對(duì)于企業(yè)的內(nèi)部和外部的安全審計(jì)，你需要知道一些什么呢?很多企業(yè)管理者并不知道安全審計(jì)是一個(gè)長(zhǎng)期的端到端的安全檢查，他們知道安全審計(jì)能夠保證企業(yè)的安全技術(shù)和準(zhǔn)則在實(shí)踐中得到最好的貫徹。

　　安全審計(jì)的目的就是保證企業(yè)信息安全，風(fēng)險(xiǎn)管理和調(diào)整兼容性方面達(dá)到完美的境地。如果操作得當(dāng)，安全審計(jì)可以反映企業(yè)在技術(shù)，實(shí)際操作，雇員或是其它關(guān)鍵安全領(lǐng)域的一些缺陷。安全審計(jì)在幫助企業(yè)更加經(jīng)濟(jì)有效地保護(hù)企業(yè)軟硬件安全方面也與很大的作用，此外，還有助于企業(yè)更好地發(fā)揮安全技術(shù)和設(shè)備在實(shí)際應(yīng)用中的表現(xiàn)。盡管安全審計(jì)遭某些方面確實(shí)有些煩人，但是睿智的企業(yè)管理人員應(yīng)該會(huì)在煩人與安全之間做出正確的選擇。畢竟你是愿意使用審計(jì)不斷提高企業(yè)的安全表現(xiàn)呢，還是暫時(shí)的煩人?

　　目前還沒(méi)有一個(gè)完全標(biāo)準(zhǔn)的審計(jì)過(guò)程，但是有一些約定俗成的步驟，包括個(gè)人調(diào)查，漏洞掃描，操作系統(tǒng)和安全設(shè)備的檢查，網(wǎng)絡(luò)分析，還有檢查事件日志中的過(guò)往數(shù)據(jù)。審計(jì)人員應(yīng)該將注意力集中在企業(yè)的安全政策上，以期找出它涵蓋的安全范圍，怎樣使用，是否在應(yīng)對(duì)不斷變化的安全危險(xiǎn)上具有可操作性。

　　計(jì)算機(jī)輔助審計(jì)技術(shù)(CAAT Computer-Assisted Audit Techniques )在幫助審計(jì)人員找出企業(yè)內(nèi)部IT結(jié)構(gòu)的弱點(diǎn)上很有幫助。CAAT技術(shù)使用系統(tǒng)產(chǎn)生審計(jì)報(bào)告，還有監(jiān)測(cè)技術(shù)來(lái)反映系統(tǒng)文件和設(shè)置的變化。CAAT技術(shù)可以在應(yīng)用范圍很廣泛，臺(tái)式機(jī)，服務(wù)器，主機(jī)，路由器和調(diào)制轉(zhuǎn)換器，還有其它系統(tǒng)和設(shè)備的部署上都可以發(fā)揮作用。

　　盡管CAAT會(huì)提供一些關(guān)于企業(yè)系統(tǒng)的標(biāo)準(zhǔn)化數(shù)據(jù)，但是審計(jì)人員還是需要對(duì)一些不容易量化的指標(biāo)做實(shí)地調(diào)查。以下就是審計(jì)人員需要重點(diǎn)關(guān)注的一些問(wèn)題：

　　一個(gè)審計(jì)人員的技術(shù)和相關(guān)性依賴(lài)于審計(jì)的性質(zhì)和審計(jì)企業(yè)關(guān)注的重點(diǎn)。一般來(lái)說(shuō)，內(nèi)部審計(jì)人員來(lái)自于來(lái)自于企業(yè)本身的IT和會(huì)計(jì)部門(mén)。但是也有一些企業(yè)雇用安全咨詢(xún)?nèi)藛T完成這項(xiàng)任務(wù)。如果是金融機(jī)構(gòu)或是其它政府監(jiān)管性質(zhì)比較強(qiáng)的企業(yè)，審計(jì)更多的是來(lái)自政府監(jiān)管部門(mén)。

　　一旦審計(jì)結(jié)束，審計(jì)人員應(yīng)該馬上向公司的管理人員簡(jiǎn)要的匯報(bào)發(fā)現(xiàn)的情況，如果有緊急情況的話(huà)，應(yīng)該立即采取相應(yīng)的補(bǔ)救措施。在一個(gè)星期之內(nèi)，應(yīng)該提交一份正式的報(bào)告。這樣公司的股東就可以相信了解企業(yè)的安全狀況并作出相應(yīng)的改進(jìn)。

　　不管怎么說(shuō)，企業(yè)的安全審計(jì)只是企業(yè)整體安全的一個(gè)部分，企業(yè)安全是一個(gè)連續(xù)不斷的過(guò)程。在企業(yè)的運(yùn)行過(guò)程中，設(shè)計(jì)和部署安全政策，安全技術(shù)和準(zhǔn)則，并且還要不斷的對(duì)企業(yè)的網(wǎng)絡(luò)安全進(jìn)行例行的審計(jì)，這樣方是安全之道。

　　4166am金沙信心之選