基于风险的审计方式 模拟案例研究
发布时间:2022-04-18 15:37:33 所属栏目:安全 来源:互联网
导读:现在我们理解了整个审计的大体内容,那么我们来进行一个场景模拟,把所有的内容都联系在一起。在这个例子中,我们将站在一定高度、简单的浏览一遍一家专营办公材料、办公家具、标识以及打印媒体服务的特许经销商的审计过程。该公司位于东海岸的12家连锁店都
|
现在我们理解了整个审计的大体内容,那么我们来进行一个场景模拟,把所有的内容都联系在一起。在这个例子中,我们将站在一定高度、简单的浏览一遍一家专营办公材料、办公家具、标识以及打印媒体服务的特许经销商的审计过程。该公司位于东海岸的12家连锁店都接受信用卡付款,并通过电子商务系统使用他们的网上商店。我们把它称作Office Company公司。 Office Company确定了所有的资产并通过类型、价值和复杂性对他们进行了分类。下面的风险排名表格使用上文提到的标准对风险进行了排名。 在对审计范围内的几个审计实体进行排名之后,Office Company发现它的主要顾虑是公司防火墙和PCI DSS规则遵从。具体来说,公司担心的是“建立和维护一个安全环境”这项PCI DSS要求,因为公司最近失去了主要的防火墙管理员。公司把防火墙列为机密(需要严格控制,以防止未授权的访问)、危险程度级别1(需要高级别的保护,对于业务运行生死攸关)。在审计计划中,审计团队决定集中力量审计公司的防火墙和上面提到的PCI DSS要求。 在准备阶段,审计人员发现之前的防火墙管理员很少记录防火墙的变化,几个月内都没有更新网络的拓扑结构,而且没有培训新员工。为了保护电子商业数据,防止监管处罚,审计团队同意对每组防火墙规则进行一次全面整顿。审计团队打算评估入口和出口的过滤,其中包括每条规则的记录,以及所有封锁和允许的端口、协议和服务等。 在报告阶段,审计团队与管理团队重新阐述了公司的防火墙和PCI DSS问题。他们还阐述了升级防火墙需要采取的措施,以及后续重要事件的日期。为了提供积极的观点,他们指出了一些管理人员能够现场更正的现存防火墙架构中的不足。其中一个方面就是防火墙的“默认拒绝”规则。就像Dr. Anton Chuvakin在他的新书中推荐的那样,对于PCI规则遵从,审计团队可以让防火墙管理员在防火墙上实施“隐形规则”,丢弃所有以防火墙设备自身为目标的入站和出站流量。另外,报告还阐述了审计中发现的其他领域,其中包括基础设施设备上的认证服务器使用以及偶然发生的计划改变等。 总结 本指南重点介绍了基于风险的审计的核心内容。从风险评估以及风险排名过程,一直到评估和报告发现,重要的是要采取着重实现业务目标的风险基础态度。这个模型可以重塑并不断发展,能够跟得上技术更新和漏洞更新的脚步。审计团队一定要注意风险排名过程中使用的估计数字。审计人员在威胁以及风险分析中必须保持真实,应该尽可能的使用可以测量的数据。每年都使用这个方法进行审计,企业就能够实现安全。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号