偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

基于風(fēng)險(xiǎn)的審計(jì)方法:模擬案例研究

安全
本文承接《基于風(fēng)險(xiǎn)的審計(jì)方法:風(fēng)險(xiǎn)評(píng)估》和《基于風(fēng)險(xiǎn)的審計(jì)方法:審計(jì)階段》這兩篇文章,用具體實(shí)例,把前兩篇文章提到的有關(guān)基于風(fēng)險(xiǎn)的審計(jì)內(nèi)容都聯(lián)系起來,方便大家對(duì)整個(gè)審計(jì)內(nèi)容有個(gè)更清楚的認(rèn)識(shí)和了解。

模擬案例研究:執(zhí)行基于風(fēng)險(xiǎn)的審計(jì)的方法

現(xiàn)在我們理解了整個(gè)審計(jì)的大體內(nèi)容,那么我們來進(jìn)行一個(gè)場景模擬,把所有的內(nèi)容都聯(lián)系在一起。在這個(gè)例子中,我們將站在一定高度、簡單的瀏覽一遍一家專營辦公材料、辦公家具、標(biāo)識(shí)以及打印媒體服務(wù)的特許經(jīng)銷商的審計(jì)過程。該公司位于東海岸的12家連鎖店都接受信用卡付款,并通過電子商務(wù)系統(tǒng)使用他們的網(wǎng)上商店。我們把它稱作Office Company公司。

Office Company確定了所有的資產(chǎn)并通過類型、價(jià)值和復(fù)雜性對(duì)他們進(jìn)行了分類。下面的風(fēng)險(xiǎn)排名表格使用上文提到的標(biāo)準(zhǔn)對(duì)風(fēng)險(xiǎn)進(jìn)行了排名。

在對(duì)審計(jì)范圍內(nèi)的幾個(gè)審計(jì)實(shí)體進(jìn)行排名之后,Office Company發(fā)現(xiàn)它的主要顧慮是公司防火墻和PCI DSS規(guī)則遵從。具體來說,公司擔(dān)心的是“建立和維護(hù)一個(gè)安全環(huán)境”這項(xiàng)PCI DSS要求,因?yàn)楣咀罱チ酥饕姆阑饓芾韱T。公司把防火墻列為機(jī)密(需要嚴(yán)格控制,以防止未授權(quán)的訪問)、危險(xiǎn)程度級(jí)別1(需要高級(jí)別的保護(hù),對(duì)于業(yè)務(wù)運(yùn)行生死攸關(guān))。在審計(jì)計(jì)劃中,審計(jì)團(tuán)隊(duì)決定集中力量審計(jì)公司的防火墻和上面提到的PCI DSS要求。

在準(zhǔn)備階段,審計(jì)人員發(fā)現(xiàn)之前的防火墻管理員很少記錄防火墻的變化,幾個(gè)月內(nèi)都沒有更新網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),而且沒有培訓(xùn)新員工。為了保護(hù)電子商業(yè)數(shù)據(jù),防止監(jiān)管處罰,審計(jì)團(tuán)隊(duì)同意對(duì)每組防火墻規(guī)則進(jìn)行一次全面整頓。審計(jì)團(tuán)隊(duì)打算評(píng)估入口和出口的過濾,其中包括每條規(guī)則的記錄,以及所有封鎖和允許的端口、協(xié)議和服務(wù)等。

在評(píng)估階段,審計(jì)團(tuán)隊(duì)發(fā)現(xiàn)企業(yè)內(nèi)部使用的防火墻即將到期,并且供應(yīng)商的支持快到盡頭。這只是許多發(fā)現(xiàn)中的一個(gè),但卻是最重要的發(fā)現(xiàn),需要立即引起注意。審計(jì)團(tuán)隊(duì)跟管理人員進(jìn)行合作,確定防火墻資產(chǎn)的價(jià)值以及升級(jí)他們需要的成本。在風(fēng)險(xiǎn)減輕階段,審計(jì)小組認(rèn)為如果不替換現(xiàn)在的防火墻系統(tǒng),那么所帶來的風(fēng)險(xiǎn)非常具有破壞性。

Office Company估計(jì)企業(yè)防火墻價(jià)值一百五十萬美元,“供應(yīng)商支持到期”增加了威脅和漏洞計(jì)算系數(shù),分別為0.4和0.7,那么風(fēng)險(xiǎn)為420000美元。這是因?yàn)楣?yīng)商的支持消失之后,威脅程度(預(yù)計(jì)損失和年發(fā)生率)會(huì)增加,不足性也會(huì)增加。Office Company做了40萬美元的預(yù)算,用來續(xù)簽合同、培訓(xùn)、測試以及采用新型防火墻產(chǎn)品。審計(jì)小組隨后決定追加投資兩萬美元外聘一家公司來測試和驗(yàn)證這些控制的有效性。

在報(bào)告階段,審計(jì)團(tuán)隊(duì)與管理團(tuán)隊(duì)重新闡述了公司的防火墻和PCI DSS問題。他們還闡述了升級(jí)防火墻需要采取的措施,以及后續(xù)重要事件的日期。為了提供積極的觀點(diǎn),他們指出了一些管理人員能夠現(xiàn)場更正的現(xiàn)存防火墻架構(gòu)中的不足。其中一個(gè)方面就是防火墻的“默認(rèn)拒絕”規(guī)則。就像Dr. Anton Chuvakin在他的新書中推薦的那樣,對(duì)于PCI規(guī)則遵從,審計(jì)團(tuán)隊(duì)可以讓防火墻管理員在防火墻上實(shí)施“隱形規(guī)則”,丟棄所有以防火墻設(shè)備自身為目標(biāo)的入站和出站流量。另外,報(bào)告還闡述了審計(jì)中發(fā)現(xiàn)的其他領(lǐng)域,其中包括基礎(chǔ)設(shè)施設(shè)備上的認(rèn)證服務(wù)器使用以及偶然發(fā)生的計(jì)劃改變等。

總結(jié)

本指南重點(diǎn)介紹了基于風(fēng)險(xiǎn)的審計(jì)的核心內(nèi)容。從風(fēng)險(xiǎn)評(píng)估以及風(fēng)險(xiǎn)排名過程,一直到評(píng)估和報(bào)告發(fā)現(xiàn),重要的是要采取著重實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)基礎(chǔ)態(tài)度。這個(gè)模型可以重塑并不斷發(fā)展,能夠跟得上技術(shù)更新和漏洞更新的腳步。審計(jì)團(tuán)隊(duì)一定要注意風(fēng)險(xiǎn)排名過程中使用的估計(jì)數(shù)字。審計(jì)人員在威脅以及風(fēng)險(xiǎn)分析中必須保持真實(shí),應(yīng)該盡可能的使用可以測量的數(shù)據(jù)。每年都使用這個(gè)方法進(jìn)行審計(jì),企業(yè)就能夠?qū)崿F(xiàn)安全。  

【編輯推薦】

  1. 國內(nèi)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估市場與技術(shù)操作
  2. 企業(yè)實(shí)施信息安全審計(jì)的關(guān)鍵流程
責(zé)任編輯:許鳳麗 來源: TechTarget中國
相關(guān)推薦

2010-06-19 14:58:23

2010-06-19 14:44:08

2024-06-18 09:59:46

2023-02-01 07:25:12

2023-10-30 16:33:49

2021-05-08 23:30:15

區(qū)塊鏈數(shù)字貨幣安全

2013-12-06 09:18:44

2024-10-08 14:55:25

2023-09-21 13:46:00

2013-06-20 09:30:39

2023-02-22 15:26:07

2023-02-22 15:32:17

2023-12-01 18:06:19

2016-12-28 15:19:22

大數(shù)據(jù)機(jī)器學(xué)習(xí)銷售預(yù)測

2010-11-24 11:32:46

2009-06-30 09:51:20

2009-05-05 10:01:14

2012-11-29 13:24:44

2020-03-31 10:19:14

網(wǎng)絡(luò)安全IT安全漏洞
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)