如何做信息安全审计

信息安全审计流程如下：

1. 策略定义

   安全审计应在一定的审计策略下进行，审计策略规定哪些信息需要采集、哪些事件是危险事件、以及对这些事件应如何处理等。因而审计前应制定一定的审计策略，并下发到各审计单元。在事件处理结束后，应根据对事件的分析处理结果来检查策略的合理性，必要时应调整审计策略。

2. 事件采集

   包含以下行为:

    - 按照预定的审计策略对客体进行相关审计事件采集。形成的结果交由事件后续的各阶段来处理;   - 将事件其他各阶段提交的审计策略分发至各审计代理，审计代理依据策略进行客体事件采集。

3. 事件分析

   包含以下行为:

    - 按照预定策略，对采集到事件进行事件辨析，决定1)忽略该事件; 2)产生 审计信息; 3)产生审计信息并报警; 4)产生审计信息且进行响应联动。   - 按照用户定义与预定策略，将事件分析结果生成审计记录，并形成审计报告;

4. 事件响应

   包含以下行为:

    - 对事件分析阶段产生的报警信息、响应请求进行报警与响应;   - 按照预定策略，生成审计记录，写入审计数据库，并将各类审计分析报告发送到指定的对象;   - 照预定策略对审计记录进行备份;

5. 结果汇总

   主要包含以下行为:

    - 将各类审计报告进行分类汇总;   - 对审计结果进行适当的统计分析，形成分析报告;   - 根据用户需求和事件分析处理结果形成审计策略修改意见。