企业实施信息安全审计的关键流程安全审计的焦点问题如下:1. 密码是否牢靠?2. 网络是否有访问控制清单?3. 访问日志是否记录了访问数据的人员?4. 个人电脑是否经常扫描广告软件和恶意软件?5. 谁有权访问组织中的备份存储媒介?当然以上只是例举了一小部分问题。审计不是一个短期的静止的过程,而是一个连续不断需要提高的过程。一些评论家说,审计的焦点应该在于评估企业现行的安全政策是否兼容一致。当然,审 计不仅仅是评估兼容性问题,还有企业安全政策和控制本身。很多时候,企业一些老旧的管理规定赶不上新的技术的发展。安全审计是最有效的办法。安全审计的关键流程在实施审计之前有几步是很关键的(譬如,审计需要得到企业高层的支持),以下是审计本身实施的关键步骤:1. 定义审计的物质范畴。划定审计的范围很关键。划定的范围之间要有一些联系,譬如数据中心局域网,或是商业相关的一些东西,财务报表等。不管采用哪种方式,审计范畴的划定有利于审计人员集中注意力在资产,规程和政策方面。2. 划定审计的步骤范围。过于宽泛的审计步骤会延缓审计。但是过窄又会导致审计不完全,难以得出
