IT監査チェックリスト[終了]

18

私は最近、監査を受けようとしている会社のワンマンショーの役職に就きました。ネットワークは準備が整っていないため、監査人によって提供されておらず、十分な情報がないため、一般的な監査チェックリストを探しています。誰もが良い出発点を与える素敵なテンプレートを持っていますか?これは会社に合わせて高度にカスタマイズされることは知っていますが、出発点は、どのくらいの作業が必要かを経営陣に説明するのに役立ちます。

security 
PHLIGHT
ソース
3
どのような種類の監査ですか?監査できるものは多数あります。
ワーナー
私もそれを知りたいと思いますが、私は監査役から応答を得られず、範囲のアイデアを得ることができませんでした。
PHLiGHT
5
財務監査、セキュリティ、プロセスおよびコントロールの監査。一部の監査は、平均的なITの範囲にさえ入らないでしょう。
ワーナー
2
彼らがあなたにドキュメントを要求していない場合、彼らはあなたのプロセス/コントロールを監査することはできません
ジムB
3
監査の準備(監査員から要求されたもの以外)を実行すると、監査は完全に危険にさらされると指摘する必要があります。これは、現在の環境を評価するためのものであり、実際の遊び具合を説明する犬とポニーのショーではありません。申し訳ありませんが、ただります;)
クリスソープ

回答:

6

監査人によって提供されていないため、一般的な監査チェックリストを探していました

それは残念です。私はこれをかなりの数年間行いましたが、評価されるものとその理由(方法論)の詳細な概要を提供することは一般的な慣行でした。情報の正式な要求を提出し、ITスタッフがデータを実行および収集するためのツールを提供しました(収集プロセスの潜在的な影響を含む)。また、詳細なアジェンダを備えた会議をスケジュールする必要がありました。これは通常、彼らが何を期待すべきかを知っていたことを意味しました。このようなイニシアチブで誰かをサンドバギングするのに役立つ建設的な目的はありません。通常、問題は多数あり、ほとんどのITスタッフは、エンゲージメントが適切に開始された場合、問題について議論することにオープンです。

とはいえ、見ればたくさんのチェックリストがあります。しかし、この取り組みの主な目標は、できるだけ多くの問題を明らかにし、それらに優先順位を付け、改善のための行動計画を策定することです。私は「準備」されることについてあまり心配しません。あなたが最近始めたので、場所が夜通しばらばらにならなかったという理解があるはずです。

あなたが改善を必要としていると認めるネットワークが良い報告を受けた場合、それはおそらく会社のお金の無駄でしょう。

グレッグ・アスキュー
ソース
同意した。これは会社全体の監査であり、残りの部門には私よりも情報が提供されていません。私たちが確実に知っているように見える唯一のことは、それが3週間であることです。
PHLiGHT
1
これは「効率」監査のように聞こえます。
ワーナー
2
または、会社の買収を考えている人。
ジョンガーデニアーズ
8

突発的な仮定を行い、テクノロジー、おそらく侵入テストに焦点を当てた内部セキュリティ監査の準備方法について質問していると仮定します。

テクノロジー側のセキュリティ監査の準備方法は、監査の目標によって異なります。インフラストラクチャの改善方法の仕様を定義することが目標である場合、何もしないかもしれません。ギャップが残っていないことを保証することが目標である場合、監査の前にギャップ分析を実行し、発見されたギャップを修正することをお勧めします。

基本的なITベストプラクティスについては、PCI DSSを参照することをお勧めします。もちろん、セキュリティの脆弱性に対応するためにソフトウェアにパッチを適用するなど、すでにやるべきことは明白です。

セキュリティ監査を再現するには、「オープンソースセキュリティテスト方法論マニュアル」に詳細が記載されている侵入テスト方法論のレビューから始めます。ます。(OSSTMM)

さらに詳細をお探しの場合は、質問を曖昧にならないように書き直すことをお勧めします。

ワーナー
ソース
4
+1「質問が曖昧にならないように書き直すことをお勧めします。」-審査員は、要求の厳しいものを表示するだけではありません。彼らはビジネスの特定の側面をテストするために誰かに雇われいます。誰が彼らを雇ったのか、そしてその理由から始めましょう。私が知っているすべての監査人は、あなたが単に電話を取り、それらに電話をかけるとき、非常によくコミュニケーションをします
クリスS
@クリス、あなたは明らかに私が出会った同じ監査人に対処する必要はありませんでした。他の人間グループと同様に、コミュニケーション能力は大きく異なります。
ジョンガーデニアーズ
5

マシンを構築するときは、NSAのセキュリティガイドで実用的である限り多くのポイントを確認する必要があります(状況によってはやりすぎになる場合があります)。

http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/

マシンをセットアップするときは、自動化された方法でセットアップする必要があります。各マシンは、最初からすべてのクッキーカッターです。インストールメディアを介して「手作業で」ビルドすると、見落としがちな場所でエラーが発生しやすくなります。

自動化!自動化!自動化!

準正規の手順は可能な限りスクリプト化する必要があります。これには、システムのインストール、パッチ適用、脆弱性スキャン/監査、パスワード強度テストが含まれます。

ニック
ソース
1
すばらしいリンクの場合は+1。
ネッド
2

COBIT、つまりITのためのコントロールOBjectivesを読むのに時間をかけることをお勧めします。実際、多くの監査会社がIT分野の監査に使用しています。

また、nessus(ネットワーク/サーバーの脆弱性をチェックする)やmbsa(Microsoftベースラインセキュリティアナライザー)などのツールを使用することをお勧めしますが、Windowsハードウェアのみをチェックします。

あなたが出発点を求めたので、私はこれがあなたを助けることができると思います。

ボブ・リバーズ
ソース
1

私の経験では、仕様なしで監査が要求されると、一般的に資産監査を意味します。これは最悪の種類です。その会社が何を持っているか、そしておそらくそれが合法かどうかを正確に知る必要があるからです。

個人的には、「監査」という用語は一般的なものであり、詳細な説明が必要であることを指摘したいと思います。私は、さらに明確な方向性が得られるまで、公式にはこれ以上何もしません。非公式に、私は本当に忙しくなり、私の管理下にある監査可能なものはすべて、自分の尻が覆われていることを確認するために、できる限り良好な状態にあるようにします。それから、彼らが実際に何を求めているかを見つけたとき、私は彼らに以前に準備した監査の中で最も関連性の高い監査を渡します。

ジョン・ガーデニアーズ
ソース
0

完全に更新されていることを確認するために各マシンに移動することは実用的ではありません。これがOpenVASが存在する理由です(OpenVASはNessusの新しい無料バージョンです)。OpenVASに内部ネットワーク上のすべてのマシンをスキャンして、問題のある領域を識別するように指示できます。また、リモートの攻撃対象領域を把握するために、リモートで実行する必要があります。攻撃に対して脆弱なファイアウォールルールセットおよびマシンに問題があります。

ルーク
ソース
私はKaseyaを購入しましたが、クライアントのパッチ適用などに対処するために、すぐに展開します。
PHLiGHT
@PHLiGHT正直に言って、何かにお金を払っても、必ずしも良くなるとは限りません。
ルーク
0

私はあなたがどのようにビジネスを行っているかの声明をまとめたいと考えています。現在のプロセス(存在する場合)および将来の予定/予定。それが侵入テストまたはセキュリティタイプの監査であった場合、彼らはあなたにそれを伝え、他の部門にまたがることはなかっただろう。おそらく、会社の規制に応じて、他のビジネスユニットの規制順守をサポートする方法について話し合う準備も必要です。

MikeJ
ソース
0

私がよく理解しているなら、あなたは一種のチェックリストを必要とし、それは良い出発点のように思えます。インターネットを使用して掘り下げることができる多くの提案されたものがありますが、私はこれを好みます。監査のトピックに加えて、時間内に必要になる追加のトピックも見つけることができます

イワン・スタンコビッチ
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.