فرایند ممیزی امنیت اطلاعات

حسابرسی امنیت کامپیوتر چیست؟

حسابرسی تأیید امنیت شبکه اطلاعاتی سیستم یک فرآیند بررسی حرفه‌ای سیستماتیک درخصوص کنترل‌های مدیریت اطلاعاتی سازمان در برابر یک مجموعه از معیارهای تعریف شده‌ای بمنظور تعیین کفایت و اثربخشی از امنیت داده‌ها که بصورت یکپارچه بوده و در دسترس باشد.

این معیارها می‌بایست ناشی از سیاست‌ها، الزامات قانونی، ماهیت و شیوه عملکردی صنعت می‌باشد. فرآیند حسابرسی مذکور می‌بایست جهت کمک به سیستم‌های حفاظتی سازمان از خود، مردم از بابت عواملی از جمله ایجاد دادخواهی، سرقت اصلاحات و هویت مدرک، از دست دادن ماهیت معنوی و به همین ترتیب فرآیند حسابرسی مذکور نیاز به ارزیابی و سنجش اینکه چگونه این فرآیند به خوبی انجام می‌شود و یا در مراحل ایجاد ریسک آگاهی لازم را مدیریت ارائه می‌نماید.

فرآیند حسابرسی مذکور همچنین نیازمند وجود یک سیستم بازخوردی عمده در سازمان نسبت به برنامه‌های امنیتی (اطلاعات) می‌باشد و می‌بایست حسابرسی مذکور بطور منظم و با درک واقعی از فرآیندها و رویه‌های اجرائی سازمان صورت پذیرد بطوریکه حسابرس می‌بایست قادر باشد فرآیند ارزیابی مذکور را همانند یک عملیات فنی پلیسی مورد کنترل و آزمون قرار دهد.

اما به یاد داشته باشیم که حسابرسی یک فرآیند استاندارد می‌‌باشد که حسابرسی خوب چگونه می‌باشد و اینکه فرآیند حسابرسی مذکور از کجا شروع کنیم؟

لذا می‌بایست آغاز این فرآیند حسابرسی متناسب با روش‌ها و سیاست‌های شرکت خواهد بود چارچوب انتخابی برای حسابرسی مذکور، بررسی سیاست‌ها، رویه‌ها و استانداردهای لازم مالی و ارتباطی بین عوامل سازمان آغاز خواهد شد. بطوریکه چنانچه خارج از دوره مذکور اطمینان حاصل شود که انجام ارزیابی‌های حسابرسی انجام شده بدنبال عملیات ابطال با توجه به استانداردهای منسوخ شده می‌‌باشد که این برنامه‌ها مؤثرتر از برنامه آنتی ویروس برای فایل‌های از رده خارج شده می‌‌باشد. براساس تعریف حسابرسی، روش حسابرسی و انواع دامنه‌ها و فرکانس و روش‌ها صورت می‌پذیرد.

تهدیدات خاص  وارده به سازمان می‌بایست در تجزیه و تحلیل خطر و آسیب‌پذیری سازمان شناسای گردد. استراتژی و کاهش ریسک در حال گسترش و اجرای آن قبل از حسابرسی روند صورت پذیرد. RA/VA اقدام به شناسایی بحرانی شرکت از جمله اموال، اطلاعات شحصی و اسرار تجاری و داده‌های اختصاصی می‌نماید.

 سیاست مهم

اتخاذ سیاست‌های مهم و مؤثر که می‌بایست بر شرکت و محیط نظارت سال کنترل و مؤثر باشد با توجه به نقش ویژه آن نباید اغراق‌آمیز تلقی گردد. همچنین اینکه این سیاست‌ها به هیأت مدیریت اجرایی نیازمند هستند. بطوریکه اگر مدیریت اجرایی مؤثر عمل نماید اثر این سیاست‌ها در سازمان بسیار مطلوب خواهد بود و اگر این حمایت صورت نپذیرد ممکن است نیتجه‌ای بی‌فایده برای سازمان در بر داشته باشد. تعریف فرآیند حسابرسی سیاست، اهداف و دامنه (زمانی که موضوع حسابرسی فناوری اطلاعات مطرح است) بسیار محدود خواهد بود و به یاد داشته باشیم که سیات اتخاذ شده در شرکت می‌تواند همانند یک شمشیر دو لبه حرکت کند. در بسیاری از موارد مطروحه در دادگاه‌ها و مراجع قضائی این واقعیت که یک شرکت سیاست‌های خوب و مطابق با قوانین را به اجراء درآورده است در عمل به سیات‌ها منتج به موفقیت سازمان خواهد شد در هر حال در چند مورد اخیر این موضوع که یک شرکت سیاست‌های بسیار مناسبی را اتخاذ نموده ولیکن آن را عملیاتی و اجرائی ننموده است و یا در اجرای آن بصورت انتخابی عمل نموده سات همواره مورد پرسش نهادهای قانونی بوده است.

لذا برای مؤثر بودن این فرآین حسابرسی، حسابرسان باید به نحوه انجام وظایف خود آگاه باشند. سیاست .............. از در حسابرس و تقبل هرگونه مسئولیت در قبال خسارت وارده به سازمان ممکن است عاملی مؤثر در این فرآیند باشد مگر اینکه خسارات ایجاد شده از این محل در نتیجه غفلت در اجرای مسئولیت محوله یا سوءرفتارهای عمدی در اجرای حسابرسی داخلی باشد.

در حسابرسی سیاست‌ها روش‌ها و ابزار خاصی که برای استفاده در داخل محدوده مجاز می‌بایست مورد بررسی و آزمون قرار گیرد بطوریکه می‌‌بایست سیاست‌های تدوین شده و تأیید شده توسط واحد حقوقی مورد بررسی و تأیید قرار گیرد. توسط واحد حسابرسی مورد بررسی قرار گیرد بطوریکه در فرآیند ممیزی بررسی نماید که آیا فعالیت‌های مجرمانه‌ای در این ارتباط در سازمان صورت گرفته است زیرا که برخی از شرکت‌ها بطور کامل در فعالیت‌های خود با حمایت از قانون اجرائی می‌کنند و در حالی که برخی دیگر از شرکت‌ها ترسی از صدمه زدن به اعتبار شرکت‌ نداشته و ندارند در حالی که حسابرسیی این موارد را در فرآیند رسیدگی‌های خود مورد توجه قرار می‌دهد.

 با این حال این سؤال وجود دارد که چگونه می‌توان رفتارها را به میزان قابل توجهی تحت تأثیر قرار داد چرا که این موضوع نیز تابعی از فرهنگ کسب و کار زمان است که این فاهیم در آن مورد توجه می‌‌باشد. باشگاه SANS به عنوان بهترین سازمان

در امنیت اطلاعات بپردازیم. زمانی که این شرکت دارای یک سیاست تدوین شده روشن و شفاف از لحاظ قانون می‌باشد انواع حسابرسی در این ارتباط:

1.      امنیت اطلاعات

2.      پذیرش قوانین و دستورالعمل‌های (PCI: DSS, SOX, HIPAA)

3.      ممیزی داخلی که معمولاً توسط پرسنل سازمان در خانه‌هایشان صورت می‌پذیرد. چنانچه انجام فرآیند حسابرسی در هر زمان حسابرسی در خارج از سازمان صورت گیرد این امر منتج به افزایش ارزش داخلی، توسعه چشم‌انداز و اعتبار داخلی سازمان خواهد شد. البته حسابرس مستقل خارج از سازمان به علت مستقل بودن و توجه مدیریت اجرائی و هیأت مدیره به نقش آن‌ها می‌تواند مؤثرتر تلقی شود.

انجام حسابرسی توسط حسابرس مستقل خارج از سازمان عملاً نیازمند تدوین یک دستور کار خخاص و یا تنظیم توافقنامه‌ای جهت تشریح سطح خدمات (SH) بطوریکه چنانچه هدف اعمال کنترل از راه دور سایت‌ها باشد واحد حسابرسی بدنبال اطمینان‌بخشی از اجرای سیاست‌های تدوین شده در سراسر شرکت درخصوص عددم وجود ضعف در لینک‌ها و برنامه‌های امنیتی شرکت می‌باشد و این فرصتی برای اعمال آموزش به پرسنل شاغل در سایت‌های محلی جهت آگاهی از برنامه‌های امنیتی می‌باشد چه کسی مورد حسابرسی امنیتی قرار گیرد؟

این موضوعی بسیار حیاتی می‌باشد و نیازمند تعریف سیاست‌های مشخص در سطح سازمان است. بطوریکه صاحبان شاغل و بنگاه‌ها امروزه عنوان می‌دارند که بصورت دوره‌ای بانک‌های اطلاعاتی و سیستم‌های امنتی و شبکه شرکت درخصوص وجود شواهد نقض در سیستم‌ها می‌بایست مورد حسابرسی قرار گیرد. بطوریکه در این فرآیند سوءاستفاده، وجود دسترسی‌های غیرمجاز به سیستم‌ها یا تغییر آن‌ها را مورد حسابرسی قرار می‌دهد. بدین‌ترتیب متولیان امنیت اطلاعات (IT) صاحبان داده‌ها، واحدهای کسب و کار و سازمان و کارکنان آن‌ها واحدهای عملیاتی کارکنان سایت‌های امور مالی، منابع انسانی و غیره مورد حسابرسی قرار می‌گیرند. چارچوب و استانداردهای حسابرسی امنیت اطلاعات

-         Cobit 4.0 (راهنمای ارائه شده توسط CISA)

-         PCI- DSS

-         صنایع و بهترین شیوه‌های فروش

-         ایزو 27001 و چک‌لیست 17799

-         (ICS)² 10 حوزه سیاست‌ها و رویه‌های امنیتی (راهنمای مطالعه CISSP SYBEX)

ابزار حسابرسی امنیت اطلاعات

ابزار مورد استفاده حسابرسان حسب تکامل تکنولوژی و در پاسخ به تغییرات آن و وجود روش‌ها و راه‌های سازمان تغییر می‌کند و ابزار خاص مورد استفاده عملاً وابستگی زیادی به عوامل محیط زیست و نیازهای سازمان دارد تا از جمله شامل:

-         منابع فردی و رایگان که بصورت باز مستند شامل Wire shark، Nmap، و تحلیل خطوط امنیتی مایکروسافت

-         سوءاستفاده از تأسیسات و امکانات مانند رد گم کردن

-         اسکربیتی، از مواردی که درخواست مبنی بر فرض دادن برخی از ابزار مورد استفاده می‌باشد که در فرآیند برنامه‌نویسی می‌باشد که می‌تواند روند جمع‌آوری داده‌ها برای انجام تجزیه و تحلیل و ممیزی بطور خودکار می باشد.

چه چیزی حسابرسی می‌شود

قبل از انجام فرآیند حسابرسی می‌بایست ابتدا تمهیدات خاص موجود می‌بایست شناسایی شوند و بر همین اساس مطابق با استراتژی‌های توسعه این تمهیدات کاهش یابند و این روش‌ها با سیاست‌های حسابرسی می‌بایست تلفیق شوند.

به یاد داشته باشیم فرآیند حسابرسی نسبت به آنچه باید باشد صورت می‌پذیرد و به عنوان اینکه معیارهای استانداردهای شرکت چه هست و چه باید باشد به عنوان بخش ضمنی از فرآیند حسابرسی مذکور تعریف می‌گردد و ماهیت فرآیند حسابرسی مذکور در ارتباط با پول نمی‌باشد. بطوریکه درجدول زیر لیستی از عواملی که دراین فرآیند حسابرسی باید مورد توجه قرار گیرد و برخی از عواملی که ممکن است در قبال درخواست‌های سازمان می‌بایست صورت پذیرد عنوان می‌شود زیرا که عوامل مختلفی می‌توانند وجود داشته باشند که تخصصی و مربوط به یک سازمان خاص باشد ولیکن در دنیای واقعی چگونه مدل و الگوی خاص برای حسابری همه سازمان‌ها و نهادها وجود ندارد و هر آنچه که مناسب برای سازمان شما می‌باشد می‌باید اجراء و مورد استفاده قرار گیرد و باید تعریف سیاست‌های زیر درسازمان مورد توجه قرار گیرد:

الف) محافظت از ایمیل‌ها و فیلترینگ

1- الف) در این ارتباط سطح و درجه دستیابی افراد جهت ایجاد بستر امنیت به عنوان سیاست تجویز می‌‌شود

2- الف) بطوریکه اگر چه از پروتکلی استفاده می‌شود و به چه سیاست‌های اجازه داده شده است

3- الف) جلوگیری از درجات اشتباه (SMTP)

ب) نقد و بررسی سرورهای و ایستگاه‌های کاری، پروتکل‌های مجاز و نیازهای آن

ج) سطوح دسترسی

1- ج) استفاده از درجه و شعاع دسترسی SSL/SSh,+ TACACS, TACACS دسترسی به دستگاه‌های شبکه

2- ج) بررسی درجه و کنترل سطوح دسترسی مطابق با لیست‌های کنترل دسترسی (همانن لیگ قهرمانی آسیا) با استفاده از فایروال‌ها و دستگاه‌های شبکه‌های دیگر

3- ج) درجه دسترسی به داده‌ها پس از ورود به سیستم، برای کلیه کسانی که به داده‌ها دسترسی دارند و بررسی این پرسش درخصوص این همراه با چه کسی، به چه چیزی و چه وقت در آن دسترسی دارند . بطور مثال حسابرسی درجه و یا سطح مدیریت و یا بالا بودن حقوق فرد

د) سیاست حساب کاربری

1- د) حسابرسی درجه‌ای از حساب‌ها و یا یوزرها برای فهرست اسامی استخدام شده در مدیریت منابع انسانی برای اطمینان از به موقع ......... بودن و یا آرشیو اطلاعاتی

ﻫ) سیاست رمزهای عبور (قدمت، پیچیدگی، اجرایی بوده، مدیریت)

و) استفاده از رمزنگاری و مدیرت کلیدی

م) مسئولیت تنظیم مقررات و یا توجه به در نظر گرفتن و مراقبت حرفه‌ای

ک) نرم‌افزار تجزیه ئ تحلیل سطوح دسترسی، با استفاده از تست‌های قلم، ارزیابی و ارتقاء، آیا فرایندهای مربوط خودکار هستند. برای مثال برای نصب و تعمیر ویندوز‌ها W SUS چه مدت زمانی طول خواهد کشید که سازمان اقدام به اعزام نیرو جهت بروز رسانی و بستن پنجره‌های آسیب دیده و استفاده از آنتی‌ ویروس‌های اثربخش و بروز رسانی به موقع بطوریکه کنترل کنی که آیا AV در مرکز است؟ همین نقد و بررسی جهت تشخیص ویروس سیاهه‌های مربوط به الگوها و شیوع آن‌ها و فرآیند تهیه و نسخ پشتیبان در سیستم

ر) اعتبارسنجی پشتیبان‌گیری مطابق با سیاست‌ها و روش‌های صورت گرفته و مطابق با الزامات قانونی

ش) بررسی شود تا اطمینان معقولی حاصل شود که در آزمون بازیابی انجام می‌شود

م) بررسی برنامه‌های نوار و حفظ آن‌ها همچنین فرآیند از رده خارج کردن هارد دیسک‌ها و روند تخریب و نابودسازی آن‌ها با سیاست IAW

و) ارزیابی و ممیزی استفاده از رمزنگاری که ممکن است در ارزیابی و نظارت مورد استفاده باشد

ق) ارزیابی جهت استفاده از سیستم‌های پشتیبان‌گیری خارج از سایت که ممکن است توسط شرکت در طرح تداوم کسب و کار مورد نیاز باشد

ف) پیشگیری در از بین رفتن و ریجستری نوارها و فایل‌های حسابداری بصورت مناسب و با استفاده از زنجیره اتلاف نا از سلامت اختلاف اطمینان حاصل شود با استفاده از نقد و بررسی موافقت‌نامه‌های متعادله و سه شرح خدمات و تنظیم موافقت‌نامه‌هایی درخصوص عدم حمل و انتقال اطلاعات با ارائه‌دهندگان خدمات خارج از سایت ذخیره‌سازی

م) حقوق و امتیازات پشتیبانی ارزیابی گردد بطوریکه به اصل حداقل امتیاز توجه شود

ز) کنترل سطح دسترسی به ذخیره‌سازی فیزیکی اطلاعات در حسابداری که در این خصوص با استفاده از ارزیابی استانداردهای UL امکان‌پذیر است

و) بررسی کلیه مراحل رسیدگی به حوادث با توجه به سیاست‌های سازمان و درجه آگاهی برای برنامه‌ها و ارزیابی اثربخشی آگاهی کارکنان در این خصوص

بررسی درجه جدایی وظیفه چرخش بین شبکه‌های اینترنتی, عملیات، امنیت و توسعه نرم‌افزارها.

صدور مجوزه نرم‌افزارها

الف) کنترل امنیت فیزیکی

-         پیشگیری از سرقت: بررسی و توجه کنترل سطح دسترسی به سرور شبکه‌ها و دستگاه‌های زیرساخت، تهیه تجهیزات و نسخ پشتیبان

-         اثر سیاست‌ها و روش‌های ممیزی

-         تولید نرم‌افزارهای کاربردی داخلی، اگر چه این موضوع ممکن است که نیازمند تخصص خارج از سازمان باشد و نیازمند پشتیبانی خارج از سازمان داشته باشد

-         قانون کنونی و مبانی استاندارد و وضع الزامات خاصی که در سیاست حسابری و روش‌های مورد درخواست سازمان اجراء شود

قانون امنیت HIPAA

-         مطابق این قانون هد ممیزی روش پیاده‌سازی بطور مرتب می‌باشد. سوابق فعالیت سیستم‌های اطلاعاتی به عنوان مستندات مربوط به حسابرسی شامل گزارشات دسترسی و امنیتی اتفاقات رخدادی و ریابی آن‌ها است. بدین مفهوم که اجرای سیاست‌ها و روش‌هایی است که مطابق با دسترسی واحد صادرکننده سیاست‌ها و مجوزات، ایجاد، مستند مربوط به تغییر حق دسترسی کاربر در دستگاه‌های کاری، مساعدت و برنامه‌ها و یا فرآیندهای آن.

-         شناسایی و پاسخ به حوادث امنیتی یا شناخته شده و کاهش به حد عملی مقررات و اثرات حوادث امنیتی است که تحت عنوان پوشش سازمان و یا سند حوادث امنیتی و نتایج مربوط شناخته شده است

-         رویه یا مکانیزم پیاده‌سازی نرم‌افزار و یا سخت‌افزار به مکانیزم‌های مربوط به ضبط و بررسی فعالیت‌ها در سیستم‌های اطلاعاتی می‌باشد که شامل استفاده از اطلاعات امنیتی بهداشتی محافظت شده الکترونیکی

قانون پادمان GLBA

-         تشخیص، پیشگیری و پاسخ به حملات درخصوص رسوخ سیستم‌های دیگر به شبکه و نرم‌افزارهای شرکت بمنظور جلوگیری از شکست

-         طراحی و اجرای پادمان‌های اطلاعاتی برای کنترل خطرات شناسایی شده از طریق ارزیابی ریسک انجام شده و .............‌های منظم و یا در غیر این صورت نظارت بر کارایی از طریق کنترل موارد کلیدی سیستم‌ها مطابق با قانون پادمان

سیستم کارت پرداخت PCI- استاندارد امنیت اطلاعات

-         اسناد و فاکتورهای مربوط به بررسی تمام اجزای سیستم حداقل بصورت روزانه

-         ایجا و تبیین یک فرآیند و برقراری اتصال دسترسی به اجزای سیستم (خصوصاً دسترسی به اختیارات مدیریتی مانند اصل‌ها و ...) که برای هر کاربر بصورت منحصر به فرد اجراء می‌شود

-         پیاده‌سازی مسیرهای ممیزی و حسابرسی اتوماتیک/ خودکار برای بازسازی تمام اجزای سیستم پس از حوادث ایجادی

-         هماهنگی بین تمام ساعات بحرانی سیستم و زمان آن

-         رد حسابرسی امن بطوری که به آن‌ها تغییر نمی‌یابند

-         ثبت و پیگیری رکورد حداقل نوشته‌های حسابرسی برای تمام اجزای سیستم حسب هر رویداد

-         حفظ سابقه حسابرسی حداقل برای  مدت یک سال و با داشتن حداقل 3 ماه دسترسی online به آن

فرآیند حسابرسی

 فرآیند حسابرسی مذکور به دنبال کمک به سازمان جهت حفاظت از خود در مقابل دادخواهی مردم، سرقت هویت، از دست دادن مالکیت معنوی و به همین ترتیب فرآیند ارزیابی و تست چگونگی عملکرد خوب جهت اجراء می‌‌باشد و این فرآیندی حرفه‌ای که شامل بررسی سیستماتیک و تأیید امنیت و کنترل و مدیریت اطلاعاتی است که در برابر یک مجموعه تعریف شده و بدنبال معیارهای تعیین کفایت و اثربخشی از امنیت داده‌ها، یکپارچگی و سیاست و روش در دسترس بودن است همچنین در این حسابرسی هدف این است که برای آگاهی از موقعیتی است که انجام حسابرسی بطور منظم وضعیت فعلی خود را در پردازش داده‌ها در حین ایجاد اشتباه با درک از روش‌ها می‌بایست مضافاً از جمله اهداف دیگر حسابرسی امنیتی این است که جهت تجزیه و تحلیل ترافیک داده‌ها و مقایسه آن با یک استاندارد می‌‌باشد که به بهترین شیوه اجرایی گردد و این فرآیند به هدف کمک به سازمان در درک وضعیت فعلی خود و چگونگی بهبود بخشیدن به وضعیت سازمان براساس کمبودها و نقاط ضعف شناسایی شده در فرآیند حسابرسی می‌باشد.

تهیه و مهیاسازی:

-         نقد و بررسی سیاست‌ها، استانداردها و روش‌های سازمان

-         دامنه و اهداف این فرآیند تقریب و توسعه منشور حسابرسی است

-         شناسایی کارکنان و تعیین نقش و مسئولیت و وظایف آن‌ها

-         انجام اطلاع‌رسانی مورد نیاز جهت انجام فرآیند حسابرسی، بطور معمول چگونه و چه زمانی انجام خواهد شد. توضیحاً اینکه مدت زمان، فرآیندها و توابع حسابرسی توسط حسابرس تعریف شده است

جمع‌آوری داده‌ها

استفاده از ابزار مناسب برای جمع‌آوری داده‌های خام که برای پیگیری قانونی و حسابرسی نیاز است.

درجه حسابرسی محیط (خارج از شبکه) و DMZ

-         تعیین درجه آسیب‌پذیری در فرآیند بهره‌برداری است از این اطلاعات برای تجزیه و تحلیل شبکه‌های داخلی و شواهد استحصالی از فرآیند بهره‌بردای است

حسابرسی داخل شبکه

نظارت بر ورود و خروج داده‌ها و ترافیک در نقاط کلیدی شبکه برای بدست آوردن ایده از انواع ترافیک‌ها است که در جریان داخل و خارج از شبکه، تجزیه و تحلیل ترافیک و مقایسه پروتکل‌ها مشاهده شده توسط کانی که مطابق سیاست‌ها مجاز بوده‌اند.

TCP, wire shark و یا رو گرفت WIN ابزار بسیار خوبی برای انجام این کار است و بدنبال شواهدی از آسیب‌پذیری‌های کشف شده است که در جریان حسابرسی مستقل مورد شناسایی قرار گرفته است.

هنگامی که ترافیک‌های حسابرسی قابل درک است، نظارت بر ترافیک در نقاط شبکه که دسترسی به داده‌های مهم شرکت را دارند. بگونه‌ای با تجزیه و تحلیل ترافیک بطور مثال ارسال یک پیام خصوصی یک مهندس کامپیوتر و تجزیه و تحلیل روابط و جریان ترافیک است. فیلتر کردن روابط سالم مانند ایجاد ایستگاه‌‌های کاری در ارتباط با تلاش بریا برقراری ارتباط است.

تمرکز بر روی روابط ناسالم، نزد ایستگاه‌های کاری در ارتباط با سرور در داخل یا خارج از شبکه همچنین بر روی پروتکل‌های غیرمعمول و یا ممنوع

نقد و بررسی ترافیک Syslog و همچنین از فایروال‌ها، شبکه و تضخیص سطح نفوذ از طریق نفوذ مبتنی بر .............. بودن سیستم (IDS) و هچنین هرگونه کنترل در سطح دسترسی شبکه و دستگاه NAC، برای یافتن سرنخ‌های موجود که به تجزیه و تحلیل ترافیک شبکه مرتبط است

اسناد مربوط به بررسی شواهدی از نفوذ سازمان‌های غیرمجاز از داخل یا خارج به شبکه، اعتبارسنجی دقت اسناد مربوط اقتباس شده از سیاست (AW)

تولید گزارش از داده‌ها و یافته‌ها با استفاده از شبکه‌های مختلف از داده‌هایی که جمع‌آوری شده و با رنگ‌ها و عکس‌های روابط موجود در جریان داده‌ها و استفاده از ابزاری همانند VISO، اکسل یا معادل دفتر ستاره‌دار برای نشان دادن داده‌های جمع‌آوری شده مذکور

تجزیه و تحلیل داده‌ها

درجه تولید یافته‌های مثبت و منفی

اعتبارسنجی یافته‌های تحصیلی، خصوصاٌ آن بخش از یافته‌هایی که منفی هستند که این موضوع ممکن است نیاز اضافی به تحقیق و شناسایی را ایجاد کند. این کی قدم مهم جهت حفظ و اعتبار خود به عنوان حسابرس و اعتبار یافته‌های شناسایی شده او دارد.

پیش‌نویس گزارش حسابرسی

پس از اتمام کار حسابرسی و ارائه نقطه‌نظرات به عنوان اثربخشی، سازگاری و انطباق براساس تجزیه و تحلیل یافته‌ها و یا شواهد و ارائه توصیه‌هایی در مورد چگونگی کنترل و یا اجرای آن‌ها که می‌باید اصلاح شود.

گزارش رسمی

-         قالب و اثرات آن

-         پرونده‌های حسابرسی

-         برنامه‌های حفظ سیاست، نظارتی مورد نیاز با

-         نوع گزارش

-         بررسی، تأیید و پیاده‌سازی یافته‌ها و توصیه‌های حسابرسی

-         ماهیت گزارشات و کنترل گزارشات حسابرسی، بطوریکه بخشی از گزارشات و توصیه‌های ویژه و ممتاز حسابرسی می‌بایست جهت اطلاعات و نیازمندی سازمان طبقه‌بندی گردند

در پایان

اجرای فرآیند حسابرسی مؤثر همیشه با سیاست‌های سازمان شروع می‌شود و باید سیاست‌های شرکت در این فرآیند متناسب با فرهنگ و فرآیندهای کسب و کار تبیین شود این مقایسه و ازریابی فی‌مابین استانداردهای منعکس شده در سیاست‌ها و روش‌های جمع‌آوری داده‌ها در طول فرآیند حسابرسی جهت انطباق یافته‌ها، اعتبار و بمنظور بهبود برنامه‌های امنیتی در فرآیند حسابرسی می‌باشد.