Я шукав загальний контрольний список з аудиту, оскільки аудитор не надав його
Це невтішно. Я робив це протягом декількох років, і для нас було звичною практикою детальний огляд того, що було б оцінено та чому (методологія). Ми подали офіційні запити на інформацію, надали інструменти ІТ-персоналу для запуску та збору даних, включаючи будь-який потенційний вплив процесу збору (якщо такий є). Нам також потрібно було запланувати зустрічі в повному обсязі з детальними програмами, що зазвичай означало, що вони знають, чого чекати. Не існує жодної конструктивної мети, яка слугує для того, щоб когось переробляти в пісочниці в такій ініціативі. Питання, як правило, недостатньо, і більшість ІТ-співробітників готові обговорити їх, якщо розпочати роботу належним чином.
Але це означає, що там є чимало контрольних списків. Але першочерговою метою цих зусиль має бути висвітлення якомога більшої кількості питань, визначення їх пріоритетності та розробка планів дій щодо відновлення. Я б не надто переймався тим, що буду "готовим". Оскільки ви нещодавно розпочали роботу, має бути розуміння того, що місце не розпалося протягом ночі.
Якщо мережа, яку ви визнаєте, потребує вдосконалення, отримує хороший звіт, це, ймовірно, буде марною витратою коштів компанії.