安全小白成長記
2
信息安全等級高級測評師
CISP-PTE
安全小白成長記2
信息安全等級高級測評師
CISP-PTE
信息安全審計,是一種為了合理保證企業信息安全管理的有效性而誕生的審計形式。信息安全審計的范圍十分廣泛,其目的亦可根據企業在不同階段的發展目標而存在不同的側重點,在以下領域均可進行開展:
信息安全管理組織與制度
訪問控制管理
網絡安全、漏洞掃描、滲透測試、代碼安全掃描、機房及設備物理安全、應用系統安全、信息系統日志管理、加密傳輸和加密設備管理、補丁管理、IT項目開發管理
隱私數據安全、數據庫和操作系統安全、信息資產分級和管理、數據資產全生命周期管理評估、信息安全事件管理、業務連續性
人力安全、IT外包安全管理、信息安全意識教育
在進行常規信息安全審計前,對于企業內外部的信息安全審計師而言,應先確定審計范圍,包括與信息安全有關的所有公司資產,包括數據庫內的數據、計算機設備、電話、網絡、電子郵件和任何與訪問有關的項目,如門禁卡、令牌和密碼等。在執行審計程序時,除了檢查企業在制度層面應當建立信息安全相關標準中要求建立的制度和流程外,還應檢查企業是否按照制度規定可靠地執行了相應的程序。在審計過程中檢查企業在具體的制度執行或控制實施細節時,往往會發現企業某些控制執行不到位的情況,存在潛在的信息安全風險。例如,某企業的門禁系統權限存在漏洞:不及時禁用或刪除離職人員的門禁權限,并且存放內部機密信息和個人隱私數據的區域的門禁權限沒有限制為僅有相應部門崗位的人員擁有。
還有較為普遍的發現是企業缺乏防窺防竊聽相關的控制措施,當員工遠程辦公時,尤其在公共場合的情況下,沒有明確的對公司信息資產的保護措施。對于這些存在信息安全風險的不符合事項,審計人員也需要結合企業整體信息安全保護的其他措施及整體情況評估控制風險,例如針對遠程辦公的信息安全風險,審計師可以結合企業在遠程訪問權限控制、防火墻配置、辦公終端監控、信息加密、員工培訓等方面的控制措施,統一評估后確定風險水平,并給出相應的改進建議。
推薦文章
