安全审计是对组织可以测试和评估其整体安全状况(包括网络安全)的多种方式的高级描述。您可以使用多种类型的安全审计来实现预期的结果并实现您的业务目标。为什么安全审计很重要如果您只关注一点网络安全新闻,您应该对审计的重要性有一个直观的理解。定期审计可以发现新的漏洞和组织变革的意外后果,最重要的是,法律要求对某些行业进行审计,尤其是医疗保健和金融。以下是运行安全审计的一些更具体的好处:验证您当前的安全策略是否足够安全审计发现新技术或流程引入您的组织的漏洞展示组织合规性-HIPAA、SHIELD、CCPA、GDPR等。安全审计的工作原理Gartner编制了一份计划和执行审查的综合指南。在研究过程中,Gartner确定了可以帮助组织更好地规划和利用审计的关键发现。他们发现,公司将审计重点放在合规活动上,而不是评估组织面临的风险。合规性表单上的复选框很棒,但这并不能阻止攻击者窃取数据。通过重新组织安全审计以发现整个组织的风险,您将能够一路勾选与合规性相关的方框。Gartner还发现,审计工作通常是在孤岛中进行的,没有得到组织中许多关键利益相关者的广泛支持和支持。他们建议组织与多个利益相关者合作,以构建可更新和可重复的跨职能安全审计项目计划,以便您可以随着时间的推移跟踪您的成功和失败。安全审计应遵循以下基本格式:1.定义评估标准安全审计只是它先前定义的完整程度。确定需要在审计中解决的公司总体目标,然后将其分解为部门优先事项。签署安全审计的所有业务目标并跟踪超出范围的项目和异常。Gartner建议公司在审计之前就如何执行和跟踪评估以及如何收集和处理结果达成协议。注意事项:行业和地理标准(例如HIPAA、CCPA、GDPR等)维护所有已发现风险向量的威胁目录您的利益相关者是否参与并能够参与?在可能的情况下利用外部资源,经验丰富的安全审核员可以最重要的是帮助您提出正确的问题并成功地指导审核,组织的优先级不得影响审核的结果。简而言之,不要忽视坏东西,因为它会让你的工作变得困难。2.为安全审计做准备定义了所有成功标准和业务目标后,就该确定这些项目的优先级了。为了进行出色的审核,公司必须使他们的工作与列表中的标题保持一致。并非每个项目都是重中之重,也并非每个重中之重都需要付出最大的努力。在此步骤中,选择实现业务目标所需的工具和方法。查找或创建适当的问卷或调查以收集正确的数据以供审查。避免将方形钉工具插入所需的圆孔中,也不要一刀切。3.进行安全审计在审计过程中,注意提供适当的文档并在整个过程中进行尽职调查。监控审核进度和所收集数据点的准确性。使用以前的审计和新信息,以及审计团队的指导,仔细选择要下降的兔子洞。您会发现需要进一步检查的细节,但首先要与团队一起确定这些新项目的优先级。使用在前面的步骤中商定的定义,完成审计并与所有利益相关者交流结果。根据审计创建操作项列表,并确定修复和更改的优先级以补救已识别的安全项。4.谨防风险和陷阱成功的安全审计可能会遇到一些挑战:避免立即进行评估,相信过程支持结果这一事实——人们会反驳并质疑审计的有效性,并确保它是彻底和完整的当心定义不明确的审计明确的范围或要求,它们可能会被证明是浪费时间。审计应发现您的运营风险。这与流程审核或合规审核不同。相反,关注风险。Gartner针对三种不同用例描述的安全审计类型:进行了三种不同的安全审计。一次性评估:一次性评估是针对特殊情况或情况执行并在操作中触发的安全审计。例如,如果您要引入新的软件平台,则需要进行一系列测试和审核,以发现您引入商店的任何新风险。收费评估:收费网关评估是一种具有二元结果的安全审计。审计确定可以引入您的环境的新流程或程序。您确定的风险不是在寻找可以阻止您前进的热门广告。投资组合审查:投资组合安全审查是年度审查、半年度审查或定期进行的审查。使用这些审计来验证您的安全流程和程序是否得到遵守,以及它们是否足以满足当前的业务环境和需求。在IT审计中寻找什么这是您在审计期间可能发现和标记的事情的非详尽列表。密码复杂性不足文件夹上的权限/ACL过多文件夹上的ACL不一致文件活动审计审计数据审计不存在或不充分数据审计不存在或不充分所有系统上的安全软件和安全配置都正确仅在系统上安装遵循合规软件数据保留策略更新测试灾难恢复计划更新测试事件响应计划妥善存储和加密保护敏感数据遵循变更管理流程【编辑推荐】人工智能在网络安全运维服务中的应用“硬核”阻断,绿盟科技非接触式网络安全监测防护计划RSAC202012家值得关注的网络安全初创企业纵深防御的抗疫力量
