Heinbro认为,审计和监测是任何公司必须持续进行。公司治理标准的实施本身不是一个有效的合规战略。公司常常有标准的政策和程序,但没有监督其实施,操作或测量使其有效性。
任何审计的目的是向高级管理层保证各公司目前的做法是否符合相关法律。
进行拟议审计的方法包括:
5,评估公司网络安全和技术风险的暴露情况,特别关注IT基础设施和配置,政策基础,程序和协议,最常见做法,法规遵从性及最小化人和技术恶意攻击或其他方面。关键的评估领域包括网络适应威胁,防御因素和控制点的存在和相关性,与身份和权限相关的风险,威胁情报能力的有效性以及准备应对系统性或针对性攻击的能力。
6,与高级管理层协商讨论主要结论。
7,发布正式报告,其中包含对合规平台中可能存在的当前操作和潜在问题和/或缺陷的意见和建议。
Heinbro认为受监管实体应该总是积极主动,并持续审核合规功能。