セキュリティ監査とは何ですか?
セキュリティ監査は、情報技術システムにおけるセキュリティの妥当性の分析です。一般的なセキュリティ監査の種類には、会社の合計ITシステムのIT監査、または部分的なITシステムまたはプロセスのコンピューターセキュリティ監査が含まれます。 これらのタイプの内部監査プロセスは、ビジネス内のあらゆるタイプのITシステムにセキュリティが十分であることを保証するために行われます。
セキュリティ監査を実施している人は、暗号化またはオンラインまたはコンピューター化されたセキュリティのその他の要素を検討する場合があります。彼らは、コンピューターユーザーのインタビューを行い、ヒューマンファクターがセキュリティの観点から弱いリンクであるかどうかを判断する場合があります。セキュリティ監査人は、ITシステムがどれほど安全であるかを判断するために、侵入テストまたはその他のタイプのセキュリティ評価を追求する場合があります。
いくつかの種類のセキュリティ監査は、ビジネスの最終利益を保護する一環として、ビジネスリーダーシップによって命じられています。企業の場合、連邦、州、または地方の法律を順守するために、他のセキュリティ監査が行われますデータにはパブリックリスク要素が含まれます。これらの場合、政府機関は、ビジネスが公開データを保護していることを示すために定期的なセキュリティ監査を要求する場合があります。
健康保険の移植性および説明責任法またはHIPAAとして知られる法律は、医療ビジネスのセキュリティ監査の主な要因です。 HIPAAルールは、厳しい患者データセキュリティを提供し、すべての医療関連施設またはビジネスはHIPAA規制に準拠する必要があります。セキュリティ監査タスクには、会社またはネットワーク内でHIPAAが従うことを確認するための特別な注意が含まれる場合があります。
金融または他の企業は、Sarbanes-Oxley Actによって課された規制の下でセキュリティ監査を実施する場合があります。 Sarbanes-Oxleyは、腐敗した会計慣行に対する保護として設計されていましたが、その法律には、全体的な監査プロセスの一部としてセキュリティ監査などの要素が含まれる場合があります。他の場合、cオンサマー保護法は、セキュリティ監査を実施するために企業が必要になる場合があります。
ビジネスには、セキュリティ監査がいつ、どのように行われるべきかを義務付けるセキュリティポリシーがあることがよくあります。セキュリティ監査には、部門またはビジネスシステム内の「チェックとバランス」を検討することも含まれます。この取り組みはすべて、データを保護し、あらゆる種類の企業に有能なセキュリティを提供するという全体的な目標に向けられています。プロの監査人は、セキュリティシステムが信頼できるかどうかを示す正確なメトリックの訓練を受けており、外部攻撃から合理的に保護されています。