2.明確審計依據(jù)

審計依據(jù)就像一把“尺子”，審計人員用它來衡量信息系統(tǒng)控制的“長短”。審計目的不同，審計依據(jù)就可能不同。舉例如下：

序號 審計目的 審計依據(jù)

1確定是否滿足銀監(jiān)會關(guān)于商業(yè)銀行信息科技風(fēng)險管理要求 商業(yè)銀行信息科技風(fēng)險管理指引

2確定是否滿足我國信息安全等級保護(hù)工作要求本要求

3確定是否滿足信息安全管理體系國際標(biāo)準(zhǔn)要求 GB/T2.2239信息系統(tǒng)安全等級保護(hù)基ISO/IEC27001信息安全管理體系要求

確定組織自己制定的信息安全規(guī)章制度執(zhí)行情況 組織信息安全規(guī)章制度