2.明確審計依據

審計依據就像一把“尺子”，審計人員用它來衡量信息系統控制的“長短”。審計目的不同，審計依據就可能不同。舉例如下：

序號 審計目的 審計依據

1確定是否滿足銀監會關于商業銀行信息科技風險管理要求 商業銀行信息科技風險管理指引

2確定是否滿足我國信息安全等級保護工作要求本要求

3確定是否滿足信息安全管理體系國際標準要求 GB/T2.2239信息系統安全等級保護基ISO/IEC27001信息安全管理體系要求

確定組織自己制定的信息安全規章制度執行情況 組織信息安全規章制度