TechTarget信息化 > 百科词汇

compliance audit:合规性审计

合规性审计(compliance audit)是确定某一组织是否遵从了监管方针的一种综合性评述。

  严格而言,合规性审计内容广泛多样,具体取决于某一组织的性质是公有还是私有公司;该公司处理的数据类型以及它是否传送或存储了敏感财务数据。举例而言,SOX(萨班斯法案)规定任何电子通信必须进行备份并有合理的灾难恢复体系作为保障。保存或传送如个人健康信息这样的电子医疗记录的医疗服务提供商必须遵守美国医治保险携带和责任法案(HIPAA)。传送信用卡数据的金融服务公司必须遵守PCI DSS标准。独立核算、安全或IT顾问需对合规准备的优点及全面性做出评价。无论在哪种情况下,被审计的组织都必须通过提供审计跟踪记录(审计跟踪记录通过由事件日志记录管理软件的数据生成)表明自己符合相关规定。

  审计过程中,合规性审计员通常会向首席信息官(CIO)、首席技术官(CTO)和IT管理人员询问一系列尖锐问题。这些问题可能包括:添加了什么样的用户、何时添加了这些用户、哪些用户离开了公司、用户信息是否已经撤销以及什么样的IT管理人员已经能够进入关键系统。IT管理者可以通过使用事件日志管理工具以及健全的变更管理软件在IT系统内实现跟踪、文件审核和控制功能。GRC(治理、风险管理和法规遵从)软件类型的不断增加使得首席信息官可以方便地向审计人员和首席执行官展示某组织遵从法规,不会不受高额处罚或制裁。

最近更新时间:2009-02-08 翻译:沈珺EN

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 自动服务台工具如何提高远程生产效率

    由于疫情持续,最大的文化转变之一是全球员工转向远程办公。数以千计的公司已被迫进入在家办公文化的陌生领域,而我们 […]

  • 面对疫情 企业沟通最佳做法

    我通常会写如何战略性利用数据和技术,以影响员工在工作场所的健康、财富和职业发展。但是,现在我想要探讨某些企业重 […]

  • 如何制定技术策略

    CIO对这个问题很熟悉:“我们的技术策略是什么?” 有时候,这个问题很宽泛,涉及制定总体技术战略,但更多时候这 […]

  • 为什么CIO需要建立自动化CoE

    通往自动化的道路布满荆棘。根据Gartner的说法,大多数企业都在努力扩展超过5个机器人流程自动化(RPA)部 […]