依不同單位的規定，在時程上會有些差異，不過應該大同小異。
流程大部份是確認稽核階段 → 來準備稽核計畫 → 複核 3 年內報告 → 準備查檢表 → 稽核活動

2 週前準備稽核計畫

希、希望啦…

稽核階段

• 初步審查
  初次拜訪的時候，稽核組長會與受稽方對目前資訊安全系統架構、驗證範圍、行業特性、適用法規等等，
  基本就是對受稽方驗證的範圍有一個粗淺的認識，再來會請受稽方帶我們認識一下資訊環境的現場環境，
  待初次拜訪後，會擇期全面性的驗證詳實的環境。

• 持續訪談
  驗證維持資訊管理系統作業持續精進，抽驗驗證範圍來驗證政策、程序書、作業程序各項任務且完善其責。

• 重新驗證
  三年循環之後，一樣會有全面性的詳實驗證。

• 轉版評估
  轉版差異評估
  預先評估：與受稽方確認轉版計畫及資訊管理系統，並與新版做各項規範進行對照，
  以及系統中是否存在任何差異之處，以節省時間與成本，後續會有相關轉版驗證的計畫。

稽核計畫

通常這段會是組長負責的工作項目。

證書變更

確認稽核階段之後，再來會跟再稽方確認預計驗證目標是否有重大調整。
證書上的範圍就會是實際稽核的範圍，不能多看(時間不夠)，也不能少看(需要符合驗證內容)：

• 稽核稽核日期、此次稽核小組成員、預計稽核人天
• 公司名稱、地址 (郵遞區號 3+3 )、驗證範圍 >> 若有異動需要變更證書
• 範圍異動、組織變動、人數增減、重大政策調整 >> 若有異動可能會需要調整人天或變更。

工作分配

再來還有要排定稽核項目：

• 時間分配、地點分配
• 稽核組員的項目是否公平，相同屬性的會放在一起由同一位稽核組員負責
• 稽核計畫是否有包含到對應的標準

追蹤事項

稽核前，需先確認上次的不符合事項，然後預計在此次稽核活動中確認改善後，將弱點結案。
但通常會看近三份的稽核報告確認此次的稽核重點，會再次確認之前不符合事項的部份是否已經改善囉？

高層訪談

與長官溝通此次稽核預計達到的目標，去確認該產業的概況、受稽單位的新聞、官網是必要的準備哦！
這樣就能早點準備高層訪談的內容。
非必要，或配合長官時間，若長官沒有時間也不勉強

1 週前準備查檢表

精確提問

要學會精確提問，那麼要先知因果。
不然會讓受稽方不懂你在問什麼？ 像說：「可以請您幫忙提供一下日誌嗎？」
這樣再稽方聽完，會覺得困惑：
「你要什麼日誌？是要作業系統日誌呢？還是要應用程式日誌？還是要機房巡檢日誌？」
「你確認要看全部的日誌？很長捏？」
這些都是沒有精確提問造成的問題點。

如果在稽核的時候，遇到不精確的提問，有時候比較有經驗的受稽方會引導回來：「請問是預期想看什麼？」
或是 真的無法了解稽核方為什麼要確認的話，甚至可以詢問：「為什麼想要看這個呢？有什麼風險？」
如果一旁有顧問團隊陪著稽核，甚至會討論：「這樣稽核是綁哪一條標準呢？」

最常見的切入方式是使用 5W1H 開始提問：原因（WHY）、對象（WHAT）、地點（WHERE）、時間（WHEN）、人員（WHO）、方法（HOW）等六個方面提出問題進行思考。可以使提問的內容更加具體，驗證的項目也更全面。

或是 如果針對稽核的項目很熟悉了，就可以用 反向稽核 去證驗：
如：稽核人員抽驗發現伺服器密碼為 " 123456 " ，依風險控管來看這個設定不夠安全，
那麼就會去反向確認在程序書中確認組織中密碼的規範是否有相應的作法，如密碼需要超過八碼且應設定複雜密碼。
先找實務有風險或是需要評估的部份，再來翻程序書是否有相應規定，這樣就不用看完整本程序書後太花時間，再來逐步進行稽核。

查檢表

然後將先前提問的內容對應每個綁定的標準，就是查檢表。 實習稽核最害怕的事情就是查檢表被退嗚嗚嗚
經驗資深的前輩由於胸有成竹、了然於心，整個標準都已經熟記在腦海裡了，就不用再提早準備查檢表，
不然在實習階段，查檢表是需要觀察員核可後，才可以開始實際進行每次的稽核活動。

請記得稽核活動的訪談是基於標準及風險控管的角度，
準備查檢表請勿超出範圍，也要確認每個稽核的標準都要確認到。
所以，在稽核的時候，可以預先準備查檢表，一定要再三確認、驗證每一個工作項目是否實際依規範執行。

以上準備好就可以初次出發稽核囉！！！！！