稽核之後全身而退 讓心情不再隨安全檢查浮沉

然而，不論是內部的還是外部稽核員，都應該是安全專業人士的朋友。他們也是我們的另一對眼睛，檢查你的政策、基礎設施與實務，並且找出你做得不錯的領域，以及那些需要修正的地方。最重要的，他們告訴你如何遵循及落實相關標準和規章，例如ISO 17799和Sarbanes-Oxley。
稽核所帶來的壓力可能非常大，但可以被消除。一些簡單的步驟將幫助你應付稽核員、避免常見的錯誤並且減少壓力。
不管你正在做內部的檢閱還是外部的專業稽核，要在安全稽核中全身而退，最重要的就是從對的地方起步。
組成安全稽核回應小組
首先邀管理者安排一場會議來組成一個安全稽核回應小組，成員組成可能是一個人或一個小組，要擁有足夠的授權來協助稽核員，並能立即回應他們的詢問。
企業的大小和稽核的範圍將決定回應小組的大小。對於部門或專案性稽核，一位人員即可滿足需求；對於廣泛的內部稽核及大多數的外部稽核，你將需要一個由相關重要部門、管理階層以及內部稽核員所組成的安全稽核回應小組。
在你的安全稽核回應小組中是否有合適的人是非常重要的。在手邊有答案或者能迅速調查問題並且回報給稽核員的人員，能讓稽核活動加快進行。
下一步，與稽核員安排一場小型的會議。這將使你與稽核雙方確立一個好的溝通基礎，並熟悉稽核的流程。同時也能幫助你確定，所需要支援稽核員的時間與資源。
會議時，你可能會問以下的問題︰
將要進行哪種稽核？
稽核員將採用哪種方式稽核？
他們會衡量公司的安全策略、安全標準(ISO 17799) 、法律(HIPAA、Sarbanes-Oxley)，或是綜合性的評估？
稽核的範圍是什麼？哪個系統將被檢查？
稽核員將需要什麼文件和資料？
稽核員將計畫在哪一天到場稽核？完成稽核需要多長時間？
稽核員將有哪些特別要求及支援（例如：私人辦公室、工作室、電話、傳真或網路）？
有了這些基本的資訊，就該開始收集稽核員所需的資料了 。







文件是關鍵
文件是解釋你的安全活動如何進行的關鍵。稽核員將採用這份文件作為審查與檢測安全活動的指引，一般的稽核文件內容描述系統、安全政策、作業程序、網路與系統圖表、流程圖、變更控制程序、流程定義、安全掃瞄報告、測試結果與日誌檔案。如果你的組織過去曾被稽核過，你大概已經有了大部分所需的資訊與資料。但是，這些資料都需做更新，因為沒有任何兩次的的稽核會完全相同，特別是當轉換稽核員時。
最後，回應小組必須從山一樣高的文件中過濾出有用的，千萬不要太多，同時井然有序的編排並裝訂好交給稽核員。你讓他們越容易找到資訊，稽核的過程將越順暢。

事前準備
準備一份正式的簡報將稽核的程序與系統報告給稽核員。每一個清楚的環節，以及一份總覽，都會使得彼此的工作進行得更順利。
簡報內容應包含所有將被稽核的系統、網路與應用程式，內容應準確精細。例如不要只是告訴他們你的前端伺服器採用Apache 2，甚是要告知連到J2EE伺服器的主要流量內容與此兩個伺服器都執行Red Hat Linux。
解釋你的應用程式與作業程序，並說明它們與公司營運的關連性。不要只是說你的基礎設施中有什麼。有時系統、基礎架構與設定對外部觀察者是沒有任何意義的，必須附加背景說明後才能讓人理解。
要涵蓋資訊安全的主要領域。包含身分識別、確認、認證、機密性、不可否認性、完整性、密碼學、稽核與系統的可用性。解釋你的安全控制如何分別滿足這些不同的需求。
不要嘗試隱藏你基礎設施中的缺點，因為無論如何稽核員都將會發現。把焦點放在你的優勢領域，同時也強調需要改進的地方。坦率的態度將會避免你的簡報被視為隱蔽缺點的煙霧。
在你的口頭簡報所提及的事項，應備有相關附帶文件，同時請附在文件夾中。
稽核員將會問許多問題。在他們的詢問中能全身而退的關鍵，就是所有的回答最好與簡報及附帶文件直接契合。例如：如果他們問到有關帳號的核准與設定的控制措施時，你的答案應該像這樣：「就像簡報所提及與在文件夾中的帳號控制文件中的27頁中，我們的程序規定，在MIS小組設定帳號之前需要先經由產品操作的核可」。這種回答方式將顯示你清楚了解自己的政策及程序。
不知道正確答案並不是罪過，不要用含糊或使人誤解的陳述來回答問題。甚至可以延遲回應，讓你有時間去調查。只要說：「我現在沒有答案，但是我將盡快調查清楚並且答覆你」。誠實並擁有強烈證據的答案，總是比陷於孤立無援的境地好。

全力支援你的稽核員
沒有特殊的許可，稽核員不應獲得伺服器根目錄或系統管理員的權限。然而，基於稽核種類與稽核員所運用的不同方法，你可能需要提供他們有限度的權限來存取系統或資料中心。適當的監督指導稽核員，將顯示你的盡責與反映出你們公司的完備性。
稽核員將檢查各個設備與軟體，但他們將會花較多時間審查公司政策與訪談員工及使用者。行政管理上的溝通，是稽核員要找出沒包含在文件夾中的參考資料，這也包括像是與關鍵職務人員的訪談或會議。
引導稽核員的整個過程，將讓你有機會去看看他們訪問使用者時所關注的問題。你可以在進行中，將話題帶到相關趨勢、新的標準以及回答任何訪查中的相關問題。稽核員將會很感激這種程度的合作。

收到報告
在稽核員的現場考察後堅持要求召開一個檢討會議。你可以要求他們給一份將提出的稽核報告草稿的副本，並複查其準確性（「先偷看寫些什麼」）。大部分的稽核員將會很願意提供一份稽核草稿，或是一個簡短的電話會談，來說明他們的發現。一旦你收到這些稽核報告草稿時，可藉機問問你是不是「通過了」。
除了他們的現場考察以及你所提供的文件外，他們接下來或許會再提出一些問題或要求額外的資訊。有效的立即回應將顯示出你的專業，並節省成本的支出，因為延遲常會另外算入稽核費用。一些稽核報告通常會有一個給管理者回應的部分，供你反駁與回應這些稽核發現。利用這個機會去敘述你的公司針對安全缺陷所做的修正措施。不過，要小心，回應也常會給那些稽核員在後續追蹤時有東西可再度審查。

修正問題
在稽核後應立即發展一個補救計畫，解決並滿足稽核員所發現的任何缺失或建議。重點稽核活動通常是一年一次，而重點稽核則較頻繁。初始稽核（即使你更換稽核公司），從他們的上次訪問起所得到的改進或者惡化結果，都將作為績效指標。
對於每一個需要修正的稽核發現，你應該對於有哪些系統的改變、哪些可接受的政策、變更的關鍵性以及修正所需的時間，有一個清楚的概念。即使你不能在下一次稽核前完成全部的修正，也應進行某些步驟，顯示你正在改進中。
最後，你必須在稽核報告出爐後確認主管的期待值在哪裡。為稽核中特別優秀的部分歡呼，但請同時建立調整缺點的機制。確保他們瞭解在一個區域的稽核通過，不代表他們可以忘了其他有缺點的地方。以及，不要讓他們認為在有問題的地方砸錢就可以了事；專注於下一步修正計畫將增加他們對你的信心。