的原因及其相關的重要性/風險。
  • 建議的糾正措施計劃,包括糾正發現的任何不合規的目標日期

概述

審核參考
不合規參考
機構名稱
部門名稱
審核日期

違規細節

記錄的此部分應詳細說明每種不符合項,以回答以下問題:
什麼 What?
在哪裡 Where?
何時 When?
為什麼 Why?
在誰 Who?
如何進行 How?

評斷

重大違規
同一區域中的許多次要違規可能是系統故障的徵兆,因此有可能被合併為重大違規。
違規行為可能對受影響的個人造成嚴重後果

稽核發現、建議

擬議的糾正措施來消除違規行為。在審計後報告階段可以提供建議或指導。
糾正措施責任和時間表、糾正措施計劃、糾正措施跟進

溝通結果

應該先與受審方管理層討論draft audit report 審計報告草案,獲得對調查結果和應採取的措施的意見達成一致,再向高級管理層報告審計結果
如果有意見並提供證明文件,對文件進行調查,如果無法達成一致,將再將兩份文件報給稽核委員會


上一篇
[Day 19] 稽核技巧 (CAATs)
下一篇
[Day 21] 企業IT治理與管理 (Governance and Management of Enterprise IT)
系列文
資訊系統安全稽核與 CISA 的簡單應用30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言