初谈“信息安全审计”

本篇文章版权由ECF和HP所有

初谈“信息安全审计” 

作者：沈诗理 

信息生命周期管理模型（Information Lifecycle Management）认为信息有一个从产生、保护、读取、更改、迁移、存档、回收的周期、再次激活以及退出的生命周期，对信息进行贯穿其整个生命的管理需要相应的策略和技术实现手段。其目的在于帮助企业在信息生命周期的各个阶段以最低的成本获得最大的价值。信息从产生的那一刻起就自然地进入到了一个循环，经过收集、复制、访问、迁移、退出等多个步骤，最终完成一个生命周期，而这个过程必然需要良好管理的配合，如果不能进行很好地规划，结果就会是，要么是浪费了过多的资源；要么是资源不足降低了工作效率。

同时，价值追求过程意味着风险，所以为了能够规避风险保证信息价值的实现，很多企业都会在信息生命周期管理中着重对信息安全进行相关审计，方法一般会采取一般审计或专项审计等。对于信息审计（美国信息系统审计的权威专家Ron Weber又将它定义为“收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标，同时最经济的使用资源”）的概念，

信息安全审计主要内容覆盖了信息系统和业务系统在运行过程中所面临的各种潜在的风险以及面对的风险所能够去处理的这些对策，包括信息系统的基础设施的安全的风险，还有一些可靠性的风险和合规性的风险，以及在业务的过程中一些操作风险和合规性的风险。它本身的信息系统审计及时地解决，及时地发现在各种潜在的，在信息系统中各种潜在的风险，它的目的主要是去发现风险，评估以及安全风险的怎么来去针对风险实施安全审计以及安全审计的服务，服务费用户它去分析风险然后提出一个解决的对策。

因此，信息安全审计须遵循一些原则，从而使得审计能够保证价值的实现。

信息安全审计是要解决信息系统的安全性风险，其它还包括可靠性的风险，有效性的风险还有完整性等等。

信息安全审计是要建立和加强信息安全的一个管控和监管方面的工作。本身信息安全审计技术也就在这方面提供了一个在这方面监管和管控工作的技术手段。目的就是对信息安全的整个防护体系的有效性进行识别、判别和评估。因为安全防护体系有很多的部分组成，有很多的安全产品组成，包括防火墙，IPS，防病毒等等，本身有机地组织起来。但是它总体的安全体系运行怎么样是很重要的，必须是有机的一个整体。

信息安全审计实际上就是对整体性、有效性的一个评判。去评判你的信息安全防护体系策略的有效性，策略设置的有效性，按照我们所说的安全策略，防火墙有防火墙的策略，防黑客、防IDS，防黑客的病毒，每个安全产品都要通过配置安全策略去执行，那么就是安全策略设置的有效性，安全策略执行的有效性。

信息安全审计必须有一套标准和规范。国外的信息安全审计已经基本上处于一个成熟的应用阶段，主要得益于她们的一套比较完善的信息安全审计标准和规范。有了这些规范和标准来支撑它，所以他在开展在应用上就有一个很好的条件。在国内，我们国家大力推动信息安全等级保护这个工作，从客观上对企业信息安全提出了审计要求。

信息安全审计与信息安全管理密切相关，信息安全审计的主要依据为信息安全管理相关的标准，例如ISO/IEC 17799、ISO 17799/27001、COSO、COBIT、ITIL、NIST SP800系列等。这些标准实际上是出于不同的角度提出的控制体系，基于这些控制体系可以有效地控制信息安全风险，从而达到信息安全审计的目的，提高信息系统的安全性。

信息安全审计是一个复杂的系统工程。在审计中有着一点精髓“哪里有风险就在哪里下重药”。风险点在你的系统越庞大，这个风险就越大，风险越大，你就要把它确定成你收集的审计对象。审计数据和对象也比较多。

同时随着各项审计的发展，安全审计发展成为从解决方案和技术手段融合的手段，然后在一些关键部位安装一些审计产品，搜集一些审计数据来进行分析，到了后面服务的方面更多的是一种领悟，来提供分析数据，展现风险所在，提出应对的策略。我们想的是这么一个一体化的东西，而不是仅卖一个安全审计产品就完了。

因此，我们在做企业信息安全审计时，须利用ILM的思想来对企业中信息安全风险进行识别、筛选、分析和控制，从而实现企业信息安全价值化。

本篇文章版权由ECF和HP所有

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/25389417/viewspace-693179/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/25389417/viewspace-693179/