CIO：应从安全审计上获得更多-福建信息主管（CIO）网

CIO：应从安全审计上获得更多

作者：佚名来源：eNet硅谷动力发布时间：2008年02月28日点击数：

在被盗的Vista数据资料中，许多是由于安全审计部门错误地清除了资料而造成的。安全专家认为，审计部门对CIO尚未知道的问题缺乏足够的重视。

安全审计部门通常是由所在公司成立的，负责财务审计方面的事务。相当于一家公司的安全监理。但是在实际情况中，许多安全审计部门在高压的行政管理下，只能反映公司CIO所不知道的少数安全隐患问题。

审计部门经常会忽略一个常见的安全隐患：系统的相互依赖。例如，一个制造厂可能会由于网络病毒的感染等问题而不得不被公司关闭。但是同样有些自作聪明的公司却没有这样，而是将其网络系统与财政部门的网络连接了起来，从而让黑客轻而易举就得手了。

滥用网络域名很容易导致用户名和数据资料被盗，因为它会有意去造成一个合法公司的网络堵塞，然后复制其密码和许多其它的重要信息。

公司如何才能更有效的发挥审计部门的作用？

行政管理人员必须明确他们买来的是什么。安全审计部门常常被和安全评估单位混为一谈“一份漏洞百出的安全评估绝不等于安全审计。”安全评估的有效性仅占安全审计的13%到15%。但是也可以认为，一份详尽全面的安全评估就像安全审计一样发挥着作用。但是安全审计的要求水平是远远高于一份安全评估的。

美国计算机网络犯罪审判部门的前任负责人Mark Rasch 以及政府部门的网络安全负责人Robert Tappeny 一致认为：安全审计和安全评估这两个概念确实存在一定的迷惑性，但事实上它们是相互对立的。Rasch认为，安全评估比安全审计很容易让人理解。

其实，这两项策略都是源自一个问题，同时它们还牵涉到了其它的许多财政问题，投资者应该被清除的告知他们现在需要注意的是什么，什么样的问题该找什么样的人来评估。

事实上，安全审计还存在着很大的问题。管理人员希望审计部门能告诉他们一些对公司有帮处的建议。他们也许希望审计部门能主动地发现存在的安全隐患，而不仅仅只评估他们认为该评估的事情。

上一篇：CIO关注:危急时刻的领导力

下一篇：CIO的主动攻势：将获更多发展机遇