安全審計實施過程是什么

審計本身實施的關鍵步驟：

1.定義審計的物質范疇。規定審計的范圍很關鍵。規定的范圍之間要有一些聯系，譬如數據中心局網，或是商業相關的一些東西，財物報表等。不管采用采用哪種方式，審計范疇的規定有利于審計人員集中注意力在資產、規程和政策方面。

2.劃定審計的步驟范圍。過于寬泛的審計步驟會延緩審計。但是過窄又會導致審計不完全，難以得出令人信服的結果。應該確定一個合適的安全審計區域。不管企業的大小，都應該將主要精力放在審計的重點上。

3.研究歷史。審計中常遺忘的一個過程就是不查閱以前的審計歷史。藉此我們可以把注意力放在已知的安全漏洞，損害導致的安全事件，還有IT結構的企業流程的改變等等。這應該包括過去審計的評估。還有，審計人員應該將位于審計范圍內的所有資產及其相關的管理規章造冊編輯好。

4.恰當的審計計劃。一個詳細備至的審計計劃是實施有效審計一個關鍵。包括審計內容的詳細描述，關鍵日期，參與人員和獨立機構。

5.實施安全風險評估。一旦審計小組制定好了有效的審計計劃，就可以著手開始審計的核心–風險評估。風險評估覆蓋以下幾個方面：

A.確認位于安全審計范用之內的資產，根據其商業價值確認優先順序。譬如，支持命令進入程序的網絡服務器就比支撐IT部門內部博客的服務器重要的的多。

B.找出潛在的威脅。威脅的定義是指有可能造成資產潛在風險的因素。

C.將資產的各類漏洞編一個目錄。特別是那些資產現有的漏洞及由此可能產生的風險。

D.檢查現有資產是否有相應的安全控制。這些控制必須存在并且可用。如果缺少這些就應該記錄下來。控制包括技術方面的，譬加防火墻；流程方面的，譬如數據備份過程；人事方面的，譬如管理相關資產的系統管理人員。

E.確認風險發生的可能性。審計小組必須給出每個風險可能導致危險的量化的可能性。風險可能性的評估表明了現行控制處置風險的能力。這些可能性應該用不同的層級來表示。

F.確定風險的潛在危害。審計人員必須再次將風險發生造成的危害量化，這種量化的評估也需要用層級表示。

G.風險評估。審計人員使用上述兩個參數（可能性乘以危害）計算風險。這樣根據風險評估的結果來提高處且風險的有效性。

6.記錄下審計姑果。這并不是說需要上述所有審計的一個詳盡的姑果。審計文件包括總結，審計原因，必要的升級和糾正，支持數據。審計小組還要把文件制成ppt演出文稿。

7.提出改進意見。安全審計最終的好處就是提出相應的提高安全的建議。這些建議應該是客戶可以實施的形式。

回答所涉及的環境：聯想天逸510S、Windows 10。