信息安全审计
對組織中資訊安全控制層級的稽核類型
資訊安全稽核(英語:Information security audit)是對組織的資訊安全水平进行审计的过程,其工作主要是对系统活动紀錄和相關系统文件的獨立审查。資訊安全稽核的目的在于提高系统信息安全水平,避免存在风险的系统设计,并优化安全措施和安全流程的效率。[1]在广泛的信息安全审计范围内,存在多种类型的审计和不同审计目标等。通常,审计的控制措施可以分为技术、物理和规范三大层面。信息安全审计涵盖的内容包括对数据中心的物理安全进行审计,对数据库的系统逻辑安全进行审计等,并注重这些领域需要关注的关键要素和不同的审计方法。
在信息技术(IT)领域,信息安全审计通常會視為是資訊科技稽核的一部份,會称为信息技术安全审计或计算机安全审计。然而,信息安全涵盖的范围远不止于IT领域,它涉及到一个组织的各个方面,包括技术、人员和工作流程。
范围
信息安全审计的范围十分广泛,其目的亦可根据企业在不同阶段的发展目标而存在不同的侧重点,在以下领域均可进行开展:
- 信息安全管理组织与制度;
- 访问控制管理;
- 网络安全、漏洞扫描、渗透测试、代码安全扫描、机房及设备物理安全、应用系统安全、信息系统日志管理、加密传输和加密设备管理、补丁管理、IT 项目开发管理;
- 隐私数据安全、数据库和操作系统安全、信息资产分级和管理、数据资产全生命周期管理评估、信息安全事件管理、业务连续性;
- 人力安全、IT 外包安全管理、信息安全意识教育。[2]
参考资料
- ^ Holistic IT Governance, Risk Management, Security and Privacy: Needed for Effective Implementation and Continuous Improvement. ISACA. [2023-06-20]. (原始内容存档于2023-04-17).
- ^ 信息安全审计都有哪些内容. 网安. [2023-06-20]. (原始内容存档于2023-06-20) (中文).