你不僅需要指出問題所在，還要排除問題。下面列出作為審計(jì)人員你應(yīng)提出哪些建議。這些步驟總結(jié)了你在本課程中學(xué)到的安全規(guī)則。

　　持續(xù)審計(jì)和加強(qiáng)安全的步驟

　　下列是你對(duì)所有希望繼續(xù)進(jìn)行有效審計(jì)的公司建議采取的步驟。

　　　定義安全策略。
　　　建立對(duì)特定任務(wù)負(fù)責(zé)的內(nèi)部組織。
　　　對(duì)網(wǎng)絡(luò)資源進(jìn)行分類。
　　　為雇員建立安全指導(dǎo)。
　　　確保個(gè)人和網(wǎng)絡(luò)系統(tǒng)的物理安全。
　　　保障網(wǎng)絡(luò)主機(jī)的服務(wù)和操作系統(tǒng)安全。
　　　加強(qiáng)訪問控制機(jī)制。
　　　建立和維護(hù)系統(tǒng)。
　　　確保網(wǎng)絡(luò)滿足商業(yè)目標(biāo)。
　　　保持安全策略的一致性。
　　　重復(fù)的過程。

　　以上都是保證安全的基本步驟。許多國(guó)際性的公司要求符合這些需求。無論你提出了哪些方面的建議，你至少應(yīng)該遵循某一種國(guó)際性的安全標(biāo)準(zhǔn)。

　　安全審計(jì)和安全標(biāo)準(zhǔn)

　　至少有三個(gè)國(guó)際安全標(biāo)準(zhǔn)可以供你在書寫報(bào)告時(shí)進(jìn)行參考。每種標(biāo)準(zhǔn)都可以幫助你使用正確的語言進(jìn)行表達(dá)，更重要的是使你關(guān)注客戶的商業(yè)需求。許多網(wǎng)絡(luò)工作者認(rèn)為這些標(biāo)準(zhǔn)沒有必要，在處理更多的實(shí)際問題時(shí)很難將這些抽象的概念銘記在心。最后，將概念轉(zhuǎn)變?yōu)閷?shí)踐是困難的。

　　然而，因?yàn)樵S多公司要求遵循這些標(biāo)準(zhǔn)，所以它們也變得越來越重要。例如，許多政府在同公司進(jìn)行商業(yè)合作時(shí)要求符合BS7799標(biāo)準(zhǔn)。

　　ISO 7498-2

　　國(guó)際標(biāo)準(zhǔn)組織（ISO）建立了7498系列標(biāo)準(zhǔn)來幫助網(wǎng)絡(luò)實(shí)施標(biāo)準(zhǔn)化。其中第二個(gè)文件7498-2描述了如何確保站點(diǎn)安全和實(shí)施有效的審計(jì)計(jì)劃。文件的標(biāo)題是《Information Processing Systems,Open System Interconnection,Basic Reference Model,Part 2:security Architecture》，它是第一篇論述如何系統(tǒng)地達(dá)到網(wǎng)絡(luò)安全的文章。

　　英國(guó)標(biāo)準(zhǔn)7799（BS 7799）

　　BS 7799文檔的標(biāo)題是《A Code of Practice For Information Security Management》，論述了如何確保網(wǎng)絡(luò)系統(tǒng)安全。1999年的版本有兩個(gè)部分。BS 7799-1討論了確保網(wǎng)絡(luò)安全所采取的步驟。BS 7799-2討論了在實(shí)施信息安全管理系統(tǒng)（ISMS）時(shí)應(yīng)采取的步驟。雖然BS 7799是英國(guó)的標(biāo)準(zhǔn)，但由于它可以幫助網(wǎng)絡(luò)專家設(shè)計(jì)實(shí)施計(jì)劃并提交結(jié)果，所以很多非英國(guó)的公司也接受這一標(biāo)準(zhǔn)。BS 7799系列與ISO 9000系列的文檔有關(guān)。這些標(biāo)準(zhǔn)保證了公司之間安全的協(xié)作。

　　實(shí)施信息安全管理系統(tǒng)（ISMS）的目的是確保公司使用的信息盡可能的安全。因此，需要考慮能夠幫助在你的公司中建立、管理和傳送信息的每個(gè)要素。這些要素包括電話聯(lián)系，文件系統(tǒng)（文本和電子格式），網(wǎng)絡(luò)傳輸?shù)取Ｋ�以，定義ISMS的任務(wù)變得很艱巨，你需要記錄和分類建立信息的任何組成部分，包括鉛筆、郵票、郵件等等。所幸的是，你可以定義一個(gè)范圍，它可以使你只關(guān)注哪些對(duì)你的網(wǎng)絡(luò)影響最大的內(nèi)容。

　　在完善ISMS是，應(yīng)遵循以下步驟：

　　　定義安全策略。
　　　為你的信息安全管理系統(tǒng)（ISMS）定義范圍。
　　　風(fēng)險(xiǎn)評(píng)估。
　　　對(duì)已知的風(fēng)險(xiǎn)進(jìn)行排序和管理。

　　你已經(jīng)在本課中學(xué)習(xí)了每個(gè)步驟，當(dāng)然，你需要將學(xué)到的技能與BS 7799和ISO 7498-2標(biāo)準(zhǔn)結(jié)合起來。這些標(biāo)準(zhǔn)會(huì)使你作為一名審計(jì)人員更具有可信度。

　　在BS 7799和ISO 7498-2文檔中討論的許多步驟可以幫助你實(shí)施在前面提到的目標(biāo)。這些標(biāo)準(zhǔn)建議你采取如下步驟：

　　　發(fā)布安全策略。
　　　公布負(fù)責(zé)人名單。
　　　培訓(xùn)公司人員的信息安全意識(shí)。
　　　定義匯報(bào)事件的程序。
　　　建立有效的反病毒保護(hù)措施。
　　　確保實(shí)施的策略與公司商業(yè)目標(biāo)的一致性。
　　　制定規(guī)范以確保雇員不會(huì)為了完成任務(wù)而破壞軟件許可規(guī)則。
　　　物理上確保對(duì)網(wǎng)絡(luò)操作記錄的安全。
　　　建立系統(tǒng)來保護(hù)公司數(shù)據(jù)的安全。
　　　實(shí)施能夠衡量規(guī)定的安全策略與實(shí)際遵守情況的等級(jí)的機(jī)制和過程。

　　Common Criteria（CC）

　　Common Criteria提供了有助于你選擇和發(fā)展網(wǎng)絡(luò)安全解決方案的全球統(tǒng)一標(biāo)準(zhǔn)。ISO為了統(tǒng)一區(qū)域和國(guó)家間的安全標(biāo)準(zhǔn)指定了Common Criteria，因此，CC與ISO9000系列相似都是用來提供可以證明的過程。雖然CC的目的是統(tǒng)一ITSEC和TCSEC，但它們還是用來取代“Orange Book”標(biāo)準(zhǔn)。在編寫本書時(shí)，Common Criteria被稱為ISO國(guó)際標(biāo)準(zhǔn)15408（IS 15408）。Common Criteria 2.1等同于IS 15408。

　　該文件由三個(gè)部分組成：

　　·第一部分：定義了如何創(chuàng)建安全目標(biāo)和需求，還提供了一個(gè)術(shù)語的概述。
　　·第二部分：定義了如何建立能夠使商業(yè)通信更安全的需求列表。列舉了如何將這些需求組織成classes（抽象的需求，例如驗(yàn)證和加密），families（更特別的需求，例如用戶和過程驗(yàn)證），和components（使用Kerberos進(jìn)行驗(yàn)證，和一次性口令）。
　　· 第三部分：提出了如何建立能夠達(dá)到公司安全需求的“保險(xiǎn)內(nèi)容”的過程。還討論了七個(gè)日益廣泛使用的嚴(yán)格的Evaluation Assurance Levels（EAL）。

　　這三部分的內(nèi)容描述得很細(xì)致和復(fù)雜。然而，作為審計(jì)人員你只需要理解這些條款的基本內(nèi)容。許多IT專家使用它們來：

　　　第一公司需要的特殊設(shè)置。提供了審計(jì)人員和IT專家在商業(yè)和技術(shù)交流中常用的術(shù)語。
　　　定義了為更新網(wǎng)絡(luò)或特殊產(chǎn)品而建立特殊過程的需求。
　　　需要由軟件和硬件廠商聲明的證明能力。

　　下表描述了與安全審計(jì)人員有關(guān)的概念和術(shù)語。