安全審核是組織可用來測(cè)試和評(píng)估其整體安全狀況(包括網(wǎng)絡(luò)安全)的多種方式的高級(jí)描述。您可能會(huì)使用多種類型的安全審核來實(shí)現(xiàn)所需的結(jié)果并實(shí)現(xiàn)您的業(yè)務(wù)目標(biāo)。

為什么安全審核很重要

如果您只跟蹤一點(diǎn)網(wǎng)絡(luò)安全新聞，就應(yīng)該對(duì)審計(jì)為何如此重要有一個(gè)直觀的了解。定期審核可能會(huì)發(fā)現(xiàn)新的漏洞和組織變革的意料之外的后果，最重要的是，法律對(duì)某些行業(yè)(尤其是醫(yī)療和金融行業(yè))要求進(jìn)行審核。

這是運(yùn)行安全審核的一些更具體的好處：

• 驗(yàn)證您當(dāng)前的安全策略是否足夠
• 檢查您的安全培訓(xùn)工作是否將針刺從一次審核轉(zhuǎn)移到了下一次審核
• 通過關(guān)閉或重新使用在審核期間發(fā)現(xiàn)的無關(guān)的硬件和軟件來降低成本
• 安全審核發(fā)現(xiàn)由新技術(shù)或新流程引入您的組織的漏洞
• 證明組織符合法規(guī)-HIPAA，SHIELD，CCPA，GDPR等

安全審核如何工作

Gartner編寫了一份綜合指南，以計(jì)劃和執(zhí)行審核。在研究過程中，Gartner確定了一些關(guān)鍵發(fā)現(xiàn)，這些發(fā)現(xiàn)可以幫助組織更好地計(jì)劃和利用審計(jì)。

他們發(fā)現(xiàn)公司將審計(jì)重點(diǎn)放在合規(guī)性活動(dòng)上，而不是評(píng)估對(duì)組織的風(fēng)險(xiǎn)。符合性表單上的復(fù)選框非常棒，但這不會(huì)阻止攻擊者竊取數(shù)據(jù)。通過重新組織安全審核以發(fā)現(xiàn)整個(gè)組織的風(fēng)險(xiǎn)，您將能夠在此過程中勾選與合規(guī)性相關(guān)的框。

Gartner還發(fā)現(xiàn)，審計(jì)工作往往在筒倉中進(jìn)行，而沒有組織中許多關(guān)鍵利益相關(guān)者的廣泛支持和支持。他們建議組織與多個(gè)利益相關(guān)者一起構(gòu)建可更新和可重復(fù)的跨職能安全審計(jì)項(xiàng)目計(jì)劃，以便您可以隨時(shí)間跟蹤您的成功和失敗。

安全審核應(yīng)遵循以下基本格式：

1. 定義評(píng)估標(biāo)準(zhǔn)

安全審核僅是其早期定義的完整程度。確定公司在審計(jì)中需要解決的總體目標(biāo)，然后將其分解為部門優(yōu)先事項(xiàng)。

簽署安全審核的所有業(yè)務(wù)目標(biāo)，并跟蹤范圍外的項(xiàng)目和異常。

Gartner建議公司在審核之前就如何執(zhí)行和跟蹤評(píng)估以及如何收集和處理結(jié)果達(dá)成協(xié)議。

注意事項(xiàng)：

• 行業(yè)和地理標(biāo)準(zhǔn)(例如，HIPAA，CCPA，GDPR等)
• 維護(hù)所有發(fā)現(xiàn)的風(fēng)險(xiǎn)向量的威脅目錄
• 您的利益相關(guān)者是否參與并能夠參與?
• 盡可能利用外部資源，經(jīng)驗(yàn)豐富的安全審核員可以幫助您提出正確的問題并成功指導(dǎo)審核

最重要的是，組織的優(yōu)先級(jí)一定不能影響審核的結(jié)果。

簡而言之，不要忽視壞東西，因?yàn)樗鼤?huì)使您的工作變得困難。

2. 準(zhǔn)備安全審核

定義了所有成功標(biāo)準(zhǔn)和業(yè)務(wù)目標(biāo)后，就該對(duì)這些項(xiàng)目進(jìn)行優(yōu)先級(jí)排序了。為了進(jìn)行出色的審核，公司必須使自己的工作與清單上的頭條內(nèi)容保持一致。并非每個(gè)項(xiàng)目都是頭等大事，也不是每個(gè)頭等大事都需要最大的努力。

在此步驟中，選擇實(shí)現(xiàn)業(yè)務(wù)目標(biāo)所需的工具和方法。查找或創(chuàng)建適當(dāng)?shù)恼{(diào)查表或調(diào)查以收集正確的數(shù)據(jù)以進(jìn)行審核。避免將方形釘工具插入要求的圓孔中，并且不要一刀切。

3. 進(jìn)行安全審核

在審核過程中，請(qǐng)注意提供適當(dāng)?shù)奈臋n并在整個(gè)過程中進(jìn)行盡職調(diào)查。監(jiān)視審核的進(jìn)度以及收集的數(shù)據(jù)點(diǎn)的準(zhǔn)確性。使用以前的審核和新信息，以及審核團(tuán)隊(duì)的指導(dǎo)，仔細(xì)選擇要降入的兔子洞。您將發(fā)現(xiàn)需要進(jìn)一步檢查的細(xì)節(jié)，但首先要與團(tuán)隊(duì)優(yōu)先處理這些新項(xiàng)目。

使用先前步驟中約定的定義，完成審計(jì)并與所有利益相關(guān)者社會(huì)化結(jié)果。根據(jù)審核創(chuàng)建操作項(xiàng)目列表，并確定修復(fù)和更改的優(yōu)先級(jí)，以補(bǔ)救發(fā)現(xiàn)的安全項(xiàng)目。

4. 當(dāng)心風(fēng)險(xiǎn)和陷阱

成功的安全審核可能會(huì)遇到一些挑戰(zhàn)：

避免進(jìn)行即時(shí)評(píng)估，信任流程

支持結(jié)果的事實(shí)–人們會(huì)回?fù)舨①|(zhì)疑審計(jì)的有效性，并確保其徹底和完整

提防審計(jì)中定義不明確的范圍或要求，它們可能被證明是浪費(fèi)時(shí)間

審核應(yīng)該發(fā)現(xiàn)您的操作風(fēng)險(xiǎn)，這不同于過程審核或合規(guī)性審核，而是要專注于風(fēng)險(xiǎn)

[[315684]]

安全審核的類型

Gartner針對(duì)三種不同的用例描述了三種不同的安全審核。

一次性評(píng)估：一次性評(píng)估是針對(duì)特殊情況或特殊情況執(zhí)行的安全審核，并在操作中觸發(fā)。例如，如果您要引入一個(gè)新的軟件平臺(tái)，則需要進(jìn)行一系列的測(cè)試和審計(jì)，以發(fā)現(xiàn)您要引入到商店中的任何新風(fēng)險(xiǎn)。

通行費(fèi)評(píng)估：收費(fèi)網(wǎng)關(guān)評(píng)估是具有二進(jìn)制結(jié)果的安全審核。通過審核可以確定可以將新的流程或過程引入您的環(huán)境。您所確定的風(fēng)險(xiǎn)并沒有尋找可以阻止您前進(jìn)的熱門廣告。

投資組合評(píng)估：投資組合安全性審核是年度審核，半年審核或定期進(jìn)行的審核。使用這些審核來驗(yàn)證是否遵循了您的安全流程和過程，并且它們足以滿足當(dāng)前的業(yè)務(wù)環(huán)境和需求。

在IT審核中尋找什么

這是您在審核期間可能發(fā)現(xiàn)并標(biāo)記的內(nèi)容的不完整列表。

• 密碼復(fù)雜度不足
• 文件夾上的許可ACL過多
• 文件夾上的ACL不一致
• 文件活動(dòng)審核不存在或不充分
• 審核數(shù)據(jù)的審核不存在或不充分
• 在所有系統(tǒng)上正確的安全軟件和安全配置
• 系統(tǒng)上僅安裝兼容軟件
• 遵循數(shù)據(jù)保留政策
• 災(zāi)難恢復(fù)計(jì)劃已更新并經(jīng)過測(cè)試
• 事件響應(yīng)計(jì)劃已更新并經(jīng)過測(cè)試
• 通過加密正確存儲(chǔ)和保護(hù)敏感數(shù)據(jù)
• 遵循變更管理程序

 【編輯推薦】