我最近独自一人为一家即将接受审计的公司工作。网络还远未准备好,我一直在寻找一份通用审计清单,因为审计员没有提供,而且也没有找到太多有用的信息。有没有人有一个好的模板可以给我一个好的起点。我知道这将高度定制以适应公司,但起点将有助于向管理层概述需要做多少工作。
答案1
我一直在寻找一份通用审计清单,因为审计师还没有提供
这令人失望。我做了好几年,提供评估内容和评估原因(方法)的详细概述是我们的常见做法。我们提交了正式的信息请求,为 IT 人员提供了运行和收集数据的工具,包括收集过程的任何潜在影响(如果有的话)。我们还必须安排会议并附上详细的议程,这通常意味着他们知道会发生什么。在这样的计划中阻挠某人没有任何建设性的目的。问题通常很多,如果合作顺利启动,大多数 IT 人员都愿意讨论这些问题。
话虽如此,如果你仔细看看,就会发现有很多清单。但这项工作的主要目标应该是尽可能多地发现问题,确定问题的优先次序,并制定补救行动计划。我不会太担心“做好准备”。既然你最近才开始,就应该明白这个地方不是一夜之间就崩溃的。
如果您承认需要改进的网络收到了一份好的报告,那么这很可能就是在浪费公司的金钱。
答案2
我将做出一个草率的假设,假设您正在询问如何准备以技术为重点的内部安全审计,甚至是渗透测试。
如何从技术方面为安全审计做准备取决于审计的目标。如果审计的目标是定义如何改进基础设施的规范,那么您可能什么都不做。如果目标是确保不存在任何漏洞,我建议在审计之前进行漏洞分析并纠正发现的任何漏洞。
对于基本的 IT 最佳实践,我建议参考支付卡行业数据安全标准当然,它包括您应该已经做的一些显而易见的事情,例如修补软件的安全漏洞。
为了复制安全审计,我首先要回顾一下渗透测试方法,详见开源安全测试方法手册.(OSSTMM)
如果您正在寻找更多详细信息,我建议您重写您的问题,使其不那么模棱两可。
答案3
当你建造机器时,你应该确保尽可能多地满足 NSA 安全指南中的要求(有些内容可能对你的情况来说有些过度):
http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/
当你设置机器时,你应该以自动化的方式进行,因为每台机器一开始都是千篇一律的。通过安装媒体“手动”构建很容易出错,你会遗漏一些东西。
自动化!自动化!自动化!
任何半定期程序都应尽可能地编写脚本。这包括系统安装、修补、漏洞扫描/审计、密码强度测试。
答案4
根据我的经验,如果要求进行审计但未附上具体说明,通常意味着进行资产审计。这是最糟糕的一种,因为您需要确切了解公司拥有什么,以及这些资产是否合法。
就我个人而言,我想指出的是,“审计”一词是通用的,需要详细说明。在得到进一步明确的方向之前,我不会再做正式的工作。非正式情况下,我真的很忙,并试图确保我控制范围内可以审计的任何事情都处于尽可能好的状态,只是为了确保我的工作得到保障。然后,当我发现他们真正想要的是什么时,我会把我之前准备好的最相关的审计交给他们。