最后更新于2017年11月6日星期一21:41:58 GMT
迟早,您的组织可能会成为IT审计的对象. 尽管这听起来很不吉利,但它并不需要让人害怕. 如果您是网络管理员,那么您将在审计中扮演特定的角色. 由于审计很少是小项目,在整个过程中您可能会与其他人一起工作. 要很好地履行自己的职责,最好的方法就是在审计发生之前做好准备. Simply put, 审计是一种检查,以确定控制是否足以满足政策和外部规定的目标. 它们应该有助于识别增加组织风险的安全性或服务差距,从而使组织更安全.
在现实生活中,假设你说你想要遵循低钠饮食. 在阅读了这种饮食的好处之后,你可能会自己得出这个结论, 或者你的医生建议你这样做. 你怎么知道你的饮食做得好还是不好呢? 你可以把你一直吃的东西和低钠指南做比较. 这实际上只是一次饮食审计. 如果你每天吃一袋薯片, 那么你并不是在吃低钠饮食. 这是什么意思?? 你的饮食审核失败了吗? 是的,但那不是最重要的部分. 更重要的是,偏离低钠饮食指南会增加患钠相关疾病和失调的风险. 任何审计的目标都只是查看您的组织是否符合降低风险的既定目标.
为IT审计做准备的最好的第一步是了解正在进行哪种审计以及谁在进行审计. 大多数审计并不令人意外. In fact, 许多组织都有法规要求的审计, legislation, industry, 或者其他外部需求. 例如,您的组织是否接受支付卡? 取决于每年的交易数量, 你可能需要, under PCI DSS, 进行定期审核. 存在许多其他可以触发审计的外部需求,例如FISMA、HIPAA和SOX. 不考虑审计的外部驱动因素, 您可能会从采用标准IT控制框架中获益良多, such as COBIT . COBIT为IT管理和治理提供了一个全面的框架和一组控制目标. 如果您采用了一个框架, 或者简单地记录你自己的控制目标, 您应该根据控制目标映射您的基础结构,以便您可以轻松地确定哪些是在审计范围内的. 这一步就能帮助你管理你要做的工作范围. For example, 如果你正面临SOX 404条款的审计, 您可以使用COBIT来帮助专注于三个初始关键领域的控制, including:
- 变更管理流程
- 访问控制/职责分离
- 备份/存档存储
IT审计员也对收集活动的文档感兴趣. 这些文档的大部分是以日志文件的形式出现的. 但这并不是审计师感兴趣的全部. 活动日志没有多大帮助,除非有东西可以比较. 其他信息可以包括策略、过程,甚至以前检查过的活动日志. 审计人员正在寻找一段时间内活动的证据. 他们想要检查应该发生什么(政策), objectives, 和过程)与实际发生的情况(日志文件和其他工件)相比较.)那么你怎么知道审计师需要什么具体信息呢? Just ask.
准备任何审计的第一步是确定谁将进行审计. 这个信息应该很容易找到. 然后,询问审计人员他们需要你做什么. 他们通常会让你知道他们需要什么工件来完成他们的工作. 这些信息将帮助你确定你是否准备好了. 如果你是,很好! If you aren’t, 您需要进行一些更改,以确保审计人员在需要时能够获得所需的内容. 这可能包括添加日志记录功能或保留更多的日志文件内容. 检查您的日志记录策略和过程,以确保您拥有审计员需要的信息,并且您建议的任何更改都不会违反安全策略的其他部分. In some cases, 审核员可能需要超出组织信息保留策略的信息. In such cases, 管理层将不得不审查安全策略,并可能对其进行更改以与外部需求保持一致.
还有很多在线资源可以帮助你准备审计. 一旦你知道了审计的具体类型, 例如年度PCI DSS审计, 使用你最喜欢的搜索引擎来帮助准备. 在这种情况下,搜索“PCI DSS审计准备”是一个很好的开始. 一些研究应该为您提供特定于适用于您的审计类型的指导. 利用别人的经验来帮助你避免陷阱.
虽然听起来工作量很大, 为审计做准备可以在几个方面帮助您的组织. 首先也是最重要的, 积极准备审计工作大大增加了获得积极审计结果的可能性. Secondly, 在审核员发现漏洞之前,自己发现并消除漏洞可以降低组织的风险. 降低风险意味着降低泄露的可能性. 为审计做准备是值得花费精力和时间的. 不要害怕审计——它不是期末考试. 这只是一个验证你的风险尽可能低的机会, 或者你需要解决一些差距. 做好充分的准备意味着审计报告中的漏洞可能会更少.
