应对 IT 资产审计：实用清单

在几乎所有 IT 资产审计中——无论是 SOX、ISO 27001、SOC 2 还是供应商追补授权——都会出现同样的五个漏洞。这份实操清单帮你在审计方到来之前就将它们封堵。

审计令人紧张有两个原因。第一：没有人喜欢有人来审查自己的记录。第二：大多数团队直到审计方提问才知道自己应该有哪些记录。好消息是，不同审计框架下审计方的要求清单是一致的，即使框架本身各有差异。

以下内容：每次 IT 资产审计都会审查什么，你应该存档哪些文件，最常让企业吃亏的五个漏洞，以及一份 30 天审计前整改方案。

你会遇到的四种审计类型

框架不同，问题相同：你知道自己有什么，谁持有它，能证明吗？

审计方的标准要求清单

1. 资产清单——每台笔记本、服务器、移动设备、网络设备，附负责人和位置。
2. 软件清单——每项付费 SaaS 或许可软件，席位数量，当前用户。
3. 访问矩阵——哪位用户有哪些系统的访问权限，附角色、授权人和授权日期。
4. 入职/调岗/离职记录——审计期间完整的入职和离职事件样本，附证明材料。
5. 变更日志——对资产、访问权限或配置的每次变更，有时间戳且可归因。
6. 合同库——每份活跃供应商协议，附有明确负责人。
7. 硬件处置记录——已报废设备经过正规清除数据和处置的证明。
8. 备份与恢复证明——持有受监管数据的系统。

审计方最常发现的 5 个漏洞

1. 离职员工的幽灵账号

员工 10 月离职，但他们的 Slack、GitHub 或 Salesforce 席位在次年 2 月仍处于活跃状态。这是最常见的 SOC 2 发现项。修复方案：IdP 驱动的撤销配置，自动触达每个已连接的 SaaS，加上每季度"60 天无登录"扫描。

2. 未追踪的硬件

未贴标签就发出的笔记本电脑。通过费用报销报销了但从未录入台账的手机。修复方案：每一笔硬件采购，在收货时（而非发放时）就进入资产清单，并附标签、负责人和保修记录。

3. 在用软件没有许可证

典型的 Microsoft/Oracle 审计发现。团队安装了一个工具，公司从未购买许可证，审计方在发现扫描中找到了它。追补授权账单可能非常巨大。修复方案：强制执行"只能通过采购安装软件"的政策，每季度运行发现扫描，与许可证清单对比核查。

4. 合同负责人是"IT@company.com"

如果每份合同都由一个共享邮箱"负责"，就没有真实的人承担责任。审计方会立刻注意到这一点。修复方案：每份合同有一位具名的真实负责人和一位有记录的备份负责人。

5. 没有变更的审计追踪

"谁重新分配了这个许可证？""不知道——当时就点了保存。"如果你的工具不记录谁在何时做了什么，审计还没开始就已经失败了。修复方案：选择内置完善变更日志的 ITAM/访问管理工具。SOC 2 明确要求这一点。

30 天审计前整改方案

第 1 周——资产清单

• 将硬件台账与 IdP 用户列表对比核查。每位活跃员工都有对应记录；每台笔记本都分配给真实的人。
• 扫描 SaaS 账号。停用或删除不在活跃员工列表中的任何人的账号。
• 提取每项付费 SaaS 的最近登录数据。标记 90 天以上休眠的席位。

第 2 周——访问权限

• 生成访问矩阵：用户 × 系统 × 角色。从各系统导出，合并到一个地方。
• 核查财务相关系统的职责分离（没有人批准自己的费用；没有人既是管理员又是审查员）。
• MFA 执行情况核查。每个特权账号都有 MFA，无例外。

第 3 周——合同与许可证

• 所有活跃合同已上传到集中合同库，附续订日期、通知期、负责人和金额。
• 对前 10 家供应商（按支出排序）进行许可证消耗 vs 权利对账。
• 采购政策已审查并获批准——未经追踪许可证不得安装软件。

第 4 周——证据包

• 审计期内入职/离职事件样本。
• 审计期内任何已报废设备的硬件处置证书。
• 资产、访问权限和配置的变更日志导出。
• 处理受监管数据的任何数据分处理方的供应商尽职调查文件。

ITAM 平台如何帮助

上述大多数工作默认存在于电子表格和共享网盘中，而这正是审计准备工作失败的地方。像 InventorIA 这样的现代 IT 资产管理平台内置了以下能力：

• 身份驱动的入职/离职流程，自动产生证明材料。
• 每项付费 SaaS 的许可证使用率 vs 权利对比。
• 带解析续订条款的合同库。
• 每项资产、许可证、合同的变更日志。
• 一键审计方导出（CSV、证据包，有时间戳）。

持续运行这套体系——而不是在审计前仓皇冲刺——的公司，通常能将审计周期缩短三分之一，并彻底终结那个"恐慌周"传统。