ITセキュリティ監査とは何ですか?

公開February22,2018By Karen Walsh•5min read

ITセキュリティ監査は、多くの場合、企業内のストレスを引き起こします—しかし、彼らはする必要はありません。 データ脅威イベントからの保護を支援するセキュリティ監査には、構成、テクノロジ、インフラストラクチャなどに関する技術レビューが含まれます。 これらのデータの詳細は、ITの専門家ではないと感じている人を脅かす可能性がありますが、現代の攻撃から保護するために利用可能なリソースと戦略を理解することで、ITセキュリティはそれほど圧倒的ではありません。

そのルートでは、ITセキュリティ監査には二つの異なる評価が含まれています。 手動評価は、内部または外部のITセキュリティ監査人が従業員にインタビューし、アクセス制御をレビューし、ハードウェアへの物理的なアクセスを分析し、脆弱性スキャンを実行するときに行われます。 これらのレビューは、少なくとも毎年行われるべきである。 しかし、いくつかの組織は、より頻繁にそれらを行うことを好む。

組織は、システム生成レポートも確認する必要があります。 自動評価は、そのデータを組み込むだけでなく、ソフトウェア監視レポートやサーバーとファイルの設定の変更にも対応します。

ITセキュリティリスク評価が重要なのはなぜですか?

ITセキュリティに関する手順とコントロールを作成する前に、組織はリスクエクスポージャーを決定する必要があります。 ISACAは、企業のセキュリティリスク評価を確立するための5つの主な理由があると指摘しています。

まず、リスク評価は、組織を守るために必要な財政支出を正当化するのに役立ちます。 情報セキュリティにはコストがかかります。 タイトな予算は、追加の支出が承認を得るために挑戦することができることを意味します。 ITセキュリティリスク評価は、重要なリスクを明確にし、情報資産に対する脅威を定量化します。 セキュリティリスク評価は、内部の利害関係者がエクスポージャーだけでなく、重大なリスクを軽減する価値を見ることができるように教育することに

第二に、リスク評価は、IT部門の生産性を合理化するのに役立ちます。 継続的な監視を支援する構造を定式化することで、IT部門は脅威に防御的に対応するのではなく、積極的に文書を見直して収集することに集中でき

さらに、評価は障壁を打破するのに役立ちます。 セキュリティリスク評価を開始すると、企業経営者とITスタッフが同じページに表示されます。 経営陣は、ITスタッフがリスクを実装しながらリスクを軽減する意思決定を行う必要があります。 同じリスク評価から一緒に作業することで、組織を保護するために必要な情報がすべての人に提供され、IT部門を超えたセキュリティ対策へのバイ

企業のセキュリティリスク評価はまた、自己レビューのための基礎を確立します。 ITスタッフは技術システム、ネットワーク、およびアプリケーション情報を知っていますが、実装は他の事業部門のスタッフに依存します。 リスク評価は、すべての関係者が適切なレベルの責任を取ることができるように、実用的な情報に焦点を当てたアクセス可能なレポー コンプライアンスの文化を育むためには、セキュリティを単独で運用することはできません。

最後に、セキュリティリスク評価は、部門間で情報を共有するのに役立ちます。 個別化されたベンダーやシステムでは、組織内の異なる部門は、他の人が何をしているかを知らないかもしれません。 大企業の上層部はすべて責任を共有しなければならないため、評価はITセキュリティを支援する意味のある議論に必要な洞察を提供します。

ITセキュリティ監査人は何をしますか?

ITセキュリティ監査人は、さまざまな機能を提供します。 組織の運用、財務報告、およびコンプライアンスを確認します。 これらの領域は分離されているように見えますが、3つはいくつかの場所で交差しています。

財務監査には、会社の書籍の標準的なレビュー以上のものが組み込まれています。 議会が2002年のSarbanes-Oxley Act of2002(SOX)を可決したとき、法律はセクション404を含んでいました。 セクション404は、会社の内部統制の遵守を確実にするために財務報告システム監査を要求しています。 ITセキュリティ、コンプライアンス、財務報告は、これらの法的に必要なレビューで重複しています。

三つが交差する別の領域は、SOCレポートにあります。 多くの顧客は、ベンダーにサービス組織制御(SOC)監査の完了を要求しています。 企業がSOC1、SOC2、またはSOC3レポートに参加することを決定したかどうかにかかわらず、企業のデータセキュリティプロトコルを決定するために監査人を雇う必要があります。 SOCレポートは、SOX隣接として表示することができます。 将来のSOXコンプライアンスの義務を予想する組織にとって、SOCレポートは貴重な準備として役立ちます。 したがって、ITセキュリティ監査人を雇うことは、企業の情報資産を保護するのに役立つだけでなく、コンプライアンスを拡大する機会を提供します。

組織はITセキュリティ監査人で何を探すべきですか?

すべてのITセキュリティ監査人が公認会計士(公認会計士)であるわけではありませんが、American Institute of Certified Public Accountants(AICPA)は、サイバーセキュリティの経験を持つ公認会計士と組織を接続するためのリソースを提供しています。 この2つのスキルセットを組み合わせることで、サイバーセキュリティ計画の策定や保証を行うことができます。

ITセキュリティ管理を始めたばかりの企業にとって、AICPAは重要な意思決定を支援するための研究と、効果的なサイバーセキュリティリスク管理

マルウェア攻撃やランサムウェア攻撃が企業を悩ませ続ける中、企業は自分自身を保護し、顧客が安全であることを確認する必要があります。 一つのデータ侵害は、特に中小企業のために、破産につながる可能性があります。ITセキュリティ監査証跡とは何ですか?ITセキュリティ監査の最も時間のかかる側面は、監査証跡の作成です。 監査証跡は、IT環境を保護するためのプロセスの証拠を示す監査人に提供される文書で構成されています。

ITセキュリティ監査の準備をするとき、企業は監査要件を満たす文書を整理することから始める必要があります。 文書は、ビジネスと業界の知識を証明する必要があります。 監査人は前年の監査報告書を読むので、企業はそれを再訪し、是正措置の証拠を収集することが賢明です。 さらに、企業は、リスク評価、規制法令の遵守の成果物、および今年に開発された財務情報の証拠を示す必要があります。

さらに、IT部門は、IT組織構造、方針と手順、基準、人事リスト、従業員とプロセスのパフォーマンス、および内部統制テストを示す情報を収集する必要があ このすべての文書は、最終報告書に関する監査人の意見を支持する事実を示しています。

一般コントロールとアプリケーションコントロールの違いは何ですか?

一般的な管理は、ITを含むがそれに限定されない、ビジネス全体に適用されるインフラストラクチャに焦点を当てています。 一般的なコントロールには、運用、管理、会計、および組織が含まれますが、これらに限定されません。

アプリケーション制御は、コンピュータアプリケーションシステム内のトランザクシ したがって、これらは会社のIT環境に固有のものです。 アプリケーションコントロールは、データの正確性、特に同社の入力、処理、および出力(IPO)機能を強調しています。

ITセキュリティプロセスを自動化すると、どのように合理化されますか?

ITセキュリティの監査には、膨大な量のドキュメントが必要です。 ZenGRCのようなSaaSツールは、情報を集約するプロセスを高速化します。 彼らはまた、利害関係者がより良い通信を支援します。 組織の複数の領域が独自のコントロールを作成し、実装しようとしている場合、セキュリティ監査ドキュメントは扱いにくく、コンパイルに時間がか

ZenGRCは、リスク評価モジュールから始めて、IT監査プロセスを簡素化します。 ZenGRCでは、ベンダーリスクと企業リスクの両方を洞察するリスク評価モジュールを提供しています。 リスクの傾向とリスク責任のグラフィックは、消化しやすい色分けされたビジュアルを提供し、経営陣に会社の現在のリスクのビューを提供します。

さらに、ZenGRCは組織が監査文書を一つの場所に保存することを可能にします。 ただし、共有ドライブとは異なり、ZenGRCは管理者がユーザーアクセスを効率的に管理できます。 この節度は、改ざんから安全な記録を保持し、また、通信を容易にします。 一部の従業員は編集アクセスを必要としますが、一部の従業員は単に文書を表示する必要があります。 ZenGRCでは、ITプロフェッショナルが監査文書プロセス内であっても、ユーザーアクセスプロトコルに従うことができます。

最後に、ZenGRCは多様なニーズを満たすレポートを効率的に生成します。 これにより、c-suiteはIT環境を理解するために必要な概要を提供すると同時に、IT専門家にITセキュリティ監査中に必要な情報の深さを記録する場



コメントを残す

メールアドレスが公開されることはありません。