32、PKI治理、风险与合规性：评估、审计与风险分析

PKI治理、风险与合规性：评估、审计与风险分析

1. 评估与审计的区别

评估和审计在目的和报告风格上有所不同。评估的目的是确定是否符合评估标准，并识别可能存在的控制差距，以便后续进行补救。而审计的目的是确定是否符合相同的评估标准，并给出通过或不通过的评分。评估通常是为审计做准备。

审计报告提供实际控制与要求之间的客观比较，而评估报告不仅提供客观比较，还会给出战术和战略补救的建议。此外，评估报告可能包含关于行业最佳实践和信息安全趋势的主观意见。

在范围方面，审计往往比评估成本更高，因为涉及专业费用和员工资源。审计范围通常是整个PKI层次结构，而评估范围可以更窄，例如只针对离线PKI组件、在线PKI组件或特定的CA。评估的时间框架可能更短，并且可以由不同团队并行进行，而审计通常由审计团队进行。

评估可以在审计前后进行。在审计前进行评估可以识别控制差距并在实际审计开始前进行补救；如果审计发现缺陷，评估可以在审计后进行，以确认问题在下次审计前已得到解决。

2. 评估过程

评估过程包括以下步骤：
1. 范围定义 ：确定评估的范围，包括评估标准和评估目标，确定测试用例，范围将决定工作计划。
2. 资源确定 ：确定评估所需的人员和计算机资源，范围有助于确定需要谁、需要什么以及何时需要，可用资源有助于估计评估工作计划的时间线。
3. 启动会议 ：向所有参与者通报评估工作计划、各自的角色和职责以及总体时间线。启动会议的一个可能结果是需要更新范围并修订资源。
4. 文