セキュリティ監査とは何ですか?
セキュリティ監査は、情報技術システムにおけるセキュリティの妥当性の分析です。 一般的なセキュリティ監査の種類には、会社のITシステム全体のIT監査、または部分的なITシステムまたはプロセスのコンピューターセキュリティ監査が含まれます。 これらのタイプの内部監査プロセスは、企業内のあらゆるタイプのITシステムに十分なセキュリティが確保されるように行われます。
セキュリティ監査を実施する人は、オンラインまたはコンピュータ化されたセキュリティの暗号化またはその他の要素を調べる場合があります。 コンピューターユーザーのインタビューを行って、ヒューマンファクターがセキュリティの面で弱いリンクであるかどうかを判断する場合があります。 セキュリティ監査人は、侵入テスト、または他の種類のセキュリティ評価を実施して、ITシステムの安全性を判断できます。
いくつかのタイプのセキュリティ監査は、ビジネスの最終利益を保護する一環として、ビジネスリーダーによって命令されます。 その他のセキュリティ監査は、企業データに公共のリスク要素が含まれる場合に、連邦法、州法、または地方法の遵守を提供するために行われます。 これらの場合、政府機関は、企業が公開データを保護していることを示すために定期的なセキュリティ監査を要求する場合があります。
医療保険の携行性と責任に関する法律またはHIPAAとして知られる法律は、医療ビジネスのセキュリティ監査の主な推進力です。 HIPAAルールは、厳格な患者データセキュリティを提供し、すべての医療関連施設またはビジネスはHIPAA規制を遵守する必要があります。 セキュリティ監査タスクには、会社またはネットワーク内でHIPAAが確実にフォローされるようにするための特別な注意が含まれる場合があります。
金融またはその他の企業は、サーベンスオクスリー法によって課された規制の下でセキュリティ監査を実施する場合があります。 Sarbanes-Oxleyは、不正な会計慣行に対する保護として設計されていますが、その法律には、監査プロセス全体の一部としてセキュリティ監査などの要素が含まれている場合があります。 その他の場合、消費者保護法では、企業がセキュリティ監査を実施する必要がある場合があります。
多くの場合、企業は、セキュリティ監査をいつどのように実行するかを義務付けるセキュリティポリシーを持っている場合があります。 セキュリティ監査には、部門またはビジネスシステム内の「チェックとバランス」の確認も含まれます。 この取り組みはすべて、データを保護し、あらゆる種類の企業に有能なセキュリティを提供するという全体的な目標に向かっています。 プロの監査人は、セキュリティシステムが信頼でき、外部の攻撃から合理的に保護されているかどうかを示す正確なメトリックでトレーニングされます。