www.e4938.cn-老师你下面太紧了拔不出来,99re8这里有精品热视频免费,国产第一视频一区二区三区,青青草国产成人久久

<button id="60qo0"></button>

<strike id="60qo0"></strike>
<del id="60qo0"></del>
<fieldset id="60qo0"><menu id="60qo0"></menu></fieldset>
  • 晉升內部IT審計師的策略

    2014-11-08 22:15:04 大云網(wǎng)  點擊量: 評論 (0)
    對安全和規(guī)則遵從的審計程序逐漸被許多信息安全人員所熟悉。多年來,許多信息安全從業(yè)人員一直在探索獲得行業(yè)認證證書的利與弊,而現(xiàn)在令他們更糾結的是到底需不需要去獲得成為IT規(guī)則遵從認證審計師所必需的技術
    對安全和規(guī)則遵從的審計程序逐漸被許多信息安全人員所熟悉。多年來,許多信息安全從業(yè)人員一直在探索獲得行業(yè)認證證書的利與弊,而現(xiàn)在令他們更糾結的是到底需不需要去獲得成為IT規(guī)則遵從認證審計師所必需的技術。
        雖然安全認證證書未必適合所有的從業(yè)人員或者所有的安全職位,但是獲得認證還是有兩個好處的:首先,認證可以敲開面試的大門;其次,你可以為那些在美國國防部方針DoD 8570.01-M指導下處理認證的代理機構工作。同樣,擁有一個認證證書在審計領域中有兩個地方不僅有用,而且是必需的。它們是:支付卡行業(yè)合格安全審核員(PCI QSA)和ISO 27001審計師主任。在本文中,我們將討論一下怎樣獲得審計認證證書,以及這樣做能給企業(yè)和自己的事業(yè)帶來什么樣的好處。
        如何成為一個內部IT審計人員
        為了能夠審計并證明一個公司是否遵從PCI DSS標準,你需要通過認證成為PCI QSA。這個認證需要通過由PCI安全標準委員會監(jiān)管的筆試、要有足夠的工作經(jīng)歷或者持有一個合格的證書(五年工作經(jīng)驗,或是獲得過一個CISA、CISM或CISSP證書),并且曾經(jīng)為已經(jīng)實施了PCI DSS評估的企業(yè)工作。
        成為合格的QSA基本上意味著你已經(jīng)決定成為顧問(或者進一步成為專門顧問)了,因為不需要顧問的公司也不太需要QSA員工。然而,QSA培訓對于內部員工來說絕對很有價值,因為它可以讓員工在公司進行審計的時候跟他們的QSA更好的交流。與大多數(shù)控制框架一樣,PCI DSS有其特殊的定義來規(guī)定它的要求,可能有些詞語跟標準的詞典定義有所不同。因此,如果企業(yè)內部有人懂得這些細節(jié)的話,他就能夠幫助企業(yè)更好的準備評估,還可能為企業(yè)節(jié)省大量的時間和金錢。另外,由于一級商家可以自我評估,所以對員工進行QSA培訓可以加快企業(yè)的評估過程。
        ISO 27001在歐洲很流行,這個標準現(xiàn)在也慢慢在美國公司中(特別是那些在歐盟有業(yè)務的公司中)普及,成為僅次于PCI DSS標準的企業(yè)安全認證標準。它逐漸被看成是一個企業(yè)成熟的標志,以及企業(yè)運行規(guī)則的展示說明。就像遵從許多其他的標準一樣,為了能夠得到ISO 27001標準認證,企業(yè)必須請第三方審計師來進行審計。而如果要開展ISO 27001審計工作,審計人員必須是通過認證的ISO 27001主任審計師。
        就像PCI QSA一樣,由于認證證書應該由第三方發(fā)行,所以主任審計師必須是來自企業(yè)外面的顧問。上文中我們提到經(jīng)歷PCI QSA培訓的員工可以幫助公司,同樣地,試圖取得ISO認證證書的企業(yè)同樣可以通過對員工進行ISO審計培訓來獲得很大的好處。(還有一個ISO 27001執(zhí)行培訓或認證,也可能對企業(yè)有所幫助。)
        與PCI DSS標準類似,ISO標準中使用的術語也有其特定的定義,在許多情況下不僅會跟常規(guī)的英語不同,而且跟其他的控制框架也有不同。企業(yè)對員工進行這方面的培訓不僅可以更好的為ISO審計做準備,而且還能讓員工跟公司外面的審計師有共同語言。遵從27001標準非常復雜,所以許多企業(yè)甚至讓有些員工通過認證成為ISO 27001內部審計人員;這些通過認證的員工的觀點通常比企業(yè)外面的人員觀點更重要。
        除了上面詳細討論的監(jiān)管規(guī)則認證以外,還有一種合格信息系統(tǒng)審計員認證(CISA),這個認證涵蓋了非常寬泛的審計框架范圍,其中包括用來進行Sarbanes-Oxley (SOX)審計的COBIT 和 COSO。CISA培訓涉及到了控制目標、業(yè)務影響分析(BIAs)、風險管理的賠償控制以及分析技術的所有內容,而這些也對處理HIPAA/HITECH 或者 FTC Red Flags Rule審計很有用處。一般來講,成為審計員的好處是:首先,個人技能的增加可以讓簡歷看起來更好;其次,能夠更加深刻的理解公司需要遵從的各種規(guī)則和法律。此外,這樣的培訓可以讓你從不同的角度來考慮為什么要執(zhí)行各種控制和怎樣執(zhí)行這些控制,以及這些控制的價值。
        也許最重要的是,審計培訓可以讓一個人能夠跟審計師有共同的語言;還可以讓員工在別人使用特殊詞語和短語(比如“risk”或者"compensating control")的時候能夠理解到底是什么意思,從而極大的加速審計過程。這個培訓還可以讓員工更好的理解審計師想要什么,以及他們的目標是什么。這些使得安全工作人員能夠更加有效的跟審計師開展合作,不僅節(jié)省了時間和金錢,而且還讓安全團隊作為一個整體能夠更加有效的支持審計過程。
        對于許多信息安全工作人員來說,盡管IT審計需要很強的技術背景(尤其是PCI DSS 和 ISO 27001審計),然而轉變到審計員的角色其實不難。對于那些需要公司管理層打交道的從業(yè)人員來說,這個轉變會更加的容易。在這方面非常積極的企業(yè)已經(jīng)指定了培訓計劃,讓他們的員工可以得到這方面的教育,這些計劃很可能會包括一個審計追蹤;如果你所在的公司還沒有這樣的一個計劃,那么請利用上面提到的信息,或許你就可以在企業(yè)中開拓一個全新的、有挑戰(zhàn)性的職業(yè)軌跡。
    大云網(wǎng)官方微信售電那點事兒
    免責聲明:本文僅代表作者個人觀點,與本站無關。其原創(chuàng)性以及文中陳述文字和內容未經(jīng)本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
    我要收藏
    個贊
    ?
    久久人妻无码一区| 女人扒开腿让男人狂桶30分钟| 国产日产欧产精品| 国产极品尤物铁牛tv网站| 国产精品久免费的黄网站| 欧美日本高清在线不卡区| 红尘影院手机在线观看| 亚洲AV无码一区二区三区dv| 国产av一区二区三区| 久久精品女人天堂AV免费观看|