Audit / Auditointi
Audit
An information security audit is an evaluation of the information security controls implemented to the auditable system. The goal of the audit is to gain verification that the state of system’s information security is on an agreed level, approved by corporate management and other stakeholders. If required, audit can be conducted as a compliance-audit, where the state of the system is compared to a pre-determined information security standard (such as PCI DSS).
An audit is conducted by comparing the technical state of the system to policies and other system requirement documentation. If the system requirements are not documented, or the documentation is not sufficient, the system characteristics are compared to current best practices and applicable threats.
Auditointi
Auditoinnin, eli tietoturvan tarkastuksen tarkoituksena on varmistua siitä, että järjestelmän suojaus on määritellyllä, liikkeenjohdon ja muiden sidosryhmien hyväksymällä tasolla. Auditointi toteutetaan tarvittaessa ns. compliance-auditointina, jolloin järjestelmän tilaa verrataan tiettyyn tietoturvastandardiin (kuten PCI DSS).
Auditoinnissa järjestelmän teknistä tilaa verrataan ensisijaisesti asiakkaan olemassa olevaan määrittely/toteutus -dokumentaatioon. Mikäli asianmukaista dokumentaatiota ei ole, tai se on puutteellinen, verrataan järjestelmän ominaisuuksia alan parhaisiin käytäntöihin ja nykyiseen uhkakenttään.
Jätä yhteydenottopyyntö