我正在为 CISSP 考试而学习,其中一个视频讲座要点对我来说不太有意义。讲师正在讨论访问控制管理领域,并开始将某些事物分类为“预防性”和“侦探性”。例如,数据加密:预防性...数据完整性检查:检测性...备用电源系统:预防性...用户培训:预防性和检测性...。
当话题涉及审计时,他将其称为“侦探”。在某种程度上,我理解为什么会这样——因为我们正在寻找漏洞,如果我们发现它们......我们正在检测它们。
但与此同时,我不禁想知道审计是否也可以被认为是预防性的——因为我们正在提前寻找漏洞,以防止它们在以后被利用。
你觉得呢?你有没有什么想法?也许是我想太多了?
就像递归一样,要正确理解审计,我们必须首先了解审计的范围和用途。审计用于确定是否符合基准。如果没有上述基准,那么审计师就没有什么可衡量的了。在某些情况下,您的基准测试可能是描述编程实践或操作系统配置的深度技术文档。在其他情况下,您的基准可能与“遵循由 $RANDOM_DEPT 确定的最佳实践”一样松散。
从这个角度考虑它们,使用你的标签,审计应该被严格归类为“侦探”。因此,这意味着“预防性”措施将成为基准/标准/政策/任何东西。
考虑以下:
为了避免前雇员未经授权的访问,所有帐户在离职时都将被禁用。
在这种情况下,禁用帐户的策略是您的预防措施。在审核过程中,您的审核员会尝试确定是否遵循了该政策。
审计通常用于检测:检测问题。控制通常提供预防:防止入侵。
但是,您可以将审计用于检测入侵以外的其他用途。您还可以使用审计来检测控制中的问题或缺陷(例如,合规性审计、网络配置审计),和/或检测漏洞(例如,渗透测试、源代码审查)。
因此,审计可用于改进您的控制和系统防御。审核可以成为反馈循环的一部分,用于改进已部署的保护和控制。因此,审计可以帮助您提高防止未来入侵的能力,因为它们可以帮助您确定您的控制是否得到一致和正确的实施,以及您的控制是否有效,如果没有,请指出问题所在,以便您可以设计改善控制的方法。换句话说:审计可以帮助您改进控制,从而提高您预防问题的能力。
你问的是这个吗?