10種方式幫你最大限度利用IT審計

不管你喜歡與否，每個人都得留着預算，并定期進行IT審計。但是仍然有一些創造性的方法最大限度利用你的IT審計開支。這裡有10種方法。

1、用最佳實踐收緊政策和程式

審計公司和數千家企業合作，他們了解新法規和合規性要求。在很多情況下，這些公司制定政策模闆和流程，當你與他們合作的時候他們願意與你分享。這會簡化你自己的政策和流程制定，因為一開始你就從審計師那裡拿到了通用的“最佳實踐”模闆。

2、提高你的非正式審計能力

如果你希望提高你自己的内部審計能力，那麼一個良好的開端就是，讓你員工中那些負責審計的人直接在現場與審計公司工作。這是讓你的員工獲得最佳實踐教育訓練和知識的絕佳方法。

3、了解新的安全威脅和安全技術

你的外部審計公司深谙新的和即将出現的安全威脅，以及如何應對這些威脅。花一些時間和他們就這些問題進行交流，這将是很寶貴的。

4、與其他小公司分享審計費用

審計是很昂貴的，尤其當你是一家小公司的時候。降低開支的途徑之一，就是與其他那些面臨相同處境的小公司合作，看看你們是否可以達成一攬子協定，從審計公司那裡獲得折扣價，以換取跨多個公司的約定。

5、将審計建議與廠商SLA審查和談判聯系起來

很少有企業有時間去更新他們與廠商簽訂的SLA，因為技術和行業趨勢是不斷變化的。最佳的SLA政策是每年定期審查與關鍵廠商的SLA，在需要的時候對SLA進行更新。你的審計人員是在這個流程中貢獻意見的極好人選，因為他們平時會看到很多不同的公司和供應商。

6、利用審計建議實作對資料保留和資料擷取合規的定期審查

每年重新檢查資料保留和資料通路政策對于與最終使用者打交道的IT來說是最難的事情之一。主要原因是人們都很忙，審查資訊存儲多長時間、或者誰通路了這些資訊，并不是高優先級的事情。然而，如果你讓審計員來審查資料保留/資料通路并提出建議的話，那麼這個事情至少要每年都做，而且是他們必須要做的，這樣你會在送出給公司董事會以及高層的最終報告中了解各項需求。

7、厘清資料、報告和系統的“休眠池”

因為TI設計會調查資料存儲和控制點，是以審計是找出哪些資料或者IT資源（例如報告或者系統）是休眠的/未使用的理想機會。利用這個機會建議根據審計報告的結果去清理這些資産。

8、審計現場辦公

讓現場辦公資料和安全做法符合法規，要比在總部做這些難得多，因為這些辦公環境遠離最新控制機制。作為審計的一部分，你将需要把多這些辦公環境的審計也包括其中，確定你在現場辦公條件下對IT的管理是和在總部一樣的。

9、邀請你的審計員向董事會就審計與安全趨勢進行報告

讓審計員來向董事會彙報可能是令人崩潰的，但是這個向董事會提出安全難題的機會是非常關鍵的。這将會為你未來可能需要向董事會呈現的合規性和安全/隐私問題鋪平道路。

10、向法律顧問簡要介紹審計結果

法律的步伐總是滞後于技術的。如果你的審計員向你彙報了新的合規性、隐私、安全趨勢和安全法規，一定確定不僅與你的員工、董事會以及高層分享了這些資訊，而且還有你的法律顧問。  

原文釋出時間為：2016年7月6日

本文來自雲栖社群合作夥伴至頂網，了解相關資訊可以關注至頂網