CISSP-AIO-第六章 安全测试与评估

从AIO的第六章内容看，审计部分内容是个相对聚焦的一个内容：基本围绕着安全审计流程进行：

1.确定目标或目的

        目标是highlevel的东西，比如达到监管合规要求、信息系统架构重大变化，组织面临威胁的新发展方向等

2.卷入合适的业务部门领导

        领导进来，可以确保业务需求被识别；所需资源可得到支持等

3.确定范围

        我们要测的对象是什么，是某个子网，还是某个子系统

4.选择审计团队

根据目标、范围、预算和可用专业知识决定使用内部还是外部

   ·≈内部审计团队：

        优势：熟悉组织内部运作，节省时间；工作中更灵活

        劣势：能力受限；可能存在利益冲突

.≈外部审计团队：

        优势：经验；无利益冲突；符合监管要求（某些行业要求第三方权威审计报告）

        劣势：成本高

5.计划审计

技术审计手段和管理审计手段

        技术审计手段：

                脆弱性测试

                渗透测试

                日志审查

                综合交易

                代码审查和测试

                误用安全例

                漏洞攻击模拟

                接口测试

                合规测试

管理审计控制：

                账户管理

                备份验证

                DRP与BCP

                安全培训和安全意识教育                

                KPI与KRI

6.执行审计

7.记录审计结果

        Soc1:

        Soc2:

        Soc3:

8.上报领导

        管理评审