通過了解企業(yè)信息安全管理現(xiàn)狀，面臨的外部風(fēng)險(xiǎn)，同時(shí)結(jié)合企業(yè)需要滿足的外部合規(guī)要求開展信息安全專項(xiàng)審計(jì)或合規(guī)檢查，揭示企業(yè)面臨的信息安全及合規(guī)風(fēng)險(xiǎn)，最終出具信息安全風(fēng)險(xiǎn)審計(jì)報(bào)告或者合規(guī)檢查報(bào)告。確保企業(yè)能夠客觀知曉自身面臨的各類風(fēng)險(xiǎn)，并為后續(xù)改進(jìn)措施的制定和推動(dòng)落地提供參考。

一、信息安全風(fēng)險(xiǎn)審計(jì)關(guān)注要點(diǎn):

在一般控制審計(jì)部分，主要關(guān)注通用類的信息安全風(fēng)險(xiǎn)，包括組織架構(gòu)、崗位職責(zé)、供應(yīng)商管理、基礎(chǔ)設(shè)施安全、業(yè)務(wù)連續(xù)性、項(xiàng)目安全風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)安全等方面；

在應(yīng)用控制審計(jì)部分，主要關(guān)注針對特定信息系統(tǒng)的不同風(fēng)險(xiǎn)，包括業(yè)務(wù)相關(guān)風(fēng)險(xiǎn)跟蹤、輸入輸出控制、信息系統(tǒng)性能、數(shù)據(jù)安全、代碼安全、系統(tǒng)自身的特定風(fēng)險(xiǎn)；

二、信息安全風(fēng)險(xiǎn)審計(jì)工作過程

風(fēng)險(xiǎn)審計(jì)工作過程可分為審計(jì)準(zhǔn)備、審計(jì)實(shí)施、報(bào)告編寫、討論定稿四大階段：

1、在審計(jì)準(zhǔn)備階段，潤星完成審計(jì)計(jì)劃編制，向被審計(jì)對象發(fā)出審計(jì)計(jì)劃和前期資料調(diào)閱清單，在審計(jì)團(tuán)隊(duì)進(jìn)場前提供的資料開展初步風(fēng)險(xiǎn)分析，并下一階段進(jìn)駐現(xiàn)場開展工作做好準(zhǔn)備。

2、做審計(jì)實(shí)施階段，審計(jì)團(tuán)隊(duì)將開展現(xiàn)場制度調(diào)閱、信息安全相關(guān)人員訪談、關(guān)鍵場所現(xiàn)場檢查等工作，并就現(xiàn)場審計(jì)過程中發(fā)現(xiàn)的問題進(jìn)行事實(shí)確認(rèn)書，審計(jì)所需各類信息收集之后，本階段工作終止，進(jìn)入下一階段的報(bào)告稿編寫。

3、在報(bào)告編寫階段，將整理現(xiàn)場審計(jì)期間記錄的審計(jì)底稿，結(jié)合現(xiàn)場審計(jì)前的初步風(fēng)險(xiǎn)分析結(jié)果，開展更為詳盡的風(fēng)險(xiǎn)分析工作，根據(jù)風(fēng)險(xiǎn)分析結(jié)果，編寫信息安全審計(jì)報(bào)告初稿，在公司內(nèi)部完成報(bào)告初稿審核并提交被審計(jì)對象。

4、在討論定稿階段，審計(jì)團(tuán)隊(duì)將就審計(jì)報(bào)告的征求意見稿與被審計(jì)對象進(jìn)行溝通，根據(jù)被審計(jì)對象提供的反饋，結(jié)合被審計(jì)對象提供的補(bǔ)充資料，對審計(jì)報(bào)告征求意見稿進(jìn)行修訂完善并最終出具正式報(bào)告。

三、信息安全合規(guī)檢查工作內(nèi)容

潤星顧問團(tuán)隊(duì)可根據(jù)客戶方需要滿足的不同來源合規(guī)要求對客戶自身開展信息安全合規(guī)檢查，也可以根據(jù)客戶業(yè)務(wù)發(fā)展和風(fēng)險(xiǎn)管理需要，對客戶的下屬企業(yè)、分支機(jī)構(gòu)、外包機(jī)構(gòu)等開展合規(guī)檢查，通過開展合規(guī)檢查，了解被檢查對象對于各類合規(guī)要求的符合情況，并針對檢查發(fā)現(xiàn)的問題提供改進(jìn)參考。

信息安全合規(guī)檢查的檢查依據(jù)包括但不限于以下類別：

1.行業(yè)主管部門或監(jiān)管機(jī)構(gòu)發(fā)布的合規(guī)要求（如人民銀行、銀監(jiān)會(huì)、保監(jiān)會(huì)等）

2.母公司或集團(tuán)公司發(fā)布的各類合規(guī)要求

3.上市企業(yè)需要遵循的合規(guī)要求

4.跨國企業(yè)需要遵循的境外合規(guī)要求

5.企業(yè)針對外包方提出的各類管理要求

6.其它企業(yè)需要滿足的合規(guī)要求等

四、信息安全檢查一般遵循如下步驟開展

1. 檢查準(zhǔn)備

在檢查準(zhǔn)備階段，根據(jù)被檢查對象需要遵循的合規(guī)要求，梳理形成信息安全合規(guī)檢查表并形成資料清單，同時(shí)根據(jù)被檢查對象的實(shí)際工作安排，制定信息安全合規(guī)檢查計(jì)劃。

2. 現(xiàn)場檢查

在確認(rèn)被檢查對象完成相關(guān)準(zhǔn)備工作后，潤星團(tuán)隊(duì)進(jìn)駐對方辦公現(xiàn)場，根據(jù)信息安全合規(guī)檢查表開展現(xiàn)場檢查工作，通過開展人員訪談、制度調(diào)閱、重要場所實(shí)地查看等方式進(jìn)行現(xiàn)場檢查工作。

3. 差距分析

完成現(xiàn)場檢查后，對現(xiàn)狀與合規(guī)要求進(jìn)行比對，客觀反映現(xiàn)狀與合規(guī)要求之間的差距。

4. 報(bào)告編寫

完成現(xiàn)場檢查后，根據(jù)現(xiàn)場檢查情況編寫信息安全合規(guī)檢查報(bào)告，對現(xiàn)場檢查發(fā)現(xiàn)問題進(jìn)行分析，并就發(fā)現(xiàn)的問題提出改進(jìn)建議。