B BROCENT
全部服务

IT 评估与审计

中立第三方 IT 审计,附带优先级改进路线图——覆盖亚太各地

博迅提供从中小企业项目审计到企业级信息安全、合规与治理计划的结构化 IT 评估。无论您需要面向不足 20 名用户的 Microsoft 365 基线审查、完整的 17 项审计服务目录,还是季度与年度周期性套餐——我们均可提供按风险排序的发现项、针对各司法管辖区的合规说明,以及覆盖香港、新加坡、中国、印度、台湾、马来西亚、越南和泰国的可执行整改路线图。

香港 新加坡 中国 印度 台湾 马来西亚 越南 泰国
覆盖范围 香港新加坡上海北京孟买班加罗尔台北吉隆坡胡志明市曼谷 全部城市 →

适用对象

从中小企业基线到企业级审计计划

IT 用户不足 20 人的中小企业,需要固定范围的 Microsoft 365 与混合环境审计,并享有透明的 USD 定价。

需要按既定节奏开展信息安全、合规、云、治理或供应商审计的企业及受监管行业。

在多个亚太市场设有办公室的组织,需要统一报告及按司法管辖区的 PDPO、PDPA、PIPL、DPDP 和 ISO 27001 差距分析。

区域交付

覆盖亚太的合规感知型审计交付

每项参与均将发现项映射至您运营市场相关的隐私与信息安全框架。探索博迅区域 IT 服务,了解本地交付背景。

按区域交付 IT 审计

中小企业项目审计

Microsoft 365 与混合 IT 审计范围

面向 IT 用户不足 20 人的组织的固定范围审计。涵盖身份、访问、终端、资产、补丁、备份、软件控制与移动安全——可选附加项在发现阶段确定范围。

👤

用户账户与身份验证

Microsoft 365 与混合目录中的身份生命周期与身份验证加固。

  • Microsoft 365 / Azure AD 与本地账户清单
  • 入职、离职与休眠账户审查
  • MFA 强制与密码策略评估
  • 特权账户与服务账户管理
  • SSO 与 Conditional Access 策略审查
🔐

访问权限与授权

协作平台的最小权限与职责分离审查。

  • Microsoft 365、文件共享与应用中的 RBAC
  • SharePoint、OneDrive 与 Teams 权限审计
  • 安全组与动态组成员审查
  • 来宾与外部用户访问
  • 关键职能的职责分离(SoD)
🛡️

终端安全与 EDR

Microsoft Defender for Endpoint 与 Intune 合规态势。

  • Defender 部署与配置状态
  • EDR 策略、ASR 与漏洞利用防护
  • Intune 设备合规策略
  • 防病毒有效性与更新状态
  • 防火墙与主机级防护设置
💻

IT 资产管理

硬件、软件与云资产的完整可见性。

  • 终端、服务器与外设清单
  • 资产标签、归属与生命周期跟踪
  • Azure 与 Microsoft 365 许可证清单
  • 网络设备清单
  • 资产处置与退役流程
🔄

安全补丁与漏洞管理

补丁态势与漏洞修复流程审查。

  • Windows、macOS 与应用补丁状态
  • Microsoft 365 / Azure 补丁管理
  • 漏洞扫描与修复工作流
  • 补丁策略与计划审查
💾

数据备份与恢复

备份覆盖、测试与勒索软件韧性。

  • OneDrive、Azure Backup 与第三方备份审查
  • 备份频率、保留与恢复测试
  • 服务器、终端、云与电子邮件覆盖
  • DR/BCP 与勒索软件防护(不可变性、气隙)
📦

授权软件与应用控制

软件审批、影子 IT 与许可证合规。

  • 软件审批流程与策略
  • 已批准应用清单
  • 应用白名单 / 黑名单
  • 影子 IT 发现
  • Microsoft 365 与软件许可证合规
📱

移动设备安全

通过 Intune MDM/MAM 实现企业与 BYOD 控制。

  • 通过 Intune 审查 MDM/MAM 策略
  • 企业自有与 BYOD 注册控制
  • 工作配置文件分离与容器化
  • 远程擦除、加密与密码要求
  • 移动威胁防护能力
🌐

网络与电子邮件安全

边界与消息控制,通常作为附加项确定范围。

  • 网络分段与 Wi-Fi 安全
  • 反钓鱼与欺骗防护
  • DMARC / DKIM / SPF 配置
  • Microsoft 365 Secure Score 审查

推荐附加项——在发现阶段确定范围

第 9 节领域及额外合规框架可纳入全面版或高级版套餐:

  • 网络安全(分段、Wi-Fi、VPN)
  • 电子邮件安全(反钓鱼、DMARC/DKIM/SPF)
  • 云安全态势(Microsoft 365 Secure Score)
  • 日志、监控与 SIEM 能力
  • 物理安全与办公室访问控制
  • 安全意识培训与钓鱼模拟结果
  • 事件响应计划与历史事件审查
  • PDPO、ISO 27001、GDPR 及其他合规差距分析

中小企业项目定价

面向不足 20 名 IT 用户的固定价格审计层级

所有价格以 USD 计价。工作量估算:50–80 小时(高级顾问 + 支持),含文档编制、工具扫描、访谈与报告撰写。

所示定价适用于 IT 用户不足 20 人的中小企业项目。企业及周期性计划另行报价。

核心审计

USD 3,800

第 1–8 节——完整基线覆盖

  • 用户账户、访问、终端与资产
  • 补丁、备份、软件控制与移动
  • 附优先级路线图的书面审计报告
  • 与您的 IT 及管理团队进行汇报会议
索取审计报价

全面审计

USD 4,900 – 5,500

核心版 + 关键第 9 节附加项

  • 核心审计全部内容
  • Microsoft 365 Secure Score 审查
  • 电子邮件安全(DMARC/DKIM/SPF)
  • 基础网络 / Wi-Fi 审查
  • 事件响应计划审查
  • PDPO / ISO 27001 差距分析
索取审计报价

高级版

USD 7,000+

完整范围 + 轻度整改支持

  • 全面审计全部内容
  • 按约定覆盖完整第 9 节
  • 审计后 4–8 小时咨询服务
  • 针对首要优先项的实施支持
索取审计报价

完整审计目录

7 大类别共 17 项审计服务

除中小企业项目范围外,博迅还提供企业级信息安全、合规、云、治理及专项审计——每项均定义频率、交付物与行业适配。

I — 信息安全审计

1.信息安全审计

每季度
  • 终端安全基线(EDR/防病毒、磁盘加密、屏保策略)
  • USB 控制策略执行审计
  • 远程访问 / VPN 安全审计
  • MFA 覆盖审计
  • 密码策略与共享账户审计
  • 办公设备安全(打印机、Wi-Fi)

适用行业: 全行业;尤其适用于有正式信息安全要求的组织

交付物: 审计报告 + 整改建议清单

2.渗透测试与漏洞评估

每半年 / 每年
  • 外部与内部渗透测试
  • Web 与移动应用测试
  • API 安全测试
  • 漏洞扫描与风险评级
  • 社会工程学测试

适用行业: 互联网、金融服务及对外系统

交付物: 渗透测试报告 + 漏洞整改计划

了解更多 →

3.日志与活动审计

每月
  • 第 1 层:终端活动日志(登录、USB、文件复制、打印)
  • 第 2 层:数据访问日志(共享、数据库、云存储)
  • 第 3 层:外发传输日志(电子邮件、网页上传、即时通讯、公开链接)
  • 第 4 层:权限变更日志(管理员、授权、策略变更)
  • 异常检测规则有效性与告警响应及时性
  • 日志完整性与防篡改验证

适用行业: 家族办公室、金融机构、律所与咨询公司

交付物: 日志审计报告 + 异常行为分析报告

II — 合规审计

4.合规审计

每年 / 认证周期
  • PDPO(香港)——收集、保留、主体权利、外包
  • ISO 27001 信息安全管理体系审计
  • SOC 1 / SOC 2 审计支持
  • GDPR 合规审计
  • MLPS 2.0(中国)合规审计

适用行业: 香港企业、跨国公司、金融与医疗行业

交付物: 合规审计报告 + 差距分析 + 整改路线图

5.数据保护与隐私审计

每半年
  • 数据分类与分级实施
  • 数据加密策略执行
  • 数据外发通道控制
  • 外部分享与公开链接权限审计
  • 备份与恢复策略审计
  • 数据销毁流程审计

适用行业: 处理客户数据的所有企业

交付物: 数据保护审计报告 + 数据地图

III — 资产与基础设施审计

6.IT 资产审计

每季度
  • 全生命周期审计(采购、配置、部署、销毁、退役)
  • 终端、网络设备、服务器/存储与软件许可
  • 资产标签与归属验证

适用行业: 所有企业;尤其适用于 50 人以上组织

交付物: 资产台账 + 资产审计报告 + 许可证合规报告

7.网络与基础设施审计

每半年
  • 防火墙规则审计与优化
  • 网络 ACL 与流量基线审计
  • VPN 远程访问控制
  • NAS/备份策略与恢复演练验证
  • 网络设备配置审计

适用行业: 网络架构复杂的企业

交付物: 网络审计报告 + 拓扑优化建议

IV — 云平台与 SaaS 审计

8.云平台安全审计

每半年
  • 第 1 层:账户生命周期(开通、分配、变更、禁用)
  • 第 2 层:安全基线(MFA、无密码、密码标准)
  • 第 3 层:资源/成本管理(隔离、标签、成本跟踪)
  • 第 4 层:监控/审计(异常检测、权限告警)
  • 第 5 层:合规/报告(自动检测、报告导出)
  • AWS / Azure / GCP 及生产/测试环境隔离

适用行业: 云原生及重度 SaaS 用户

交付物: 云安全审计报告 + 架构优化建议

了解更多 →

9.SaaS 应用审计

每季度
  • Microsoft 365 与 Google Workspace 安全审计
  • 电子邮件安全(SPF/DKIM/DMARC)
  • 反钓鱼与垃圾邮件防护
  • 共享权限、异常登录与外部分享审计

适用行业: 使用协作平台的所有企业

交付物: SaaS 安全审计报告 + 权限清理清单

了解更多 →

V — 人员与权限审计

10.JML 权限审计(入职 / 调岗 / 离职)

每季度
  • 入职:账户开通及时性与最小权限
  • 调岗:权限变更及时性与旧权限回收
  • 离职:停用、全面权限回收、设备归还
  • SoD 矩阵审计、过度权限管理、非活跃账户清理

适用行业: 人员流动率高的企业

交付物: JML 审计报告 + 权限优化建议

11.关键凭证管理审计

每半年
  • 云基础设施凭证(AWS root、域名注册商)
  • 生产平台超级管理员凭证
  • 加密密钥与 MFA 恢复码
  • HSM 备份与加密磁盘恢复密钥
  • 财务系统凭证与应急账户
  • 双重控制与凭证变更审批流程

适用行业: 金融机构、家族办公室、科技公司

交付物: 关键凭证审计报告 + 管理流程优化

VI — 治理与流程审计

12.变更管理审计

每季度
  • ITIL 变更管理流程执行
  • 标准变更数据库合规
  • CAB 有效性、变更冻结、回滚计划、变更后审查

适用行业: 变更频繁的复杂 IT 环境

交付物: 变更管理审计报告 + 流程优化建议

13.风险评估审计

每季度
  • 五维风险矩阵:业务影响、信息安全风险、回滚复杂度、资源调度、技术可行性
  • 风险分类准确性与处置进度审计

适用行业: 所有企业;尤其适用于高风险行业

交付物: 风险评估报告 + 风险处置跟踪清单

14.事件响应审计

每季度
  • 7 步 IR 流程:检测 → 升级 → 通知 → 修复 → 恢复 → 审查 → 改进
  • 告警响应及时性与 RCA 质量
  • 事件后改进实施审计

适用行业: 有信息安全事件历史的企业

交付物: 事件响应审计报告 + 应急流程优化

VII — 专项审计

15.文件与文档审计

每半年
  • 文件访问权限审计
  • 敏感文档分类与保护
  • 文档版本控制与外发传输审计
  • 电子文档保留与销毁审计

适用行业: 律所、咨询、设计及文档密集型企业

交付物: 文档审计报告 + 权限清理清单

16.物理安全审计

每年
  • 机房访问控制审计
  • CCTV 覆盖与合规审计
  • 录像存储与访问审计
  • 敏感文档存储环境安全

适用行业: 有机房或敏感区域的企业

交付物: 物理安全审计报告 + 整改建议

17.供应商与第三方审计

每年
  • 供应商信息安全背景评估
  • 第三方访问安全审计
  • SLA 执行状态审计
  • 跨境数据合规审计

适用行业: 高度依赖第三方服务的企业

交付物: 供应商审计报告 + 风险清单

周期性审计套餐

持续审计节奏——套餐 A 至 D

完成基线评估后,许多客户会按月、季、半年或年度保留博迅的审计计划。各套餐将目录服务组合为可预期的交付节奏。

A

月度审计套餐

每月
  • 日志与异常行为审计
  • 告警响应审计
  • 月度管理报告

需要持续监控的企业

月度审计简报 + 管理仪表板

B

季度审计套餐

每季度
  • 人员权限(JML)审计
  • IT 资产台账审计
  • 信息安全风险评估
  • 季度管理报告

大多数企业的标准选择

季度综合审计报告 + 改进跟踪表

C

半年度审计套餐

每半年
  • 渗透测试
  • 备份恢复演练
  • 云平台安全审计
  • 半年度综合报告

中大型企业及高风险行业

半年度审计报告 + 周期总结

D

年度审计套餐

每年
  • 合规审计
  • SOC / ISO 认证审计支持
  • 年度综合信息安全审计
  • 年度总结与下一年规划

所有企业——年度合规与管理报告

年度审计白皮书 + 下一年审计计划

您将获得

结构化、可执行的发现项

50–80 小时

典型中小企业项目工作量

17

完整目录中的审计服务

4

周期性套餐节奏

8

支持的亚太市场

  • 工具扫描(Microsoft Defender、Secure Score、漏洞工具)
  • 利益相关方访谈与文档审查
  • 附执行摘要的风险排序书面审计报告
  • 优先级整改路线图(快速见效项 + 战略投资)
  • 与 IT 领导层的汇报会议及可选审计后咨询

工作方式

结构化审计流程——无意外

01

范围界定与访问

界定审计边界、访问要求与监管框架。商定只读凭证与工具部署计划。

02

发现与访谈

自动发现、工具扫描,以及对 IT、信息安全与业务利益相关方的结构化访谈。

03

分析与发现项

对照最佳实践与各司法管辖区合规要求分析发现项。按业务影响对差距进行风险评级。

04

报告与路线图

交付完整审计报告及优先级改进路线图。与您的 IT 及管理团队进行汇报。

常见问题

关于 IT 评估与审计的常见问题

能否审计覆盖多个亚太国家的 IT 环境? +

可以。博迅提供统一范围与报告,并为香港、新加坡、中国、印度、台湾、马来西亚、越南和泰国提供按司法管辖区的合规说明。远程发现与必要时的现场工作相结合,通过我们的区域服务中心协调。

中小企业项目审计与完整目录有何区别? +

中小企业项目审计为固定价格参与(核心版起步 USD 3,800),覆盖 IT 用户不足 20 人的九大基线领域。完整目录列出 17 项专项审计服务,面向企业及受监管计划——根据范围、频率与环境复杂度报价。

周期性套餐与基线审计有何关系? +

大多数客户先完成中小企业或全面基线审计,再转入套餐 B(季度)或套餐 D(年度)以持续治理。套餐 A 适合持续日志监控;套餐 C 以半年节奏增加渗透测试与云审计。

你们对照哪些合规框架进行评估? +

我们根据您的运营市场与行业要求,将发现项映射至 PDPO(香港)、PDPA(新加坡、马来西亚、泰国)、PIPL 与 MLPS 2.0(中国)、DPDP Act(印度)、ISO 27001、SOC 1/2、GDPR 及 CIS Controls。

准备评估您的 IT 环境?

请告知用户数量、运营市场与合规驱动因素。我们将推荐合适的中小企业层级、目录服务或周期性套餐——并在一个工作日内回复。