对于企业的内部和外部的安全审计,你需要知道一些什么呢?
很多企业管理者并不知道安全审计是一个长期的端到端的安全检查,他们知道安全审计能够保证企业的安全技术和准则在实践中得到最好的贯彻。
安全审计的目的就是保证企业信息安全,风险管理和调整兼容性方面达到完美的境地。如果操作得当,安全审计可以反映企业在技术,实际操作,雇员或是其它关键安全领域的一些缺陷。安全审计在帮助企业更加经济有效地保护企业软硬件安全方面也与很大的作用,此外,还有助于企业更好地发挥安全技术和设备在实际应用中的表现。尽管安全审计遭某些方面确实有些烦人,但是睿智的企业管理人员应该会在烦人与安全之间做出正确的选择。毕竟你是愿意使用审计不断提高企业的安全表现呢,还是暂时的烦人?
审计实践和活动
目前还没有一个完全标准的审计过程,但是有一些约定俗成的步骤,包括个人调查,漏洞扫描,操作系统和安全设备的检查,网络分析,还有检查事件日志中的过往数据。审计人员应该将注意力集中在企业的安全政策上,以期找出它涵盖的安全范围,怎样使用,是否在应对不断变化的安全危险上具有可操作性。
计算机辅助审计技术(CAAT Computer-Assisted Audit Techniques )在帮助审计人员找出企业内部IT结构的弱点上很有帮助。CAAT技术使用系统产生审计报告,还有监测技术来反映系统文件和设置的变化。CAAT技术可以在应用范围很广泛,台式机,服务器,主机,路由器和调制转换器,还有其它系统和设备的部署上都可以发挥作用。
尽管CAAT会提供一些关于企业系统的标准化数据,但是审计人员还是需要对一些不容易量化的指标做实地调查。以下就是审计人员需要重点关注的一些问题:
● 谁掌管企业的安全,这个人应该向谁报告?
● 控制访问清单(ACL)是否加入到网络设备中控制共享数据的范围?
● 密码的产生和管理如何?
● 是否有关于数据访问者的审计记录?
● 谁收到了审计日志,检查频率的高低如何?
● 操作系统和网络设备的安全审查是否与公认的安全准则相适应?
● 系统中是否有不需要的设备和服务?发生的频率多高?
● 操作系统和应用程序是否及时更新?
● 备份数据的存储情况如何?访问权限怎么控制?是否及时更新?
● 电子邮件安全如何?
● 网络安全如何?
● 无线网络安全如何?
● 远程办公人员是否纳入了企业的安全管理范围?
● 是否有合适的灾难恢复计划?是否根据计划有过演练?
● 客户程序是否经过漏洞检测?
● 计算机配置和代码的变化是否存档?这些记录是否被及时审查?
当然还有一些与企业行业性质有关的问题也应该涉及到。
审计人员
一个审计人员的技术和相关性依赖于审计的性质和审计企业关注的重点。一般来说,内部审计人员来自于来自于企业本身的IT和会计部门。但是也有一些企业雇用安全咨询人员完成这项任务。如果是金融机构或是其它政府监管性质比较强的企业,审计更多的是来自政府监管部门。
审计之后该做什么?
一旦审计结束,审计人员应该马上向公司的管理人员简要的汇报发现的情况,如果有紧急情况的话,应该立即采取相应的补救措施。在一个星期之内,应该提交一份正式的报告。这样公司的股东就可以相信了解企业的安全状况并作出相应的改进。
不管怎么说,企业的安全审计只是企业整体安全的一个部分,企业安全是一个连续不断的过程。在企业的运行过程中,设计和部署安全政策,安全技术和准则,并且还要不断的对企业的网络安全进行例行的审计,这样方是安全之道。
