资讯安全审计
外观
资讯安全审核(英语:Information security audit)是对组织的资讯安全水平进行审计的过程,其工作主要是对系统活动纪录和相关系统文件的独立审查。资讯安全审核的目的在于提高系统资讯安全水平,避免存在风险的系统设计,并优化安全措施和安全流程的效率。[1]在广泛的资讯安全审计范围内,存在多种类型的审计和不同审计目标等。通常,审计的控制措施可以分为技术、物理和规范三大层面。资讯安全审计涵盖的内容包括对数据中心的物理安全进行审计,对数据库的系统逻辑安全进行审计等,并注重这些领域需要关注的关键要素和不同的审计方法。
在资讯科技(IT)领域,资讯安全审计通常会视为是资讯科技审核的一部分,会称为资讯科技安全审计或电脑安全审计。然而,资讯安全涵盖的范围远不止于IT领域,它涉及到一个组织的各个方面,包括技术、人员和工作流程。
范围
[编辑]资讯安全审计的范围十分广泛,其目的亦可根据企业在不同阶段的发展目标而存在不同的侧重点,在以下领域均可进行开展:
- 资讯安全管理组织与制度;
- 访问控制管理;
- 网络安全、漏洞扫描、渗透测试、代码安全扫描、机房及装置物理安全、应用系统安全、资讯系统日志管理、加密传输和加密装置管理、补丁管理、IT 项目开发管理;
- 隐私数据安全、数据库和操作系统安全、资讯资产分级和管理、数据资产全生命周期管理评估、资讯安全事件管理、业务连续性;
- 人力安全、IT 外包安全管理、资讯安全意识教育。[2]
参考资料
[编辑]- ^ Holistic IT Governance, Risk Management, Security and Privacy: Needed for Effective Implementation and Continuous Improvement. ISACA. [2023-06-20]. (原始内容存档于2023-04-17).
- ^ 信息安全审计都有哪些内容. 网安. [2023-06-20]. (原始内容存档于2023-06-20) (中文).