下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、1技术报告应该是针对被研究系统(system under study,SUS)具体情况的标准方法论的应用。换句话说,报告必须表明这是一个定制的审计。它必须记录所使用的方法论、其根据SUS所定制的方式、结果、所建议的控制或更改。原始数据和自动报告应该提供在附录中。最重要的是:报告应该说明组织的风险状况。以下是一份好的技术审计报告所需的各种关键要素:威胁 第1章中讨论过的风险管理过程(risk management process, RMP)详细描述了组织确定威胁的方式。所以报告应考虑这些威胁,以便与RMP保持一致。漏洞 这些与威胁有关,我们与其去跟踪任何威胁所无法利用的漏洞,还不如去跟踪那些可利
2、用的漏洞。漏洞所处的环境比其存在性更为重要。利用的可能性 一个漏洞经常会被我们所跟踪的各种威胁在其他处所利用到。如果我们不对其采取措施的话,它们同样会对我们的组织造成影响。为了确定工作的优先级并更好地评估成功利用所带来的影响,确定它们的可能性是非常重要的。利用后的影响 这通常用货币数值来表示,以便更好地符合我们的RMP。建议措施 这些是针对漏洞所采取的步骤,从而减少利用的概率和/或影响。技术报告(除了别的内容以外)包括不超过一页或两页的执行摘要,这样能够突出那些高级领导层需要从报告中了解的内容。而其目标是获得他们的注意, 并产生所需的改变。获得业务领导关注的一个方法是根据风险暴露来解释审计的发
3、现。安全几乎总是被视为业务的成本中心。因此对于不产生利润的部门来说,显示投资回报率(return on investment,ROI)的好方法是:用具体金额来量化那些被推荐的可能挽救公司的变更。2虽然管理评审已经存在了很长的时间,但是如今在使用该术语时最好还是要基于例如ISO 9000系列的质量标准。这些标准定义了一个计划-执行-检测-处理的循环,如PDCA流程。这个持续改进的周期很好地捕获了我们在本书中涵盖的大多数主题的精华。计划阶段主要映射到第1章中的内容。这一阶段是我们在ISMS中所要做的一切事情的基础,因为它决定了我们的目标,并驱动着我们的政策。循环中的执行阶段覆盖了多个地方,但它是第7章的重点。检查阶段是本章大部分内容的主要议题。最后,处理阶段是我们在管理评审中正式去做的。我们会
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 部编人教版九年级数学上册期末测试卷及答案【学生专用】
- 新人教部编版五年级语文上册期末考试题及答案2
- 浙江省县域教研联盟2024届高三下学期三模考试语文试题
- 新人教版八年级地理上册期末试卷【附答案】
- 2022年人教部编版三年级语文上册期末试卷(带答案)
- 初中八年级数学上册期末考试卷及参考答案
- 部编人教版七年级地理上册期末试卷(A4打印版)
- 训练队管理制度
- 设备包装方案
- 人教版2022年五年级语文上册期末考试卷及答案【A4版】
- 埃森哲-流程优化方法论
- 管线定向钻进技术标准 DG-TJ08-2075-2022
- 2023年全国信息素养大赛图形化初赛试题
- (高清版)DZT 0342-2020 矿坑涌水量预测计算规程
- 第十二讲 建设社会主义生态文明PPT习概论2023优化版教学课件
- 股前内侧区解剖实验报告
- 颅脑损伤ppt课件.ppt
- GB 5340-85 可转位立铣刀
- 一年级下册《体育与健康》教学计划
- 25M后张法预应力混凝土简支T型梁桥上部结构设计.doc
- JJF 1598-2016 气载放射性碘监测仪校准规范
评论
0/150
提交评论