10種方式幫你最大限度利用IT審計
不管你喜歡與否�,每個人都得留著預算,并定期進行IT審計�。但是仍然有一些創造性的方法最大限度利用你的IT審計開支�。這里有10種方法����。
1����、用最佳實踐收緊政策和程序
審計公司和數千家企業合作,他們了解新法規和合規性要求。在很多情況下,這些公司制定策略模板和流程,當你與他們合作的時候他們愿意與你分享���。這會簡化你自己的策略和流程制定,因為一開始你就從審計師那里拿到了通用的“最佳實踐”模板。
2����、提高你的非正式審計能力
如果你希望提高你自己的內部審計能力����,那么一個良好的開端就是���,讓你員工中那些負責審計的人直接在現場與審計公司工作����。這是讓你的員工獲得最佳實踐培訓和知識的絕佳方法。
3���、了解新的安全威脅和安全技術
你的外部審計公司深諳新的和即將出現的安全威脅,以及如何應對這些威脅����?���;ㄒ恍r間和他們就這些問題進行交流���,這將是很寶貴的���。
4�、與其他小公司分享審計費用
審計是很昂貴的���,尤其當你是一家小公司的時候���。降低開支的途徑之一����,就是與其他那些面臨相同處境的小公司合作,看看你們是否可以達成一攬子協議�,從審計公司那里獲得折扣價���,以換取跨多個公司的約定����。
5�、將審計建議與廠商SLA審查和談判聯系起來
很少有企業有時間去升級他們與廠商簽訂的SLA,因為技術和行業趨勢是不斷變化的�。最佳的SLA策略是每年定期審查與關鍵廠商的SLA���,在需要的時候對SLA進行更新�。你的審計人員是在這個流程中貢獻意見的極好人選���,因為他們平時會看到很多不同的公司和供應商����。
6、利用審計建議實現對數據保留和數據獲取合規的定期審查
每年重新檢查數據保留和數據訪問策略對于與最終用戶打交道的IT來說是最難的事情之一����。主要原因是人們都很忙���,審查信息存儲多長時間�、或者誰訪問了這些信息���,并不是高優先級的事情���。然而����,如果你讓審計員來審查數據保留/數據訪問并提出建議的話,那么這個事情至少要每年都做����,而且是他們必須要做的����,這樣你會在提交給公司董事會以及高層的最終報告中了解各項需求���。
7�、分清數據、報告和系統的“休眠池”
因為TI設計會調查數據存儲和控制點���,所以審計是找出哪些數據或者IT資源(例如報告或者系統)是休眠的/未使用的理想機會。利用這個機會建議根據審計報告的結果去清理這些資產����。
8���、審計現場辦公
讓現場辦公數據和安全做法符合法規����,要比在總部做這些難得多����,因為這些辦公環境遠離最新控制機制����。作為審計的一部分,你將需要把多這些辦公環境的審計也包括其中,確保你在現場辦公條件下對IT的管理是和在總部一樣的�。
9�、邀請你的審計員向董事會就審計與安全趨勢進行報告
讓審計員來向董事會匯報可能是令人崩潰的�,但是這個向董事會提出安全難題的機會是非常關鍵的。這將會為你未來可能需要向董事會呈現的合規性和安全/隱私問題鋪平道路。
10、向法律顧問簡要介紹審計結果
法律的步伐總是滯后于技術的。如果你的審計員向你匯報了新的合規性�、隱私���、安全趨勢和安全法規�,一定確保不僅與你的員工�、董事會以及高層分享了這些信息,而且還有你的法律顧問�。
