compliance audit:合规性审计
合规性审计(compliance audit)是确定某一组织是否遵从了监管方针的一种综合性评述。 严格而言,合规性审计内容广泛多样,具体取决于某一组织的性质是公有还是私有公司;该公司处理的数据类型以及它是否传送或存储了敏感财务数据。举例而言,SOX(萨班斯法案)规定任何电子通信必须进行备份并有合理的灾难恢复体系作为保障。保存或传送如个人健康信息这样的电子医疗记录的医疗服务提供商必须遵守美国医治保险携带和责任法案(HIPAA)。传送信用卡数据的金融服务公司必须遵守PCI DSS标准。独立核算、安全或IT顾问需对合规准备的优点及全面性做出评价。无论在哪种情况下,被审计的组织都必须通过提供审计跟踪记录(审计跟踪记录通过由事件日志记录管理软件的数据生成)表明自己符合相关规定。 审计过程中,合规性审计员通常会向首席信息官(CIO)、首席技术官(CTO)和IT管理人员询问一系列尖锐问题。这些问题可能包括:添加了什么样的用户、何时添加了这些用户、哪些用户离开了公司、用户信息是否已经撤销以及什么样的IT管理人员已经能够进入关键系统。IT管理者可以通过使用事件日志管理工具以及健全的变更管理软件在IT系统内实现跟踪、文件审核和控制功能。GRC(治理、风险管理和法规遵从)软件类型的不断增加使得首席信息官可以方便地向审计人员和首席执行官展示某组织遵从法规,不会不受高额处罚或制裁。
最近更新时间:2009-02-08 翻译:沈珺EN
相关推荐
-
如何保护AI基础设施:最佳做法
AI和生成式AI给企业带来巨大的创新机会,但随着这些工具变得越来越普遍,它们也吸引着恶意攻击者来探测其潜在漏洞 […]
-
最常见的数字身份验证方式?
数字身份验证是验证用户或设备身份的过程,以便能够访问敏感应用程序、数据和服务。现在有多种方法可以验证身份。以下 […]
-
零信任策略使网络面临横向威胁
很多公司忽视零信任安全的核心原则:假设网络已经受到攻击。 企业管理协会(EMA)的研究发现这个被忽视的零信任原 […]
-
企业中通行密钥的好处和挑战
尽管密码是主要身份验证方式,但它们是企业安全的薄弱环节。数据泄露事故和网络钓鱼攻击利用被盗或弱密码,让企业面临 […]