做了一段時間的IT審計,經過“地毯式”的搜尋,依據各種标準(sox法案、cobit、iso27001/20000)不斷挖掘資料,尋找資料之間的切合點,到最後發現問題,定位問題的嚴重程度,輸出審計報告,推動公司合規整改,這大概就是一般IT審計的做法。确定審計範圍,細化審計政策是一項複雜且心思缜密的“針線活”,需要點對點的發現問題,系統本身是很重要,但是,更重要的是系統承載的資料,如何保障敏感資料流轉過程中和落地存放的安全俨然成為IT審計重要一環!
做了一段時間的IT審計,經過“地毯式”的搜尋,依據各種标準(sox法案、cobit、iso27001/20000)不斷挖掘資料,尋找資料之間的切合點,到最後發現問題,定位問題的嚴重程度,輸出審計報告,推動公司合規整改,這大概就是一般IT審計的做法。确定審計範圍,細化審計政策是一項複雜且心思缜密的“針線活”,需要點對點的發現問題,系統本身是很重要,但是,更重要的是系統承載的資料,如何保障敏感資料流轉過程中和落地存放的安全俨然成為IT審計重要一環!
![軟體設計師筆記-----系統安全分析與設計五、系統安全分析與設計[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)