Как Вы проводите аудит? Есть ли чеклист?

На работу устроился что ли?

позвони прошлому админу, спроси какие могут быть проблемы в сети, попроси, чтобы он тебе ключи от бэкдора дал, потом просто купи пиво и бухай на рабочем месте.

Если делается своими силами, для себя и компании. За основу можно взять PCI DSS и выбрать интересующие пункты для себя. Там собрано очень много типичных проблем, на которые стоит обращаться внимание. Дальше смотреть инструменты для реализации аудита. Отчет по аудиту нужен, как для истории, так и для дальнейшей работы по исправлению выявленных недостатков.

Спасибо за стандарт, интересно. Надо попробовать привести в порядок хозяйство.

За основу можно взять PCI DSS и выбрать интересующие пункты для себя.

Там общий список принципов, которым должна удовлетворять система. Возможно, стоит взять уже готовый список простых формализованных правил у cisecurity ( https://benchmarks.cisecurity.org/downloads/browse/ )

Если речь идёт о виртуальной инфраструктуре, есть vmware vsphere hardening guide

Дальше смотреть инструменты для реализации аудита.

Насколько я знаю, по pci dss нет публично доступных инструментов аудита

Если бы у меня возникла такая задача, я бы смотрел в сторону openvas

http://www.isecom.org/research/osstmm.html

Как Вы проводите аудит своих или чужих сетей

смотрю есть ли там компьютеры на базе оффтопика, если есть - сеть не защищена

http://www.pentest-standard.org/index.php/Main_Page
http://www.osstmm.org/
http://www.oissg.org/issaf

Technical Guide to Information Security Testing and Assessment
http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf