什么是IT安全審核（基礎(chǔ)篇）

作者：鼎信技術(shù)部 2020-02-20 23:59:35

安全審核是組織可用來測試和評估其整體安全狀況（包括網(wǎng)絡(luò)安全）的多種方式的高級描述。您可能會使用多種類型的安全審核來實(shí)現(xiàn)所需的結(jié)果并實(shí)現(xiàn)您的業(yè)務(wù)目標(biāo)。

安全審核是組織可用來測試和評估其整體安全狀況(包括網(wǎng)絡(luò)安全)的多種方式的高級描述。您可能會使用多種類型的安全審核來實(shí)現(xiàn)所需的結(jié)果并實(shí)現(xiàn)您的業(yè)務(wù)目標(biāo)。

為什么安全審核很重要

如果您只跟蹤一點(diǎn)網(wǎng)絡(luò)安全新聞，就應(yīng)該對審計(jì)為何如此重要有一個直觀的了解。定期審核可能會發(fā)現(xiàn)新的漏洞和組織變革的意料之外的后果，最重要的是，法律對某些行業(yè)(尤其是醫(yī)療和金融行業(yè))要求進(jìn)行審核。

這是運(yùn)行安全審核的一些更具體的好處：

驗(yàn)證您當(dāng)前的安全策略是否足夠
檢查您的安全培訓(xùn)工作是否將針刺從一次審核轉(zhuǎn)移到了下一次審核
通過關(guān)閉或重新使用在審核期間發(fā)現(xiàn)的無關(guān)的硬件和軟件來降低成本
安全審核發(fā)現(xiàn)由新技術(shù)或新流程引入您的組織的漏洞
證明組織符合法規(guī)-HIPAA，SHIELD，CCPA，GDPR等

安全審核如何工作

Gartner編寫了一份綜合指南，以計(jì)劃和執(zhí)行審核。在研究過程中，Gartner確定了一些關(guān)鍵發(fā)現(xiàn)，這些發(fā)現(xiàn)可以幫助組織更好地計(jì)劃和利用審計(jì)。

他們發(fā)現(xiàn)公司將審計(jì)重點(diǎn)放在合規(guī)性活動上，而不是評估對組織的風(fēng)險。符合性表單上的復(fù)選框非常棒，但這不會阻止攻擊者竊取數(shù)據(jù)。通過重新組織安全審核以發(fā)現(xiàn)整個組織的風(fēng)險，您將能夠在此過程中勾選與合規(guī)性相關(guān)的框。

Gartner還發(fā)現(xiàn)，審計(jì)工作往往在筒倉中進(jìn)行，而沒有組織中許多關(guān)鍵利益相關(guān)者的廣泛支持和支持。他們建議組織與多個利益相關(guān)者一起構(gòu)建可更新和可重復(fù)的跨職能安全審計(jì)項(xiàng)目計(jì)劃，以便您可以隨時間跟蹤您的成功和失敗。

安全審核應(yīng)遵循以下基本格式：

1. 定義評估標(biāo)準(zhǔn)

安全審核僅是其早期定義的完整程度。確定公司在審計(jì)中需要解決的總體目標(biāo)，然后將其分解為部門優(yōu)先事項(xiàng)。

簽署安全審核的所有業(yè)務(wù)目標(biāo)，并跟蹤范圍外的項(xiàng)目和異常。

Gartner建議公司在審核之前就如何執(zhí)行和跟蹤評估以及如何收集和處理結(jié)果達(dá)成協(xié)議。

注意事項(xiàng)：

行業(yè)和地理標(biāo)準(zhǔn)(例如，HIPAA，CCPA，GDPR等)
維護(hù)所有發(fā)現(xiàn)的風(fēng)險向量的威脅目錄
您的利益相關(guān)者是否參與并能夠參與?
盡可能利用外部資源，經(jīng)驗(yàn)豐富的安全審核員可以幫助您提出正確的問題并成功指導(dǎo)審核

最重要的是，組織的優(yōu)先級一定不能影響審核的結(jié)果。

簡而言之，不要忽視壞東西，因?yàn)樗鼤鼓墓ぷ髯兊美щy。

2. 準(zhǔn)備安全審核

定義了所有成功標(biāo)準(zhǔn)和業(yè)務(wù)目標(biāo)后，就該對這些項(xiàng)目進(jìn)行優(yōu)先級排序了。為了進(jìn)行出色的審核，公司必須使自己的工作與清單上的頭條內(nèi)容保持一致。并非每個項(xiàng)目都是頭等大事，也不是每個頭等大事都需要最大的努力。

在此步驟中，選擇實(shí)現(xiàn)業(yè)務(wù)目標(biāo)所需的工具和方法。查找或創(chuàng)建適當(dāng)?shù)恼{(diào)查表或調(diào)查以收集正確的數(shù)據(jù)以進(jìn)行審核。避免將方形釘工具插入要求的圓孔中，并且不要一刀切。

3. 進(jìn)行安全審核

在審核過程中，請注意提供適當(dāng)?shù)奈臋n并在整個過程中進(jìn)行盡職調(diào)查。監(jiān)視審核的進(jìn)度以及收集的數(shù)據(jù)點(diǎn)的準(zhǔn)確性。使用以前的審核和新信息，以及審核團(tuán)隊(duì)的指導(dǎo)，仔細(xì)選擇要降入的兔子洞。您將發(fā)現(xiàn)需要進(jìn)一步檢查的細(xì)節(jié)，但首先要與團(tuán)隊(duì)優(yōu)先處理這些新項(xiàng)目。

使用先前步驟中約定的定義，完成審計(jì)并與所有利益相關(guān)者社會化結(jié)果。根據(jù)審核創(chuàng)建操作項(xiàng)目列表，并確定修復(fù)和更改的優(yōu)先級，以補(bǔ)救發(fā)現(xiàn)的安全項(xiàng)目。

4. 當(dāng)心風(fēng)險和陷阱

成功的安全審核可能會遇到一些挑戰(zhàn)：

避免進(jìn)行即時評估，信任流程

支持結(jié)果的事實(shí)–人們會回?fù)舨①|(zhì)疑審計(jì)的有效性，并確保其徹底和完整

提防審計(jì)中定義不明確的范圍或要求，它們可能被證明是浪費(fèi)時間

審核應(yīng)該發(fā)現(xiàn)您的操作風(fēng)險，這不同于過程審核或合規(guī)性審核，而是要專注于風(fēng)險

[[315684]]

安全審核的類型

Gartner針對三種不同的用例描述了三種不同的安全審核。

一次性評估：一次性評估是針對特殊情況或特殊情況執(zhí)行的安全審核，并在操作中觸發(fā)。例如，如果您要引入一個新的軟件平臺，則需要進(jìn)行一系列的測試和審計(jì)，以發(fā)現(xiàn)您要引入到商店中的任何新風(fēng)險。

通行費(fèi)評估：收費(fèi)網(wǎng)關(guān)評估是具有二進(jìn)制結(jié)果的安全審核。通過審核可以確定可以將新的流程或過程引入您的環(huán)境。您所確定的風(fēng)險并沒有尋找可以阻止您前進(jìn)的熱門廣告。