内部和第三方审核
脆弱性测试
渗透测试
日志审查
代码审查
误用案例测试
接口测试
账户管理
备份数据验证
灾难恢复和业务连续性测试
安全培训和安全意识
关键性能和风险指标
报告
管理评审
审计策略
审计是一个系统性评估,在CISSP,对信息系统内部安全控制的系统性评估
通常情况下,安全审计=漏洞评估和渗透测试
信息系统的安全审计流程:
1.确定目标
2.让合适的业务部门领导参与进来,以确保业务需求能够被识别和涉及
3.确定范围
4.选择审计团队,根据目标、范围、预算和可用的专业知识,来决定由内部人员还是外部人员组成
5.计划审计,以确保按时、按预算实现所有目标
6.执行审计,要在坚持计划的同时,记录其中的任何偏差
7.记录结果
8.将结果传达给合适的领导,以实现和维持强有力的安全态势
内部审计
优点:熟悉内部运作,容易测试出最薄弱、最模糊的地方
缺点:缺乏广度和实际经验,利益冲突
外部审计
优点:客观
缺点:成本过高
服务性组织控制(Service Organization Controls,SOC)
- SOC 1 适用于财务控制
- SOC 2 适用于信任服务(安全性、可用性、