回复 蛤蟆 的帖子

谢谢，讲得挺通俗易懂的:)

所谓安全审计，是指评估企业安全风险以及如何应对风险措施的一个过程。这是一个人为的过程，有一群拥有相关计算机专业技能和商业知识的审计人员操作进行。作为审计的一个过程，审计人员会询问关键职员，实施漏洞评估，给现有的安全政策和控制造册，检查IT资产。很多情况下，审计很大程度上有赖于技术工具。

安全审计的焦点问题如下：

1. 密码是否牢靠?

2. 网络是否有访问控制清单?

3. 访问日志是否记录了访问数据的人员?

4. 个人电脑是否经常扫描 软件和恶意软件?

5. 谁有权访问组织中的备份存储媒介?

安全审计和普通的审计也没啥区别吧。就是检查你的安全管理体系是不是充分保护了公司资产，包括你的policy，process，procedure，guideline等等，有请提交文件、记录，审计的会看这些个文档里的控制是不是充分，对记录随机或者统计抽样等。