1. Оценка политик и процедур безопасности. В ходе аудита следует изучить политики и процедуры безопасности организации, такие как меры контроля доступа, политики паролей, процедуры резервного копирования данных и планы аварийного восстановления.
2. Сетевая и системная архитектура. Аудиторы должны проанализировать сетевую архитектуру и дизайн системы организации, чтобы выявить уязвимости и определить, соблюдаются ли минимальные стандарты кибербезопасности.
3. Меры безопасности. При проверке следует оценить, функционируют ли меры безопасности должным образом, включая анализ мер шифрования данных, конфигураций брандмауэра и систем обнаружения вторжений.
4. Проверка физической безопасности. Это влечет за собой проверку имеющихся физических средств защиты информации, включая камеры видеонаблюдения, средства контроля доступа и ворота по периметру.
5. Оценка риска. Аудитор должен провести анализ рисков, связанных с различными аспектами деятельности организации. Это будет включать оценку эффективности существующих мер безопасности и рекомендации для любых необходимых дополнительных мер безопасности.
6. Осведомленность сотрудников. В ходе аудита следует оценить осведомленность сотрудников и программы обучения, чтобы оценить их эффективность в продвижении методов обеспечения безопасности.
7. Планирование реагирования на инциденты: это может включать оценку реакции организации на инциденты безопасности и то, как она планирует управлять такими инцидентами или нарушениями в будущем.
8. Проверка соответствия. Аудиторы должны проверять соблюдение организацией применимых законов и правил, отраслевых стандартов и передовой практики.
Дата публикации: