[Day08]稽核行程倒数准备

https://ithelp.ithome.com.tw/upload/images/20210916/20103647BRdvjaYDs6.png

依不同单位的规定,在时程上会有些差异,不过应该大同小异。
流程大部份是确认稽核阶段 → 来准备稽核计画 → 复核 3 年内报告 → 准备查检表 → 稽核活动

2 周前准备稽核计画

希、希望啦…

稽核阶段

  • 初步审查
    初次拜访的时候,稽核组长会与受稽方对目前资讯安全系统架构、验证范围、行业特性、适用法规等等,
    基本就是对受稽方验证的范围有一个粗浅的认识,再来会请受稽方带我们认识一下资讯环境的现场环境,
    待初次拜访後,会择期全面性的验证详实的环境。

  • 持续访谈
    验证维持资讯管理系统作业持续精进,抽验验证范围来验证政策、程序书、作业程序各项任务且完善其责。

  • 重新验证
    三年循环之後,一样会有全面性的详实验证。

  • 转版评估
    转版差异评估
    预先评估:与受稽方确认转版计画及资讯管理系统,并与新版做各项规范进行对照,
    以及系统中是否存在任何差异之处,以节省时间与成本,後续会有相关转版验证的计画。

稽核计画

通常这段会是组长负责的工作项目。

证书变更

确认稽核阶段之後,再来会跟再稽方确认预计验证目标是否有重大调整。
证书上的范围就会是实际稽核的范围,不能多看(时间不够),也不能少看(需要符合验证内容):

  • 稽核稽核日期、此次稽核小组成员、预计稽核人天
  • 公司名称、地址 (邮递区号 3+3 )、验证范围 >> 若有异动需要变更证书
  • 范围异动、组织变动、人数增减、重大政策调整 >> 若有异动可能会需要调整人天或变更。

工作分配

再来还有要排定稽核项目:

  • 时间分配、地点分配
  • 稽核组员的项目是否公平,相同属性的会放在一起由同一位稽核组员负责
  • 稽核计画是否有包含到对应的标准

追踪事项

稽核前,需先确认上次的不符合事项,然後预计在此次稽核活动中确认改善後,将弱点结案。
但通常会看近三份的稽核报告确认此次的稽核重点,会再次确认之前不符合事项的部份是否已经改善罗?

高层访谈

与长官沟通此次稽核预计达到的目标,去确认该产业的概况、受稽单位的新闻、官网是必要的准备哦!
这样就能早点准备高层访谈的内容。
非必要,或配合长官时间,若长官没有时间也不勉强

1 周前准备查检表

精确提问

要学会精确提问,那麽要先知因果
不然会让受稽方不懂你在问什麽? 像说:「可以请您帮忙提供一下日志吗?」
这样再稽方听完,会觉得困惑:
「你要什麽日志?是要作业系统日志呢?还是要应用程序日志?还是要机房巡检日志?」
「你确认要看全部的日志?很长捏?」
这些都是没有精确提问造成的问题点。

如果在稽核的时候,遇到不精确的提问,有时候比较有经验的受稽方会引导回来:「请问是预期想看什麽?」
或是 真的无法了解稽核方为什麽要确认的话,甚至可以询问:「为什麽想要看这个呢?有什麽风险?」
如果一旁有顾问团队陪着稽核,甚至会讨论:「这样稽核是绑哪一条标准呢?」

最常见的切入方式是使用 5W1H 开始提问:原因(WHY)、对象(WHAT)、地点(WHERE)、时间(WHEN)、人员(WHO)、方法(HOW)等六个方面提出问题进行思考。可以使提问的内容更加具体,验证的项目也更全面。

或是 如果针对稽核的项目很熟悉了,就可以用 反向稽核 去证验:
如:稽核人员抽验发现服务器密码为 " 123456 " ,依风险控管来看这个设定不够安全,
那麽就会去反向确认在程序书中确认组织中密码的规范是否有相应的作法,如密码需要超过八码且应设定复杂密码
先找实务有风险或是需要评估的部份,再来翻程序书是否有相应规定,这样就不用看完整本程序书後太花时间,再来逐步进行稽核。

查检表

然後将先前提问的内容对应每个绑定的标准,就是查检表。 实习稽核最害怕的事情就是查检表被退呜呜呜
经验资深的前辈由於胸有成竹、了然於心,整个标准都已经熟记在脑海里了,就不用再提早准备查检表,
不然在实习阶段,查检表是需要观察员核可後,才可以开始实际进行每次的稽核活动。

请记得稽核活动的访谈是基於标准及风险控管的角度,
准备查检表请勿超出范围,也要确认每个稽核的标准都要确认到。
所以,在稽核的时候,可以预先准备查检表,一定要再三确认、验证每一个工作项目是否实际依规范执行

项目 验证范围 对应标准 查检内容 备注
1 委外开发 A.14.2.7 可以帮我看一下委外开发的合约书吗? 确认相关合约要求
2 委外开发 A.15.2.1 供应商都有依约执行吗?可以提供维护纪录或是定期监控报告吗?
3 委外开发 A.13.2.4 A.7.1.2 合约书有包含厂商及驻点人员的保密切结书吗?
4 委外开发 A.13.2.3 是如何交付程序码的呢? 确认电子传讯的保护机制

以上准备好就可以初次出发稽核罗!!!!!


<<:  Day8 - 如何读取委托回报、成交回报

>>:  第23天 - 延续昨天代替的东西_文件审核系统(1)_建表

【苹果用户必看】5套超级好用的iTunes替代数据传输软件

想要将 iPhone 数据备份到计算机或传输到另一部 iPhone? 寻找一个好的 iPhone 备...

DAY28 - 来试试看 line notify吧

在前一篇把 line message api 缺点和难用的地方写出来後,其实也在找其他的替代品,有...

Day10【Web】网路攻击:CSRF

CSRF / XSRF CSRF 全称 Cross Site Request Forgery, 中文...

[28] 用 python 刷 Leetcode: 1013

原始题目 Given an array of integers arr, return true i...

(Hard) 32. Longest Valid Parentheses

Given a string containing just the characters '(' ...