什么是安全审计,安全审计报告的基本要素是什么?

                       

什么是安全审计,安全审计报告的基本要素是什么?

安全审计是一个新概念,它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。安全审计(securityaudit)是通过测试公司信息系统对一套确定标准的符合程度来评估其安全性的系统方法。

安全审计主要是指对系统中与安全有关的活动的相关信息进行识别、记录、存储和分析。信息安全审计的记录用于检查网络上发生了哪些与安全有关的活动,谁(哪个用户)对这个活动负责,什么是网络安全审计呢?国际互联网络安全审计(网络备案),是为了加强和规范互联网安全技术防范工作,保障互联网网络安全和信息安全,促进互联网健康、有序发展,维护国家安全、社会秩序和公共利益。

安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易被干扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。显然,安全审计作为一个专门的审计项目,要求审计人员必须具有较强的专业技术知识与技能。

安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危,更涉及到企业的经济利益。因此,我们认为必须迅速建立起国家、社会、企业三位一体的安全审计体系。其中,国家安全审计机关应依据国家法律,特别是针对计算机网络本身的各种安全技术要求,对广域网上企业的信息安全实施年审制。另外,应该发展社会中介机构,对计算机网络环境的安全提供审计服务,它与会计师事务所、律师事务所一样,是社会对企业的计算机网络系统的安全作出评价的机构。当企业管理当局权衡网络系统所带来的潜在损失时,他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家,他们对网络的安全控制作出评价,帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判断。

根据互联网安全顾问团主席Ira Winkler,安全审计、易损性评估以及渗透性测试是安全诊断的三种主要方式。这三个分别采用不同的方法,分别适于特定的目标。安全审计测量信息系统对于一系列标准的性能。而易损性评估涉及整个信息系统的综合考察以及搜索潜在的安全漏洞。渗透性测试是一种隐蔽的操作,安全专家进行大量的攻击来探查系统是否能够经受来自恶意黑客的同类攻击。在渗透性测试中,伪造的攻击可能可能包括社会工程等真正黑客可能尝试的任何攻击。这些方法各有其固有的能力,联合使用两个或者多个可能是最有效的。

以上就是《什么是安全审计,安全审计报告的基本要素是什么?》的详细内容,更多知识请关注十安知识网其它相关文章!

本文链接:https://www.shianvip.com/article/3319.html

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 86345@qq.com 举报,一经查实,本站将立刻删除。

发表评论

电子邮件地址不会被公开。 必填项已用*标注