计算机安全审计与测试全解析
1. 理解计算机安全审计
审计通常指独立评估,计算机安全审计便是对计算机安全的独立评估。当有人对组织进行计算机安全审计时,主要聚焦两个方面:
-非技术层面:独立验证组织是否遵循现有的计算机安全政策和程序。
-技术层面:独立测试安全控制(用于保护系统的硬件和软件机制)的有效性。
进行安全审计的原因和财务审计类似,主要是确保一切按规定执行。无论是独立安全审计还是自我评估,都能带来诸多好处:
- 定期进行风险评估,考虑系统和数据面临的内外部威胁。
- 定期测试安全政策、控制和技术的有效性。
- 识别系统安全中的重大缺陷,以便进行修复。
- 若为自我评估,可帮助组织为年度独立安全测试做好准备。
非技术方面的安全审计
非技术方面的安全审计关注组织的整体安全框架,审查组织在计算机安全政策、计划和程序的制定与实施情况。需要验证的项目包括:
- 有证据表明定期进行风险评估。
- 存在全实体的安全计划。
- 具备安全计划管理结构。
- 明确分配计算机安全职责。
- 有有效的安全相关人员政策。
- 监测安全计划的有效性,并在需要时进行调整。
通常,非技术方面的审计需要审查文件并采访相关人员。对于小型组织或家用电脑,不必苛求有完善的文档化计划和程序,只需确保有技术控制来保护系统和网络连接。
技术方面的安全审计
技术方面的安全审计侧重于测试保护主机和网络的技术控制。测试内容包括:
