資訊安全稽核(英語:Information security audit)是對組織的資訊安全水平進行審計的過程,其工作主要是對系統活動紀錄和相關系統文件的獨立審查。資訊安全稽核的目的在於提高系統信息安全水平,避免存在風險的系統設計,並優化安全措施和安全流程的效率。[1]在廣泛的信息安全審計範圍內,存在多種類型的審計和不同審計目標等。通常,審計的控制措施可以分為技術、物理和規範三大層面。信息安全審計涵蓋的內容包括對數據中心的物理安全進行審計,對數據庫的系統邏輯安全進行審計等,並注重這些領域需要關注的關鍵要素和不同的審計方法。
在信息技術(IT)領域,信息安全審計通常會視為是資訊科技稽核的一部份,會稱為信息技術安全審計或計算機安全審計。然而,信息安全涵蓋的範圍遠不止於IT領域,它涉及到一個組織的各個方面,包括技術、人員和工作流程。
範圍
信息安全審計的範圍十分廣泛,其目的亦可根據企業在不同階段的發展目標而存在不同的側重點,在以下領域均可進行開展:
- 信息安全管理組織與制度;
- 訪問控制管理;
- 網絡安全、漏洞掃描、滲透測試、代碼安全掃描、機房及設備物理安全、應用系統安全、信息系統日誌管理、加密傳輸和加密設備管理、補丁管理、IT 項目開發管理;
- 隱私數據安全、數據庫和操作系統安全、信息資產分級和管理、數據資產全生命周期管理評估、信息安全事件管理、業務連續性;
- 人力安全、IT 外包安全管理、信息安全意識教育。[2]
參考資料
Wikiwand in your browser!
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.
