Saya memiliki audit yang akan datang, dan saya bertanya-tanya apa kontrol akses fisik, elektronik, dan logis yang akan dicari oleh auditor ketika mengaudit database untuk sistem ERP. Saya benar-benar baru dalam proses ini dan bimbingan apa pun akan dihargai.
sumber
Saya salut atas usaha Anda, namun pertanyaan yang diajukan mungkin terlalu samar. Aturan yang berbeda berlaku untuk industri yang berbeda dan lebih jauh lagi, kadang-kadang Anda memiliki kesempatan untuk menetapkan aturan Anda sendiri, Anda hanya perlu mengikuti mereka.
Saya akan menyarankan untuk memeriksa dengan seseorang tentang audit apa yang Anda harapkan lulus, kemudian menemukan persyaratan khusus.
sumber
Untuk menambah tautan luar biasa di atas; Saya menemukan dokumen-dokumen berikut sebagai referensi bermanfaat mengenai keamanan dan audit:
sumber
Poin yang terlewatkan oleh orang-orang di atas adalah sekitar mengidentifikasi dengan tepat apa yang Anda lindungi - jika itu adalah data kartu kredit, maka mudah untuk menyadari bahwa Anda memerlukan PCI-DSS, tetapi dalam skema yang lebih luas, PCI-DSS tidak terlalu berguna kecuali sebagai dasar minimum. Anda perlu mengidentifikasi apa yang bernilai bagi perusahaan Anda, apakah untuk alasan komersial atau karena regulator atau pemegang saham mengatakan demikian, dan memastikan audit Anda memperhitungkannya.
Saya juga menyarankan untuk melihat security.stackexchange.com , yang khusus melayani keamanan dan risiko profesional, dan ada banyak dari kita yang telah melakukan audit keamanan, dibantu dengan persiapan audit, memimpin peningkatan keamanan skala besar dan program pengujian dll.
sumber