資訊保安審計
對組織中資訊安全控制層級的稽核類型
資訊保安稽核(英語:Information security audit)是對組織的資訊保安水平進行審計的過程,其工作主要是對系統活動紀錄和相關系統檔案的獨立審查。資訊保安稽核的目的在於提高系統資訊保安水平,避免存在風險的系統設計,並最佳化安全措施和安全流程的效率。[1]在廣泛的資訊保安審計範圍內,存在多種類型的審計和不同審計目標等。通常,審計的控制措施可以分為技術、物理和規範三大層面。資訊保安審計涵蓋的內容包括對數據中心的物理安全進行審計,對資料庫的系統邏輯安全進行審計等,並注重這些領域需要關注的關鍵要素和不同的審計方法。
在資訊科技(IT)領域,資訊保安審計通常會視為是資訊科技稽核的一部份,會稱為資訊科技安全審計或電腦安全審計。然而,資訊保安涵蓋的範圍遠不止於IT領域,它涉及到一個組織的各個方面,包括技術、人員和工作流程。
範圍
編輯資訊保安審計的範圍十分廣泛,其目的亦可根據企業在不同階段的發展目標而存在不同的側重點,在以下領域均可進行開展:
- 資訊保安管理組織與制度;
- 訪問控制管理;
- 網絡安全、漏洞掃描、滲透測試、代碼安全掃描、機房及裝置物理安全、應用系統安全、資訊系統紀錄檔管理、加密傳輸和加密裝置管理、修補程式管理、IT 專案開發管理;
- 私隱數據安全、資料庫和作業系統安全、資訊資產分級和管理、數據資產全生命周期管理評估、資訊保安事件管理、業務連續性;
- 人力安全、IT 外包安全管理、資訊保安意識教育。[2]
參考資料
編輯- ^ Holistic IT Governance, Risk Management, Security and Privacy: Needed for Effective Implementation and Continuous Improvement. ISACA. [2023-06-20]. (原始內容存檔於2023-04-17).
- ^ 信息安全审计都有哪些内容. 網安. [2023-06-20]. (原始內容存檔於2023-06-20) (中文).