10、网络安全审计与成熟度模型应用

网络安全审计与成熟度模型应用

1. 政策矩阵与合规验证机制

在网络安全管理中，当确认现有政策不适用时，可能需要创建新政策。一个有效的解决方案是创建政策矩阵，将现有政策与适用法规进行映射。这种矩阵有助于轻松识别政策需要做出的更改（基于法规的变化），或者确认政策更新是否会对合规性产生影响。

合规性不是一次性的工作，需要持续维持。用于测试和验证合规性的机制被称为审计。

2. 审计类型

审计可分为内部审计和外部审计：
- 内部网络安全审计 ：通常由组织自行设计，以确保其系统、用户和数据符合一系列政策和法规。大型企业可能会进行全公司范围的审计，其中包括数据安全审计。企业审计人员通常直接向 C 级管理层报告，以确保结果尽可能客观。建议进行内部（部门级）网络安全审计，确保环境随时准备好接受审计。内部审计结构可能包括部门审计（如 Wintel 团队、UNIX 团队、IAM 团队）和组织审计（如网络、开发、支持）。如果公司不进行审计，就必须自行创建安全审计，这是确保政策和控制措施到位并得到遵守的最佳机制之一。
- 外部网络安全审计 ：许多情况下，公司需要由第三方进行审计，以验证其对法律或法规的合规水平。也有公司希望第三方验证其网络安全政策是否得到遵守。需要注意的是，进行审计的公司不应与提供网络安全服务的公司相同，以免产生利益冲突，影响结果的中立性和客观性。第三方审计可能会提前通知，让公司有时间准备所需证据（如日志、报告等），也可能会突然进行现场验证。审计结果通常会提供给 C 级管理层，再逐级传达，因此确保环境随时准备好接受审计非常重要。

3. 审计人员的要求