資訊安全審計

對組織中資訊安全控制層級的稽核類型

資訊安全稽核(英語:Information security audit)是對組織的資訊安全水平進行審計的過程,其工作主要是對系統活動紀錄和相關系統檔案的獨立審查。資訊安全稽核的目的在於提高系統資訊安全水平,避免存在風險的系統設計,並最佳化安全措施和安全流程的效率。[1]在廣泛的資訊安全審計範圍內,存在多種類型的審計和不同審計目標等。通常,審計的控制措施可以分為技術、物理和規範三大層面。資訊安全審計涵蓋的內容包括對資料中心的物理安全進行審計,對資料庫的系統邏輯安全進行審計等,並注重這些領域需要關注的關鍵要素和不同的審計方法。

資訊科技(IT)領域,資訊安全審計通常會視為是資訊科技稽核的一部份,會稱為資訊科技安全審計或電腦安全審計。然而,資訊安全涵蓋的範圍遠不止於IT領域,它涉及到一個組織的各個方面,包括技術、人員和工作流程。

範圍

資訊安全審計的範圍十分廣泛,其目的亦可根據企業在不同階段的發展目標而存在不同的側重點,在以下領域均可進行開展:

  • 資訊安全管理組織與制度;
  • 訪問控制管理;
  • 網路安全、漏洞掃描、滲透測試、代碼安全掃描、機房及裝置物理安全、應用系統安全、資訊系統紀錄檔管理、加密傳輸和加密裝置管理、修補程式管理、IT 專案開發管理;
  • 隱私資料安全、資料庫和作業系統安全、資訊資產分級和管理、資料資產全生命周期管理評估、資訊安全事件管理、業務連續性;
  • 人力安全、IT 外包安全管理、資訊安全意識教育。[2]

參考資料

  1. ^ Holistic IT Governance, Risk Management, Security and Privacy: Needed for Effective Implementation and Continuous Improvement. ISACA. [2023-06-20]. (原始內容存檔於2023-04-17). 
  2. ^ 信息安全审计都有哪些内容. 網安. [2023-06-20]. (原始內容存檔於2023-06-20) (中文).