返回
企业实施信息安全审计的关键流程

企业实施信息安全审计的关键流程

ID:28378135

大小:75.50 KB

页数:6页

时间:2018-12-09

企业实施信息安全审计的关键流程_第1页
企业实施信息安全审计的关键流程_第2页
企业实施信息安全审计的关键流程_第3页
企业实施信息安全审计的关键流程_第4页
企业实施信息安全审计的关键流程_第5页
资源描述:

《企业实施信息安全审计的关键流程》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、企业实施信息安全审计的关键流程安全审计的焦点问题如H:1.密码是否牢靠?2.网络是否有访问控制清单?3.访问日志是否记录了访问数据的人员?4.个人电脑是否经常扫描广告软件和恶意软件?5.谁有权访问组织中的备份存储媒介?当然以上只是例举了一小部分问题。审计不是一个短期的静止的过程,而是一个连续不断需要提高的过程。一些评论家说,审计的焦点应该在于评估企业现行的安全政策是否兼容一致。当然,审计不仅仅是评估兼容性问题,述有企业安全政策和控制本身。很多时候,企业一些老旧的管理规定赶不上新的技术的发展。安全审计是最

2、有效的办法。安全审计的关键流程在实施审计之前有几步是很关键的(譬如,审计需要得到企业高层的支持),以下是审计本身实施的关键步骤:1.定义审计的物质范畴。划定审计的范围很关键。划定的范围Z间要冇一些联系,譬如数据中心局域网,或是商业相关的一些东西,财务报表等。不管采用哪种方式,审计范畴的划定有利于审计人员集屮注意力在资产,规程和政策方面。2.划定审计的步骤范围。过于宽泛的审计步骤会延缓审计。但是过窄又会导致审计不完全,难以得出令人信服的结果。应该确定一个合适的安全审计区域。不管企业的大小,都应该将主要精力

3、放在审计的重点上。3.研究丿力史。审计中常遗忘的一个过程就是不查阅以前的审计丿力史。藉此我们可以把注意力放在已知的安全漏洞,损害导致的安全事件,还有IT结构的企业流程的改变等等。这应该包括过去审计的评估。还有,审计人员应该将位于审计范围内的所有资产及其相关的管理规章造册编辑好。4•恰当的审计计划。一个详细备至的审计计划是实施冇效审计一个关键。包括审计内容的详细描述,关键日期,参与人员和独立机构。5.实施安全风险评估。一旦审计小组制定好了有效的审计计划,就可以着手开始审计的核心一风险评估。风险评估覆盖以下

4、几个方面:A.确认位于安全审计范围Z内的资产,根据其商业价值确认优先顺序。譬如,支持命令进入程序的网络服务器就比支撑IT部门内部傅客的服务器重要的的多。B.找岀潜在的威胁。威胁的定义是指有可能造成资产潜在风险的因素。C.将资产的各类漏洞编一个目录。特别是那些资产现有的漏洞及曲此口J能产生的风险。D.检查现冇资产是否冇相应的安全控制。这些控制必须存在并月•可用。如果缺少这些就应该记录下来。控制包扌舌技术方面的,譬如防火墙;流程方面的,譬如数据备份过程;人事方面的,譬如管理相关资产的系统管理人员E.确认风险

5、发生的可能性。审计小组必须给出每个风险可能导致危险的量化的可能性。风险可能性的评估表明了现有控制处置风险的能力。这些可能性应该用不同的层级来表示。F.确定风险的潜在危害。审计人员必须再次将风险发生造成的危害量化。这种量化的评佔也需要用层级表示。G.风险评估。审计人员使用上述两个参数(可能性乘以危害)计算风险。这样根据风险评估的结果來提高处置风险的有效性。1.记录下审计结果。这并不是说需要上述所有审计的一个详尽的结果。审计文件包扌舌总结,审计原因,必要的升级和纠止,支持数据。审计小组还要把文件制成ppt演

6、示文稿。2.提出改进意见。安全审计最终的好处就是提出相应的提高安全的建议。这些建议应该是客户可以实施的形式。安全审计范畴很多企业在确定审计范围时不要花费什么时间。对于审计小组來说,把审计限制在实体位置和逻辑小组就很简单了。更难的,也是更冇价值的是划定审计区域。关键就是根据风险系数制定出优先的安全流程。譬如,有一些是不断造成非常小的风险,而身份管理就可能造成严重危害。在这一案例中,身份管理流程就应该包括审计过程中,那些小的风险可以忽略。许多咨询人士和分析人士似乎都对来年的安全风险有一个明确的认识。Gart

7、ner估计80%的风险集中于如下四个方面:网络访问控制(NAC)oNAC就是检查访问网络的用户和系统的安全性。这是任何访问某个网络的用户必须面临的第一道安全检查。NAC也会检查已经进入网络的用户和系统的安全。冇些情况下,NAC述会根据已知的风险或用户矫正或是应对风险。入侵防御。入侵防御涵盖的范围远广于传统的入侵检测。实际上,这与NAC有些类似,都是防范已知的风险。入侵防御会加强政策的执行从而将风险范围缩小到最小范围。身份和访问管理。它控制什么人什么时候访问了什么数据。主要采取的就是授权证明,越来越多的政

8、策管理的存储也是很关键的因素。漏洞管理。漏洞管理根据根原因分析处置风险,采取有效的措施应对特定的风险。1.利用网络及安全管理的漏洞窥探用户口令或电子帐号,冒充合法用户作案,篡改磁性介质记录窃取资产。2.利用网络远距离窃取企业的商业秘密以换取钱财,或利用网络传播计算机病毒以破坏企业的信息系统。3.建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”,越来越多的经济业务的原始记录以电子凭证的方式存在和传递。不法之徒通过改变电子货币帐单、银行结算

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。