安全審核是組織可用來測試和評估其整體安全狀況(包括網(wǎng)絡(luò)安全)的多種方式的高級描述�。您可能會使用多種類型的安全審核來實現(xiàn)所需的結(jié)果并實現(xiàn)您的業(yè)務(wù)目標(biāo)�����。
10余年的桑植網(wǎng)站建設(shè)經(jīng)驗��,針對設(shè)計��、前端、開發(fā)����、售后、文案�����、推廣等六對一服務(wù)���,響應(yīng)快,48小時及時工作處理�����。成都營銷網(wǎng)站建設(shè)的優(yōu)勢是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同�,自動調(diào)整桑植建站的顯示方式,使網(wǎng)站能夠適用不同顯示終端����,在瀏覽器中調(diào)整網(wǎng)站的寬度,無論在任何一種瀏覽器上瀏覽網(wǎng)站��,都能展現(xiàn)優(yōu)雅布局與設(shè)計����,從而大程度地提升瀏覽體驗�����。創(chuàng)新互聯(lián)從事“桑植網(wǎng)站設(shè)計”,“桑植網(wǎng)站推廣”以來����,每個客戶項目都認(rèn)真落實執(zhí)行�����。
為什么安全審核很重要
如果您只跟蹤一點網(wǎng)絡(luò)安全新聞�,就應(yīng)該對審計為何如此重要有一個直觀的了解。定期審核可能會發(fā)現(xiàn)新的漏洞和組織變革的意料之外的后果����,最重要的是,法律對某些行業(yè)(尤其是醫(yī)療和金融行業(yè))要求進(jìn)行審核��。
這是運(yùn)行安全審核的一些更具體的好處:
- 驗證您當(dāng)前的安全策略是否足夠
- 檢查您的安全培訓(xùn)工作是否將針刺從一次審核轉(zhuǎn)移到了下一次審核
- 通過關(guān)閉或重新使用在審核期間發(fā)現(xiàn)的無關(guān)的硬件和軟件來降低成本
- 安全審核發(fā)現(xiàn)由新技術(shù)或新流程引入您的組織的漏洞
- 證明組織符合法規(guī)-HIPAA��,SHIELD���,CCPA���,GDPR等
安全審核如何工作
Gartner編寫了一份綜合指南����,以計劃和執(zhí)行審核�。在研究過程中,Gartner確定了一些關(guān)鍵發(fā)現(xiàn)���,這些發(fā)現(xiàn)可以幫助組織更好地計劃和利用審計�。
他們發(fā)現(xiàn)公司將審計重點放在合規(guī)性活動上�����,而不是評估對組織的風(fēng)險�。符合性表單上的復(fù)選框非常棒���,但這不會阻止攻擊者竊取數(shù)據(jù)��。通過重新組織安全審核以發(fā)現(xiàn)整個組織的風(fēng)險�,您將能夠在此過程中勾選與合規(guī)性相關(guān)的框�。
Gartner還發(fā)現(xiàn),審計工作往往在筒倉中進(jìn)行�����,而沒有組織中許多關(guān)鍵利益相關(guān)者的廣泛支持和支持。他們建議組織與多個利益相關(guān)者一起構(gòu)建可更新和可重復(fù)的跨職能安全審計項目計劃�,以便您可以隨時間跟蹤您的成功和失敗。
安全審核應(yīng)遵循以下基本格式:
1. 定義評估標(biāo)準(zhǔn)
安全審核僅是其早期定義的完整程度��。確定公司在審計中需要解決的總體目標(biāo)�����,然后將其分解為部門優(yōu)先事項�。
簽署安全審核的所有業(yè)務(wù)目標(biāo),并跟蹤范圍外的項目和異常��。
Gartner建議公司在審核之前就如何執(zhí)行和跟蹤評估以及如何收集和處理結(jié)果達(dá)成協(xié)議����。
注意事項:
- 行業(yè)和地理標(biāo)準(zhǔn)(例如,HIPAA����,CCPA,GDPR等)
- 維護(hù)所有發(fā)現(xiàn)的風(fēng)險向量的威脅目錄
- 您的利益相關(guān)者是否參與并能夠參與?
- 盡可能利用外部資源�,經(jīng)驗豐富的安全審核員可以幫助您提出正確的問題并成功指導(dǎo)審核
最重要的是,組織的優(yōu)先級一定不能影響審核的結(jié)果�����。
簡而言之,不要忽視壞東西�,因為它會使您的工作變得困難。
2. 準(zhǔn)備安全審核
定義了所有成功標(biāo)準(zhǔn)和業(yè)務(wù)目標(biāo)后�����,就該對這些項目進(jìn)行優(yōu)先級排序了�����。為了進(jìn)行出色的審核����,公司必須使自己的工作與清單上的頭條內(nèi)容保持一致。并非每個項目都是頭等大事����,也不是每個頭等大事都需要最大的努力�����。
在此步驟中����,選擇實現(xiàn)業(yè)務(wù)目標(biāo)所需的工具和方法��。查找或創(chuàng)建適當(dāng)?shù)恼{(diào)查表或調(diào)查以收集正確的數(shù)據(jù)以進(jìn)行審核�。避免將方形釘工具插入要求的圓孔中��,并且不要一刀切�。
3. 進(jìn)行安全審核
在審核過程中,請注意提供適當(dāng)?shù)奈臋n并在整個過程中進(jìn)行盡職調(diào)查���。監(jiān)視審核的進(jìn)度以及收集的數(shù)據(jù)點的準(zhǔn)確性���。使用以前的審核和新信息,以及審核團(tuán)隊的指導(dǎo)��,仔細(xì)選擇要降入的兔子洞��。您將發(fā)現(xiàn)需要進(jìn)一步檢查的細(xì)節(jié)��,但首先要與團(tuán)隊優(yōu)先處理這些新項目�����。
使用先前步驟中約定的定義,完成審計并與所有利益相關(guān)者社會化結(jié)果���。根據(jù)審核創(chuàng)建操作項目列表�����,并確定修復(fù)和更改的優(yōu)先級���,以補(bǔ)救發(fā)現(xiàn)的安全項目。
4. 當(dāng)心風(fēng)險和陷阱
成功的安全審核可能會遇到一些挑戰(zhàn):
避免進(jìn)行即時評估�����,信任流程
支持結(jié)果的事實–人們會回?fù)舨①|(zhì)疑審計的有效性�,并確保其徹底和完整
提防審計中定義不明確的范圍或要求,它們可能被證明是浪費(fèi)時間
審核應(yīng)該發(fā)現(xiàn)您的操作風(fēng)險�����,這不同于過程審核或合規(guī)性審核����,而是要專注于風(fēng)險
安全審核的類型
Gartner針對三種不同的用例描述了三種不同的安全審核。
一次性評估:一次性評估是針對特殊情況或特殊情況執(zhí)行的安全審核�,并在操作中觸發(fā)�����。例如,如果您要引入一個新的軟件平臺���,則需要進(jìn)行一系列的測試和審計���,以發(fā)現(xiàn)您要引入到商店中的任何新風(fēng)險。
通行費(fèi)評估:收費(fèi)網(wǎng)關(guān)評估是具有二進(jìn)制結(jié)果的安全審核��。通過審核可以確定可以將新的流程或過程引入您的環(huán)境����。您所確定的風(fēng)險并沒有尋找可以阻止您前進(jìn)的熱門廣告。
投資組合評估:投資組合安全性審核是年度審核����,半年審核或定期進(jìn)行的審核。使用這些審核來驗證是否遵循了您的安全流程和過程�����,并且它們足以滿足當(dāng)前的業(yè)務(wù)環(huán)境和需求�。
在IT審核中尋找什么
這是您在審核期間可能發(fā)現(xiàn)并標(biāo)記的內(nèi)容的不完整列表。
- 密碼復(fù)雜度不足
- 文件夾上的許可ACL過多
- 文件夾上的ACL不一致
- 文件活動審核不存在或不充分
- 審核數(shù)據(jù)的審核不存在或不充分
- 在所有系統(tǒng)上正確的安全軟件和安全配置
- 系統(tǒng)上僅安裝兼容軟件
- 遵循數(shù)據(jù)保留政策
- 災(zāi)難恢復(fù)計劃已更新并經(jīng)過測試
- 事件響應(yīng)計劃已更新并經(jīng)過測試
- 通過加密正確存儲和保護(hù)敏感數(shù)據(jù)
- 遵循變更管理程序
名稱欄目:什么是IT安全審核(基礎(chǔ)篇)
當(dāng)前URL:
http://uogjgqi.cn/article/cdihjeh.html
