D6-04 7–9 分钟 重要程度:高

安全审计、标准与独立性

审计的考试重点不是工具,而是独立性、审计范围、适用标准、证据和报告对象;内部评估不能替代独立审计。

一、必须记住

  • Security audit 使用评估技术,但必须由独立审核员执行。
  • 审计标准应在开始前明确,例如 COBIT、ISO 27001、ISO 27002 或合规要求。
  • COBIT 是通用 IT 治理、控制和审计框架。
  • ISO 27001 关注 ISMS 建立和认证;ISO 27002 提供安全控制实践指南。
  • 内部审计人员属于组织内部,但应向 CEO、总裁或董事会等高层报告。
  • 外部审计由外部审计公司执行,公信力通常较高。
  • 第三方审计可由监管机构、客户或合同要求触发。

二、核心概念

审计标准

审计团队需要先确认用什么标准判断控制是否足够。COBIT 提供通用控制目标和治理视角;ISO 27001 描述信息安全管理体系;ISO 27002 提供控制实践细节。

独立性

审计人员不能审自己设计或运营的控制。即使是内部审计,也要通过组织汇报线保持独立,例如直接向董事会、CEO 或审计委员会报告。

审计类型

内部审计由组织内审执行;外部审计由独立外部公司执行;第三方审计通常来自监管、客户或合同关系,由另一组织确定范围或审核人员。

三、CISSP 判断规则

  • 问“审计最关键属性”,优先 Independence。
  • 问“IT 治理和控制目标通用框架”,选 COBIT。
  • 问“建立 ISMS”,选 ISO 27001。
  • 问“安全控制实践指南”,选 ISO 27002。
  • 问“内审如何保持独立”,选向董事会或最高管理层报告。

四、常见陷阱

  • 安全团队自查不是安全审计,除非满足独立审计要求。
  • ISO 27001 和 ISO 27002 常被混淆:一个是管理体系要求,一个是控制实践指南。
  • 审计发现不是修复本身;管理层仍需接受风险、转移风险或推动整改。

五、英文关键字

Security audit (安全审计) Independence (独立性) COBIT (信息及相关技术控制目标) ISO 27001 (信息安全管理体系标准) ISO 27002 (信息安全控制实践标准) ISMS (信息安全管理体系) Internal audit External audit Third-party audit Audit evidence

小测验

1. 某团队审计自己负责设计和运营的访问控制,最大问题是?

审计必须独立。审自己负责的控制会产生利益冲突,不能提供可靠保证。

2. 建立和认证信息安全管理体系最相关的标准是?

ISO 27001 描述 ISMS 的要求;ISO 27002 是控制实践指南。

3. 内部审计负责人最好向谁报告以支持独立性?

内审虽然在组织内部,但应通过高层汇报线避免被被审计部门影响。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成