以ISO27001為基礎(chǔ)整合實(shí)現(xiàn)SAS70審計(jì)需求.pdf

1、商務(wù)部為順應(yīng)國(guó)際外包服務(wù)發(fā)展的潮流,啟動(dòng)了“千百十”工程,目標(biāo)是在“十一五”期間,在全國(guó)建設(shè)10個(gè)具有一定國(guó)際競(jìng)爭(zhēng)力的服務(wù)外包基地城市,推動(dòng)100家世界著名跨國(guó)公司將其服務(wù)外包業(yè)務(wù)轉(zhuǎn)移到中國(guó),培育1000家取得國(guó)際資質(zhì)的大中型服務(wù)外包企業(yè)。對(duì)于外包服務(wù)發(fā)包商來說,在其將其業(yè)務(wù)外包時(shí),必定要考慮的兩個(gè)問題,并由此引發(fā)了對(duì)應(yīng)的兩類審計(jì)需求:(1)質(zhì)量審計(jì)需求:外包服務(wù)提供商是否有足夠的能力來按照合同的要求、按時(shí)、保質(zhì)、保量完成其所接受的業(yè)務(wù)

2、?(2)信息安全審計(jì)需求:企業(yè)在外包合作過程中必須向服務(wù)商披露大量商業(yè)或法律敏感信息。外包服務(wù)提供商能否有效保護(hù)相關(guān)機(jī)密,以免給公司帶來業(yè)務(wù)上的傷害,或引起法律問題?
　　本文主要對(duì)信息安全審計(jì)需求的實(shí)現(xiàn)進(jìn)行了分析,目前主流的信息安全審計(jì)是ISO/IEC27001和SAS70審計(jì)。(1)在對(duì)ISO/IEC27001和SAS70的審計(jì)需求進(jìn)行分析之前,介紹了有關(guān)信息安全管理、信息安全控制和審計(jì)的相關(guān)關(guān)系。信息安全是通過實(shí)施一些系列的

3、安全控制措施來實(shí)現(xiàn)的,而信息安全的審計(jì)則是對(duì)實(shí)施的信息安全措施是否合理、有效進(jìn)行評(píng)估。(2) ISO/IEC27001和SAS70都是針對(duì)信息安全進(jìn)行的審計(jì)需求。其需求在很大程度上是相交叉的。ISO/IEC2700作為一個(gè)廣泛接受的國(guó)際標(biāo)準(zhǔn),關(guān)注在建立一個(gè)企業(yè)在信息安全方面的風(fēng)險(xiǎn)管理框架。SAS70則是應(yīng)美國(guó)政府推出的SOX法案而帶來的審計(jì)需求。其更關(guān)注在信息外包服務(wù)對(duì)服務(wù)發(fā)包方財(cái)務(wù)報(bào)表帶來的信息安全問題。(3)分析了如何獨(dú)立實(shí)現(xiàn)ISO

4、/IEC27001和SAS70的審計(jì)要求以及獨(dú)立實(shí)現(xiàn)兩種相近審計(jì)需求所帶來的問題。兩個(gè)體系的獨(dú)立實(shí)現(xiàn),導(dǎo)致組織不得不做重復(fù)勞動(dòng),因此出現(xiàn)了兩本手冊(cè)、兩套程序文件、重復(fù)內(nèi)審、重復(fù)管理評(píng)審的現(xiàn)象,導(dǎo)致管理體系運(yùn)行效率低下,而且容易導(dǎo)致政令不統(tǒng)一、信息不能共享、甚至互相排斥的情況。(4)分析了企業(yè)如何整合實(shí)現(xiàn)ISO/IEC27001和SAS70的審計(jì)需求。在ISO/IEC27001的風(fēng)險(xiǎn)管理框架的基礎(chǔ)上,融合SAS70的審計(jì)要求,最終形成一套