在系统审核期间,检查的基本要点是什么?
在系统审核期间,检查的基本要点是什么?
提问于 2018-03-29 13:53:36
我在石油工业工作,我是“年轻的极客”。因此,我通常负责编写VBA宏、一些用于数据可视化的JS等等。
最近,我被赋予了“进行系统审计”的任务。
几个上下文词:
- 这家公司的信息系统(‘'office’)由IT部门负责,我不是它的一部分。
- 然而,“工业”系统(即。(控制系统、制造执行系统等)由工业团队负责。防火墙将这两个世界隔离开来,由公司IT部门管理。人们认为,这种防火墙将工业网络与办公网络隔离开来,尤其是将工业网络与互联网隔离开来。这些工业网络是审计的范围。
- 到目前为止我还不是安全专家。但每个人(尤其是我的经理)都清楚,“安全审计”只是在时事通讯中使用时髦词汇的一种方式,任何严肃的审计都将由专业人士来处理。
尽管如此,我想利用这个机会学习,并让工厂的技术人员也学习。
我应该检查“系统审计”的基本要点是什么,这将是讨论信息安全基础知识的一个很好的借口,并允许我抓住最明显的弱点?
到目前为止,我的名单上有:
- 检查输入(USB端口、软盘驱动器、古老的植物...等)被残废
- 请注意屏幕上发布的管理员密码。
- 检查是否仍然支持使用的开放源码软件(我希望看到一些前Windows系统),如果它们是最新的。
回答 1
Security用户
发布于 2018-03-29 21:24:53
你对什么进行审计?审计是对系统是否符合某项要求的检查。因此,首先,我会尝试找出您的系统存在哪些需求。如果这些标准不存在,那么您的审计基本上将包括确定标准,然后确定系统是否遵循您的标准。这让你处于一个失败的境地。
如果你的管理层坚持你的“审计”,我会问他们你的审计对象是什么。最佳实践?ISO标准?我怀疑您是否拥有工业系统上的耐心、企业财务或支付数据,从而使您摆脱了HIPAA、SOX和PCI标准。这应该是你的首要关注点:就你的审计目标达成一致。否则你只需要填写一个复选框。
此外,在完成审核时:谁负责纠正您发现的差异?(提示:不是你。你是审计师,不是系统所有者。)管理层将如何支持纠正这些差异?谁会被追究责任?
这并不能完全回答你的问题,但我认为这比你问的问题更重要。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/182556
复制相关文章
相似问题
腾讯云开发者
