信息系统安全等级保护测评标准之实施现场审计

4实施现场审计

审计工作准备就绪后，则可以进驻被审计单位现场实施现场审计。现场审计是一项复杂的系统工程，具有较强的不确定性。因此，现场审计应根据事先编制的审计方案和审计计划执行，审计过程中好要做好变更控制。

现场审计往往由首次会议开始，至末次会议结束。在首次会议上，审计组长应向被审计单位阐明此次审计的目的、范围、依据和审计计划，并提出需要被审计单位的配合和审计所需资源等。末次会议上，审计组长向被审计单位说明审计发现，报告审计初步结果，并与被审计单位就初步审计结果达成一致。

现场审计方法通常包括：现场访谈、审阅文件、查看记录、系统检查和测试等。在系统检查和测试过程中，可能需要相关的审计工具，如系统漏洞扫描器、数据库安全审计系统、 桌面终端配置检查工具、网络安全检查工具、恶意软件扫描器等。

现场审计过程中，应做好文档化工作。对所发现的审计证据应进行详细记录，并与被审计单位人员进行现场确认。现场审计应注意方式方法，就意见不一致的问题先做好记录，避免现场与被审计单位人员发生争执。