حسابرسی امنیت کامپیوتر چیست؟
حسابرسی تأیید امنیت شبکه اطلاعاتی سیستم یک فرآیند بررسی حرفهای سیستماتیک درخصوص کنترلهای مدیریت اطلاعاتی سازمان در برابر یک مجموعه از معیارهای تعریف شدهای بمنظور تعیین کفایت و اثربخشی از امنیت دادهها که بصورت یکپارچه بوده و در دسترس باشد.
این معیارها میبایست ناشی از سیاستها، الزامات قانونی، ماهیت و شیوه عملکردی صنعت میباشد. فرآیند حسابرسی مذکور میبایست جهت کمک به سیستمهای حفاظتی سازمان از خود، مردم از بابت عواملی از جمله ایجاد دادخواهی، سرقت اصلاحات و هویت مدرک، از دست دادن ماهیت معنوی و به همین ترتیب فرآیند حسابرسی مذکور نیاز به ارزیابی و سنجش اینکه چگونه این فرآیند به خوبی انجام میشود و یا در مراحل ایجاد ریسک آگاهی لازم را مدیریت ارائه مینماید.
فرآیند حسابرسی مذکور همچنین نیازمند وجود یک سیستم بازخوردی عمده در سازمان نسبت به برنامههای امنیتی (اطلاعات) میباشد و میبایست حسابرسی مذکور بطور منظم و با درک واقعی از فرآیندها و رویههای اجرائی سازمان صورت پذیرد بطوریکه حسابرس میبایست قادر باشد فرآیند ارزیابی مذکور را همانند یک عملیات فنی پلیسی مورد کنترل و آزمون قرار دهد.
اما به یاد داشته باشیم که حسابرسی یک فرآیند استاندارد میباشد که حسابرسی خوب چگونه میباشد و اینکه فرآیند حسابرسی مذکور از کجا شروع کنیم؟
لذا میبایست آغاز این فرآیند حسابرسی متناسب با روشها و سیاستهای شرکت خواهد بود چارچوب انتخابی برای حسابرسی مذکور، بررسی سیاستها، رویهها و استانداردهای لازم مالی و ارتباطی بین عوامل سازمان آغاز خواهد شد. بطوریکه چنانچه خارج از دوره مذکور اطمینان حاصل شود که انجام ارزیابیهای حسابرسی انجام شده بدنبال عملیات ابطال با توجه به استانداردهای منسوخ شده میباشد که این برنامهها مؤثرتر از برنامه آنتی ویروس برای فایلهای از رده خارج شده میباشد. براساس تعریف حسابرسی، روش حسابرسی و انواع دامنهها و فرکانس و روشها صورت میپذیرد.
تهدیدات خاص وارده به سازمان میبایست در تجزیه و تحلیل خطر و آسیبپذیری سازمان شناسای گردد. استراتژی و کاهش ریسک در حال گسترش و اجرای آن قبل از حسابرسی روند صورت پذیرد. RA/VA اقدام به شناسایی بحرانی شرکت از جمله اموال، اطلاعات شحصی و اسرار تجاری و دادههای اختصاصی مینماید.
سیاست مهم
اتخاذ سیاستهای مهم و مؤثر که میبایست بر شرکت و محیط نظارت سال کنترل و مؤثر باشد با توجه به نقش ویژه آن نباید اغراقآمیز تلقی گردد. همچنین اینکه این سیاستها به هیأت مدیریت اجرایی نیازمند هستند. بطوریکه اگر مدیریت اجرایی مؤثر عمل نماید اثر این سیاستها در سازمان بسیار مطلوب خواهد بود و اگر این حمایت صورت نپذیرد ممکن است نیتجهای بیفایده برای سازمان در بر داشته باشد. تعریف فرآیند حسابرسی سیاست، اهداف و دامنه (زمانی که موضوع حسابرسی فناوری اطلاعات مطرح است) بسیار محدود خواهد بود و به یاد داشته باشیم که سیات اتخاذ شده در شرکت میتواند همانند یک شمشیر دو لبه حرکت کند. در بسیاری از موارد مطروحه در دادگاهها و مراجع قضائی این واقعیت که یک شرکت سیاستهای خوب و مطابق با قوانین را به اجراء درآورده است در عمل به سیاتها منتج به موفقیت سازمان خواهد شد در هر حال در چند مورد اخیر این موضوع که یک شرکت سیاستهای بسیار مناسبی را اتخاذ نموده ولیکن آن را عملیاتی و اجرائی ننموده است و یا در اجرای آن بصورت انتخابی عمل نموده سات همواره مورد پرسش نهادهای قانونی بوده است.
لذا برای مؤثر بودن این فرآین حسابرسی، حسابرسان باید به نحوه انجام وظایف خود آگاه باشند. سیاست .............. از در حسابرس و تقبل هرگونه مسئولیت در قبال خسارت وارده به سازمان ممکن است عاملی مؤثر در این فرآیند باشد مگر اینکه خسارات ایجاد شده از این محل در نتیجه غفلت در اجرای مسئولیت محوله یا سوءرفتارهای عمدی در اجرای حسابرسی داخلی باشد.
در حسابرسی سیاستها روشها و ابزار خاصی که برای استفاده در داخل محدوده مجاز میبایست مورد بررسی و آزمون قرار گیرد بطوریکه میبایست سیاستهای تدوین شده و تأیید شده توسط واحد حقوقی مورد بررسی و تأیید قرار گیرد. توسط واحد حسابرسی مورد بررسی قرار گیرد بطوریکه در فرآیند ممیزی بررسی نماید که آیا فعالیتهای مجرمانهای در این ارتباط در سازمان صورت گرفته است زیرا که برخی از شرکتها بطور کامل در فعالیتهای خود با حمایت از قانون اجرائی میکنند و در حالی که برخی دیگر از شرکتها ترسی از صدمه زدن به اعتبار شرکت نداشته و ندارند در حالی که حسابرسیی این موارد را در فرآیند رسیدگیهای خود مورد توجه قرار میدهد.
با این حال این سؤال وجود دارد که چگونه میتوان رفتارها را به میزان قابل توجهی تحت تأثیر قرار داد چرا که این موضوع نیز تابعی از فرهنگ کسب و کار زمان است که این فاهیم در آن مورد توجه میباشد. باشگاه SANS به عنوان بهترین سازمان
در امنیت اطلاعات بپردازیم. زمانی که این شرکت دارای یک سیاست تدوین شده روشن و شفاف از لحاظ قانون میباشد انواع حسابرسی در این ارتباط:
1. امنیت اطلاعات
2. پذیرش قوانین و دستورالعملهای (PCI: DSS, SOX, HIPAA)
3. ممیزی داخلی که معمولاً توسط پرسنل سازمان در خانههایشان صورت میپذیرد. چنانچه انجام فرآیند حسابرسی در هر زمان حسابرسی در خارج از سازمان صورت گیرد این امر منتج به افزایش ارزش داخلی، توسعه چشمانداز و اعتبار داخلی سازمان خواهد شد. البته حسابرس مستقل خارج از سازمان به علت مستقل بودن و توجه مدیریت اجرائی و هیأت مدیره به نقش آنها میتواند مؤثرتر تلقی شود.
انجام حسابرسی توسط حسابرس مستقل خارج از سازمان عملاً نیازمند تدوین یک دستور کار خخاص و یا تنظیم توافقنامهای جهت تشریح سطح خدمات (SH) بطوریکه چنانچه هدف اعمال کنترل از راه دور سایتها باشد واحد حسابرسی بدنبال اطمینانبخشی از اجرای سیاستهای تدوین شده در سراسر شرکت درخصوص عددم وجود ضعف در لینکها و برنامههای امنیتی شرکت میباشد و این فرصتی برای اعمال آموزش به پرسنل شاغل در سایتهای محلی جهت آگاهی از برنامههای امنیتی میباشد چه کسی مورد حسابرسی امنیتی قرار گیرد؟
این موضوعی بسیار حیاتی میباشد و نیازمند تعریف سیاستهای مشخص در سطح سازمان است. بطوریکه صاحبان شاغل و بنگاهها امروزه عنوان میدارند که بصورت دورهای بانکهای اطلاعاتی و سیستمهای امنتی و شبکه شرکت درخصوص وجود شواهد نقض در سیستمها میبایست مورد حسابرسی قرار گیرد. بطوریکه در این فرآیند سوءاستفاده، وجود دسترسیهای غیرمجاز به سیستمها یا تغییر آنها را مورد حسابرسی قرار میدهد. بدینترتیب متولیان امنیت اطلاعات (IT) صاحبان دادهها، واحدهای کسب و کار و سازمان و کارکنان آنها واحدهای عملیاتی کارکنان سایتهای امور مالی، منابع انسانی و غیره مورد حسابرسی قرار میگیرند. چارچوب و استانداردهای حسابرسی امنیت اطلاعات
- Cobit 4.0 (راهنمای ارائه شده توسط CISA)
- PCI- DSS
- صنایع و بهترین شیوههای فروش
- ایزو 27001 و چکلیست 17799
- (ICS)2 10 حوزه سیاستها و رویههای امنیتی (راهنمای مطالعه CISSP SYBEX)
ابزار حسابرسی امنیت اطلاعات
ابزار مورد استفاده حسابرسان حسب تکامل تکنولوژی و در پاسخ به تغییرات آن و وجود روشها و راههای سازمان تغییر میکند و ابزار خاص مورد استفاده عملاً وابستگی زیادی به عوامل محیط زیست و نیازهای سازمان دارد تا از جمله شامل:
- منابع فردی و رایگان که بصورت باز مستند شامل Wire shark، Nmap، و تحلیل خطوط امنیتی مایکروسافت
- سوءاستفاده از تأسیسات و امکانات مانند رد گم کردن
- اسکربیتی، از مواردی که درخواست مبنی بر فرض دادن برخی از ابزار مورد استفاده میباشد که در فرآیند برنامهنویسی میباشد که میتواند روند جمعآوری دادهها برای انجام تجزیه و تحلیل و ممیزی بطور خودکار می باشد.
چه چیزی حسابرسی میشود
قبل از انجام فرآیند حسابرسی میبایست ابتدا تمهیدات خاص موجود میبایست شناسایی شوند و بر همین اساس مطابق با استراتژیهای توسعه این تمهیدات کاهش یابند و این روشها با سیاستهای حسابرسی میبایست تلفیق شوند.
به یاد داشته باشیم فرآیند حسابرسی نسبت به آنچه باید باشد صورت میپذیرد و به عنوان اینکه معیارهای استانداردهای شرکت چه هست و چه باید باشد به عنوان بخش ضمنی از فرآیند حسابرسی مذکور تعریف میگردد و ماهیت فرآیند حسابرسی مذکور در ارتباط با پول نمیباشد. بطوریکه درجدول زیر لیستی از عواملی که دراین فرآیند حسابرسی باید مورد توجه قرار گیرد و برخی از عواملی که ممکن است در قبال درخواستهای سازمان میبایست صورت پذیرد عنوان میشود زیرا که عوامل مختلفی میتوانند وجود داشته باشند که تخصصی و مربوط به یک سازمان خاص باشد ولیکن در دنیای واقعی چگونه مدل و الگوی خاص برای حسابری همه سازمانها و نهادها وجود ندارد و هر آنچه که مناسب برای سازمان شما میباشد میباید اجراء و مورد استفاده قرار گیرد و باید تعریف سیاستهای زیر درسازمان مورد توجه قرار گیرد:
الف) محافظت از ایمیلها و فیلترینگ
1- الف) در این ارتباط سطح و درجه دستیابی افراد جهت ایجاد بستر امنیت به عنوان سیاست تجویز میشود
2- الف) بطوریکه اگر چه از پروتکلی استفاده میشود و به چه سیاستهای اجازه داده شده است
3- الف) جلوگیری از درجات اشتباه (SMTP)
ب) نقد و بررسی سرورهای و ایستگاههای کاری، پروتکلهای مجاز و نیازهای آن
ج) سطوح دسترسی
1- ج) استفاده از درجه و شعاع دسترسی SSL/SSh,+ TACACS, TACACS دسترسی به دستگاههای شبکه
2- ج) بررسی درجه و کنترل سطوح دسترسی مطابق با لیستهای کنترل دسترسی (همانن لیگ قهرمانی آسیا) با استفاده از فایروالها و دستگاههای شبکههای دیگر
3- ج) درجه دسترسی به دادهها پس از ورود به سیستم، برای کلیه کسانی که به دادهها دسترسی دارند و بررسی این پرسش درخصوص این همراه با چه کسی، به چه چیزی و چه وقت در آن دسترسی دارند . بطور مثال حسابرسی درجه و یا سطح مدیریت و یا بالا بودن حقوق فرد
د) سیاست حساب کاربری
1- د) حسابرسی درجهای از حسابها و یا یوزرها برای فهرست اسامی استخدام شده در مدیریت منابع انسانی برای اطمینان از به موقع ......... بودن و یا آرشیو اطلاعاتی
ﻫ) سیاست رمزهای عبور (قدمت، پیچیدگی، اجرایی بوده، مدیریت)
و) استفاده از رمزنگاری و مدیرت کلیدی
م) مسئولیت تنظیم مقررات و یا توجه به در نظر گرفتن و مراقبت حرفهای
ک) نرمافزار تجزیه ئ تحلیل سطوح دسترسی، با استفاده از تستهای قلم، ارزیابی و ارتقاء، آیا فرایندهای مربوط خودکار هستند. برای مثال برای نصب و تعمیر ویندوزها W SUS چه مدت زمانی طول خواهد کشید که سازمان اقدام به اعزام نیرو جهت بروز رسانی و بستن پنجرههای آسیب دیده و استفاده از آنتی ویروسهای اثربخش و بروز رسانی به موقع بطوریکه کنترل کنی که آیا AV در مرکز است؟ همین نقد و بررسی جهت تشخیص ویروس سیاهههای مربوط به الگوها و شیوع آنها و فرآیند تهیه و نسخ پشتیبان در سیستم
ر) اعتبارسنجی پشتیبانگیری مطابق با سیاستها و روشهای صورت گرفته و مطابق با الزامات قانونی
ش) بررسی شود تا اطمینان معقولی حاصل شود که در آزمون بازیابی انجام میشود
م) بررسی برنامههای نوار و حفظ آنها همچنین فرآیند از رده خارج کردن هارد دیسکها و روند تخریب و نابودسازی آنها با سیاست IAW
و) ارزیابی و ممیزی استفاده از رمزنگاری که ممکن است در ارزیابی و نظارت مورد استفاده باشد
ق) ارزیابی جهت استفاده از سیستمهای پشتیبانگیری خارج از سایت که ممکن است توسط شرکت در طرح تداوم کسب و کار مورد نیاز باشد
ف) پیشگیری در از بین رفتن و ریجستری نوارها و فایلهای حسابداری بصورت مناسب و با استفاده از زنجیره اتلاف نا از سلامت اختلاف اطمینان حاصل شود با استفاده از نقد و بررسی موافقتنامههای متعادله و سه شرح خدمات و تنظیم موافقتنامههایی درخصوص عدم حمل و انتقال اطلاعات با ارائهدهندگان خدمات خارج از سایت ذخیرهسازی
م) حقوق و امتیازات پشتیبانی ارزیابی گردد بطوریکه به اصل حداقل امتیاز توجه شود
ز) کنترل سطح دسترسی به ذخیرهسازی فیزیکی اطلاعات در حسابداری که در این خصوص با استفاده از ارزیابی استانداردهای UL امکانپذیر است
و) بررسی کلیه مراحل رسیدگی به حوادث با توجه به سیاستهای سازمان و درجه آگاهی برای برنامهها و ارزیابی اثربخشی آگاهی کارکنان در این خصوص
بررسی درجه جدایی وظیفه چرخش بین شبکههای اینترنتی, عملیات، امنیت و توسعه نرمافزارها.
صدور مجوزه نرمافزارها
الف) کنترل امنیت فیزیکی
- پیشگیری از سرقت: بررسی و توجه کنترل سطح دسترسی به سرور شبکهها و دستگاههای زیرساخت، تهیه تجهیزات و نسخ پشتیبان
- اثر سیاستها و روشهای ممیزی
- تولید نرمافزارهای کاربردی داخلی، اگر چه این موضوع ممکن است که نیازمند تخصص خارج از سازمان باشد و نیازمند پشتیبانی خارج از سازمان داشته باشد
- قانون کنونی و مبانی استاندارد و وضع الزامات خاصی که در سیاست حسابری و روشهای مورد درخواست سازمان اجراء شود
قانون امنیت HIPAA
- مطابق این قانون هد ممیزی روش پیادهسازی بطور مرتب میباشد. سوابق فعالیت سیستمهای اطلاعاتی به عنوان مستندات مربوط به حسابرسی شامل گزارشات دسترسی و امنیتی اتفاقات رخدادی و ریابی آنها است. بدین مفهوم که اجرای سیاستها و روشهایی است که مطابق با دسترسی واحد صادرکننده سیاستها و مجوزات، ایجاد، مستند مربوط به تغییر حق دسترسی کاربر در دستگاههای کاری، مساعدت و برنامهها و یا فرآیندهای آن.
- شناسایی و پاسخ به حوادث امنیتی یا شناخته شده و کاهش به حد عملی مقررات و اثرات حوادث امنیتی است که تحت عنوان پوشش سازمان و یا سند حوادث امنیتی و نتایج مربوط شناخته شده است
- رویه یا مکانیزم پیادهسازی نرمافزار و یا سختافزار به مکانیزمهای مربوط به ضبط و بررسی فعالیتها در سیستمهای اطلاعاتی میباشد که شامل استفاده از اطلاعات امنیتی بهداشتی محافظت شده الکترونیکی
قانون پادمان GLBA
- تشخیص، پیشگیری و پاسخ به حملات درخصوص رسوخ سیستمهای دیگر به شبکه و نرمافزارهای شرکت بمنظور جلوگیری از شکست
- طراحی و اجرای پادمانهای اطلاعاتی برای کنترل خطرات شناسایی شده از طریق ارزیابی ریسک انجام شده و .............های منظم و یا در غیر این صورت نظارت بر کارایی از طریق کنترل موارد کلیدی سیستمها مطابق با قانون پادمان
سیستم کارت پرداخت PCI- استاندارد امنیت اطلاعات
- اسناد و فاکتورهای مربوط به بررسی تمام اجزای سیستم حداقل بصورت روزانه
- ایجا و تبیین یک فرآیند و برقراری اتصال دسترسی به اجزای سیستم (خصوصاً دسترسی به اختیارات مدیریتی مانند اصلها و ...) که برای هر کاربر بصورت منحصر به فرد اجراء میشود
- پیادهسازی مسیرهای ممیزی و حسابرسی اتوماتیک/ خودکار برای بازسازی تمام اجزای سیستم پس از حوادث ایجادی
- هماهنگی بین تمام ساعات بحرانی سیستم و زمان آن
- رد حسابرسی امن بطوری که به آنها تغییر نمییابند
- ثبت و پیگیری رکورد حداقل نوشتههای حسابرسی برای تمام اجزای سیستم حسب هر رویداد
- حفظ سابقه حسابرسی حداقل برای مدت یک سال و با داشتن حداقل 3 ماه دسترسی online به آن
فرآیند حسابرسی
فرآیند حسابرسی مذکور به دنبال کمک به سازمان جهت حفاظت از خود در مقابل دادخواهی مردم، سرقت هویت، از دست دادن مالکیت معنوی و به همین ترتیب فرآیند ارزیابی و تست چگونگی عملکرد خوب جهت اجراء میباشد و این فرآیندی حرفهای که شامل بررسی سیستماتیک و تأیید امنیت و کنترل و مدیریت اطلاعاتی است که در برابر یک مجموعه تعریف شده و بدنبال معیارهای تعیین کفایت و اثربخشی از امنیت دادهها، یکپارچگی و سیاست و روش در دسترس بودن است همچنین در این حسابرسی هدف این است که برای آگاهی از موقعیتی است که انجام حسابرسی بطور منظم وضعیت فعلی خود را در پردازش دادهها در حین ایجاد اشتباه با درک از روشها میبایست مضافاً از جمله اهداف دیگر حسابرسی امنیتی این است که جهت تجزیه و تحلیل ترافیک دادهها و مقایسه آن با یک استاندارد میباشد که به بهترین شیوه اجرایی گردد و این فرآیند به هدف کمک به سازمان در درک وضعیت فعلی خود و چگونگی بهبود بخشیدن به وضعیت سازمان براساس کمبودها و نقاط ضعف شناسایی شده در فرآیند حسابرسی میباشد.
تهیه و مهیاسازی:
- نقد و بررسی سیاستها، استانداردها و روشهای سازمان
- دامنه و اهداف این فرآیند تقریب و توسعه منشور حسابرسی است
- شناسایی کارکنان و تعیین نقش و مسئولیت و وظایف آنها
- انجام اطلاعرسانی مورد نیاز جهت انجام فرآیند حسابرسی، بطور معمول چگونه و چه زمانی انجام خواهد شد. توضیحاً اینکه مدت زمان، فرآیندها و توابع حسابرسی توسط حسابرس تعریف شده است
جمعآوری دادهها
استفاده از ابزار مناسب برای جمعآوری دادههای خام که برای پیگیری قانونی و حسابرسی نیاز است.
درجه حسابرسی محیط (خارج از شبکه) و DMZ
- تعیین درجه آسیبپذیری در فرآیند بهرهبرداری است از این اطلاعات برای تجزیه و تحلیل شبکههای داخلی و شواهد استحصالی از فرآیند بهرهبردای است
حسابرسی داخل شبکه
نظارت بر ورود و خروج دادهها و ترافیک در نقاط کلیدی شبکه برای بدست آوردن ایده از انواع ترافیکها است که در جریان داخل و خارج از شبکه، تجزیه و تحلیل ترافیک و مقایسه پروتکلها مشاهده شده توسط کانی که مطابق سیاستها مجاز بودهاند.
TCP, wire shark و یا رو گرفت WIN ابزار بسیار خوبی برای انجام این کار است و بدنبال شواهدی از آسیبپذیریهای کشف شده است که در جریان حسابرسی مستقل مورد شناسایی قرار گرفته است.
هنگامی که ترافیکهای حسابرسی قابل درک است، نظارت بر ترافیک در نقاط شبکه که دسترسی به دادههای مهم شرکت را دارند. بگونهای با تجزیه و تحلیل ترافیک بطور مثال ارسال یک پیام خصوصی یک مهندس کامپیوتر و تجزیه و تحلیل روابط و جریان ترافیک است. فیلتر کردن روابط سالم مانند ایجاد ایستگاههای کاری در ارتباط با تلاش بریا برقراری ارتباط است.
تمرکز بر روی روابط ناسالم، نزد ایستگاههای کاری در ارتباط با سرور در داخل یا خارج از شبکه همچنین بر روی پروتکلهای غیرمعمول و یا ممنوع
نقد و بررسی ترافیک Syslog و همچنین از فایروالها، شبکه و تضخیص سطح نفوذ از طریق نفوذ مبتنی بر .............. بودن سیستم (IDS) و هچنین هرگونه کنترل در سطح دسترسی شبکه و دستگاه NAC، برای یافتن سرنخهای موجود که به تجزیه و تحلیل ترافیک شبکه مرتبط است
اسناد مربوط به بررسی شواهدی از نفوذ سازمانهای غیرمجاز از داخل یا خارج به شبکه، اعتبارسنجی دقت اسناد مربوط اقتباس شده از سیاست (AW)
تولید گزارش از دادهها و یافتهها با استفاده از شبکههای مختلف از دادههایی که جمعآوری شده و با رنگها و عکسهای روابط موجود در جریان دادهها و استفاده از ابزاری همانند VISO، اکسل یا معادل دفتر ستارهدار برای نشان دادن دادههای جمعآوری شده مذکور
تجزیه و تحلیل دادهها
درجه تولید یافتههای مثبت و منفی
اعتبارسنجی یافتههای تحصیلی، خصوصاٌ آن بخش از یافتههایی که منفی هستند که این موضوع ممکن است نیاز اضافی به تحقیق و شناسایی را ایجاد کند. این کی قدم مهم جهت حفظ و اعتبار خود به عنوان حسابرس و اعتبار یافتههای شناسایی شده او دارد.
پیشنویس گزارش حسابرسی
پس از اتمام کار حسابرسی و ارائه نقطهنظرات به عنوان اثربخشی، سازگاری و انطباق براساس تجزیه و تحلیل یافتهها و یا شواهد و ارائه توصیههایی در مورد چگونگی کنترل و یا اجرای آنها که میباید اصلاح شود.
گزارش رسمی
- قالب و اثرات آن
- پروندههای حسابرسی
- برنامههای حفظ سیاست، نظارتی مورد نیاز با
- نوع گزارش
- بررسی، تأیید و پیادهسازی یافتهها و توصیههای حسابرسی
- ماهیت گزارشات و کنترل گزارشات حسابرسی، بطوریکه بخشی از گزارشات و توصیههای ویژه و ممتاز حسابرسی میبایست جهت اطلاعات و نیازمندی سازمان طبقهبندی گردند
در پایان
اجرای فرآیند حسابرسی مؤثر همیشه با سیاستهای سازمان شروع میشود و باید سیاستهای شرکت در این فرآیند متناسب با فرهنگ و فرآیندهای کسب و کار تبیین شود این مقایسه و ازریابی فیمابین استانداردهای منعکس شده در سیاستها و روشهای جمعآوری دادهها در طول فرآیند حسابرسی جهت انطباق یافتهها، اعتبار و بمنظور بهبود برنامههای امنیتی در فرآیند حسابرسی میباشد.