返回
企业实施信息安全审计的关键流程65050

企业实施信息安全审计的关键流程65050

ID:28378106

大小:56.62 KB

页数:3页

时间:2018-12-09

企业实施信息安全审计的关键流程65050_第1页
企业实施信息安全审计的关键流程65050_第2页
企业实施信息安全审计的关键流程65050_第3页
资源描述:

《企业实施信息安全审计的关键流程65050》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、企业实施信息安全审计的关键流程所谓安全审计,是指评估企业女全风险以及如何应対风险措施的一个过程。这是一个人为的过程,有一•群拥有相关计算机号业技能和商业知识的审计人员操作进行。作为审计的一个过程,审计人员会询问关键职员,实施漏洞评估,给现有的安全政策和控制造册,检查1T资产。很多情况下,审计很大程度上有赖于技术工具。安全审计的焦点问题如下:1.密码是否牢靠?2.网络是否有访问控制淸单?3.访问口志是否记录了访问数据的人员?4.个人电脑是否经常扫描广告软件和恶意软件?5.谁有权访问组织中的备份存储媒介?当然以上只是例举了一小部分问题。审计不是一个短期的静止的过程,而是一个连续不断需要

2、提高的过程。一些评论家说,审计的焦点应该在于评估企业现行的安全政策是否兼容一致。当然,审计不仅仅是评估兼容性问题,述有企业安金政策和控制本身。很多时候,企业一些老旧的管理规定赶不上新的技术的发展。安全审计是最有效的办法。安全审计的关键流程在实施审计之前令儿步是很关键的(譬如,审计需要得到企业高层的支持),以下是审计本身实施的关键步骤:1.定义审计的物质范畴。划定审计的范围很关键。划定的范鬧之间要有一些联系,譬如数据中心局域网,或是商业相关的一些东西,财务报表等。不管采用哪种方式,审计范畴的划定有利于审计人员集中注意力在资产,规程和政策方而。2.划定审计的步骤范围。过于宽泛的审计步骤

3、会延缓'市计。但是过窄又会导致'市计不完全,难以得出令人信服的结果。应该确定一个合适的安全审计区域。不管企业的大小,都应该将主要精力放在审计的重点上。3.研究历史。审计屮常遗忘的一个过程就是不査阅以前的审计历史。藉此我们可以把注意力放在己知的安全漏洞,损害导致的安全事件,还有IT结构的企业流程的改变等等。这应该包括过去审计的评估。还有,审计人员应该将位于审计范围内的所有资产及其相关的管理规章造册编辑好。1.恰当的审计计划。一个详细备至的审计计划是实施有效审计一个关键。包括审计内容的详细描述,关键口期,参与人员和独立机构。2.实施安全风险评估。一旦审计小组制定好了有效的审计计划,就可

4、以着手开始审计的核心一风险评估。风险评估覆盖以下几个方面:A.确认位于安全审计范圉之内的资产,根据其商业价值确认优先顺序。譬如,支持命令进入程序的网络服务器就比支撑IT部门内部博客的服务器重要的的多。B.找出潜在的威胁。威胁的定义是指有对能造成资产潜在风险的因素。C.将资产的各类漏洞编一个目录。特别是那些资产现有的漏洞及山此町能产生的风险。D.检查现有资产是否有相应的安全控制。这些控制必须存在并旦可川。如果缺少这些就应该记录下來。控制包括技术方而的,譬如防火墙;流程方而的,譬如数据备份过程;人事方而的,譬如管理相关资产的系统管理人员E.确认风险发生的可能性。审计小组必须给出每个风险

5、可能导致危险的量化的可能性。风险可能性的评估表明了现冇控制处置风险的能力。这些可能性应该用不同的层级來表示。F.确定风险的潜在危害。审计人员必须再次将风险发生造成的危害量化。这种量化的评估也需要用层级表示。G.风险评估。审计人员使用上述两个参数(町能性乘以危害)计算风险。这样根据风险评估的结果来提高处置风险的有效性。3.记录下审计结果。这并不是说需要上述所有审计的一个详尽的结果。审计文件包括总结,审计原因,必要的升级和纠正,支持数据。审计小组还要把文件制成ppt演示文稿。4.提出改进意见。安全审计最终的好处就是提出相应的提高安全的建议。这些建议应该是客户可以实施的形式。安全审计范畴

6、很多企业在确定审计范围时不要花费什么时间。对于审计小组來说,把审计限制在实体位置和逻辑小组就很简单了。更难的,也是更有价值的是划定审计区域。关键就是根据风险系数制定出优先的安全流程。臂如,有一些是不断造成非常小的风险,而身份管理就可能造成严重危害。在这一案例屮,身份管理流程就应该包括审计过程屮,那些小的风险可以忽略。许多咨询人士和分析人士似乎都对來年的安全风险有一个明确的认识。Gartner估计80%的风险集屮于如下四个方面:网络访问控制(NAC)oNAC就是检杏访问网络的用八和系统的安全性。这是任何访问某个网络的川户必须面临的第一道安全检査oNAC也会检查己经进入网络的川户和系统

7、的安全。有些情况下,NAC还会根据已知的风险或用户矫正或是应对风险。入侵防御。入侵防御涵盖的范围远广于传统的入侵检测。实际上,这与NAC有些类似,都是防范已知的风险。入侵防御会加强政策的执行从而将风险范围缩小到最小范围。身份和访问管理。它控制什么人什么吋候访问了什么数据。主要采取的就是授权证明,越来越多的政策管理的存储也是很关键的因素。漏洞管理。漏洞管理根据根原因分析处置风险,采取有效的措施应对特定的风险。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。