@深巷
2年前 提问
1个回答

安全审计实施过程是什么

Ann
2年前

审计本身实施的关键步骤:

1.定义审计的物质范畴。规定审计的范围很关键。规定的范围之间要有一些联系,譬如数据中心局网,或是商业相关的一些东西,财物报表等。不管采用采用哪种方式,审计范畴的规定有利于审计人员集中注意力在资产、规程和政策方面。

2.划定审计的步骤范围。过于宽泛的审计步骤会延缓审计。但是过窄又会导致审计不完全,难以得出令人信服的结果。应该确定一个合适的安全审计区域。不管企业的大小,都应该将主要精力放在审计的重点上。

3.研究历史。审计中常遗忘的一个过程就是不查阅以前的审计历史。藉此我们可以把注意力放在已知的安全漏洞,损害导致的安全事件,还有IT结构的企业流程的改变等等。这应该包括过去审计的评估。还有,审计人员应该将位于审计范围内的所有资产及其相关的管理规章造册编辑好。

4.恰当的审计计划。一个详细备至的审计计划是实施有效审计一个关键。包括审计内容的详细描述,关键日期,参与人员和独立机构。

5.实施安全风险评估。一旦审计小组制定好了有效的审计计划,就可以着手开始审计的核心–风险评估。风险评估覆盖以下几个方面:

A.确认位于安全审计范用之内的资产,根据其商业价值确认优先顺序。譬如,支持命令进入程序的网络服务器就比支撑IT部门内部博客的服务器重要的的多。

B.找出潜在的威胁。威胁的定义是指有可能造成资产潜在风险的因素。

C.将资产的各类漏洞编一个目录。特别是那些资产现有的漏洞及由此可能产生的风险。

D.检查现有资产是否有相应的安全控制。这些控制必须存在并且可用。如果缺少这些就应该记录下来。控制包括技术方面的,譬加防火墙;流程方面的,譬如数据备份过程;人事方面的,譬如管理相关资产的系统管理人员。

E.确认风险发生的可能性。审计小组必须给出每个风险可能导致危险的量化的可能性。风险可能性的评估表明了现行控制处置风险的能力。这些可能性应该用不同的层级来表示。

F.确定风险的潜在危害。审计人员必须再次将风险发生造成的危害量化,这种量化的评估也需要用层级表示。

G.风险评估。审计人员使用上述两个参数(可能性乘以危害)计算风险。这样根据风险评估的结果来提高处且风险的有效性。

6.记录下审计姑果。这并不是说需要上述所有审计的一个详尽的姑果。审计文件包括总结,审计原因,必要的升级和纠正,支持数据。审计小组还要把文件制成ppt演出文稿。

7.提出改进意见。安全审计最终的好处就是提出相应的提高安全的建议。这些建议应该是客户可以实施的形式。