回复帖子
标题: [供求发布] 审计标准和相关人介绍
我也是醉了
中级会员
Rank: 3Rank: 3



UID 2926261
积分 2940
帖子 219
阅读权限 40
注册 2017-8-2
状态 离线
发表于 2017-10-17 14:43  资料  个人空间  个人短信  加为好友  只看该作者
审计标准和相关人介绍

审计标准和相关人介绍

风险审计面临的最大挑战之一就是所涉风险类别的多样性。您很难在一个标准下对所有程序进行审核,这意味着数据中心管理人员在进行审核时可能需要采用各种标准。

从安全性方面来看,ISO 27002涵盖了所有信息安全管理的实践守则,还设立了各种不同方面的标准,包括人力资源安全,物理和环境安全以及访问控制。

支付卡行业数据安全标准(PCI-DSS)也涵盖了信息安全,是一个高度规范的标准,其重点在于数据中心**数据的组织和保留。它包括了安全网络的建设和维护,漏洞的管理以及网络和系统监控等各种标准。

对于处理政府信息的商业运营商而言,可能需要进行其他的审核标准。在英国,List X是承包商处理政府数据常用的安全许可系统,而在美国,运营商们大多使用Facility Clearance Levels 。

Lovell补充说:“出于健康和安全的考虑,许多数据中心运营商正在努力符合OHSAS18001的原则,OHSAS18001是国际公认的卫生和安全管理及相关系统的标准。”

环境保护审核往往采用ISO14001标准。 数据中心不妨考虑这种审计标准和环境风险,因为数据中心通常会大量存储柴油来满足发电机的需求。

利益相关人

Tenable Network Securit公司出售的是通过扫描网络以发现安全威胁的软件,该公司的技术总监Gavin Millard表示,在定义和减轻风险方面,通常有多个利益相关人参与其中。 他将这些利益相关人分为三个主要群体:安全团队,运营团队和业务部门。更多文章推荐:免备案虚拟主机cn.bluehost.com

但问题在于并不是所有人都有相同的议程,他警告说:“每个群体的目标和需求往往是相互冲突的,这就会导致在降低风险时,出现行动顺序不一致的情况。”

想要解决此类问题,就需要通过软件修补的方法,这是降低企业安全风险的最有效途径之一。 2013年7月,澳大利亚安全局发布了一系列措施,以减轻网络入侵。 其中包括补丁操作系统以及补丁应用程序。该机构表示,有了这些软件补丁,在加上应用白名单和最小化管理权限,将会消除85%的黑客攻击。

IT安全小组的重点集中在消除可能会被黑客利用的系统漏洞,从而减少数据泄露的风险,但是这需要IT安全小组快速修补关键漏洞。相反,IT运营团队需要尽量减少停机的风险,并且任何对系统的更改都必须结构化,有计划以及在控制之下。这可能会导致运营团队要求减少修补计划的发布次数,以此来降低可用性风险。

业务经理有自己单独的议程:保证达到最低业务标准并实现其业绩目标。因此只有在收益超过支出的情况下,他们才会同意部署软件补丁。

米拉德说:“各部门之间目标的冲突性很难解决,但是最有效的方法之一就是制定一个高效的程序,用于确定风险的位置。您还需要一种可预测的,可靠的更新系统的方法,而不影响组织的总体业务目标。“”

有效的管理风险不仅在于对数据中心风险的评估,还要求团队成员愿意共同合作,如此所有人的议程都能被妥善安置。在某些情况下,这还能创造新的工作机会。

引入DevOps(开发/运营)解决方案来简化开发,测试和部署之间的工作流程,可能有助于缓解诸如Millard所描述的各团队之间的紧张关系。

有效的风险管理与IT中的其他工作一样,也是一种技术密集型,以人力为中心的过程。 使用标准化方法和审计可以帮助量化数据中心面临的风险,以及该风险将如何影响未来的预算,并且有助于衡量那些重要工作的进展情况。

顶部
szch150
尚未福步




UID 2754232
积分 -1286
帖子 1172
阅读权限 1
注册 2016-6-1
状态 离线
发表于 2017-10-17 15:23  资料  个人空间  个人短信  加为好友  只看该作者 QQ
福步外贸论坛 - 归档内容,请登录后查看 Please log in to view.

顶部
 

福步全球商业企业推荐: [irrigation] The Toro Company

当前时区 GMT+8, 现在时间是 2024-3-29 08:30
沪ICP备05002584号

Powered by D1scuz!  © 2001-2025 FOBShanghai.com
Processed in 0.254810 second(s), 6 queries , Gzip enabled ,240

清除 Cookies - 联系我们 - 福步外贸网 - Archiver - 手机客户端