你可以雇用最好的人,制定健全的策略和程序,并部署世界一流的技术来确保信息系统的安全。但是,如果你不能定期评估这些措施的有效性,那么你的组织将无法实现长治久安。然而不幸的是,成千上万的组织往往正是在安全泄漏发生之后,才以这种痛苦的方式领悟到这样一个客观的事实:它们当初所实施的、最为先进的控制措施早已时过境迁,并且变得不再奏效了。因此,除非你的组织能够持续评估和改善其安全态势,否则这些措施将随着时间的推移而逐渐失效。安全评估程序的三大主要构成:•安全测试•安全评估•安全审计1对安全控制进行审查时,信息安全管理人员应考虑以下因素:•安全测试资源的可用性•由被测控制保护的系统和应用程序的危急程度•被测系统和应用所包含信息的敏感度•实现控制机制出现技术故障的可能性•会危及安全的错误配置的可能性•系统遭受攻击的风险•控制配置的变化率•可能影响控制性能的技术环境中的其他变化•执行控制测试的难度和所需时间•测试对正常业务运行的影响2安全评估是对系统、应用程序或其他测试环境的综合评价。在进行安全评估的过程中,受过培训的信息安全专家会执行风险评估以识别受测环境的漏洞,由此可根据需要做出折中处理和提出修复建议。安全评估通常包括使用安全测试工具,但不只是自动扫描和手动渗透测试,还包括彻底审核威胁环境、当前和未来面临的风险以及目标环境的价值。安全评估工具的主要产物通常是一份用于管理的评估报告,这份报告以非技术性的语言描述了评估结果,并且以具体建议作为结论,从而提高被测环境的安全性。3安全审计为对信息系统内部安全控制的系统性评估,是对于特定范围的人、计算机、过程和信息的各种安全控制所实施的一个系统性评估。审计的范围应该在与业务经理协调之后被确定。这是因为安全专业人员往往只注重于IT,却遗忘了各种业务场景。而事实上,业务经理应该介入到审计计划过程的早期阶段,并在整个工作过程中保持参与度。这不仅有助于弥合两大团队之间的差距,还有助于识别出审计本身对于组织所带来的潜在风险领域。信息系统的安全审计流程1.确定目标,显然其他一切都取决于这一点。2.让合适的业务部门领导参与进来,以确保业务需求能够被识别和涉及到。3.确定范围,因为不是所有都要被测试到的。4.选择审计团队,根据目标、范围、预算和可用的专业知识,来决定是由内部还是外部人员所组成。5.计划审计,以确保按时、且按照预算实现所有的目标。6.执行审计,要在坚持计划的...
