自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

基于風(fēng)險的審計方法:模擬案例研究

作者:Sean
安全
本文承接《基于風(fēng)險的審計方法:風(fēng)險評估》和《基于風(fēng)險的審計方法:審計階段》這兩篇文章,用具體實例,把前兩篇文章提到的有關(guān)基于風(fēng)險的審計內(nèi)容都聯(lián)系起來,方便大家對整個審計內(nèi)容有個更清楚的認識和了解。

模擬案例研究:執(zhí)行基于風(fēng)險的審計的方法

現(xiàn)在我們理解了整個審計的大體內(nèi)容,那么我們來進行一個場景模擬,把所有的內(nèi)容都聯(lián)系在一起。在這個例子中,我們將站在一定高度、簡單的瀏覽一遍一家專營辦公材料、辦公家具、標識以及打印媒體服務(wù)的特許經(jīng)銷商的審計過程。該公司位于東海岸的12家連鎖店都接受信用卡付款,并通過電子商務(wù)系統(tǒng)使用他們的網(wǎng)上商店。我們把它稱作Office Company公司。

Office Company確定了所有的資產(chǎn)并通過類型、價值和復(fù)雜性對他們進行了分類。下面的風(fēng)險排名表格使用上文提到的標準對風(fēng)險進行了排名。

在對審計范圍內(nèi)的幾個審計實體進行排名之后,Office Company發(fā)現(xiàn)它的主要顧慮是公司防火墻和PCI DSS規(guī)則遵從。具體來說,公司擔(dān)心的是“建立和維護一個安全環(huán)境”這項PCI DSS要求,因為公司最近失去了主要的防火墻管理員。公司把防火墻列為機密(需要嚴格控制,以防止未授權(quán)的訪問)、危險程度級別1(需要高級別的保護,對于業(yè)務(wù)運行生死攸關(guān))。在審計計劃中,審計團隊決定集中力量審計公司的防火墻和上面提到的PCI DSS要求。

在準備階段,審計人員發(fā)現(xiàn)之前的防火墻管理員很少記錄防火墻的變化,幾個月內(nèi)都沒有更新網(wǎng)絡(luò)的拓撲結(jié)構(gòu),而且沒有培訓(xùn)新員工。為了保護電子商業(yè)數(shù)據(jù),防止監(jiān)管處罰,審計團隊同意對每組防火墻規(guī)則進行一次全面整頓。審計團隊打算評估入口和出口的過濾,其中包括每條規(guī)則的記錄,以及所有封鎖和允許的端口、協(xié)議和服務(wù)等。

在評估階段,審計團隊發(fā)現(xiàn)企業(yè)內(nèi)部使用的防火墻即將到期,并且供應(yīng)商的支持快到盡頭。這只是許多發(fā)現(xiàn)中的一個,但卻是最重要的發(fā)現(xiàn),需要立即引起注意。審計團隊跟管理人員進行合作,確定防火墻資產(chǎn)的價值以及升級他們需要的成本。在風(fēng)險減輕階段,審計小組認為如果不替換現(xiàn)在的防火墻系統(tǒng),那么所帶來的風(fēng)險非常具有破壞性。

Office Company估計企業(yè)防火墻價值一百五十萬美元,“供應(yīng)商支持到期”增加了威脅和漏洞計算系數(shù),分別為0.4和0.7,那么風(fēng)險為420000美元。這是因為供應(yīng)商的支持消失之后,威脅程度(預(yù)計損失和年發(fā)生率)會增加,不足性也會增加。Office Company做了40萬美元的預(yù)算,用來續(xù)簽合同、培訓(xùn)、測試以及采用新型防火墻產(chǎn)品。審計小組隨后決定追加投資兩萬美元外聘一家公司來測試和驗證這些控制的有效性。

在報告階段,審計團隊與管理團隊重新闡述了公司的防火墻和PCI DSS問題。他們還闡述了升級防火墻需要采取的措施,以及后續(xù)重要事件的日期。為了提供積極的觀點,他們指出了一些管理人員能夠現(xiàn)場更正的現(xiàn)存防火墻架構(gòu)中的不足。其中一個方面就是防火墻的“默認拒絕”規(guī)則。就像Dr. Anton Chuvakin在他的新書中推薦的那樣,對于PCI規(guī)則遵從,審計團隊可以讓防火墻管理員在防火墻上實施“隱形規(guī)則”,丟棄所有以防火墻設(shè)備自身為目標的入站和出站流量。另外,報告還闡述了審計中發(fā)現(xiàn)的其他領(lǐng)域,其中包括基礎(chǔ)設(shè)施設(shè)備上的認證服務(wù)器使用以及偶然發(fā)生的計劃改變等。

總結(jié)

本指南重點介紹了基于風(fēng)險的審計的核心內(nèi)容。從風(fēng)險評估以及風(fēng)險排名過程,一直到評估和報告發(fā)現(xiàn),重要的是要采取著重實現(xiàn)業(yè)務(wù)目標的風(fēng)險基礎(chǔ)態(tài)度。這個模型可以重塑并不斷發(fā)展,能夠跟得上技術(shù)更新和漏洞更新的腳步。審計團隊一定要注意風(fēng)險排名過程中使用的估計數(shù)字。審計人員在威脅以及風(fēng)險分析中必須保持真實,應(yīng)該盡可能的使用可以測量的數(shù)據(jù)。每年都使用這個方法進行審計,企業(yè)就能夠?qū)崿F(xiàn)安全。  

【編輯推薦】

  1. 國內(nèi)網(wǎng)絡(luò)安全風(fēng)險評估市場與技術(shù)操作
  2. 企業(yè)實施信息安全審計的關(guān)鍵流程
責(zé)任編輯:許鳳麗 來源: TechTarget中國
風(fēng)險評估安全審計
相關(guān)推薦

2010-06-19 14:58:23

2010-06-19 14:44:08

2024-06-18 09:59:46

2023-02-01 07:25:12

2023-10-30 16:33:49

2013-12-06 09:18:44

2021-05-08 23:30:15

區(qū)塊鏈數(shù)字貨幣安全

2013-06-20 09:30:39

2023-09-21 13:46:00

2024-10-08 14:55:25

2023-02-22 15:32:17

2023-02-22 15:26:07

2016-12-28 15:19:22

大數(shù)據(jù)機器學(xué)習(xí)銷售預(yù)測

2010-11-24 11:32:46

2023-12-01 18:06:19

2012-11-29 13:24:44

2009-06-30 09:51:20

2020-03-31 10:19:14

網(wǎng)絡(luò)安全IT安全漏洞

2009-05-05 10:01:14

點贊
收藏

51CTO技術(shù)棧公眾號