보안 감사란 무엇입니까?
보안감사는 기업의 정보시스템이 확립된 기준에 얼마나 잘 부합하는지를 측정하여 체계적으로 평가하는 것이다. 철저한 감사는 일반적으로 시스템의 물리적 구성 및 환경,소프트웨어,정보 처리 프로세스 및 사용자 관행의 보안을 평가합니다.
보안 감사는 종종 조직이 정보를 처리해야하는 방법을 지정하는 건강 보험 이식성 및 책임 법,사베인-옥 슬리 법 및 캘리포니아 보안 침해 정보 법과 같은 규정 준수를 결정하는 데 사용됩니다.
이러한 감사는 취약성 평가 및 침투 테스트와 함께 세 가지 주요 보안 진단 유형 중 하나입니다. 보안 감사는 기준 목록에 대해 정보 시스템의 성능을 측정합니다. 취약성 평가는 잠재적 인 보안 약점을 찾는 정보 시스템에 대한 포괄적 인 연구입니다. 침투 테스트는 보안 전문가가 시스템이 특정 공격을 견딜 수 있는지 테스트하는 은밀한 접근 방식입니다. 각 접근법에는 고유 한 강점이 있으며 두 개 이상을 함께 사용하는 것이 가장 효과적인 접근법 일 수 있습니다.
조직은 반복 가능하고 업데이트 가능한 보안 감사 계획을 수립해야 합니다. 이해 관계자는 최상의 결과를 위해 프로세스에 포함되어야합니다.
왜 보안 감사를합니까?
보안 감사를 수행하는 데는 여러 가지 이유가 있습니다. 그들은 이러한 여섯 가지 목표를 포함:
- 보안 문제 및 격차 및 시스템 약점을 식별하십시오.
- 향후 감사와 비교할 수 있는 보안 기준을 설정합니다.
- 내부 조직 보안 정책을 준수합니다.
- 외부 규제 요구 사항을 준수하십시오.
- 보안 교육이 적절한지 확인합니다.
- 불필요한 리소스를 식별합니다.
보안 감사는 중요한 데이터를 보호하고 보안 허점을 식별하며 새로운 보안 정책을 만들고 보안 전략의 효율성을 추적하는 데 도움이 됩니다. 정기적 인 감사를 통해 직원은 보안 관행을 고수하고 새로운 취약점을 포착 할 수 있습니다.
보안 감사는 언제 필요합니까?
조직이 보안 감사를 수행하는 빈도는 현재 존재하는 산업,비즈니스 및 기업 구조의 요구,감사해야 하는 시스템 및 응용 프로그램의 수에 따라 달라집니다. 금융 서비스 및 히스케어 공급자와 같은 많은 민감한 데이터를 처리하는 조직은 감사를 더 자주 수행할 가능성이 높습니다. 하나 또는 두 개의 응용 프로그램 만 사용하는 응용 프로그램은 보안 감사를 쉽게 수행 할 수 있으며 더 자주 수행 할 수 있습니다. 규제 요구 사항과 같은 외부 요인도 감사 빈도에 영향을 미칩니다.
많은 기업들이 적어도 일년에 한두 번 보안 감사를 할 것입니다. 그러나 월별 또는 분기별로 수행 할 수도 있습니다. 부서마다 사용하는 시스템,응용 프로그램 및 데이터에 따라 감사 일정이 다를 수 있습니다. 정기 감사(매년 또는 매월 수행)는 시스템의 이상 또는 패턴을 식별하는 데 도움이 될 수 있습니다.
분기별 또는 월별 감사는 대부분의 조직에서 시간 또는 자원을 보유한 것보다 많을 수 있습니다. 조직에서 보안 감사를 수행하는 빈도를 결정하는 요소는 사용되는 시스템의 복잡성과 해당 시스템의 데이터 유형 및 중요도에 따라 달라집니다. 시스템의 데이터가 필수적이라고 판단되면 해당 시스템은 더 자주 감사 될 수 있지만 감사에 시간이 걸리는 복잡한 시스템은 덜 자주 감사 될 수 있습니다.
조직은 데이터 유출,시스템 업그레이드 또는 데이터 마이그레이션 후,또는 규정 준수 법률의 변경이 발생하거나,새로운 시스템이 구현되었거나,정의된 사용자 수 이상의 비즈니스 성장에 따라 특별 보안 감사를 수행해야 합니다. 이러한 일회성 감사는 이벤트가 보안 취약점을 열었을 수있는 특정 영역에 초점을 맞출 수 있습니다. 예를 들어,데이터 유출이 방금 발생한 경우 영향을 받는 시스템에 대한 감사를 통해 무엇이 잘못되었는지 확인할 수 있습니다.
보안 감사 유형
보안 감사는 다음 절차를 포함하는 내부 및 외부 감사의 두 가지 형태로 제공됩니다:
- 내부 감사. 이러한 감사에서 비즈니스는 자체 리소스 및 내부 감사 부서를 사용합니다. 내부 감사는 조직이 정책 및 절차 준수를 위해 비즈니스 시스템의 유효성을 검사하고자 할 때 사용됩니다.
- 외부 감사. 이러한 감사를 통해 외부 조직이 감사를 수행합니다. 외부 감사는 조직이 업계 표준 또는 정부 규정을 준수하는지 확인해야 할 때도 수행됩니다.
외부 감사에는 두 가지 하위 범주가 있습니다. 제 2 자 감사는 감사 대상 조직의 공급업체가 수행합니다. 제 3 자 감사는 독립적이고 편견없는 그룹에 의해 수행되며 관련된 감사는 감사 대상 조직과 관련이 없습니다.
감사는 어떤 시스템에 적용됩니까?
보안 감사 중에 조직에서 사용하는 각 시스템에 대해 다음 영역의 취약성이 있는지 검사할 수 있습니다:
- 네트워크 취약점. 감사자는 공격자가 시스템이나 정보에 액세스하거나 손상을 입히기 위해 악용 할 수있는 네트워크 구성 요소의 약점을 찾습니다. 두 지점 사이를 이동하는 정보는 특히 취약합니다. 보안 감사 및 정기 네트워크 모니터링은 이메일,인스턴트 메시지,파일 및 기타 통신을 포함한 네트워크 트래픽을 추적합니다. 이 감사 부분에는 네트워크 가용성 및 액세스 포인트도 포함됩니다.
- 보안 제어. 이 감사 부분을 통해 감사원은 회사의 보안 통제가 얼마나 효과적인지 확인합니다. 여기에는 조직이 정보 및 시스템을 보호하기 위해 수립 한 정책 및 절차를 얼마나 잘 구현했는지 평가하는 것이 포함됩니다. 예를 들어,감사자는 회사가 모바일 장치에 대한 관리 제어를 유지하는지 확인할 수 있습니다. 감사는 회사의 통제를 테스트하여 효과적이며 회사가 자체 정책 및 절차를 따르고 있는지 확인합니다.
- 암호화. 이 감사 부분에서는 조직에 데이터 암호화 프로세스를 관리할 수 있는 제어 권한이 있는지 확인합니다.
- 소프트웨어 시스템. 여기에서 소프트웨어 시스템은 제대로 작동하고 정확한 정보를 제공하는지 확인하기 위해 검사됩니다. 또한 권한이 없는 사용자가 개인 데이터에 액세스할 수 없도록 컨트롤이 설정되어 있는지 확인합니다. 조사 된 영역에는 데이터 처리,소프트웨어 개발 및 컴퓨터 시스템이 포함됩니다.
- 아키텍처 관리 기능. 감사는 정보 관리 조직 구조 및 절차 정보를 처리 하기 위해 효율적이 고 제어 된 환경을 만드는 장소에서 확인 합니다.
- 통신 제어. 감사자는 통신 컨트롤이 클라이언트 및 서버 측뿐만 아니라 연결하는 네트워크에서 작동하는지 확인합니다.
- 시스템 개발 감사. 이 영역을 다루는 감사는 개발 중인 시스템이 조직에서 설정한 보안 목표를 충족하는지 확인합니다. 이 감사 부분은 개발중인 시스템이 설정된 표준을 준수하는지 확인하기 위해 수행됩니다.
- 정보 처리. 이러한 감사는 데이터 처리 보안 조치가 마련되어 있는지 확인합니다.
조직은 특정 감사 유형을 하나의 전체 제어 검토 감사로 결합 할 수도 있습니다.
보안 감사에 관련된 단계
이 다섯 단계는 일반적으로 보안 감사의 일부입니다:
- 목표에 동의하십시오. 감사를 통해 달성해야 할 사항에 대한 토론에 모든 이해 관계자를 포함 시키십시오.
- 감사 범위를 정의합니다. 컴퓨터 장비,내부 문서 및 처리 된 데이터를 포함하여 감사 할 모든 자산을 나열하십시오.
- 감사를 수행하고 위협을 식별합니다. 각 위협과 관련된 잠재적 위협 목록에는 자연 재해,맬웨어 또는 권한이없는 사용자를 통한 데이터,장비 또는 레코드의 손실이 포함될 수 있습니다.
- 보안 및 위험 평가. 식별된 각 위협이 발생하는 위험과 조직이 얼마나 잘 방어할 수 있는지 평가합니다.
- 필요한 컨트롤을 결정합니다. 위험을 최소화하기 위해 어떤 보안 조치를 구현하거나 개선해야 하는지 파악합니다.
다른 유형의 감사에 대해 자세히 알아보기
백업 감사 준비를 위한 모범 사례
비즈니스 연속성 계획 감사
감사자가 보고 싶은 준수 감사 체크리스트 준비
규정 준수를 위한 사물인터넷 감사를 수행하는 방법
시험 대 평가 대 감사
감사는 시험 및 평가와 같은 다른 관행과는 별개의 개념입니다. 감사는 조직이 내부적으로 설정된 절차 및 보안 정책과 표준 그룹 및 규제 기관이 설정한 절차를 준수하고 있는지 확인하는 방법입니다. 조직은 스스로 감사를 수행하거나 제 3 자에게 감사를 수행 할 수 있습니다. 보안 감사 모범 사례는 다양한 산업 조직에서 사용할 수 있습니다.
침투 테스트와 같은 테스트는 특정 시스템이 정상적으로 작동하는지 확인하는 절차입니다. 이 테스트를 수행하는 전문가들은 취약점을 열 수있는 격차를 찾고 있습니다. 예를 들어 펜 테스트를 통해 보안 분석가는 위협 행위자와 같은 방식으로 시스템을 해킹하여 공격자가 보고 액세스할 수 있는 항목을 결정합니다.
평가는 위험 또는 취약성 평가와 같은 계획된 테스트입니다. 시스템이 어떻게 작동해야 하는지를 살펴본 다음 이를 시스템의 현재 작동 상태와 비교합니다. 예를 들어,컴퓨터 시스템의 취약성 평가는 해당 시스템을 보호하는 보안 조치의 상태와 그들이 해야 할 방식으로 대응하고 있는지 여부를 확인합니다.
보안 감사는 시스템 및 데이터를 보호하기 위한 전반적인 전략의 한 부분입니다. 사이버 보안 모범 사례 및 절차에 대한 최신 생각을 알아보십시오.