iT邦幫忙

2021 iThome 鐵人賽

DAY 9
4
IT管理

稽核師的挑戰系列 第 9

[Day09]實習稽核常見情境

  • 分享至 

  • xImage
  •  

我知道你還沒準備好,但我們已經在稽核的路上了。

這篇就是我曾經充滿血淚的建議改善清單,就請各位前輩多多指教了 Q"Q

起始會議

簽到表

送出之前請再度確認日期、受稽方名稱、地點,如果有更改請早一點提供受稽方。

投影片品質

框線、格線、格式、字體、顏色標準未統一,會令人覺得眼花撩亂或是不整齊。

證書異動

如果受稽方有提早通知會異動記錄,請記得將更新的資料列上去哦!

稽核活動

客觀

不要有太多假設看法,會造成受稽方是稽核在挑戰專業

公正性:不能有針對性。
客觀性:要求證據。
獨立性:不能受到其他因素影響。
稽核員不能說:我認為~ 我覺得~ 我想~

直接看證據啦!

範圍

明確稽核每個範圍的核心重點,如稽核應用程式開發,需求變更、版本控制是稽核重點。
限制範圍,不要超出範圍,不然會與其他成員重覆造成重工。

軌跡

如果稽核的順序卡卡,就會要一直麻煩受稽方協助要調資料會很花時間,
所以務必將稽核邏輯想好再開始,請參照稽核查檢表。

抽樣

抽樣時必須再深入確認,不僅是看到抽樣樣本的紀錄存在及停止,
必須要再審視資料的來源、含義,確實完成完整的稽核軌跡。不要只看紙本記錄

公正

稽核時不能給客戶實際的建議,尤其是下指令、提供工具或是動手操作,都是大忌。

像說,雖然微軟官網有密碼到期的建議設置:
https://docs.microsoft.com/zh-tw/microsoft-365/admin/manage/set-password-expiration-policy?view=o365-worldwide

稽核不能建議說要設幾天,但可以請客戶上微軟官方網站參考。
顧問之前就是要給客戶建議作法,但是在稽核職能時有時候想法會衝突

中場休息

準時回來

請把握時間喝水上廁所及小組討論。

遠端稽核

中場休息或是要交流討論,請記得關掉麥克風或是切換房間再討論

機密性

請勿在受稽方未同意去參觀其他區域。白目

小組討論

缺失開不開?

切勿花太多時間鑽牛角尖在同一個問題上,如果無法證明風險 或是 未確認不足以滿足需求,
請列在工作底稿中待下次再追蹤。

主缺或次缺?

開缺失之前要先確認是主要不符合事項 還是 次要不符合事項

不符合事項:
未滿足要求,與標準的要求相反的情形,某一特定的要求並未被履行,未滿足管理政策、違反標準、程序、規範或法規
像說在稽核的時候,抽驗一筆監控記錄的時候,發現廠商進出機房沒有機房進出記錄,此為不符合事項。

主要不符合

如果對有效的流程控制是否到位,或者對產品或服務是否滿足特定的要求存有重大懷疑;
與同一要求或問題相關的大量次要不符合,可能會表現出系統性失效,因此構成重大不符合。

所以,如果確認完程序書中有規範廠商進出機房,應填寫機房進出記錄表,但發現因為疫情的關係,好幾個月的進出記錄表都沒有更新。

針對以上的情境,由於程序書中有規範而未達成,所以列為不符合事項
再來因為抽驗的項目找到大量不符合事項,就會列為主要不符合事項。

次要不符合

不影響管理系統達成預期結果能力的不符合事項。
所以,如果機房進出記錄表只是漏掉這一筆進出記錄,而且廠商進出沒有任何軌跡可循,則為次要不符合事項。

改善機會

非不符合事項,在稽核中有客觀證據證實,指出管理體系中的弱點或潛在缺陷,若不改進就可能導致未來出現不符合。
如果機房進出記錄表只是漏掉這一筆進出記錄,但廠商全程有同仁陪同,,風險較低,就會列為改善機會。

缺失寫法

請參照正式文件寫法,屬正式報告,請注意用詞。

結束會議

說明缺失

如果報告中有發現事項,必須要陳述清楚,注意口條。

資訊更新

如果有更新郵遞區號 3+3 或是地址、驗證範圍,請一定要記得列上去。

長官結論

請記得要留時間給長官總結以鼓舞士氣~

報告撰寫

英文文法

沒有其他要補充的,只能自己再慢慢加強自己的語文能力了!

工作底稿

由於工作底稿是記錄此次稽核活動是否確實的憑證,而且主管機關每年都會抽驗,請務必客觀詳實填寫。
如:應用系統備份檔案的名稱、日期、大小是否正常,是否保留的期限符合程序書規定。
如果有查看相關表單,也要留下日期、人員、表單目的、執行項目等等,以去核對整個稽核軌跡。

工作底稿除了要詳實填寫以外,綁定的標準也需要一併寫上。而且要寫對!
稽核時所提出的問題,都應該要綁定在標準上,如果沒有綁標準,那就不需要問,
因為我們是依標準稽核,除非有看到相應的風險需要進一步確認。

死線日期

切勿壓線造成組長及客戶專員的困擾。


上一篇
[Day08]稽核行程倒數準備
下一篇
[Day10]資訊管理系統框架 - 高階系統框架
系列文
稽核師的挑戰30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
CyberSerge
iT邦好手 1 級 ‧ 2021-09-25 10:41:45

稽核時不能給客戶實際的建議

喔喔?真的?這是為什麼呢?

虎虎 iT邦研究生 4 級 ‧ 2021-09-25 21:25:48 檢舉

其實這個原因有幾個點:
(1) 假設針對開發的安全性驗證,如果我給建議說要使用 C 產品,那就不符合公正性,比較嚴格的受稽方,會不會想到稽核老師是不是有營利行為?像說收回扣之類的…

(2) 假設加密,如果我給建議說用 AES 128 以上的技術,但之後的稽核師可能更專業或是有新的技術,他們覺得要用 AES 256 或是 AES 1024... 那麼受稽方就會覺得,啊不是你們都是同一家的,上次跟我講我改了,這次又會被開缺失,那你們是當我塑膠吼啦~

最多最多,就是提供網址說可以參考官方的作法啦,或是說一般我們行業作法是怎麼做,不能很直接指定要怎麼做…

但我有時候會忍不住很衝動 ((顧問上身
然後就會被前輩唸說醬不行 Q"Q

虎虎 iT邦研究生 4 級 ‧ 2021-09-25 21:30:04 檢舉

再來動手作的部份也是怕不熟悉環境,導致操作時,會把受稽方環境弄壞。
另外一個原因,也是想知道受稽方如果受到這樣的稽核挑戰,那他們會怎麼回覆呢?如果無法回覆,那平常怎麼維護的呢?
如果無法得到預期的答案,可能稽核員就會更進一步去稽了 =V=+

原來如此,我遇到的情況是:
1.建議使用好的產品,想知道什麼產品嗎?雇用我們的另一個團隊當顧問另外做一份改善報告就會寫明白了 (然後老闆就覺得這些人是來騙錢的^^)
2.這種情況因為會隨時間改變,稽核報告上我見過是建議「有效且安全的加密」,然後附註寫"根據當前某年某月業界標準,有效且安全的加密為TLS1.0以上,這項業界標準並非固定而且........將隨時間改變....請受稽核單位自行調整....."或者附註寫請參照NNIST-800-03之類的

還有一種情況是報告上不會寫細節建議,但客戶詢問的話,口頭上指點一個方向。「可以去尋找C產品和它的競爭對手B和同類產品等等,搜尋關鍵詞為NGFW」

我要留言

立即登入留言