跳转到内容

信息安全审计

本页使用了标题或全文手工转换
维基百科,自由的百科全书

资讯安全稽核(英语:Information security audit)是对组织的资讯安全水平进行审计的过程,其工作主要是对系统活动纪录和相关系统文件的独立审查。资讯安全稽核的目的在于提高系统信息安全水平,避免存在风险的系统设计,并优化安全措施和安全流程的效率。[1]在广泛的信息安全审计范围内,存在多种类型的审计和不同审计目标等。通常,审计的控制措施可以分为技术、物理和规范三大层面。信息安全审计涵盖的内容包括对数据中心的物理安全进行审计,对数据库的系统逻辑安全进行审计等,并注重这些领域需要关注的关键要素和不同的审计方法。

信息技术(IT)领域,信息安全审计通常会视为是资讯科技稽核的一部份,会称为信息技术安全审计或计算机安全审计。然而,信息安全涵盖的范围远不止于IT领域,它涉及到一个组织的各个方面,包括技术、人员和工作流程。

范围

[编辑]

信息安全审计的范围十分广泛,其目的亦可根据企业在不同阶段的发展目标而存在不同的侧重点,在以下领域均可进行开展:

  • 信息安全管理组织与制度;
  • 访问控制管理;
  • 网络安全、漏洞扫描、渗透测试、代码安全扫描、机房及设备物理安全、应用系统安全、信息系统日志管理、加密传输和加密设备管理、补丁管理、IT 项目开发管理;
  • 隐私数据安全、数据库和操作系统安全、信息资产分级和管理、数据资产全生命周期管理评估、信息安全事件管理、业务连续性;
  • 人力安全、IT 外包安全管理、信息安全意识教育。[2]

参考资料

[编辑]
  1. ^ Holistic IT Governance, Risk Management, Security and Privacy: Needed for Effective Implementation and Continuous Improvement. ISACA. [2023-06-20]. (原始内容存档于2023-04-17). 
  2. ^ 信息安全审计都有哪些内容. 网安. [2023-06-20]. (原始内容存档于2023-06-20) (中文).