D6-04 7–9 分钟 重要程度:高
安全审计、标准与独立性
审计的考试重点不是工具,而是独立性、审计范围、适用标准、证据和报告对象;内部评估不能替代独立审计。
一、必须记住
- Security audit 使用评估技术,但必须由独立审核员执行。
- 审计标准应在开始前明确,例如 COBIT、ISO 27001、ISO 27002 或合规要求。
- COBIT 是通用 IT 治理、控制和审计框架。
- ISO 27001 关注 ISMS 建立和认证;ISO 27002 提供安全控制实践指南。
- 内部审计人员属于组织内部,但应向 CEO、总裁或董事会等高层报告。
- 外部审计由外部审计公司执行,公信力通常较高。
- 第三方审计可由监管机构、客户或合同要求触发。
二、核心概念
审计标准
审计团队需要先确认用什么标准判断控制是否足够。COBIT 提供通用控制目标和治理视角;ISO 27001 描述信息安全管理体系;ISO 27002 提供控制实践细节。
独立性
审计人员不能审自己设计或运营的控制。即使是内部审计,也要通过组织汇报线保持独立,例如直接向董事会、CEO 或审计委员会报告。
审计类型
内部审计由组织内审执行;外部审计由独立外部公司执行;第三方审计通常来自监管、客户或合同关系,由另一组织确定范围或审核人员。
三、CISSP 判断规则
- 问“审计最关键属性”,优先 Independence。
- 问“IT 治理和控制目标通用框架”,选 COBIT。
- 问“建立 ISMS”,选 ISO 27001。
- 问“安全控制实践指南”,选 ISO 27002。
- 问“内审如何保持独立”,选向董事会或最高管理层报告。
四、常见陷阱
- 安全团队自查不是安全审计,除非满足独立审计要求。
- ISO 27001 和 ISO 27002 常被混淆:一个是管理体系要求,一个是控制实践指南。
- 审计发现不是修复本身;管理层仍需接受风险、转移风险或推动整改。
五、英文关键字
Security audit (安全审计) 定义:由独立审核员依据标准检查控制并形成可证明报告。 Independence (独立性) 定义:审计人员不应审查自己负责设计或运营的控制。 COBIT (信息及相关技术控制目标) 定义:偏 IT 治理和控制目标。 ISO 27001 (信息安全管理体系标准) 定义:定义 ISMS 建立、运行和认证要求。 ISO 27002 (信息安全控制实践标准) 定义:提供信息安全控制最佳实践。 ISMS (信息安全管理体系) 定义:用于治理、管理和持续改进信息安全的体系。 Internal audit External audit Third-party audit Audit evidence
小测验
1. 某团队审计自己负责设计和运营的访问控制,最大问题是?
审计必须独立。审自己负责的控制会产生利益冲突,不能提供可靠保证。
2. 建立和认证信息安全管理体系最相关的标准是?
ISO 27001 描述 ISMS 的要求;ISO 27002 是控制实践指南。
3. 内部审计负责人最好向谁报告以支持独立性?
内审虽然在组织内部,但应通过高层汇报线避免被被审计部门影响。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成