基于风险的审计方法：审计阶段

建立基于风险的审计方法：包含六个阶段的过程

成都创新互联公司网站建设公司是一家服务多年做网站建设策划设计制作的公司,为广大用户提供了网站设计制作、成都网站制作，成都网站设计，广告投放，成都做网站选成都创新互联公司，贴合企业需求，高性价比，满足客户不同层次的需求一站式服务欢迎致电。

每年在确定风险和风险排名、建立审计计划之后，审计团队就可以“卷起袖子”，开始审计活动了。审计过程分成不同的阶段，以风险为基础可分为六个阶段，其中包括准备、评估、风险减轻、报告以及后续阶段。每个阶段现阐述如下：

准备阶段

准备阶段包括审计计划开始之前的个人参与安排。在这个阶段中，审计团队重新审视之前的工作文档、风险评估发现，并且确定个人参与的范围和目标。审计团队将听取管理层以及操作人员的意见，然后跟他们的评估结果相比较。审计团队的工作重点是理解公司的业务目标和功能，以便做出最明智的评估。

评估阶段

评估阶段包括分析系统和过程、确定漏洞并记录顾虑。在这个阶段中，审计人员可能会使用一个清单，但是主要依靠经验和判断来解释结果，并确定那些不太明显的异常现象。在这个阶段中，与操作人员协作来验证风险的严重性非常重要。某些“教科书”式的发现第一眼看起来似乎挺严重，但是却有着存在的充分理由（比如某些应用程序就需要特殊的操作要求）。因此，在把风险写进最后报告造成不必要的混乱之前，验证某些审计结果是否属实非常重要。

根据被审计系统、网络、或者过程的不同，必须要有些基础控制，以便评估的时候可以作为参考标准。比如，SANS研究所就列出了一份具有优先级的基础安全控制和措施清单。这些控制是由SANS公司联合美国联邦机构、民间渗透测试人员以及法律专家一起制定出来的，一些控制包括详细记录授权的以及未授权的设备、边界防护、应用程序安全、恶意软件防护、数据丢失防护、账户控制、无线控制以及数据恢复能力等。除了审计需要参考的基础控制以外，确保有到位的、能够保证业务功能正常的控制也很重要。

风险减轻阶段

风险减轻阶段包括采用合适的控制，以减轻风险。这个过程包括与公司沟通各种要求并建立风险减轻计划。有些控制的实施时间可能长达几周或者几个月，而有些则可以当场调整。这个阶段需要记录下可能的控制，以及操作人员为减轻风险而当场采取的行动。

报告阶段

在报告阶段，审计团队给管理层提供一份全面的报告，概述其调查结果。审计团队将分享风险减轻计划（正在进行的控制），并列出最重要的发现。这个阶段需要建立一个执行摘要，记录各种关键信息，以便管理人员做安全决策。执行摘要是高级别的概述，“简洁明了”地解释了企业的安全情况以及需要加强控制的后续步骤。

后续阶段

在后续阶段中，审计团队与公司进行协作，确保公司实施各种控制。在资源有限的环境中，公司可能缺少实施某些控制机制的技能。因此，审计人员要提供各种控制的深入见解，继续跟进各种控制，以确保他们得到实施。对于审计团队来说，跟踪过期的或者即将来临的风险减轻控制的实施过程很重要。审计团队应该建立一套含有清晰易懂图表的跟踪系统，用来显示各种控制的实施状态以及它们的期限。

【编辑推荐】

1. 解析数据库安全审计
2. 国内网络安全风险评估市场与技术操作

新闻名称：基于风险的审计方法：审计阶段
文章链接：http://www.shufengxianlan.com/qtweb/news26/38976.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联