执行专业的信息技术审计程序

Question

我是一个新的硕士毕业生，我需要了解如何进行一个专业的IT审计。需要哪些软件工具，我需要涉及哪些特定的主题？请给我指出正确的方向。与所使用的日志和/或模板的特定链接将非常有用。

这个问题是IT --本周安全问题。阅读了2011年9月23日博客条目的更多细节或本周的提交自己的问题。

Answer 1

这是一个比我想象的要大得多的问题--首先，主要的IT审计公司在这方面拥有大量的知识产权，所以当你能够找到高水平的文档时，你可能很难找到完整的详细文件。

从我在四大会计师事务所的时候，我可能看到了300多个具体技术的审计工作计划，并对其中的50项做出了贡献。时间投资相当高。

说到这里，我肯定会建议你加入信息系统审计与控制协会，这是这个行业的权威机构。通过ISACA可以获得大量信息，包括CobIT和审计指导。

(披露-我的角色之一是苏格兰ISACA分会主席)

Answer 2

对于你的问题，传统的回答是--在审计公司找份工作。这将是一个初级职位，但这是你学会交易的方法。您将访问Rory提到的工作计划，但更重要的是，您将获得将它们应用于实际审计情况的经验。

我遇到过优秀的审计师，也遇到过糟糕的审计师，好的审计不仅仅是拥有合适的软件、日志或模板。我不知道你的主人在做什么，但它很可能没有让你做好在审计中当家作主的准备。当着客户的面，问问题，找出他们有时甚至不知道的答案。(你没有提到你的工作经验，这可能与我所知道的相关)。

只有我的.02c。祝好运!

Answer 3

您可以查看PTES -渗透测试执行标准站点- http://www.pentest-standard.org/index.php/Main_页面

它正在慢慢地被填写，但是有很多非常有用的信息。

您还可以查看开源安全测试方法手册- http://www.isecom.org/osstmm/。