本文摘自CISSP官方学习指南第8版构建安全评估和测试方案安全评估和测试方案(Program)是信息安全团队的基础维护活动该方案包括测试、评估和审计,定期验证组织是否已采取足够的安全控制,及这些安全控制是否正常运行并有效地保护信息资产。
1.1 安全测试安全测试是验证某项控制措施是否正常运行这些测试包括自动化扫描、工具辅助的渗透测试、试图破坏安全的手动测试安全测试应该定期执行,安全控制措施为组织保驾护航在安排安全控制措施审查时,信息安全管理者(information security manager)应考虑以下因素:。
安全测试资源的可用性待测控制措施所保护系统及应用程序的重要性(Criticality)待测系统及应用程序所含信息的敏感性执行控制措施的机制出现技术故障的可能性关乎安全的控制措施出现错误配置的可能性系统可能遭受攻击的风险
控制措施配置变更的频率技术环境下可能影响控制措施性能的其他变更执行控制措施测试的难度及时间测试对正常业务操作造成的影响在分析每个因素后,安全团队设计和确认综合性评估及测试策略该策略可能包括频繁的自动化测试,并辅以少量的手工测试。
在执行这些自动化扫描时,安全团队希望由外部安全顾问开展手动渗透测试,并支付一笔不菲的费用这些测试可以每年开展一次,最大限度地降低费用和业务中断的影响安全专业人员必须仔细地审查这些测试的结果,确保每个测试达到目的。
1.2 安全评估安全评估时对系统、应用程序或其他待测环境的安全性进行全面审查在安全评估期间,经过训练的信息安全专业人员执行风险评估,识别出可能造成危害的安全漏洞,并根据需要提出修复建议安全评估通常包括安全测试工具的使用,但不限于自动化扫描和手动渗透测试。
它们还包括对威胁环境,当前和未来风险,目标环境价值的细致审查安全评估的主要工作成果通常是向管理层提交的评估报告,报告包括以非技术语言描述的评估结果,并通常以提高待测环境安全性的具体建议作为结尾NIST 800-53A,评估包含4个组成部分:。
规范(Specification)是与待审计系统有关的文档规范通常包括政策、规程、要求、详细及设计机制是信息系统中用于满足规范的控制措施机制可以基于硬件、软件或固件活动是信息系统中人员所采取的行动这些行动可能包括执行备份,导出日志文件或审查账户历史记录。
人员是执行规范、机制及活动的人员在进行评估时,评估人员可检查此处列出的四个组件中的任意一个他们也可以采访个体并进行直接测试来确定控制措施的有效性1.3 安全审计安全评估期间,安全审计虽然遵循许多相同技术,但必须由独立审核员执行。
审计是为了向第三方证明控制措施有效性而进行的评估在评估这些控制措施有效性时,为组织设计、实施和监控控制措施的员工存在内在的利益冲突审计员(Auditor)为组织的安全控制状态提供一种客观中立的视角内部审计。
内部审计时由组织内部审计人员执行,通常适用于组织内部审计负责人直接向类似总裁、首席执行官汇报也可直接向组织的董事会报告外部审计外部审计通常由外部审计公司执行四大审计公司:安永(Ernst & Young)。
德勤 (Deloitte & Touche)普华永道(PricewaterhouseCoopers)毕马威 (KPMG)第三方审计是由另一个组织,或以另一个组织的名义进行的审计审计标准审计团队应该明确评估组织所采取的标准。
标准描述了需要满足的控制目标,审计或评估的目的就是确保组织正确实施控制措施来实现这些目标国际标准化组织(ISO)发布了一套与信息安全相关的标准 ISO 27001 描述了建立信息安全管理系统的标准方法ISO 27002 详细介绍了信息安全控制细节。
亲爱的读者们,感谢您花时间阅读本文。如果您对本文有任何疑问或建议,请随时联系我。我非常乐意与您交流。
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。