有效网络安全审计的要点

1、有效网络平安审计的要点目录 TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document 编者按1 HYPERLINK l bookmark4 o Current Document .执行网络平安审计的原因1 HYPERLINK l bookmark6 o Current Document .对网络平安策略的审查2 HYPERLINK l bookmark8 o Current Document .制定网络平安审计的综合方法2 HYPERLINK l bookmark10 o Current Document .分析相关人员的网络能力3 HYPE

2、RLINK l bookmark12 o Current Document .促进基于风险的审计方法4 HYPERLINK l bookmark14 o Current Document .结论4编者按对审计流程采取严格、系统的方法对于企业从审计流程中获得最大收益至 关重要。网络平安已成为全球范围内的一个紧迫问题，因此需要通过健全的审计程 序为高级管理层和董事会（BoD）提供保证。网络平安审计可以被视作是为了 确保网络活动的平安，对现有系统和控制措施的评估，目标是在更深层次上评 估当前的技术、政策和程序，确定是否有效地满足了所有适用的标准和法规。 在审计过程中，组织可以应用一些最正确实践衡量网

3、络平安系统、流程和控制措 施的效率和有效性。.执行网络平安审计的原因网络平安审计师的目标是验证一个组织是否按照各种网络平安标准、法规 和指导方针运营。网络平安审计会根据企业的合规性衡量其现状，并与特定的 行业标准对照，然后进行差距分析，通过有针对性的建议确保尽早发现并纠正 所有控制差距。审计人员应定期执行网络平安审计的原因有以下几点：定期监测组织的IT基础设施、系统和控制措施，检测任何潜在风险或缺 陷确认现有系统满足最低合规要求，并降低预期风险评估网络平安运营系统和流程的效率和有效性第1页共4页检查信息系统、平安控制措施和管理程序，降低风险为制定应急计划提供建议，应对紧急网络攻击或其他漏洞网络

4、平安审计的要点包括审查网络平安策略、制定网络平安综合措施、从 业人员网络能力分析，以及协助组织内基于风险的审计计划。网络平安审计的要点包括审查网络平安策略、制定网络平安综合措施、从 业人员网络能力分析，以及协助组织内基于风险的审计计划。.对网络平安策略的审查信息平安策略对网络平安审计人员至关重要，因为了解这些政策可以让审 计人员对组织的数据进行分类，并确定保护这些数据所需的平安级别。在审查 任何相关网络平安策略时，网络平安审计师应努力将其与理想版本或全球标准 比拟。确定企业的网络平安策略是否符合行业和全球标准至关重要。在执行此 步骤之前，了解哪些合规性法规与组织相关并适用于组织也很重要。网络平

5、安计划和策略应该参照的全球标准包括：支付卡行业数据平安标准（PCI-DSS）系统和组织控制（SOC）2002年美国萨班斯-奥克斯利法案（SOX）国际标准化组织（ISO）欧盟通用数据保护条例（GDPR）云平安联盟（CSA）云控制矩阵（CCM）互联网平安控制中心（CIS）,以前称为关键平安控制中心根据各自的行业和/或管辖区，组织可能需要遵守一个或多个标准。例 如，金融机构由于广泛使用信用卡和借记卡，通常必须遵守PCI-DSS,而上市 实体（尤其是跨国公司）那么要求遵守SOX。网络平安审计师还应该考虑司法管 辖权。例如，GDPR如何影响位于欧盟或在欧盟从事业务的国家。当然，一些 标准普遍还适用于各个

6、行业和司法管辖区（如CCM、ISO标准）。.制定网络平安审计的综合方法将网络平安、风险管理和合规策略集中到一个统一的工作文件中，帮助网 络平安审计师更全面地了解组织的网络平安脉搏，这一点至关重要。反过来，第2页共4页 这也使审计人员更容易识别差距，因为网络平安、风险管理和合规之间总是相 互关联。将网络平安、风险管理和合规策略集中到一个统一的工作文件中，帮助网 络平安审计师更全面地了解组织的网络平安脉搏，这一点至关重要。网络平安审计人员应在审计开始前审查相关合规标准和要求。如果组织设 有合规部门，那么应与审计团队共享相关信息。共享合规信息使网络平安审计人 员能够及时了解立法和法规的变化，并相应地

7、使特定审计与组织的迫切需求保 持一致。为此，内部审计职能部门和审计委员会必须定期与首席信息官(CIO)和首席信息平安官(CISO)会面，讨论重要的网络平安问题，并就新 出现的威胁、漏洞、网络平安法律法规交流看法。利用自动化工具(如仪表盘)帮助团队无缝沟通并高效协调审计活动可能 是有用的。一个集中的数据存储库，内部审计、合规和IT团队可以在云中轻 松维护、访问和共享相关数据，以便每个团队轻松访问。该集中存储库允许审 计团队将平安风险映射到网络平安审计中的可审计实体、IT资产、控制措施、 法规和其他关键因素。通过无缝集成的数据流，内部审计可以一目了然地确定 网络平安风险或无效且低效的控制措施可能会

8、对整个组织产生何种影响。这 样，内部审计师就能够主动提出有针对性的建议，解决发现的问题。.分析相关人员的网络能力在全球范围内，很难找到足够的人员填补网络平安人才的短缺。组织应建 立一份信息平安人员及职责清单，作为持续处理网络平安问题的必要步骤。员 工访谈是网络平安审计的重要组成局部，因为审计师试图确定组织是否雇佣了 称职的网络平安人员协助防范网络风险。网络平安审计人员通常会采访各种IT 和信息平安人员，以更好地了解组织的平安架构和威胁情况。审计师还应该采 访董事会成员，评估他们对网络平安风险的理解。然后，网络平安审计人员可 以验证包括领导层在内的所有员工是否获得了足够的培训，能够应对不断演变

9、的网络风险。应该指出的是，除了从技术方面评估IT基础设施外，网络平安审计还包 括审查和采访负责平安、数据保护和IT基础设施的个人。因此，网络平安审 计人员应具备良好的软技能，以便能够成功地与各级利益相关者互动。第3页共4页.促进基于风险的审计方法网络平安风险在企业中无处不在，具有广泛性和压倒性的特点，超出了有 效的网络平安审计的范围。网络平安审计团队应该知道从哪里开始评估，在资 源有限的情况下尤其如此。这就是基于风险的网络平安审计方法增值的地方。 基于风险的审计使审计团队能够根据组织内风险最高的领域对其活动和资源进 行优先排序。网络平安审计师必须通过有效的风险评估、持续的风险监控和情 景分析等干预措施，为基于风险的审计收集情报。由此产生的数据有助于审计 师制定一个系统的、基于风险的审计计划，该计划具有明确的和可实现的目 标。然后，可以设计一个一致认可的范围优先考虑风险更大的领域。技术可用 于简化风险评估，并对企业范围的网络风险提供实时可见性。例如，网络平安 审计人员应该了解组织的关键数据在哪里，还应该了解组织正在使用的整个治 理框架，并在必要时通过引入正确的第三方资源提供帮助。.结