我需要做什么以确保我的数据库策略必须通过安全审核?

8

我即将进行审核,我想知道审核员在审核ERP系统的数据库时会寻找什么样的物理,电子和逻辑访问控制。我真的是这个过程的新手,任何指导将不胜感激。

sql-server  oracle  security  audit 
罗伯特·西尔维耶二世
source

Answers:

4

我同意DeCosta的回答。您将对什么要求,规格进行审核?但是,作为我暗中的最佳选择,这是由Microsoft发布的有关SQL 2005的安全性的“最佳实践”出版物。

http://download.microsoft.com/download/8/5/e/85eea4fa-b3bb-4426-97d0-7f7151b2011c/SQL2005SecBestPract.doc

以及在线书籍的文章:

http://msdn.microsoft.com/en-us/library/ms144228.aspx

另外,这是普华永道在其ERP系统审核相关服务中涵盖的内容清单。它可能会给您一些想法。左侧菜单涵盖了许多主题,可能有助于激发研究内容。

http://www.pwc.com/be/en/systems-process-assurance/erp-security-erp-control.jhtml

托马斯
source
没问题,祝审核顺利。
RThomas 2011年
4

我赞扬您的努力,但是提出的问题可能太含糊。不同的规则适用于不同的行业,此外,有时您有机会设置自己的规则,您只需要遵循它们即可。

我建议与某人核对您希望通过的审核,然后找到具体要求。

约翰达科斯塔
source
3
同意-如果不发布您的期望,他们将无法很好地期望您达到期望。它与HIPPA,萨班斯·奥克斯利(Sarbanes Oxley)以及与存储犯罪历史等相关的特定法律要求有关吗?
RThomas 2011年
3

添加到上面的优秀链接;我发现以下文档可以作为有关安全和审核的有用参考:

  • PCI白皮书基于支付卡行业数据安全标准(PCI DSS)部署SQL Server 2008链接
  • HIPPA白皮书:链接
  • Internet安全中心的Microsoft SQL Server安全基准。链接
  • 谷歌还从美国国防部获得了一份名为Microsoft SQL Server数据库安全清单的文档(未分类)-
DaniSQL
source
2

上面这些遗漏的一点是围绕准确地确定您要保护的内容-如果它是信用卡数据,那么很容易意识到您需要PCI-DSS,但是从更广泛的角度来看,PCI-DSS并没有那么有用除了作为最低的最低基准。无论出于商业原因还是监管机构或股东这样说,您都需要确定对公司有价值的东西,并确保您的审计考虑到了这些价值。

我还建议您查看security.stackexchange.com,该网站专门针对安全和风险专业人员,并且我们中有很多人进行了安全审核,协助审核准备工作,领导了大规模的安全改进和测试计划等等

罗里·阿尔索普
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.