https://newera17031.activehosted.com/index.php?action=social&chash=0245952ecff55018e2a459517fdb40e3.2287&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=1baff70e2669e8376347efd3a874a341.2327&nosocial=1

觀點

稽核之後全身而退 讓心情不再隨安全檢查浮沉

2005 / 02 / 03
文/George Wrenn 翻譯/陳冠彰
稽核之後全身而退  讓心情不再隨安全檢查浮沉

然而,不論是內部的還是外部稽核員,都應該是安全專業人士的朋友。他們也是我們的另一對眼睛,檢查你的政策、基礎設施與實務,並且找出你做得不錯的領域,以及那些需要修正的地方。最重要的,他們告訴你如何遵循及落實相關標準和規章,例如ISO 17799和Sarbanes-Oxley。
稽核所帶來的壓力可能非常大,但可以被消除。一些簡單的步驟將幫助你應付稽核員、避免常見的錯誤並且減少壓力。
不管你正在做內部的檢閱還是外部的專業稽核,要在安全稽核中全身而退,最重要的就是從對的地方起步。
組成安全稽核回應小組
首先邀管理者安排一場會議來組成一個安全稽核回應小組,成員組成可能是一個人或一個小組,要擁有足夠的授權來協助稽核員,並能立即回應他們的詢問。
企業的大小和稽核的範圍將決定回應小組的大小。對於部門或專案性稽核,一位人員即可滿足需求;對於廣泛的內部稽核及大多數的外部稽核,你將需要一個由相關重要部門、管理階層以及內部稽核員所組成的安全稽核回應小組。
在你的安全稽核回應小組中是否有合適的人是非常重要的。在手邊有答案或者能迅速調查問題並且回報給稽核員的人員,能讓稽核活動加快進行。
下一步,與稽核員安排一場小型的會議。這將使你與稽核雙方確立一個好的溝通基礎,並熟悉稽核的流程。同時也能幫助你確定,所需要支援稽核員的時間與資源。
會議時,你可能會問以下的問題︰
將要進行哪種稽核?
稽核員將採用哪種方式稽核?
他們會衡量公司的安全策略、安全標準(ISO 17799) 、法律(HIPAA、Sarbanes-Oxley),或是綜合性的評估?
稽核的範圍是什麼?哪個系統將被檢查?
稽核員將需要什麼文件和資料?
稽核員將計畫在哪一天到場稽核?完成稽核需要多長時間?
稽核員將有哪些特別要求及支援(例如:私人辦公室、工作室、電話、傳真或網路)?
有了這些基本的資訊,就該開始收集稽核員所需的資料了 。







文件是關鍵
文件是解釋你的安全活動如何進行的關鍵。稽核員將採用這份文件作為審查與檢測安全活動的指引,一般的稽核文件內容描述系統、安全政策、作業程序、網路與系統圖表、流程圖、變更控制程序、流程定義、安全掃瞄報告、測試結果與日誌檔案。如果你的組織過去曾被稽核過,你大概已經有了大部分所需的資訊與資料。但是,這些資料都需做更新,因為沒有任何兩次的的稽核會完全相同,特別是當轉換稽核員時。
最後,回應小組必須從山一樣高的文件中過濾出有用的,千萬不要太多,同時井然有序的編排並裝訂好交給稽核員。你讓他們越容易找到資訊,稽核的過程將越順暢。

事前準備
準備一份正式的簡報將稽核的程序與系統報告給稽核員。每一個清楚的環節,以及一份總覽,都會使得彼此的工作進行得更順利。
簡報內容應包含所有將被稽核的系統、網路與應用程式,內容應準確精細。例如不要只是告訴他們你的前端伺服器採用Apache 2,甚是要告知連到J2EE伺服器的主要流量內容與此兩個伺服器都執行Red Hat Linux。
解釋你的應用程式與作業程序,並說明它們與公司營運的關連性。不要只是說你的基礎設施中有什麼。有時系統、基礎架構與設定對外部觀察者是沒有任何意義的,必須附加背景說明後才能讓人理解。
要涵蓋資訊安全的主要領域。包含身分識別、確認、認證、機密性、不可否認性、完整性、密碼學、稽核與系統的可用性。解釋你的安全控制如何分別滿足這些不同的需求。
不要嘗試隱藏你基礎設施中的缺點,因為無論如何稽核員都將會發現。把焦點放在你的優勢領域,同時也強調需要改進的地方。坦率的態度將會避免你的簡報被視為隱蔽缺點的煙霧。
在你的口頭簡報所提及的事項,應備有相關附帶文件,同時請附在文件夾中。
稽核員將會問許多問題。在他們的詢問中能全身而退的關鍵,就是所有的回答最好與簡報及附帶文件直接契合。例如:如果他們問到有關帳號的核准與設定的控制措施時,你的答案應該像這樣:「就像簡報所提及與在文件夾中的帳號控制文件中的27頁中,我們的程序規定,在MIS小組設定帳號之前需要先經由產品操作的核可」。這種回答方式將顯示你清楚了解自己的政策及程序。
不知道正確答案並不是罪過,不要用含糊或使人誤解的陳述來回答問題。甚至可以延遲回應,讓你有時間去調查。只要說:「我現在沒有答案,但是我將盡快調查清楚並且答覆你」。誠實並擁有強烈證據的答案,總是比陷於孤立無援的境地好。

全力支援你的稽核員
沒有特殊的許可,稽核員不應獲得伺服器根目錄或系統管理員的權限。然而,基於稽核種類與稽核員所運用的不同方法,你可能需要提供他們有限度的權限來存取系統或資料中心。適當的監督指導稽核員,將顯示你的盡責與反映出你們公司的完備性。
稽核員將檢查各個設備與軟體,但他們將會花較多時間審查公司政策與訪談員工及使用者。行政管理上的溝通,是稽核員要找出沒包含在文件夾中的參考資料,這也包括像是與關鍵職務人員的訪談或會議。
引導稽核員的整個過程,將讓你有機會去看看他們訪問使用者時所關注的問題。你可以在進行中,將話題帶到相關趨勢、新的標準以及回答任何訪查中的相關問題。稽核員將會很感激這種程度的合作。

收到報告
在稽核員的現場考察後堅持要求召開一個檢討會議。你可以要求他們給一份將提出的稽核報告草稿的副本,並複查其準確性(「先偷看寫些什麼」)。大部分的稽核員將會很願意提供一份稽核草稿,或是一個簡短的電話會談,來說明他們的發現。一旦你收到這些稽核報告草稿時,可藉機問問你是不是「通過了」。
除了他們的現場考察以及你所提供的文件外,他們接下來或許會再提出一些問題或要求額外的資訊。有效的立即回應將顯示出你的專業,並節省成本的支出,因為延遲常會另外算入稽核費用。一些稽核報告通常會有一個給管理者回應的部分,供你反駁與回應這些稽核發現。利用這個機會去敘述你的公司針對安全缺陷所做的修正措施。不過,要小心,回應也常會給那些稽核員在後續追蹤時有東西可再度審查。

修正問題
在稽核後應立即發展一個補救計畫,解決並滿足稽核員所發現的任何缺失或建議。重點稽核活動通常是一年一次,而重點稽核則較頻繁。初始稽核(即使你更換稽核公司),從他們的上次訪問起所得到的改進或者惡化結果,都將作為績效指標。
對於每一個需要修正的稽核發現,你應該對於有哪些系統的改變、哪些可接受的政策、變更的關鍵性以及修正所需的時間,有一個清楚的概念。即使你不能在下一次稽核前完成全部的修正,也應進行某些步驟,顯示你正在改進中。
最後,你必須在稽核報告出爐後確認主管的期待值在哪裡。為稽核中特別優秀的部分歡呼,但請同時建立調整缺點的機制。確保他們瞭解在一個區域的稽核通過,不代表他們可以忘了其他有缺點的地方。以及,不要讓他們認為在有問題的地方砸錢就可以了事;專注於下一步修正計畫將增加他們對你的信心。