不管你喜欢与否,每个人都得留着预算,并定期进行IT审计。但是仍然有一些创造性的方法最大限度利用你的IT审计开支。这里有10种方法。
1、用最佳实践收紧政策和程序
审计公司和数千家企业合作,他们了解新法规和合规性要求。在很多情况下,这些公司制定策略模板和流程,当你与他们合作的时候他们愿意与你分享。这会简化你自己的策略和流程制定,因为一开始你就从审计师那里拿到了通用的“最佳实践”模板。
2、提高你的非正式审计能力
如果你希望提高你自己的内部审计能力,那么一个良好的开端就是,让你员工中那些负责审计的人直接在现场与审计公司工作。这是让你的员工获得最佳实践培训和知识的绝佳方法。
3、了解新的安全威胁和安全技术
你的外部审计公司深谙新的和即将出现的安全威胁,以及如何应对这些威胁。花一些时间和他们就这些问题进行交流,这将是很宝贵的。
4、与其他小公司分享审计费用
审计是很昂贵的,尤其当你是一家小公司的时候。降低开支的途径之一,就是与其他那些面临相同处境的小公司合作,看看你们是否可以达成一揽子协议,从审计公司那里获得折扣价,以换取跨多个公司的约定。
5、将审计建议与厂商SLA审查和谈判联系起来
很少有企业有时间去升级他们与厂商签订的SLA,因为技术和行业趋势是不断变化的。最佳的SLA策略是每年定期审查与关键厂商的SLA,在需要的时候对SLA进行更新。你的审计人员是在这个流程中贡献意见的极好人选,因为他们平时会看到很多不同的公司和供应商。
6、利用审计建议实现对数据保留和数据获取合规的定期审查
每年重新检查数据保留和数据访问策略对于与最终用户打交道的IT来说是最难的事情之一。主要原因是人们都很忙,审查信息存储多长时间、或者谁访问了这些信息,并不是高优先级的事情。然而,如果你让审计员来审查数据保留/数据访问并提出建议的话,那么这个事情至少要每年都做,而且是他们必须要做的,这样你会在提交给公司董事会以及高层的最终报告中了解各项需求。
7、分清数据、报告和系统的“休眠池”
因为TI设计会调查数据存储和控制点,所以审计是找出哪些数据或者IT资源(例如报告或者系统)是休眠的/未使用的理想机会。利用这个机会建议根据审计报告的结果去清理这些资产。
8、审计现场办公
让现场办公数据和安全做法符合法规,要比在总部做这些难得多,因为这些办公环境远离最新控制机制。作为审计的一部分,你将需要把多这些办公环境的审计也包括其中,确保你在现场办公条件下对IT的管理是和在总部一样的。
9、邀请你的审计员向董事会就审计与安全趋势进行报告
让审计员来向董事会汇报可能是令人崩溃的,但是这个向董事会提出安全难题的机会是非常关键的。这将会为你未来可能需要向董事会呈现的合规性和安全/隐私问题铺平道路。
10、向法律顾问简要介绍审计结果
法律的步伐总是滞后于技术的。如果你的审计员向你汇报了新的合规性、隐私、安全趋势和安全法规,一定确保不仅与你的员工、董事会以及高层分享了这些信息,而且还有你的法律顾问。
原文发布时间为:2016年7月6日