适用对象
从中小企业基线到企业级审计计划
IT 用户不足 20 人的中小企业,需要固定范围的 Microsoft 365 与混合环境审计,并享有透明的 USD 定价。
需要按既定节奏开展信息安全、合规、云、治理或供应商审计的企业及受监管行业。
在多个亚太市场设有办公室的组织,需要统一报告及按司法管辖区的 PDPO、PDPA、PIPL、DPDP 和 ISO 27001 差距分析。
区域交付
覆盖亚太的合规感知型审计交付
每项参与均将发现项映射至您运营市场相关的隐私与信息安全框架。探索博迅区域 IT 服务,了解本地交付背景。
PDPO
数据处理、访问控制及符合证监会要求的文档
- ▸PDPO 差距分析
- ▸特权访问审查
- ▸备份与灾备就绪度
PDPA (PDPC)
符合 PDPA 的运营与 M365 治理
- ▸PDPA 合规审计
- ▸MFA 与 Conditional Access
- ▸电子邮件安全(SPF/DKIM/DMARC)
PIPL / MLPS 2.0
跨境数据、M365 中国租户与 MLPS 对齐
- ▸PIPL 数据驻留审查
- ▸MLPS 2.0 差距分析
- ▸云资源清单
DPDP Act
数据保护控制与访问生命周期
- ▸DPDP 合规审查
- ▸JML 权限审计
- ▸终端与备份覆盖
个人资料保护法
本地 M365 边界与协作权限
- ▸权限与来宾访问审查
- ▸Teams/SharePoint 审计
- ▸移动设备控制
PDPA 2010
中小企业与区域枢纽审计交付
- ▸PDPA 2010 差距分析
- ▸资产与补丁审查
- ▸Wi-Fi 与网络基线
第 13 号法令
远程发现加亚太 NOC 支持的交付
- ▸个人数据保护审查
- ▸访问与终端审计
- ▸备份验证
PDPA 2019
曼谷及区域办公室审计支持
- ▸PDPA 2019 对齐
- ▸SaaS 权限审计
- ▸事件响应审查
中小企业项目审计
Microsoft 365 与混合 IT 审计范围
面向 IT 用户不足 20 人的组织的固定范围审计。涵盖身份、访问、终端、资产、补丁、备份、软件控制与移动安全——可选附加项在发现阶段确定范围。
用户账户与身份验证
Microsoft 365 与混合目录中的身份生命周期与身份验证加固。
- ▸Microsoft 365 / Azure AD 与本地账户清单
- ▸入职、离职与休眠账户审查
- ▸MFA 强制与密码策略评估
- ▸特权账户与服务账户管理
- ▸SSO 与 Conditional Access 策略审查
访问权限与授权
协作平台的最小权限与职责分离审查。
- ▸Microsoft 365、文件共享与应用中的 RBAC
- ▸SharePoint、OneDrive 与 Teams 权限审计
- ▸安全组与动态组成员审查
- ▸来宾与外部用户访问
- ▸关键职能的职责分离(SoD)
终端安全与 EDR
Microsoft Defender for Endpoint 与 Intune 合规态势。
- ▸Defender 部署与配置状态
- ▸EDR 策略、ASR 与漏洞利用防护
- ▸Intune 设备合规策略
- ▸防病毒有效性与更新状态
- ▸防火墙与主机级防护设置
IT 资产管理
硬件、软件与云资产的完整可见性。
- ▸终端、服务器与外设清单
- ▸资产标签、归属与生命周期跟踪
- ▸Azure 与 Microsoft 365 许可证清单
- ▸网络设备清单
- ▸资产处置与退役流程
安全补丁与漏洞管理
补丁态势与漏洞修复流程审查。
- ▸Windows、macOS 与应用补丁状态
- ▸Microsoft 365 / Azure 补丁管理
- ▸漏洞扫描与修复工作流
- ▸补丁策略与计划审查
数据备份与恢复
备份覆盖、测试与勒索软件韧性。
- ▸OneDrive、Azure Backup 与第三方备份审查
- ▸备份频率、保留与恢复测试
- ▸服务器、终端、云与电子邮件覆盖
- ▸DR/BCP 与勒索软件防护(不可变性、气隙)
授权软件与应用控制
软件审批、影子 IT 与许可证合规。
- ▸软件审批流程与策略
- ▸已批准应用清单
- ▸应用白名单 / 黑名单
- ▸影子 IT 发现
- ▸Microsoft 365 与软件许可证合规
移动设备安全
通过 Intune MDM/MAM 实现企业与 BYOD 控制。
- ▸通过 Intune 审查 MDM/MAM 策略
- ▸企业自有与 BYOD 注册控制
- ▸工作配置文件分离与容器化
- ▸远程擦除、加密与密码要求
- ▸移动威胁防护能力
网络与电子邮件安全
边界与消息控制,通常作为附加项确定范围。
- ▸网络分段与 Wi-Fi 安全
- ▸反钓鱼与欺骗防护
- ▸DMARC / DKIM / SPF 配置
- ▸Microsoft 365 Secure Score 审查
推荐附加项——在发现阶段确定范围
第 9 节领域及额外合规框架可纳入全面版或高级版套餐:
- ▸网络安全(分段、Wi-Fi、VPN)
- ▸电子邮件安全(反钓鱼、DMARC/DKIM/SPF)
- ▸云安全态势(Microsoft 365 Secure Score)
- ▸日志、监控与 SIEM 能力
- ▸物理安全与办公室访问控制
- ▸安全意识培训与钓鱼模拟结果
- ▸事件响应计划与历史事件审查
- ▸PDPO、ISO 27001、GDPR 及其他合规差距分析
中小企业项目定价
面向不足 20 名 IT 用户的固定价格审计层级
所有价格以 USD 计价。工作量估算:50–80 小时(高级顾问 + 支持),含文档编制、工具扫描、访谈与报告撰写。
所示定价适用于 IT 用户不足 20 人的中小企业项目。企业及周期性计划另行报价。
完整审计目录
7 大类别共 17 项审计服务
除中小企业项目范围外,博迅还提供企业级信息安全、合规、云、治理及专项审计——每项均定义频率、交付物与行业适配。
I — 信息安全审计
1.信息安全审计
每季度- 终端安全基线(EDR/防病毒、磁盘加密、屏保策略)
- USB 控制策略执行审计
- 远程访问 / VPN 安全审计
- MFA 覆盖审计
- 密码策略与共享账户审计
- 办公设备安全(打印机、Wi-Fi)
适用行业: 全行业;尤其适用于有正式信息安全要求的组织
交付物: 审计报告 + 整改建议清单
2.渗透测试与漏洞评估
每半年 / 每年- 外部与内部渗透测试
- Web 与移动应用测试
- API 安全测试
- 漏洞扫描与风险评级
- 社会工程学测试
适用行业: 互联网、金融服务及对外系统
交付物: 渗透测试报告 + 漏洞整改计划
3.日志与活动审计
每月- 第 1 层:终端活动日志(登录、USB、文件复制、打印)
- 第 2 层:数据访问日志(共享、数据库、云存储)
- 第 3 层:外发传输日志(电子邮件、网页上传、即时通讯、公开链接)
- 第 4 层:权限变更日志(管理员、授权、策略变更)
- 异常检测规则有效性与告警响应及时性
- 日志完整性与防篡改验证
适用行业: 家族办公室、金融机构、律所与咨询公司
交付物: 日志审计报告 + 异常行为分析报告
II — 合规审计
4.合规审计
每年 / 认证周期- PDPO(香港)——收集、保留、主体权利、外包
- ISO 27001 信息安全管理体系审计
- SOC 1 / SOC 2 审计支持
- GDPR 合规审计
- MLPS 2.0(中国)合规审计
适用行业: 香港企业、跨国公司、金融与医疗行业
交付物: 合规审计报告 + 差距分析 + 整改路线图
5.数据保护与隐私审计
每半年- 数据分类与分级实施
- 数据加密策略执行
- 数据外发通道控制
- 外部分享与公开链接权限审计
- 备份与恢复策略审计
- 数据销毁流程审计
适用行业: 处理客户数据的所有企业
交付物: 数据保护审计报告 + 数据地图
III — 资产与基础设施审计
6.IT 资产审计
每季度- 全生命周期审计(采购、配置、部署、销毁、退役)
- 终端、网络设备、服务器/存储与软件许可
- 资产标签与归属验证
适用行业: 所有企业;尤其适用于 50 人以上组织
交付物: 资产台账 + 资产审计报告 + 许可证合规报告
7.网络与基础设施审计
每半年- 防火墙规则审计与优化
- 网络 ACL 与流量基线审计
- VPN 远程访问控制
- NAS/备份策略与恢复演练验证
- 网络设备配置审计
适用行业: 网络架构复杂的企业
交付物: 网络审计报告 + 拓扑优化建议
IV — 云平台与 SaaS 审计
8.云平台安全审计
每半年- 第 1 层:账户生命周期(开通、分配、变更、禁用)
- 第 2 层:安全基线(MFA、无密码、密码标准)
- 第 3 层:资源/成本管理(隔离、标签、成本跟踪)
- 第 4 层:监控/审计(异常检测、权限告警)
- 第 5 层:合规/报告(自动检测、报告导出)
- AWS / Azure / GCP 及生产/测试环境隔离
适用行业: 云原生及重度 SaaS 用户
交付物: 云安全审计报告 + 架构优化建议
9.SaaS 应用审计
每季度- Microsoft 365 与 Google Workspace 安全审计
- 电子邮件安全(SPF/DKIM/DMARC)
- 反钓鱼与垃圾邮件防护
- 共享权限、异常登录与外部分享审计
适用行业: 使用协作平台的所有企业
交付物: SaaS 安全审计报告 + 权限清理清单
V — 人员与权限审计
10.JML 权限审计(入职 / 调岗 / 离职)
每季度- 入职:账户开通及时性与最小权限
- 调岗:权限变更及时性与旧权限回收
- 离职:停用、全面权限回收、设备归还
- SoD 矩阵审计、过度权限管理、非活跃账户清理
适用行业: 人员流动率高的企业
交付物: JML 审计报告 + 权限优化建议
11.关键凭证管理审计
每半年- 云基础设施凭证(AWS root、域名注册商)
- 生产平台超级管理员凭证
- 加密密钥与 MFA 恢复码
- HSM 备份与加密磁盘恢复密钥
- 财务系统凭证与应急账户
- 双重控制与凭证变更审批流程
适用行业: 金融机构、家族办公室、科技公司
交付物: 关键凭证审计报告 + 管理流程优化
VI — 治理与流程审计
12.变更管理审计
每季度- ITIL 变更管理流程执行
- 标准变更数据库合规
- CAB 有效性、变更冻结、回滚计划、变更后审查
适用行业: 变更频繁的复杂 IT 环境
交付物: 变更管理审计报告 + 流程优化建议
13.风险评估审计
每季度- 五维风险矩阵:业务影响、信息安全风险、回滚复杂度、资源调度、技术可行性
- 风险分类准确性与处置进度审计
适用行业: 所有企业;尤其适用于高风险行业
交付物: 风险评估报告 + 风险处置跟踪清单
14.事件响应审计
每季度- 7 步 IR 流程:检测 → 升级 → 通知 → 修复 → 恢复 → 审查 → 改进
- 告警响应及时性与 RCA 质量
- 事件后改进实施审计
适用行业: 有信息安全事件历史的企业
交付物: 事件响应审计报告 + 应急流程优化
VII — 专项审计
15.文件与文档审计
每半年- 文件访问权限审计
- 敏感文档分类与保护
- 文档版本控制与外发传输审计
- 电子文档保留与销毁审计
适用行业: 律所、咨询、设计及文档密集型企业
交付物: 文档审计报告 + 权限清理清单
16.物理安全审计
每年- 机房访问控制审计
- CCTV 覆盖与合规审计
- 录像存储与访问审计
- 敏感文档存储环境安全
适用行业: 有机房或敏感区域的企业
交付物: 物理安全审计报告 + 整改建议
17.供应商与第三方审计
每年- 供应商信息安全背景评估
- 第三方访问安全审计
- SLA 执行状态审计
- 跨境数据合规审计
适用行业: 高度依赖第三方服务的企业
交付物: 供应商审计报告 + 风险清单
周期性审计套餐
持续审计节奏——套餐 A 至 D
完成基线评估后,许多客户会按月、季、半年或年度保留博迅的审计计划。各套餐将目录服务组合为可预期的交付节奏。
月度审计套餐
每月- ▸日志与异常行为审计
- ▸告警响应审计
- ▸月度管理报告
需要持续监控的企业
月度审计简报 + 管理仪表板
季度审计套餐
每季度- ▸人员权限(JML)审计
- ▸IT 资产台账审计
- ▸信息安全风险评估
- ▸季度管理报告
大多数企业的标准选择
季度综合审计报告 + 改进跟踪表
半年度审计套餐
每半年- ▸渗透测试
- ▸备份恢复演练
- ▸云平台安全审计
- ▸半年度综合报告
中大型企业及高风险行业
半年度审计报告 + 周期总结
年度审计套餐
每年- ▸合规审计
- ▸SOC / ISO 认证审计支持
- ▸年度综合信息安全审计
- ▸年度总结与下一年规划
所有企业——年度合规与管理报告
年度审计白皮书 + 下一年审计计划
您将获得
结构化、可执行的发现项
50–80 小时
典型中小企业项目工作量
17
完整目录中的审计服务
4
周期性套餐节奏
8
支持的亚太市场
- ✓工具扫描(Microsoft Defender、Secure Score、漏洞工具)
- ✓利益相关方访谈与文档审查
- ✓附执行摘要的风险排序书面审计报告
- ✓优先级整改路线图(快速见效项 + 战略投资)
- ✓与 IT 领导层的汇报会议及可选审计后咨询
工作方式
结构化审计流程——无意外
范围界定与访问
界定审计边界、访问要求与监管框架。商定只读凭证与工具部署计划。
发现与访谈
自动发现、工具扫描,以及对 IT、信息安全与业务利益相关方的结构化访谈。
分析与发现项
对照最佳实践与各司法管辖区合规要求分析发现项。按业务影响对差距进行风险评级。
报告与路线图
交付完整审计报告及优先级改进路线图。与您的 IT 及管理团队进行汇报。
常见问题
关于 IT 评估与审计的常见问题
能否审计覆盖多个亚太国家的 IT 环境? +
可以。博迅提供统一范围与报告,并为香港、新加坡、中国、印度、台湾、马来西亚、越南和泰国提供按司法管辖区的合规说明。远程发现与必要时的现场工作相结合,通过我们的区域服务中心协调。
中小企业项目审计与完整目录有何区别? +
中小企业项目审计为固定价格参与(核心版起步 USD 3,800),覆盖 IT 用户不足 20 人的九大基线领域。完整目录列出 17 项专项审计服务,面向企业及受监管计划——根据范围、频率与环境复杂度报价。
周期性套餐与基线审计有何关系? +
大多数客户先完成中小企业或全面基线审计,再转入套餐 B(季度)或套餐 D(年度)以持续治理。套餐 A 适合持续日志监控;套餐 C 以半年节奏增加渗透测试与云审计。
你们对照哪些合规框架进行评估? +
我们根据您的运营市场与行业要求,将发现项映射至 PDPO(香港)、PDPA(新加坡、马来西亚、泰国)、PIPL 与 MLPS 2.0(中国)、DPDP Act(印度)、ISO 27001、SOC 1/2、GDPR 及 CIS Controls。
相关服务
延伸您的信息安全与合规计划
许多审计发现项可自然延伸至托管服务、渗透测试或咨询项目。