超级会员免费看
信息系统审计:保障信息安全的关键环节
在当今数字化时代,信息资产的保护至关重要。信息系统审计作为保障信息安全的重要手段,涵盖了多个方面,包括对在线业务存在的合理性审查、网络安全控制审计、变更管理审计、漏洞管理审计、环境控制审计以及物理安全控制审计等。
在线业务存在的合理性审查
IS 审计师应审查业务记录,以确定组织建立在线功能(如电子邮件、面向互联网的网站、互联网电子商务、员工互联网访问等)的依据。这些服务会给业务带来风险并消耗资源,审计师需要确定是否存在可行的业务案例来支持这些服务,还是仅仅将其作为员工的“福利”。
网络安全控制审计
网络安全控制审计要求审计师全面了解网络技术、网络安全技术以及被审计组织的网络架构。任何理解上的差距都可能导致对网络审查不足,从而无法识别严重的缺陷。
- 架构审查
- 架构图 :审计师应获取并熟悉显示关键网络和系统功能之间逻辑关系的高级和详细架构图。
- 架构文档 :可视化图表通常配有描述各种架构特征用途的书面文档,审计师应利用这些文档补充图表,以更全面地了解网络架构。
- 支持业务目标 :审计师应确定网络架构是否支持关键业务目标。
- 符合安全政策 :审计师应确定网络架构是否符合组织的安全政策,包括业务功能的逻辑隔离、关键资产的保护以及部门之间的职责分离。
- 文档与实际对比 :审计师应检查文档化网络架构中的几个关键点,以确定网络配置是否实
订阅专栏 解锁全文
扫一扫
168万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
