安全審計主要目的是用來確保企業或組織的資訊系統跟管理過程是合法的,並且沒有潛在安全風險。
安全審計目的
1.合規性驗證
2.風險管理與控制
3.資訊系統可靠性
4.效能評估
5.偵測與預防潛在問題
6.有效監督
7.保護組織聲譽黑暗利害人利益
資訊安全審計流程
1.定義範疇和目標:確認範圍、目標、方法
2.風險評估:評估面臨的風險,建立風險評估模型
3.執行審計測試:採用採訪、系統檢測、稽核日誌方式審查
4.報告建議:彙整發現,寫審計報告,提供建議和提升資訊安全水平
工具與技術
常見的審計工具有
Nmap(網路掃描)
Wireshark(網路封包分析)
OpenVAS(漏洞掃描)
Nessus(漏洞管理)
稽核管理軟體
ACL
Analytics
IBM
OpenPages
SAP GRC
稽核自動化與數據分析
R語言
Python
相關法律
GDRP
HIPPA
PCI-DSS
iThome鐵人賽
看影片追技術