DBポリシーがセキュリティ監査に合格する必要があることを確認するために何をする必要がありますか?

8

私は近々監査を行っており、ERPシステムのデータベースを監査するときに監査人がどのような物理的、電子的、論理的なアクセス制御を探すのか疑問に思っていました。私はこのプロセスに本当に慣れていないので、どんなガイダンスもいただければ幸いです。

sql-server  oracle  security  audit 
ロバート・シルビーII
ソース

回答:

4

私はデコスタの答えに同意します。どのような要件、仕様を監査しますか?しかし、暗闇の中での私のベストショットとして:これは、Microsoftによって発行されたSQL 2005に関連するセキュリティの「ベストプラクティス」出版物

http://download.microsoft.com/download/8/5/e/85eea4fa-b3bb-4426-97d0-7f7151b2011c/SQL2005SecBestPract.doc

そして本のオンライン記事:

http://msdn.microsoft.com/en-us/library/ms144228.aspx

また、ここでは、ERPシステムの監査に関連する、PricewaterhouseCoopersのサービスで扱っている事項のリストを示します。それはあなたにいくつかのアイデアを与えるかもしれません。左側のメニューには、研究を促進するのに役立つ多くのトピックが含まれています。

http://www.pwc.com/be/en/systems-process-assurance/erp-security-erp-control.jhtml

RThomas
ソース
問題ありません。監査で頑張ってください。
RThomas
4

私はあなたの努力を称賛します、しかし尋ねられた質問はおそらくあまりにも曖昧です。さまざまなルールがさまざまな業界に適用されます。さらに、独自のルールを設定する機会がある場合もあり、それらに従うだけで済みます。

どの監査に合格する必要があるかについて誰かに確認し、特定の要件を見つけることをお勧めします。

ジョンダコスタ
ソース
3
同意します-彼らはあなたがそれらの期待が何であるかを公開することなしに期待に応えることを期待することはできません。それはHIPPA、Sarbanes Oxley、犯罪歴の保管に関連する特定の法的要件などに関連していますか
RThomas
3

上記の優れたリンクに追加するには、セキュリティと監査に関する参考資料として、次のドキュメントを見つけました。

  • PCIホワイトペーパークレジットカード業界のデータセキュリティ標準(PCI DSS)に基づくSQL Server 2008の展開リンク
  • HIPPAホワイトペーパー:リンク
  • Center for Internet SecurityのMicrosoft SQL Serverセキュリティベンチマーク。リンク
  • 米国国防総省からのMicrosoft SQL Serverデータベースセキュリティチェックリストと呼ばれるドキュメントもグーグル(未分類)-
DaniSQL
ソース
2

上記で見落としている点は、保護対象を正確に特定することです。クレジットカードデータの場合、PCI-DSSが必要であることは簡単に認識できますが、より広いスキームでは、PCI-DSSはそれほど有用ではありません。最小限のベースラインを除いて。商業上の理由であれ、規制当局や株主がそうであれ、会社にとって価値のあるものを特定し、監査でこれらを考慮に入れる必要があります。

また、私は見てお勧めしsecurity.stackexchange.comプログラムを、セキュリティとリスクプロのために特にその向き、および、セキュリティ監査を実施し、監査の準備を支援してきた私たちがたくさんの、つながった大規模なセキュリティの改善があるとテスト等

ロリー・アルソップ
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.