compliance audit:合规性审计
合规性审计(compliance audit)是确定某一组织是否遵从了监管方针的一种综合性评述。 严格而言,合规性审计内容广泛多样,具体取决于某一组织的性质是公有还是私有公司;该公司处理的数据类型以及它是否传送或存储了敏感财务数据。举例而言,SOX(萨班斯法案)规定任何电子通信必须进行备份并有合理的灾难恢复体系作为保障。保存或传送如个人健康信息这样的电子医疗记录的医疗服务提供商必须遵守美国医治保险携带和责任法案(HIPAA)。传送信用卡数据的金融服务公司必须遵守PCI DSS标准。独立核算、安全或IT顾问需对合规准备的优点及全面性做出评价。无论在哪种情况下,被审计的组织都必须通过提供审计跟踪记录(审计跟踪记录通过由事件日志记录管理软件的数据生成)表明自己符合相关规定。 审计过程中,合规性审计员通常会向首席信息官(CIO)、首席技术官(CTO)和IT管理人员询问一系列尖锐问题。这些问题可能包括:添加了什么样的用户、何时添加了这些用户、哪些用户离开了公司、用户信息是否已经撤销以及什么样的IT管理人员已经能够进入关键系统。IT管理者可以通过使用事件日志管理工具以及健全的变更管理软件在IT系统内实现跟踪、文件审核和控制功能。GRC(治理、风险管理和法规遵从)软件类型的不断增加使得首席信息官可以方便地向审计人员和首席执行官展示某组织遵从法规,不会不受高额处罚或制裁。
最近更新时间:2009-02-08 翻译:沈珺EN
相关推荐
-
帮助台与服务台:有什么区别?
对于每个企业来说,提供支持都是关键任务。员工、合作伙伴和客户都在使用企业的应用程序和服务。当发生故障、出现问题 […]
-
面向AI的新网络安全蓝图
网络需要更新安全措施来跟上AI的发展步伐。 在Cisco Live 2025大会上,网络专业人士齐聚一堂,讨论 […]
-
什么是供应商风险管理(VRM)?企业指南
每个企业都依赖第三方供应商提供服务、技术或其他组件。但随着供应商的增加,企业的供应链都会面临:攻击面扩大和风险 […]
-
CIO转向ESG技术作为可持续性领导力的一部分
CIO(CIO)对企业环境可持续性工作至关重要,特别是在选择技术方面,以支持此类工作。 这意味着CIO应该了解 […]