Co je bezpečnostní audit?
Bezpečnostní audit je analýza přiměřenosti bezpečnosti v systému informačních technologií. Mezi typy obecných bezpečnostních auditů patří audit IT pro celkové IT systémy společnosti nebo audit zabezpečení počítače pro částečný systém nebo proces IT. Tyto typy procesů interního auditu jsou prováděny, aby se zajistilo, že zabezpečení je dostatečné pro jakýkoli typ IT systému v podniku.
Ti, kteří provádějí bezpečnostní audit, se mohou podívat na šifrování nebo jiné prvky online nebo počítačového zabezpečení. Mohou provádět rozhovory s uživateli počítačů, aby určili, zda je lidský faktor z hlediska bezpečnosti slabým článkem. Bezpečnostní auditor může provést penetrační test nebo jiný typ hodnocení bezpečnosti, aby posoudil, jak bezpečný může být IT systém.
Některé typy bezpečnostních auditů jsou nařízeny vedením podniku jako součást ochrany spodního řádku pro firmu. Další bezpečnostní audity se provádějí s cílem zajistit soulad s federálními, státními nebo místními zákony, pokud podniková data obsahují prvek veřejného rizika. V těchto případech mohou vládní agentury požadovat pravidelné bezpečnostní audity, aby prokázaly, že podnik chrání veřejná data.
Legislativa známá jako zákon o přenositelnosti a odpovědnosti ve zdravotním pojištění nebo HIPAA je hlavní hnací silou bezpečnostních auditů zdravotnických podniků. Pravidla HIPAA zajišťují přísnou bezpečnost údajů o pacientech a každé zdravotnické zařízení nebo podnikání musí vyhovovat předpisům HIPAA. Úkoly bezpečnostního auditu mohou zahrnovat zvláštní pozornost, aby bylo zajištěno, že se ve společnosti nebo síti dodržuje protokol HIPAA.
Finanční nebo jiné podniky mohou provádět bezpečnostní audit podle předpisů uložených zákonem Sarbanes-Oxley. Přestože byl Sarbanes-Oxley navržen jako ochrana před poškozením účetních praktik, jeho legislativa může zahrnovat prvky, jako jsou bezpečnostní audity, jako součást celkového procesu auditu. V jiných případech mohou právní předpisy na ochranu spotřebitele vyžadovat, aby podnik provedl bezpečnostní audit.
Podnik může mít často bezpečnostní politiku, která nařizuje, kdy a jak by měl být proveden bezpečnostní audit. Bezpečnostní audit může také zahrnovat zkoumání „kontrol a zůstatků“ v rámci oddělení nebo obchodního systému. Veškeré toto úsilí směřuje k celkovému cíli, kterým je ochrana dat a zajištění odpovídající bezpečnosti pro jakýkoli podnik. Profesionální auditoři jsou školeni v přesných metrikách, které ukazují, zda je bezpečnostní systém spolehlivý a přiměřeně chráněný před vnějšími útoky.