KEY ACCOUNTABILITIES
1. IT制度与标准执行审计
1.1 定期审计集团已发布的信息安全、IT运维、开发管理等相关制度、标准、操作规范的执行情况;
1.2 审核资产公司及各IT团队是否按要求落实集团政策,如密码策略、日志保存、备份频率、安全加固等;
1.3 跟踪问题整改进度,推动持续改进闭环。
2. 权限与账户管理审计
2.1 对系统账号、权限配置、访问控制等进行周期性或专项审计,关注是否存在越权、共享账号、未及时禁用等问题;
2.2 审计如SAP、AD、邮件系统、数据库、核心业务系统的权限设置与变更记录;
2.3 与IAM平台、权限审批流程联动,提升自动化审核能力。
...
3. 核心设备与系统配置审计
3.1 审计集团关键IT资产(如服务器、防火墙、核心网络、存储设备等)的配置合规性;
3.2 检查系统变更是否按流程走变更审批、是否记录完整的变更日志与回滚方案;
3.3 聚焦高风险配置变更、弱口令、默认设置、未关闭端口等潜在问题。
4. IT流程与运维行为审计
4.1 审计IT服务管理流程执行情况,如事件管理、变更管理、发布管理是否有记录可追溯,是否符合集团SOP;
4.2 检查操作行为是否记录在案,是否存在“无授权操作”“越权操作”等违规行为;
4.3 推动建立可审计日志机制,提升事后责任可定位能力。
5. 外部审计配合与资料提供
5.1 协助财务审计、合规审计、外部IT审计(如ISO27001审计、集团内控审计)工作;
5.2 负责协调IT相关审计材料的收集、解释、记录说明,配合审计访谈与整改说明;
5.3 复盘外部审计中发现的问题,转化为内部常规审计重点。
6. 风险提示与报告输出
6.1 编写审计报告、风险提示函与问题整改跟踪报告,及时向信息安全组与DSC管理层报告关键风险;
6.2 参与制定IT审计计划与审计标准库,确保覆盖广度与风险优先级匹配;
6.3 建立问题分类机制(高、中、低风险),并形成定期汇总分析。
QUALIFICATIONS,EXPERIENCE & SKILLS
1. 教育与经验
1.1 本科及以上学历,信息安全、审计、计算机、信息管理等相关专业;
1.2 至少5年信息安全或IT审计工作经验,有IT内部审计或第三方审计经验者优先;
1.3 熟悉企业IT运维、开发、配置、权限等流程,有大型企业、集团型组织背景优先。
2. 专业技能
2.1 熟悉主流信息安全与审计框架,如ISO27001、COBIT、NIST、ITIL、等保2.0等;
2.2 了解权限管理机制(如RBAC)、配置管理、变更管理流程;
2.3 熟悉AD、数据库、服务器、主流系统的权限模型、审计日志;
2.4 有基础脚本能力(如PowerShell、SQL)可辅助做自动化抽查者优先。
3. 综合能力
3.1 具备“发现问题”的敏锐性与逻辑严谨性,能够用制度条款对照实践行为;
3.2 有较强的跨部门沟通能力,能够与服务器、网络、开发、运维等多岗位进行审计配合;
3.3 具备良好的报告撰写与问题分析能力,可独立输出规范清晰的审计文档。
3.4 英语可作为工作语言
4. 认证(加分项)
4.1 CISA、ISO27001 LA/LI、CIA、CISSP 等相关证书优先;
4.2 有参与ISO27001审计或IT内控合规类项目经验者优先。
