企业实施信息安全审计的关键流程 安全审计的焦点问题如下: 1. 密码是否牢靠? 2. 网络是否有访问控制清单? 3. 访问日志是否记录了访问数据的人员? 4. 个人电脑是否经常扫描广告软件和恶意软件? 5. 谁有权访问组织中的备份存储媒介? 当然以上只是例举了一小部分问题。 审计不是一个短期的静止的过程,而是一个连续不断需要提高的过程。一些评论家说,审计的焦点应该在于评估企业现行的安全政策是否兼容一致。当然,审 计不仅仅是评估兼容性问题,还有企业安全政策和控制本身。很多时候,企业一些老旧的管理规定赶不上新的技术的发展。安全审计是最有效的办法。 安全审计的关键流程 在实施审计之前有几步是很关键的(譬如,审计需要得到企业高层的支持),以下是审计本身实施的关键步骤: 1. 定义审计的物质范畴。划定审计的范围很关键。划定的范围之间要有一些联系,譬如数据中心局域网,或是商业相关的一些东西,财务报表等。不管采用哪种方式,审计范畴的划定有利于审计人员集中注意力在资产,规程和政策方面。 2. 划定审计的步骤范围。过于宽泛的审计步骤会延缓审计。但是过窄又会导致审计不完全,难以得出令人信服的结果。应该确定一个合适的安全审计区域。不管企业的大小,都应该将主要精力放在审计的重点上。 3. 研究历史。审计中常遗忘的一个过程就是不查阅以前的审计历史。藉此我们可以把注意力放在已知的安全漏洞,损害导致的安全事件,还有 IT结构的企业流程的改 变等等。这应该包括过去审计的评估。还有,审计人员应该将位于审计范围内的所有资产及其相关的管理规章造册编辑好。 4. 恰当的审计计划。一个详细备至的审计计划是实施有效审计一个关键。包括审计内容的详细描述,关键日期,参与人员和独立机构。 5. 实施安全风险评估。一旦审计小组制定好了有效的审计计划,就可以着手开始审计的核心—风险评估。风险评估覆盖以下几个方面: A. 确认位于安全审计范围之内的资产,根据其商业价值确认优先顺序。譬如,支持命令进入程序的网络服务器就比支撑 IT部门内部博客的服务器重要的的多。 B. 找出潜在的威胁。威胁的定义是指有可能造成资产潜在风险的因素。 C. 将资产的各类漏洞编一个目录。特别是那些资产现有的漏洞及由此可能产生的风险。 D. 检查现有资产是否有相应的安全控制。这些控制必须存在并且可用。如果缺少这些就应该记录下来。控制包括技术方面的,譬如防火墙;流程方面的,譬如数据备份...
