建立基于風險的審計方法：包含六個階段的過程

每年在確定風險和風險排名、建立審計計劃之后，審計團隊就可以“卷起袖子”，開始審計活動了。審計過程分成不同的階段，以風險為基礎可分為六個階段，其中包括準備、評估、風險減輕、報告以及后續(xù)階段。每個階段現(xiàn)闡述如下：

準備階段

準備階段包括審計計劃開始之前的個人參與安排。在這個階段中，審計團隊重新審視之前的工作文檔、風險評估發(fā)現(xiàn)，并且確定個人參與的范圍和目標。審計團隊將聽取管理層以及操作人員的意見，然后跟他們的評估結果相比較。審計團隊的工作重點是理解公司的業(yè)務目標和功能，以便做出最明智的評估。

評估階段

評估階段包括分析系統(tǒng)和過程、確定漏洞并記錄顧慮。在這個階段中，審計人員可能會使用一個清單，但是主要依靠經驗和判斷來解釋結果，并確定那些不太明顯的異常現(xiàn)象。在這個階段中，與操作人員協(xié)作來驗證風險的嚴重性非常重要。某些“教科書”式的發(fā)現(xiàn)第一眼看起來似乎挺嚴重，但是卻有著存在的充分理由（比如某些應用程序就需要特殊的操作要求）。因此，在把風險寫進最后報告造成不必要的混亂之前，驗證某些審計結果是否屬實非常重要。

根據被審計系統(tǒng)、網絡、或者過程的不同，必須要有些基礎控制，以便評估的時候可以作為參考標準。比如，SANS研究所就列出了一份具有優(yōu)先級的基礎安全控制和措施清單。這些控制是由SANS公司聯(lián)合美國聯(lián)邦機構、民間滲透測試人員以及法律專家一起制定出來的，一些控制包括詳細記錄授權的以及未授權的設備、邊界防護、應用程序安全、惡意軟件防護、數據丟失防護、賬戶控制、無線控制以及數據恢復能力等。除了審計需要參考的基礎控制以外，確保有到位的、能夠保證業(yè)務功能正常的控制也很重要。

風險減輕階段

風險減輕階段包括采用合適的控制，以減輕風險。這個過程包括與公司溝通各種要求并建立風險減輕計劃。有些控制的實施時間可能長達幾周或者幾個月，而有些則可以當場調整。這個階段需要記錄下可能的控制，以及操作人員為減輕風險而當場采取的行動。

報告階段

在報告階段，審計團隊給管理層提供一份全面的報告，概述其調查結果。審計團隊將分享風險減輕計劃（正在進行的控制），并列出最重要的發(fā)現(xiàn)。這個階段需要建立一個執(zhí)行摘要，記錄各種關鍵信息，以便管理人員做安全決策。執(zhí)行摘要是高級別的概述，“簡潔明了”地解釋了企業(yè)的安全情況以及需要加強控制的后續(xù)步驟。

后續(xù)階段

在后續(xù)階段中，審計團隊與公司進行協(xié)作，確保公司實施各種控制。在資源有限的環(huán)境中，公司可能缺少實施某些控制機制的技能。因此，審計人員要提供各種控制的深入見解，繼續(xù)跟進各種控制，以確保他們得到實施。對于審計團隊來說，跟蹤過期的或者即將來臨的風險減輕控制的實施過程很重要。審計團隊應該建立一套含有清晰易懂圖表的跟蹤系統(tǒng)，用來顯示各種控制的實施狀態(tài)以及它們的期限。  

【編輯推薦】

1. 解析數據庫安全審計
2. 國內網絡安全風險評估市場與技術操作