內部審計的安全評估及認證(ppt 89頁)

內部審計的安全評估及認證目錄:
1. 風險管理
2. 安全成熟度模型
3. 威脅
4. 安全評估方法
5. 安全評估準則
6. 本章小結

內部審計的安全評估及認證內容提要:
1. 安全計劃
一個好的安全體係結構必須建立在一個堅固的安全計劃基礎之上。計劃的文本必須清晰、完整。很多組織的安全策略、標準和指南存在以下一些問題：
（1） 內容太舊，已過時，不適用於當前的應用。安全策略應每年更新，以適應技術的變化。
（2） 文本有很多用戶，如開發者、風險管理者、審計人員，所用語言又適用於多種解釋。如果陳述太抽象，那麼實施時將無效力。
（3） 表達不夠詳細。很多組織的安全策略觀念隻是一個口令管理。組織安全策略文本中通常缺少信息的等級分類以及訪問控製計劃文本。

..............................