依不同單位的規定,在時程上會有些差異,不過應該大同小異。
流程大部份是確認稽核階段 → 來準備稽核計畫 → 複核 3 年內報告 → 準備查檢表 → 稽核活動
希、希望啦…
初步審查
初次拜訪的時候,稽核組長會與受稽方對目前資訊安全系統架構、驗證範圍、行業特性、適用法規等等,
基本就是對受稽方驗證的範圍有一個粗淺的認識,再來會請受稽方帶我們認識一下資訊環境的現場環境,
待初次拜訪後,會擇期全面性的驗證詳實的環境。
持續訪談
驗證維持資訊管理系統作業持續精進,抽驗驗證範圍來驗證政策、程序書、作業程序各項任務且完善其責。
重新驗證
三年循環之後,一樣會有全面性的詳實驗證。
轉版評估
轉版差異評估
預先評估:與受稽方確認轉版計畫及資訊管理系統,並與新版做各項規範進行對照,
以及系統中是否存在任何差異之處,以節省時間與成本,後續會有相關轉版驗證的計畫。
通常這段會是組長負責的工作項目。
確認稽核階段之後,再來會跟再稽方確認預計驗證目標是否有重大調整。
證書上的範圍就會是實際稽核的範圍,不能多看(時間不夠),也不能少看(需要符合驗證內容):
再來還有要排定稽核項目:
稽核前,需先確認上次的不符合事項,然後預計在此次稽核活動中確認改善後,將弱點結案。
但通常會看近三份的稽核報告確認此次的稽核重點,會再次確認之前不符合事項的部份是否已經改善囉?
與長官溝通此次稽核預計達到的目標,去確認該產業的概況、受稽單位的新聞、官網是必要的準備哦!
這樣就能早點準備高層訪談的內容。非必要,或配合長官時間,若長官沒有時間也不勉強
要學會精確提問,那麼要先知因果。
不然會讓受稽方不懂你在問什麼? 像說:「可以請您幫忙提供一下日誌嗎?」
這樣再稽方聽完,會覺得困惑:
「你要什麼日誌?是要作業系統日誌呢?還是要應用程式日誌?還是要機房巡檢日誌?」
「你確認要看全部的日誌?很長捏?」
這些都是沒有精確提問造成的問題點。
如果在稽核的時候,遇到不精確的提問,有時候比較有經驗的受稽方會引導回來:「請問是預期想看什麼?」
或是 真的無法了解稽核方為什麼要確認的話,甚至可以詢問:「為什麼想要看這個呢?有什麼風險?」
如果一旁有顧問團隊陪著稽核,甚至會討論:「這樣稽核是綁哪一條標準呢?」
最常見的切入方式是使用 5W1H 開始提問:原因(WHY)、對象(WHAT)、地點(WHERE)、時間(WHEN)、人員(WHO)、方法(HOW)等六個方面提出問題進行思考。可以使提問的內容更加具體,驗證的項目也更全面。
或是 如果針對稽核的項目很熟悉了,就可以用 反向稽核 去證驗:
如:稽核人員抽驗發現伺服器密碼為 " 123456 " ,依風險控管來看這個設定不夠安全,
那麼就會去反向確認在程序書中確認組織中密碼的規範是否有相應的作法,如密碼需要超過八碼且應設定複雜密碼。
先找實務有風險或是需要評估的部份,再來翻程序書是否有相應規定,這樣就不用看完整本程序書後太花時間,再來逐步進行稽核。
然後將先前提問的內容對應每個綁定的標準,就是查檢表。 實習稽核最害怕的事情就是查檢表被退嗚嗚嗚
經驗資深的前輩由於胸有成竹、了然於心,整個標準都已經熟記在腦海裡了,就不用再提早準備查檢表,
不然在實習階段,查檢表是需要觀察員核可後,才可以開始實際進行每次的稽核活動。
請記得稽核活動的訪談是基於標準及風險控管的角度,
準備查檢表請勿超出範圍,也要確認每個稽核的標準都要確認到。
所以,在稽核的時候,可以預先準備查檢表,一定要再三確認、驗證每一個工作項目是否實際依規範執行。
項目 | 驗證範圍 | 對應標準 | 查檢內容 | 備註 |
---|---|---|---|---|
1 | 委外開發 | A.14.2.7 | 可以幫我看一下委外開發的合約書嗎? | 確認相關合約要求 |
2 | 委外開發 | A.15.2.1 | 供應商都有依約執行嗎?可以提供維護紀錄或是定期監控報告嗎? | |
3 | 委外開發 | A.13.2.4 A.7.1.2 | 合約書有包含廠商及駐點人員的保密切結書嗎? | |
4 | 委外開發 | A.13.2.3 | 是如何交付程式碼的呢? | 確認電子傳訊的保護機制 |
以上準備好就可以初次出發稽核囉!!!!!