compliance audit:合规性审计
合规性审计(compliance audit)是确定某一组织是否遵从了监管方针的一种综合性评述。 严格而言,合规性审计内容广泛多样,具体取决于某一组织的性质是公有还是私有公司;该公司处理的数据类型以及它是否传送或存储了敏感财务数据。举例而言,SOX(萨班斯法案)规定任何电子通信必须进行备份并有合理的灾难恢复体系作为保障。保存或传送如个人健康信息这样的电子医疗记录的医疗服务提供商必须遵守美国医治保险携带和责任法案(HIPAA)。传送信用卡数据的金融服务公司必须遵守PCI DSS标准。独立核算、安全或IT顾问需对合规准备的优点及全面性做出评价。无论在哪种情况下,被审计的组织都必须通过提供审计跟踪记录(审计跟踪记录通过由事件日志记录管理软件的数据生成)表明自己符合相关规定。 审计过程中,合规性审计员通常会向首席信息官(CIO)、首席技术官(CTO)和IT管理人员询问一系列尖锐问题。这些问题可能包括:添加了什么样的用户、何时添加了这些用户、哪些用户离开了公司、用户信息是否已经撤销以及什么样的IT管理人员已经能够进入关键系统。IT管理者可以通过使用事件日志管理工具以及健全的变更管理软件在IT系统内实现跟踪、文件审核和控制功能。GRC(治理、风险管理和法规遵从)软件类型的不断增加使得首席信息官可以方便地向审计人员和首席执行官展示某组织遵从法规,不会不受高额处罚或制裁。
最近更新时间:2009-02-08 翻译:沈珺EN
相关推荐
-
缓解多云治理挑战的5个最佳做法
部署多云模型会给云团队带来更多的复杂性和管理挑战。这些挑战影响着企业环境的方方面面,包括设计、部署、配置、运营 […]
-
联合国决议表明全球关注AI规则和原则
联合国大会周四通过了一项关于人工智能的最终决议,这是朝着全球合作迈出的一步-关于如何使用人工智能和全球支持保护 […]
-
4个需要解决的虚拟现实道德问题
虚拟、增强和混合现实(统称为扩展现实XR)的增长导致出现分歧。一边是用户和供应商,另一边是法律专家和伦理学家& […]
-
如何逐步改进和优化业务流程
随着企业的发展壮大,他们的业务流程也在不断发展。根据企业的规模不同,企业内部和外部的利益相关者每天都会参与数十 […]