對于企業的內部和外部的安全審計，你需要知道一些什么呢?

很多企業管理者并不知道安全審計是一個長期的端到端的安全檢查，他們知道安全審計能夠保證企業的安全技術和準則在實踐中得到最好的貫徹。

安全審計的目的就是保證企業信息安全，風險管理和調整兼容性方面達到完美的境地。如果操作得當，安全審計可以反映企業在技術，實際操作，雇員或是其它關鍵安全領域的一些缺陷。安全審計在幫助企業更加經濟有效地保護企業軟硬件安全方面也與很大的作用，此外，還有助于企業更好地發揮安全技術和設備在實際應用中的表現。盡管安全審計遭某些方面確實有些煩人，但是睿智的企業管理人員應該會在煩人與安全之間做出正確的選擇。畢竟你是愿意使用審計不斷提高企業的安全表現呢，還是暫時的煩人?

審計實踐和活動

目前還沒有一個完全標準的審計過程，但是有一些約定俗成的步驟，包括個人調查，漏洞掃描，操作系統和安全設備的檢查，網絡分析，還有檢查事件日志中的過往數據。審計人員應該將注意力集中在企業的安全政策上，以期找出它涵蓋的安全范圍，怎樣使用，是否在應對不斷變化的安全危險上具有可操作性。

計算機輔助審計技術(CAAT Computer-Assisted Audit Techniques )在幫助審計人員找出企業內部IT結構的弱點上很有幫助。CAAT技術使用系統產生審計報告，還有監測技術來反映系統文件和設置的變化。CAAT技術可以在應用范圍很廣泛，臺式機，服務器，主機，路由器和調制轉換器，還有其它系統和設備的部署上都可以發揮作用。

盡管CAAT會提供一些關于企業系統的標準化數據，但是審計人員還是需要對一些不容易量化的指標做實地調查。以下就是審計人員需要重點關注的一些問題：

● 誰掌管企業的安全，這個人應該向誰報告?

● 控制訪問清單(ACL)是否加入到網絡設備中控制共享數據的范圍?

● 密碼的產生和管理如何?

● 是否有關于數據訪問者的審計記錄?

● 誰收到了審計日志，檢查頻率的高低如何?

● 操作系統和網絡設備的安全審查是否與公認的安全準則相適應?

● 系統中是否有不需要的設備和服務?發生的頻率多高?

● 操作系統和應用程序是否及時更新?

● 備份數據的存儲情況如何?訪問權限怎么控制?是否及時更新?

● 電子郵件安全如何?

● 網絡安全如何?

● 無線網絡安全如何?

● 遠程辦公人員是否納入了企業的安全管理范圍?

● 是否有合適的災難恢復計劃?是否根據計劃有過演練?

● 客戶程序是否經過漏洞檢測?

● 計算機配置和代碼的變化是否存檔?這些記錄是否被及時審查?

當然還有一些與企業行業性質有關的問題也應該涉及到。

審計人員

一個審計人員的技術和相關性依賴于審計的性質和審計企業關注的重點。一般來說，內部審計人員來自于來自于企業本身的IT和會計部門。但是也有一些企業雇用安全咨詢人員完成這項任務。如果是金融機構或是其它政府監管性質比較強的企業，審計更多的是來自政府監管部門。

審計之后該做什么?

一旦審計結束，審計人員應該馬上向公司的管理人員簡要的匯報發現的情況，如果有緊急情況的話，應該立即采取相應的補救措施。在一個星期之內，應該提交一份正式的報告。這樣公司的股東就可以相信了解企業的安全狀況并作出相應的改進。

不管怎么說，企業的安全審計只是企業整體安全的一個部分，企業安全是一個連續不斷的過程。在企業的運行過程中，設計和部署安全政策，安全技術和準則，并且還要不斷的對企業的網絡安全進行例行的審計，這樣方是安全之道。