信息安全审计都有哪些内容

信息安全审计，是一种为了合理保证企业信息安全管理的有效性而诞生的审计形式。信息安全审计的范围十分广泛，其目的亦可根据企业在不同阶段的发展目标而存在不同的侧重点，在以下领域均可进行开展：

• 信息安全管理组织与制度

• 访问控制管理

• 网络安全、漏洞扫描、渗透测试、代码安全扫描、机房及设备物理安全、应用系统安全、信息系统日志管理、加密传输和加密设备管理、补丁管理、IT项目开发管理

• 隐私数据安全、数据库和操作系统安全、信息资产分级和管理、数据资产全生命周期管理评估、信息安全事件管理、业务连续性

• 人力安全、IT外包安全管理、信息安全意识教育

在进行常规信息安全审计前，对于企业内外部的信息安全审计师而言，应先确定审计范围，包括与信息安全有关的所有公司资产，包括数据库内的数据、计算机设备、电话、网络、电子邮件和任何与访问有关的项目，如门禁卡、令牌和密码等。在执行审计程序时，除了检查企业在制度层面应当建立信息安全相关标准中要求建立的制度和流程外，还应检查企业是否按照制度规定可靠地执行了相应的程序。在审计过程中检查企业在具体的制度执行或控制实施细节时，往往会发现企业某些控制执行不到位的情况，存在潜在的信息安全风险。例如，某企业的门禁系统权限存在漏洞：不及时禁用或删除离职人员的门禁权限，并且存放内部机密信息和个人隐私数据的区域的门禁权限没有限制为仅有相应部门岗位的人员拥有。

还有较为普遍的发现是企业缺乏防窥防窃听相关的控制措施，当员工远程办公时，尤其在公共场合的情况下，没有明确的对公司信息资产的保护措施。对于这些存在信息安全风险的不符合事项，审计人员也需要结合企业整体信息安全保护的其他措施及整体情况评估控制风险，例如针对远程办公的信息安全风险，审计师可以结合企业在远程访问权限控制、防火墙配置、办公终端监控、信息加密、员工培训等方面的控制措施，统一评估后确定风险水平，并给出相应的改进建议。