compliance audit：合规性审计

合规性审计（compliance audit）是确定某一组织是否遵从了监管方针的一种综合性评述。

　　严格而言，合规性审计内容广泛多样，具体取决于某一组织的性质是公有还是私有公司；该公司处理的数据类型以及它是否传送或存储了敏感财务数据。举例而言，SOX（萨班斯法案）规定任何电子通信必须进行备份并有合理的灾难恢复体系作为保障。保存或传送如个人健康信息这样的电子医疗记录的医疗服务提供商必须遵守美国医治保险携带和责任法案（HIPAA）。传送信用卡数据的金融服务公司必须遵守PCI DSS标准。独立核算、安全或IT顾问需对合规准备的优点及全面性做出评价。无论在哪种情况下，被审计的组织都必须通过提供审计跟踪记录（审计跟踪记录通过由事件日志记录管理软件的数据生成）表明自己符合相关规定。

　　审计过程中，合规性审计员通常会向首席信息官（CIO）、首席技术官（CTO）和IT管理人员询问一系列尖锐问题。这些问题可能包括：添加了什么样的用户、何时添加了这些用户、哪些用户离开了公司、用户信息是否已经撤销以及什么样的IT管理人员已经能够进入关键系统。IT管理者可以通过使用事件日志管理工具以及健全的变更管理软件在IT系统内实现跟踪、文件审核和控制功能。GRC（治理、风险管理和法规遵从）软件类型的不断增加使得首席信息官可以方便地向审计人员和首席执行官展示某组织遵从法规，不会不受高额处罚或制裁。

最近更新时间：2009-02-08 翻译：沈珺EN