在什么时候审核您的网络安全计划？

2017年11月，总部位于洛杉矶的服装零售商Forever 21宣布潜在的数据泄露可能已影响了部分客户。在调查中，他们发现2015年实施的“加密和令牌化解决方案”可能不适用于某些PoS计算机。

由于越来越依赖技术进步，组织正变得容易受到网络威胁的攻击。这些威胁不仅限于金融和IT公司，而且还扩展到其他行业。例如，零售业已成为许多目标，因为它可能被确定为较软的目标以及更丰富的消费者信息来源。制造业对工业4.0数字制造的评估以及对传感器技术以及其他智能产品的接受程度也受到了各种网络威胁的威胁。工业4.0是制造业和工业中的第四次工业革命，并且它对自动化，云，数据交换和自主工业技术越来越熟悉。因此，至关重要的是要制定稳健的网络安全计划，并确保它们是最新的并且运作良好。

为什么审核网络安全计划很重要？

跨行业的大多数公司都有完善的网络安全计划。这些程序不足之处在于它们能够检查和审核安全过程，并确保它们以适当的间隔运行。例如，如果已实施的安全过程计划每月进行一次漏洞扫描，但是产品更新每月发布两次，则可能使漏洞处于完全打开状态或完全未被公开。这样的违法行为可能会在很长一段时间内被忽视。有时，只有在发生安全漏洞之后才能注意漏洞。由于网络威胁的发展速度很快，因此重要的是要确保您的网络安全措施有效且持续不断。

阅读更多： 内部审计在网络安全中的作用

审核时间表

在一个典型的 “三道防线”模式，网络安全的责任 从顶层开始 与CIO / CISO以及审核小组一起确定了网络安全控制框架并执行了安全策略和程序。此框架可能需要3到5年的时间，应每6-12个月审核一次，以确保该过程有效。

当监视和忽略不是网络安全程序的持续部分时，经常发生网罗。每隔一天就会继续引入新的威胁和漏洞。为了减轻风险，许多组织成立了一个由CISO领导的网络安全委员会。该委员会与所有利益相关者定期开会，以评估威胁和漏洞，每当添加第三方数据存储，关键员工离开/加入公司，或者添加新的硬件，软件或服务器时，威胁和漏洞就会添加。

第二道防线 负责评估与网络安全相关的风险和风险。他们与第一，第三道防线紧密合作，制定政策并建立有效的网络安全意识。他们通过进行季度/半年度的审计和管理审查，确保风险报告和控制是适当的和最新的。他们还评估与供应商的关系，必须通过持续监控他们对公司敏感数据的访问来管理他们。每年对供应商进行审核，并按月/季度报告关键安全指标，可以确保更高的网络安全标准。

内部审计职能 第三道防线 负责审核组织各个方面的网络安全风险缓解措施。它通常包括对用户访问权限，网络设计，供应商管理，监视，针对使用组织界面工作的员工，IT人员和供应商进行的网络安全意识培训的季度/半年度/年度审查。这样可以确保更好的事件和违规准备。每六个月与各个团队进行一次桌面演练，有助于评估下达过程的有效性。审核应是一项计划内的活动，并具有入职标准，定期的更新和退出会议以及对每个阶段的明确期望。

确保对Seqrite进行有效的审核和合规

序列提供了一系列主动，主动和被动服务，以保护其客户免受所有网络威胁。 序列通过对系统进行及时有效的审核，帮助组织主动保护其IT资产并遵守所有法规要求。 序列专门从事技术，合规性和红队审核，并为全球企业提供完整的安全管理和咨询服务。

基础结构安全性，应用程序安全性和工业控制系统安全性是 序列提供的技术审核。合规性审核包括ISO27001，PCI DSS，HIPAA等，而红队审核则包括准备评估，红队评估和战争游戏。

尽管必须采取纠正措施来应对漏洞，但更重要的是要确保纠正和预防措施是最新的并且可以有效地运行以减轻攻击或破坏。定期审核，尤其是由Seqrite等专家进行的审核，可以确保您的网络安全计划始终处于最佳状态。

作为您企业的IT安全合作伙伴， 序列 提供针对高级网络威胁的全面端点安全。要了解更多信息，请访问我们的 网站 or