IT审核清单[关闭]


18

我最近担任一家将要接受审核的公司的单身表演。网络尚未准备就绪,我一直在寻找一份通用的审计清单,因为审计师没有提供一份清单,也没有发现很多好的信息。有没有人有一个不错的模板,它将为我提供一个良好的起点。我知道这将是高度定制化的公司,但起点将有助于概述管理层需要多少工作。


3
什么类型的审核?有很多事情可以审核。
华纳2010年

我也很想知道这一点,但是我无法从审计师那里得到任何答复来了解范围。
PHLiGHT 2010年

5
财务审计,安全性,流程和控制审计。某些审计甚至不属于IT部门的平均职责范围。
华纳2010年

2
如果他们没有问过你的文档,它们不能被审核您的流程/控制
吉姆乙

3
我觉得我应该指出,如果您为审核做任何形式的准备(除了审核员要求的任何事情之外),那么审核就完全被破坏了。它应该是对当前环境的一种评估,而不是让您掩盖真实游戏状态的猫狗表演。抱歉,您正在抱怨;)
克里斯·索普

Answers:


6

我一直在寻找一般的审计清单,因为审计师没有提供清单

真令人失望。我做了很多年了,这是我们的惯例,是详细概述要评估的内容和原因(方法)。我们提交了正式的信息请求,为IT员工提供了运行和收集数据的工具,包括收集过程的任何潜在影响(如果有)。我们还必须安排带有详细议程的会议,这通常意味着他们知道会发生什么。在这样的主动行动中给某人打沙袋没有建设性的目的。问题通常很多,大多数IT人员愿意讨论是否适当开展了这项工作。

就是说,如果您看的话,那里有很多清单。但是,这项工作的主要目标应该是尽可能多地发现问题,确定优先级并制定补救措施计划。我不会太担心“准备”。既然您是最近开始的,应该了解这个地方并非一夜之间就崩溃了。

如果您确认需要改进的网络收到了良好的报告,那可能会浪费公司的钱。


同意 这是公司范围的审计,除我以外,没有给其他部门提供更多信息。我们似乎唯一可以肯定知道的是,它长达3周。
PHLiGHT

1
听起来像是“效率”审核。
华纳2010年

2
或有人想收购公司。
约翰·加迪尼尔

8

我将做出一个粗鲁的假设,并假设您正在询问如何准备着重于技术(甚至可能是渗透测试)的内部安全审核。

在技​​术方面,如何准备安全审核将取决于审核的目标。如果目标是定义有关如何改进基础结构的规范,则可能什么也不做。如果目标是确保没有差距,建议您在审核之前进行差距分析并纠正发现的差距。

对于基本的IT最佳实践,我建议参考PCI DSS。当然,它包括您应该已经做的显而易见的事情,例如为安全漏洞修补软件。

为了复制安全审核,我将首先回顾《开源安全测试方法手册》中详细介绍的渗透测试方法。(OSSTMM)

如果您正在寻找更多细节,我建议您重写您的问题,以减少歧义。


4
+1“我鼓励您重写您的问题,以减少歧义。” -审核员不仅会出现要求苛刻的事情。他们被某人雇用来测试业务的特定方面。从谁雇用他们以及为什么开始;我认识的每个审计师只需拿起电话打电话就可以很好沟通。
克里斯·S

@Chris,您显然不必与我遇到的审核员打交道。像其他任何人一样,他们的沟通能力也有很大差异。
约翰·加迪尼尔

5

当您制造机器时,应确保您达到了NSA安全指南中的所有实际要点(某些情况可能对您造成不利影响):

http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/

而且,当您设置机器时,应该以自动化的方式进行操作,因为每个机器都是彼此之间的千篇一律。通过安装介质“手动”构建可能会在您错过任何东西时容易出错。

自动化!自动化!自动化!

任何半常规过程都应尽可能编写成脚本。这包括系统安装,修补,漏洞扫描/审核,密码强度测试。


1
+1为很棒的链接。
nedm's

2

我建议您花一些时间阅读COBIT,这是IT的控制目标。实际上,许多审计公司都使用它来审计IT领域。

我还建议您使用诸如nessus(将检查网络/服务器中的漏洞)或mbsa(Microsoft基准安全分析器)之类的工具,但它只会检查Windows硬件。

因为您要求一个起点,所以我认为这可以为您提供帮助。


1

根据我的经验,当要求进行不带说明的审核时,通常指资产审核。这是最糟糕的一种,因为您随后需要确切地了解公司的实力以及也许是否合法。

我个人要指出,“审计”一词是通用的,需要详细说明。直到我获得进一步明确的指示后,我才正式采取其他措施。我非正式地变得非常忙碌,并尝试确保在我控制下可以审核的任何事物都处于我能做到的良好状态,只是要确保覆盖了我的臀部。然后,当我找出它们的实际用途时,便将它们交给了我以前在帐本上准备的最相关的审核。


0

确保每台机器都完全更新是不切实际的。这就是为什么OpenVAS存在(OpenVAS是Nessus的新免费版)。您可以告诉OpenVAS扫描内部网络上的每台计算机,以找出问题区域。您还需要远程运行它以了解远程攻击面。您会发现防火墙规则集和计算机容易受到攻击的问题。


我已经购买了Kaseya,并将很快推出该解决方案,以解决客户端补丁等问题。
PHLiGHT 2010年

@PHLiGHT说实话,花钱买东西并不总是会使事情变得更好。
Rook 2010年

0

我希望对您的生意做一个陈述。当前的流程(如果存在)以及将来应该/将要进行的工作。如果是渗透测试或安全类型审核,他们会告诉您,并且不会覆盖其他部门。可能还需要准备谈论根据公司可能遵循的法规如何支持其他业务部门的法规遵从性。


0

如果我理解得很好,则您需要一种检查清单,这似乎是一个很好的起点。您可以使用Internet挖掘很多建议的方法,但是我更喜欢这一方法。除了审核主题之外,您还可以及时找到其他需要的主题。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.