<div dir="ltr"><div dir="ltr"></div><div></div><div><br></div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">I'd rather differ...<br></div><div dir="ltr" class="gmail_attr"><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">The first thing to ask them would be what their concerns are. </div></blockquote><div><br></div><div>Whose concerns, the board of directors or the sys admin? :-) In this case it sounds like the board of directors (or their own stakeholders) have established the need to bring in an external auditor. If the machines are owned by the organisation, or holding the organisation's data, it's often above an admin's prerogative to push back on a request initiated by the organisation's upper management - hence separating the work machines from the personal ones to alleviate the sys admin's concerns...!<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div></div><div>I suspect that they just need to make sure that they comply with GDPR, and to know that their business systems are protected from public access.</div></div></blockquote><div><br></div><div>My take is, that's a compliance audit, not a security audit. All good questions mentioned, but they come before, and are separate from, a security audit.</div><div><br></div><div>In any case, it seems like the audit happened long before the mails were even forwarded on, so I'm not sure what was wanted as feedback....? :-)</div><div><br></div><div>-- Tai<br></div><div> </div></div></div>