Tôi cần làm gì để đảm bảo các chính sách DB của mình phải vượt qua kiểm toán bảo mật?

8

Tôi có một cuộc kiểm toán sắp tới và tôi đã tự hỏi điều khiển truy cập vật lý, điện tử và logic nào mà kiểm toán viên sẽ tìm kiếm khi kiểm toán cơ sở dữ liệu cho hệ thống ERP. Tôi thực sự mới đối với quy trình này và mọi hướng dẫn sẽ được đánh giá cao.

sql-server  oracle  security  audit 
Robert Silvie II
nguồn

Câu trả lời:

4

Tôi đồng ý với câu trả lời của DeCosta. Những yêu cầu, thông số kỹ thuật bạn sẽ được kiểm toán? Nhưng, như bức ảnh đẹp nhất của tôi trong bóng tối: Đây là một ấn phẩm "thực tiễn tốt nhất" để bảo mật liên quan đến SQL 2005 được phát hành bởi Microsoft

http://doad.microsoft.com/doad/8/5/e/85eea4fa-b3bb-4426-97d0-7f7151b2011c/Query2005SecBestPract.doc

Và sách bài viết trực tuyến:

http://msdn.microsoft.com/en-us/l Library / ms144228.aspx

Ngoài ra, đây là danh sách những điều mà PricewaterhouseCoopers bao gồm trong các dịch vụ của họ liên quan đến Kiểm toán hệ thống ERP. Nó có thể cung cấp cho bạn một số ý tưởng. Menu ở phía bên tay trái bao gồm rất nhiều chủ đề có thể hữu ích trong việc khơi dậy những thứ cần nghiên cứu.

http://www.pwc.com/be/en/systems- Process -assurance / erp-security-erp-control.jhtml

RThomas
nguồn
Không có vấn đề, chúc may mắn với kiểm toán.
RThomas
4

Tôi hoan nghênh nỗ lực của bạn, tuy nhiên câu hỏi được hỏi có lẽ quá mơ hồ. Các quy tắc khác nhau áp dụng cho các ngành công nghiệp khác nhau và hơn nữa, đôi khi bạn có cơ hội để thiết lập các quy tắc của riêng mình, bạn chỉ cần tuân theo chúng.

Tôi sẽ đề nghị kiểm tra với ai đó về việc kiểm toán mà bạn dự kiến ​​sẽ vượt qua, sau đó tìm các yêu cầu cụ thể.

johndacostaa
nguồn
3
Đồng ý - họ không thể mong đợi bạn đáp ứng mong đợi mà không công bố những kỳ vọng đó là gì. Có liên quan đến HIPPA, Sarbanes Oxley, các yêu cầu pháp lý cụ thể liên quan đến việc lưu trữ lịch sử tội phạm, v.v ...
RThomas
3

Để thêm vào các liên kết tuyệt vời ở trên; Tôi tìm thấy các tài liệu sau đây là tài liệu tham khảo hữu ích về bảo mật và kiểm toán:

  • Giấy trắng PCI Triển khai SQL Server 2008 dựa trên các tiêu chuẩn bảo mật dữ liệu công nghiệp thẻ thanh toán (PCI DSS) : Liên kết
  • Sách trắng HIPPA: Liên kết
  • Điểm chuẩn bảo mật Microsoft SQL Server từ Trung tâm Bảo mật Internet. Liên kết
  • Đồng thời google cho một tài liệu có tên danh sách kiểm tra bảo mật cơ sở dữ liệu Microsoft SQL Server từ Bộ Quốc phòng Hoa Kỳ (chưa được phân loại) -
DaniSQL
nguồn
2

Một điểm bị bỏ lỡ bởi những người ở trên là xung quanh việc xác định chính xác những gì bạn đang bảo vệ - nếu đó là dữ liệu thẻ tín dụng, thì bạn sẽ dễ dàng nhận ra rằng bạn cần PCI-DSS, nhưng trong sơ đồ rộng hơn, PCI-DSS không thực sự hữu ích ngoại trừ như một đường cơ sở tối thiểu trần. Bạn cần xác định những gì có giá trị cho công ty của bạn, cho dù vì lý do thương mại hoặc vì cơ quan quản lý hoặc cổ đông nói như vậy, và đảm bảo kiểm toán của bạn tính đến những điều này.

Tôi cũng đề nghị xem xét security.stackexchange.com , chuyên phục vụ cho chuyên gia bảo mật và rủi ro, và có rất nhiều người trong chúng tôi đã thực hiện kiểm toán bảo mật, hỗ trợ chuẩn bị kiểm toán, dẫn dắt các chương trình thử nghiệm và cải thiện an ninh quy mô lớn Vân vân.

Rory Alsop
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.