甲方|企业安全建设从合规开始( 二 ) 建设|乙方|甲方|虞国|企业|合规

安全合规检查一般情况下都是日常的检查，还有就是后期的专门针对某一项进行检查，查看是否属于合规，开始安全检查之前，我们都会确认此次检查的主要目标，可能是某个比较新的系统或应用，也许是比较老的系统，但都有一个共同点–重要业务系统。
确定了检测的目标系统或应用后，我们需要制定检测的内容，可能主要包括网络安全、应用安全、数据安全、访问控制、主机安全、权限控制等几方面考虑，也会考虑系统的特殊性及主要功能，确认出重点检查内容，例如，存在较多敏感数据的系统，我们会重点检查数据安全、访问控制、权限控制等几方面的内容；当所有的检查内容已确认后，我们会内部协调人员，针对检查项的内容，进行具体的分工，一般来说都会选择各自擅长的领域，保证检测内容具体一定的深度及专业性，检查人员会根据公司的制度要求以及日常工作的经验对内容进行检查。一般会发邮件或正式的公文给被检查方，要求指定接口人，负责接下来的检查工作，包括人员进出安排，会议室的安排，被检查方内部人员的协调，资料的获取等方面。针对检查的内容，检查组内部会根据制度或经验，会要求被检查方先提供部分资料，减少检查时间，一般检查组组长会事先收集好检查组内部的资料调阅需求，然后统一发送给被检查方接口人，要求在什么时候提供什么内容的资料，检查组内部也会根据提供的材料，在现场或远程查看重点关注的内容项。
随着前面检查准备工作的完成，正式进入安全检查的环节，这部分可能会有两种方式进行，远程检查或现场检查，远程检测会通过视频的形式要求展示检测组提出的检查点，现场检查的流程为召开启动会、确定访谈内容及计划、现场或远程核查内容项、检查进度汇报、检查问题收集等
启动会
我们一般去现场检查都会先召开启动会，会将相关部门的领导、人员邀请参加会议，以便于后面工作的开展，在会上将会此次检查的目的、流程安排、要求等告知被检查方，针对检查的内容项，会建议被检查方的领导指定对应的人员去负责配合工作等。
确定访谈内容和计划的制定
现场\远程核查内容
到了这一步，前面肯定会收到调阅材料，此时，应该要求检查组成员对提供的材料进行核查，确认哪些已经满足的，哪些还需要补充，哪些需要现场上机查看，哪些可以远程提供的，这都需要做个好的记录与统计。
检查进度汇报
一般检查的时间都不止一天，每天下班前检查组的每个组员都需要对自己今天进展进行汇报，表达检查的方法及进度，组长此时应根据组员的反馈情况，及时调整优化，记录，当组员全部汇报完成后，需将今天检查的进度告知双方领导及组员，以便双方领导都明白检查项目的进展情况，我一般都采用邮件的方式，这样显得正式些。
注：对检查过程中需要升级处理的问题，需尽早提出，寻求方法处理，说明困难的原因，请求以及时间，以便领导能协调资源帮助解决。
问题信息收集
最后，组长需要对此次检查发现的问题进行统计，确认，存在的问题都应有截图证明材料，以及公司的制度要求等，能证实问题确实存在，且告知与公司制度的哪一项要求不符合，怎么整改等。
检查结束发现问题确认

在与被检查方确认问题之前，检查组内部需进行问题分析、确认，评估发现问题的风险及内容，尽量描述的准确，真实，这样被检查方才会认可发现的问题，能现场整改完成的，可以直接沟通现场整改完成，并保留证明材料；
与被检查方确认问题之时，清晰明了的指出问题所在，违反的制度内容以及整改方式。
最终确定的检查清单，应已邮件的形式发给双方领导及参与人员。
难免会有争辩的地方，切忌因情绪影响，根据发现风险、分析原因、整改措施这三个方面来沟通

编写检查报告
问题进行确认后，需要编写一份检查报告，对整个检查项目进行分析，包括检查目标，检查内容，检查人员，检查计划，发现的问题等方面，针对检查内容，应尽量详实的描述实际检查的情况。
检查总结针对整个检查项目完成后，应该对此次检查做个总结，可以从如下几个方面去总结：