本文详细介绍了安全审计的流程,包括确定目标、范围、审计团队的选择以及执行和报告。讨论了内部和外部审计的优缺点,强调了脆弱性测试、渗透测试、日志审查等技术控制的重要性。此外,还涵盖了账户管理、备份验证、灾难恢复测试以及安全培训和意识等管理控制。安全审计是评估信息系统内部安全控制的关键环节。
内部和第三方审核
脆弱性测试
渗透测试
日志审查
代码审查
误用案例测试
接口测试
账户管理
备份数据验证
灾难恢复和业务连续性测试
安全培训和安全意识
关键性能和风险指标
报告
管理评审
审计策略
审计是一个系统性评估,在CISSP,对信息系统内部安全控制的系统性评估
通常情况下,安全审计=漏洞评估和渗透测试
信息系统的安全审计流程:
1.确定目标
2.让合适的业务部门领导参与进来,以确保业务需求能够被识别和涉及
3.确定范围
4.选择审计团队,根据目标、范围、预算和可用的专业知识,来决定由内部人员还是外部人员组成
5.计划审计,以确保按时、按预算实现所有目标
6.执行审计,要在坚持计划的同时,记录其中的任何偏差
7.记录结果
8.将结果传达给合适的领导,以实现和维持强有力的安全态势
内部审计
优点:熟悉内部运作,容易测试出最薄弱、最模糊的地方
缺点:缺乏广度和实际经验,利益冲突
外部审计
优点:客观
缺点:成本过高
服务性组织控制(Service Organization Controls,SOC)
- SOC 1 适用于财务控制
- SOC 2 适用于信任服务(安全性、可用性、
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
