2.明確審計(jì)依據(jù)

審計(jì)依據(jù)就像一把“尺子”，審計(jì)人員用它來衡量信息系統(tǒng)控制的“長(zhǎng)短”。審計(jì)目的不同，審計(jì)依據(jù)就可能不同。舉例如下：

序號(hào) 審計(jì)目的 審計(jì)依據(jù)

1確定是否滿足銀監(jiān)會(huì)關(guān)于商業(yè)銀行信息科技風(fēng)險(xiǎn)管理要求 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引

2確定是否滿足我國(guó)信息安全等級(jí)保護(hù)工作要求本要求

3確定是否滿足信息安全管理體系國(guó)際標(biāo)準(zhǔn)要求 GB/T2.2239信息系統(tǒng)安全等級(jí)保護(hù)基ISO/IEC27001信息安全管理體系要求

確定組織自己制定的信息安全規(guī)章制度執(zhí)行情況 組織信息安全規(guī)章制度